X-account Amerikaanse beurswaakhond gekaapt via simswapping-aanval
Het X-account van de SEC is eerder deze maand via een simswapping-aanval gekaapt, zo heeft de Amerikaanse beurswaakhond in een verklaring over het incident laten weten. Via het account van de SEC werd een bericht verstuurd dat de beurswaakhond de handel in Bitcoin ETF's had goedgekeurd. Daarop liet de SEC weten dat dit niet het geval was, om een dag later alsnog de handel in ETF's goed te keuren.
"Twee dagen na het incident, in overleg met de telecomprovider van de SEC, heeft de SEC vastgesteld dat de ongeautoriseerde partij via een simswapping-aanval toegang kreeg tot het SEC-telefoonnummer dat aan het account is gekoppeld", aldus de verklaring. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld multifactorauthenticatie (MFA) codes ontvangen.
Om de sim-swap uit te voeren doen criminelen zich voor als het slachtoffer en bellen de telecomprovider om het nummer van het slachtoffer over te zetten. Ook komt het voor dat medewerkers van telecombedrijven worden omgekocht en vervolgens de sim-swap op verzoek van criminelen uitvoeren. Hoe de aanvaller de simswap met het SEC-nummer kon uitvoeren wordt nog door de autoriteiten onderzocht.
Nadat de aanvaller de controle over het telefoonnummer had gekregen voerde hij een reset uit van het accountwachtwoord, waardoor hij kon inloggen. Oorspronkelijk had de SEC wel multifactorauthenticatie (MFA) voor het account ingeschakeld, maar had dit vanwege inlogproblemen bij het eigen personeel door X laten uitschakelen. De beurswaakhond voegt toe dat MFA weer voor het X-account is ingeschakeld, alsmede voor alle andere socialmedia-accounts die dit ondersteunen.
Dit lijkt me een inside job. Hoe weten de daders welk telefoonnummer aan het X account gekoppeld is? Ik neem aan dat deze beurswaakhond tientallen telefoonnummers in gebruik heeft en ze hiervoor geen publiek bekend nummer gebruiken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.