Een 26-jarige Amerikaanse man is in de Verenigde Staten veroordeeld tot een gevangenisstraf van veertien maanden wegens het uitvoeren van een sim-swap waardoor het X-account van de Amerikaanse beurswaakhond SEC (Securities and Exchange Commission) kon worden overgenomen. Vervolgens werd via het account een bericht verstuurd om de bitcoinkoers te manipuleren.

Begin vorig jaar verscheen er een bericht van de Securities and Exchange Commission op X dat het de handel in bitcoin ETF's had goedgekeurd. Door het bericht ging de koers van bitcoin tijdelijk met duizend dollar omhoog. Nadat de SEC liet weten dat het om een vals bericht ging als gevolg van een gekaapt account daalde de koers met tweeduizend dollar.

X bevestigde dat het SEC-account was gecompromitteerd door een onbekende persoon die via een derde partij toegang had gekregen tot een telefoonnummer dat aan het account was gekoppeld. Verder stelde de microbloggingdienst dat de beurstoezichthouder, op het moment dat het account werd gekaapt, geen tweefactorauthenticatie (2FA) had ingeschakeld.

Volgens de SEC werd het telefoonnummer door middel van sim-swapping overgenomen. Bij sim-swapping weten criminelen het telefoonnummer van een slachtoffer over te zetten op een simkaart waarover zij beschikken en kunnen zo bijvoorbeeld multifactorauthenticatie (MFA) codes ontvangen. Nadat de aanvaller de controle over het SEC-telefoonnummer had gekregen voerde hij een reset uit van het accountwachtwoord, waardoor hij kon inloggen.

De verdachte ontving van handlangers persoonlijke informatie en een identiteitskaarttemplate met de naam en foto van de eigenaar van het SEC-telefoonnummer. Vervolgens gebruikte hij een 'identiteitskaartprinter' om een vals identiteitsbewijs te maken en daarmee op naam van het slachtoffer een simkaart aan te vragen in een telefoonwinkel. De ontvangen resetcode voor het @SECGov-account op X stuurde hij vervolgens door naar handlangers, die het malafide bericht plaatsten. Voor het uitvoeren van de sim-swap ontving de verdachte een bedrag in bitcoin.