Die U.S. Securities and Exchange Commission (SEC) hat zugegeben, dass ein SIM-Swap-Angriff ihr X-Konto kompromittiert hat, wo eine gefälschte Ankündigung über die Genehmigung von Spot-Bitcoin-Börsengehandelte Fonds (ETFs) veröffentlicht wurde. “Die unbefugte Partei erlangte die Kontrolle über die SEC-Handynummer, die mit dem Konto verbunden ist, bei einem offensichtlichen ‘SIM-Swap’-Angriff”, sagte der Regulator.
SEC wurde SIM-Swapped: Wie ein Hacker die Kontrolle über das X-Konto der SEC erlangte
Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Einige Informationen sind möglicherweise nicht mehr aktuell.
GESCHRIEBEN VON
TEILEN
SEC sagt, es ist Opfer eines SIM-Swap-Angriffs
Die U.S. Securities and Exchange Commission (SEC) gab am Montag ein Update bezüglich des unbefugten Zugriffs auf ihr @SECGov-Konto auf der Social-Media-Plattform X. Der Angriff ereignete sich am 9. Januar und das SEC’s X Konto wurde verwendet, um eine unberechtigte Nachricht zu posten, die besagte, dass die Behörde Spot-Bitcoin-Börsengehandelte Fonds (ETFs) genehmigt habe. Beachtenswert ist, dass die Behörde zu diesem Zeitpunkt keine Spot-Bitcoin-ETFs genehmigt hatte.
Der Wertpapierregulator erklärte im Detail:
Zwei Tage nach dem Vorfall hat die SEC in Absprache mit ihrem Telekommunikationsanbieter festgestellt, dass die unbefugte Partei die Kontrolle über die SEC-Handynummer, die mit dem Konto verbunden war, bei einem offensichtlichen ‘SIM-Swap’-Angriff erlangt hat.
“Nachdem sie die Kontrolle über die Telefonnummer erlangt hatte, setzte die unbefugte Partei das Passwort für das @SECGov-Konto zurück”, beschrieb die SEC. Der Regulator betonte: “Der Zugriff auf die Telefonnummer erfolgte über den Telekommunikationsanbieter, nicht über SEC-Systeme. SEC-Mitarbeiter haben keine Beweise dafür gefunden, dass die unbefugte Partei Zugang zu SEC-Systemen, Daten, Geräten oder anderen Social-Media-Konten erhalten hat.”
Die SEC teilte weiter mit: “Obwohl zuvor die Mehrfaktorauthentifizierung (MFA) für das @SECGov X-Konto aktiviert war, wurde sie im Juli 2023 von X Support auf Anfrage des [SEC]-Mitarbeiters deaktiviert, aufgrund von Zugangsproblemen zum Konto.” Der Regulator fügte hinzu:
Nachdem der Zugang wiederhergestellt wurde, blieb die MFA deaktiviert, bis das Personal sie nach der Kompromittierung des Kontos am 9. Januar wieder aktivierte. MFA ist derzeit für alle SEC Social-Media-Konten aktiviert, die dieses anbieten.
Die Wertpapieraufsicht betonte, dass die SEC-Mitarbeiter weiterhin mit mehreren Strafverfolgungs- und Bundesüberwachungsbehörden koordinieren, einschließlich des Federal Bureau of Investigation (FBI), des Department of Homeland Security (DHS), der Commodity Futures Trading Commission (CFTC), des Department of Justice (DOJ) und der eigenen Abteilung für Durchsetzung der SEC.
“Unter anderem untersucht die Strafverfolgung derzeit, wie die unbefugte Partei den Anbieter dazu brachte, die SIM für das Konto zu ändern und wie die Partei wusste, welche Telefonnummer mit dem Konto verbunden war”, erklärte die SEC.
Eine erhebliche Anzahl von SIM-Swap-Angriffen zielt auf Krypto-Investoren ab. Neben der SEC gehören zu den bemerkenswerten Opfern von SIM-Swap-Angriffen auch der Ethereum-Mitbegründer Vitalik Buterin. Unser Leitfaden erklärt, wie man einen SIM-Swap-Angriff abwenden kann.
Was denken Sie darüber, wie die SEC durch einen SIM-Tausch hereingelegt wurde? Lassen Sie es uns im Kommentarbereich unten wissen.
