Каждый может извлечь урок из этой показательной атаки на SEC.
Комиссия по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) подтвердила факт взлома своего аккаунта в социальной сети X*. Произошедшее ранее в январе нарушение безопасности было осуществлено через атаку типа SIM Swapping (подмена SIM-карты), при этом аккаунт не был защищён многофакторной аутентификацией (multi-factor authentication, MFA).
Внутреннее расследование показало, что несанкционированный доступ к номеру телефона, привязанному к аккаунту SEC, был получен через оператора связи агентства методом подмены SIM-карты (SIM Swapping). Атака предполагает получение контроля над номером сотового телефона путем убеждения оператора мобильной связи перенести номер на SIM-карту, контролируемую злоумышленником. Как только злоумышленник получит контроль над номером телефона жертвы, он сможет использовать этот номер телефона для сброса паролей учетных записей, принадлежащих жертве.
После получения контроля над номером, привязанному к аккаунту SEC, злоумышленник сбросил пароль SEC в сети X, получив доступ к аккаунту. Правоохранительные органы в настоящее время изучают, как киберпреступнику удалось убедить оператора сменить SIM-карту для аккаунта и как он узнал, какой номер телефона был привязан к аккаунту.
После начала расследования SEC заявило, что на данный момент у агентства нет доказательств того, что злоумышленник получил доступ к системам, данным, устройствам или другим учетным записям SEC в соцсетях.
В заявлении также подтверждены первоначальные публичные комментарии X о том, что аккаунт SEC был отключен от многофакторной аутентификации. Агентство сообщило, что аккаунт был «отключен поддержкой X по запросу сотрудников в июле 2023 года из-за проблем с доступом к аккаунту». SEC заявила, что теперь для всех своих аккаунтов в социальных сетях, где это возможно, включила многофакторную аутентификацию.
* Социальная сеть запрещена на территории Российской Федерации.
Первое — находим постоянно, второе — ждем вас