ABD Menkul Kıymetler ve Borsa Komisyonu (SEC), sahte bir Bitcoin ETF onayı açıklamasının arkasında SIM değiştirme dolandırıcılığı olduğunu resmi olarak duyurdu. 9 Ocak’ta SEC hesabı üzerinden yapılan açıklamada Bitcoin ETF onayının verildiği belirtilmişti. Ancak, SEC Başkanı, kendi hesabından yaptığı açıklamada, bu duyurunun gerçeği yansıtmadığını ve bir saldırıya uğrandığını bildirdi. Peki, SEC’in kurumsal hesabı nasıl hacklendi? Bitcoin fiyatındaki dalgalanmaya neden olan bu siber saldırının detayları açığa çıktı.
SIM değiştirme saldırısı gerçekleşti
SEC’in Bitcoin , saldırganların “SIM swapping attack” yöntemiyle SEC telefon numarasının kontrolünü ele geçirdiklerini belirtti. SIM değiştirme saldırısı, kötü niyetli bir kişinin sosyal mühendislik gibi tekniklerle kurbanın telefon numarasını ele geçirmesiyle gerçekleşiyor. Saldırgan daha sonra kurbanın hesaplarına giriş yapmak için kullanabileceği iki faktörlü kimlik doğrulama kodları dahil, kurbanın arama ve mesajlarına müdahale edebilir.
İki adımlı kimlik doğrulama neden işe yaramadı?
SEC’in Bitcoin skandalındaki kötü niyetli kişi, X hesabına bağlı telefon numarasının kontrolünü ele geçirdikten sonra hesap şifresini sıfırladı. SEC, çok faktörlü kimlik doğrulamanın açık olduğunu belirtse de, bu güvenlik özelliği hesaba erişim sorunları nedeniyle Temmuz 2023’te bir çalışanın talebi üzerine X desteği tarafından devre dışı bırakılmış. SEC, 9 Ocak’ta hesabın ele geçirildiğini fark ettikten sonra bu özelliği yeniden etkinleştirmiştir. SEC’in kurumsal hesaba bağlı telefon numarasının nasıl öğrenildiği ve hackerların operatörün SIM’leri değiştirmesini nasıl sağladığı konuları hala araştırılmaktadır.