چگونه هکر کنترل حساب X کمیسیون بورس و اوراق قرضه را به دست آورد؟!

کمیسیون بورس و اوراق بهادار آمریکا (SEC) اعتراف کرده است که حمله تعویض سیم کارت (SIM swap) حساب X آن‌ها را مورد نفوذ قرار داده، که باعث شده تا بیانیه جعلی در مورد تایید صندوق قابل معامله (ETF) اسپات بیت کوین منتشر در ا« منتشر شود. این نهاد نظارتی اظهار داشت: “طرف غیرمجاز توانست کنترل شماره تلفن همراه کمیسیون بورس و اوراق بهادار مرتبط با حساب را در یک حمله ‘تعویض سیم کارت’ به دست آورد”.

کمیسیون می‌گوید قربانی حمله تعویض سیم کارت (SIM Swap) شده است!

کمیسیون بورس و اوراق بهادار آمریکا (SEC) روز دوشنبه در مورد دسترسی غیرمجاز به حساب @SECGov خود در پلتفرم رسانه اجتماعی X اطلاعاتی ارائه کرد. این حمله در ۹ ژانویه (19 دی) رخ داد و حساب X کمیسیون بورس و اوراق بهادار برای ارسال پیامی غیرمجاز مبنی بر این که آژانس صندوق قابل معامله (ETF) اسپات بیت کوین را تایید کرده است، استفاده شد. لازم به ذکر است که آژانس در آن زمان هنوز صندوق اسپات بیت کوین را تایید نکرده بود.

این رگولاتور اوراق بهادار توضیح داد:

“دو روز پس از حادثه، در مشورت با ارائه‌دهنده تلکام کمیسیون، این کمیسیون تشخیص داد که طرف غیرمجاز کنترل شماره تلفن همراه SEC مرتبط با حساب را در یک حمله ‘تعویض سیم کارت’ به دست آورده است.”

 کمیسیون بورس و اوراق بهادار توضیح داد: “پس از کنترل شماره تلفن، طرف غیرمجاز رمز عبور حساب @SECGov را مجدداً تنظیم کرد”. این رگولاتور تاکید کرد: “دسترسی به شماره تلفن از طریق ارائه‌دهنده تلکام اتفاق افتاده است، نه از طریق سیستم‌های SEC. کارکنان کمیسیون بورس و اوراق بهادار هیچ مدرکی مبنی بر دسترسی طرف غیرمجاز به سیستم‌ها، داده‌ها، دستگاه‌ها یا سایر حساب‌های رسانه اجتماعی این کمیسیون را شناسایی نکرده‌اند.”

کمیسیون بورس و اوراق بهادار همچنین افزود: “در حالی که قبلاً احراز هویت چند عاملی (MFA) بر روی حساب @SECGov در X فعال شده بود، اما در جولای ۲۰۲۳ به دلیل مشکلات دسترسی به حساب، توسط پشتیبانی X و به درخواست کارکنان [SEC]، غیرفعال شد.” این رگولاتور اضافه کرد:

“پس از بازیابی دسترسی، تا زمانی که کارکنان پس از نفوذ به حساب در ۹ ژانویه آن را دوباره فعال کردند، احراز هویت چندعاملی غیرفعال باقی ماند. در حال حاضر MFA برای تمام حساب‌های رسانه اجتماعی SEC که آن را ارائه می‌دهند، فعال است.”

رگولاتور اوراق بهادار تاکید کرد که کارکنان SEC همچنان با چندین نهاد اجرای قانون و نظارت فدرال، از جمله اداره تحقیقات فدرال (FBI)، وزارت امنیت داخلی (DHS)، کمیسیون تجارت آتی کالا (CFTC)، وزارت دادگستری (DOJ) و بخش اجرایی خود SEC همکاری می‌کنند.

SEC  به تفصیل توضیح داد: “از جمله موارد دیگر، در حال حاضر، مجریان قانون در حال تحقیق در مورد این مسئله هستند که چگونه طرف غیرمجاز توانست ارائه‌دهنده تلکام را مجبور به تغییر سیم کارت حساب کند و این که چگونه طرف می‌دانست که کدام شماره تلفن با حساب مرتبط است.”

تعداد قابل توجهی از حملات تعویض سیم کارت به سرمایه‌گذاران رمز ارز صورت گرفته است. علاوه بر SEC، سایر قربانیان مطرح حملات تعویض سیم کارت شامل ویتالیک بوترین (Vitalik Buterin)، از ‌بنیان‌گذار اتریوم، می‌شود.

نظر شما در مورد نحوه حمله به حساب X کمیسیون بورس و اوراق بهادار از طریق تعویض سیم کارت چیست؟ شما می‌توانید نظرات خود را در قسمت دیدگاه با ما به اشتراک بگذارید.