Op 9 januari deelde het Twitter-account van de Amerikaanse financiële waakhond SEC dat Bitcoin ETF’s waren goedgekeurd. Dit bleek vals nieuws te zijn en werd zelfs gerectificeerd door Gary Gensler, de voorzitter van de SEC. Gisteren werd bekend dat dit zou komen door een sim swap.
Valse tweet door sim swap
De valse tweet, die net na de sluiting van de markten op 9 januari werd gedeeld, werd op sociale media goed ontvangen. Maar al snel leek er iets niet te kloppen: er waren geen ondersteunende documenten en er verschenen geen updates op de website van de SEC. SEC-voorzitter Gary Gensler maakte via zijn account snel duidelijk dat de rekening van de SEC ‘gecompromitteerd’ was en dat er geen ETF’s waren goedgekeurd.
De hacker die beslag legde op het officiële X-account van de Securities and Exchange Commission kreeg toegang tot het account door zich te richten op de telecomprovider van de SEC in een schijnbare ‘SIM-swap’-aanval, aldus het agentschap.
Een SIM-swap is een vorm van aanval waarbij de hacker een telecomprovider misleidt om het telefoonnummer dat aan een bepaalde mobiele telefoon is gekoppeld, over te zetten naar een ander apparaat. De hacker heeft toegang gekregen tot het telefoonnummer via de telecomaanbieder en niet via de eigen systemen van de SEC.
‘De wetshandhaving onderzoekt momenteel onder meer hoe de ongeautoriseerde partij de provider ertoe heeft gebracht de simkaart voor het account te wijzigen en hoe de partij wist welk telefoonnummer aan het account was gekoppeld.’
Hoe heeft dit kunnen gebeuren?
De SEC onderzoekt nog steeds hoe de hacker erin slaagde de provider ervan te overtuigen de simkaart die aan het SEC-account was gekoppeld te verwisselen en hoe de hacker het gekoppelde telefoonnummer kende, schrijft Fortune.
Een SEC-woordvoerder zei dat het bureau 2FA ingeschakeld op zijn X-account, maar deze in juli moest verwijderen vanwege toegangsproblemen. De functie is sindsdien waar mogelijk hersteld op alle sociale SEC-accounts.
In de officiële verklaring bevestigde de SEC haar samenwerking met verschillende wetshandhavings- en federale toezichthoudende instanties, waaronder de FBI, het ministerie van Binnenlandse Veiligheid en het ministerie van Justitie, om het probleem op te lossen.
Dit soort aanvallen zijn niet ongewoon in de cryptowereld, in september verloor Ethereum-oprichter Vitalik Buterin de toegang tot zijn X-account. Iemand plaatste een tweet en maakte hiermee bijna 700.000 dollar afhandig van Buterins volgers.