Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Behörde bestätigt: Das X-Konto der SEC wurde per Sim-Swapping infiltriert

Die Multi-Faktor-Authentifizierung ihres X-Kontos sei im Juli 2023 aufgrund von Zugriffsproblemen deaktiviert worden, behauptet die SEC.
/ Marc Stöckel
2 Kommentare News folgen (öffnet im neuen Fenster)
Gary Gensler, Vorsitzender der SEC (Bild: EVELYN HOCKSTEIN/POOL/AFP via Getty Images)
Gary Gensler, Vorsitzender der SEC Bild: EVELYN HOCKSTEIN/POOL/AFP via Getty Images

Nachdem ein böswilliger Akteur vor zwei Wochen das X-Konto der US-Börsenaufsichtsbehörde SEC übernommen hatte, um einen Tag zu früh die erwartete Bitcoin-ETF-Zulassung zu verkünden, hat die Behörde nun weitere Informationen bezüglich dieses Vorfalls geteilt. Den Angreifern sei es gelungen, durch Sim-Swapping die Kontrolle über die mit dem X-Konto der SEC verknüpfte Rufnummer zu übernehmen und darüber das Passwort des Accounts zurückzusetzen, heißt es in einer neuen Mitteilung der Aufsichtsbehörde(öffnet im neuen Fenster) .

Bei Sim-Swapping handelt es sich um eine Angriffstechnik, bei der Angreifer die Telefonnummer seiner Zielperson übernehmen, um in deren Namen beispielsweise Anrufe tätigen oder SMS empfangen zu können. Die Übernahme gelingt in der Regel dadurch, dass sich Angreifer dem Mobilfunkprovider gegenüber als die Zielperson ausgeben – unter Einsatz von zuvor durch Social-Engineering-Methoden erlangten persönlichen Daten.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Können böswillige Akteure dem Provider damit glaubhaft machen, sie seien rechtmäßige Besitzer der anvisierten Rufnummer, so können sie diese auf eine neue Sim-Karte übertragen lassen und dadurch die Kontrolle übernehmen.

Die Untersuchungen dauern an

Unklar ist wohl noch, wie die Angreifer, die das X-Konto der SEC übernommen hatten, überhaupt in Kenntnis der mit dem Account verknüpften Rufnummer gelangen konnten. Ebenso werde derzeit noch untersucht, wie genau Unbefugte den Telekommunikationsanbieter der SEC dazu bringen konnten, die Nummer auf eine andere Sim-Karte zu übertragen, erklärt die Behörde in ihrer Mitteilung.

Auch bezüglich der Tatsache, dass die Multi-Faktor-Authentifizierung (MFA) ihres X-Kontos nicht aktiviert war, äußert sich die SEC. Mehrere US-Senatoren hatten dieses Versäumnis zuletzt besonders kritisiert . Die MFA sei noch bis Juli 2023 aktiv gewesen, dann aber aufgrund von Problemen beim Zugriff auf den Account deaktiviert worden, so die Behörde. Danach hatte die SEC es wohl versäumt, das Sicherheitsfeature wieder zu aktivieren – bis zum 9. Januar 2024, dem Tag, an dem das X-Konto kompromittiert wurde.

"MFA ist derzeit für alle Social-Media-Konten der SEC, die dies unterstützen, aktiviert" , betont die Behörde. Außerdem gebe es bisher keine Hinweise darauf, dass die Angreifer Zugriff auf andere Systeme, Daten, Geräte oder Social-Media-Accounts der SEC erlangen konnten. Man arbeite weiterhin mit verschiedenen Strafverfolgungs- und Bundesaufsichtsbehörden zusammen, um den Fall aufzuklären.

Zur Startseite 2 Kommentare

Relevante Themen

XSecurityCybercrimeOnlinehandel2-FASocial EngineeringBitcoinDatensicherheitSIM-Karte