2024-01-23 23:05:24
Deux semaines après la compromission de son compte Twitter, la SEC a confirmé que les acteurs malveillants à l’origine du piratage étaient probablement en mesure d’obtenir le contrôle du numéro de téléphone portable associé au compte SEC grâce à une attaque par échange de carte SIM.
Les attaquants utilisent l’échange de carte SIM pour transférer des numéros de téléphone vers un autre appareil sans autorisation, ce qui leur permet de recevoir des communications vocales et SMS associées à ce numéro et leur permet effectivement de réinitialiser les mots de passe ou de contourner l’authentification à deux facteurs (si les cibles s’appuient sur des SMS ou des appels vers ce téléphone. numéro pour la deuxième forme d’authentification) pour différents comptes.
Lors de l’incident du compte de la SEC le 9 janvier, les attaquants ont utilisé l’échange de carte SIM pour d’abord prendre le contrôle du numéro de téléphone associé au compte Twitter (également connu sous le nom de X), puis réinitialiser le mot de passe du compte. Les attaquants ont ensuite pu envoyer des messages à partir du compte compromis prétendant annoncer l’approbation par la SEC des fonds négociés en bourse au comptant Bitcoin et interagir avec deux messages provenant de comptes non-SEC.
“L’accès au numéro de téléphone s’est fait via l’opérateur de télécommunications, et non via les systèmes SEC”, a déclaré la SEC dans son communiqué. une déclaration de lundi. “Le personnel de la SEC n’a identifié aucune preuve que la partie non autorisée a eu accès aux systèmes, données, appareils ou autres comptes de réseaux sociaux de la SEC.”
Les protections d’authentification multifacteur de la SEC associées à son compte Twitter ont également été mises sous les projecteurs après que Twitter Safety a déclaré que son enquête avait révélé que le compte n’avait pas activé 2FA au moment où le compte a été compromis. Lundi, la SEC a confirmé que la MFA – bien que précédemment activée sur son compte – avait été désactivée par le support Twitter à la demande du personnel de la SEC en juillet 2023, en raison de problèmes d’accès au compte. Après le rétablissement de l’accès, la SEC a déclaré que la MFA était restée désactivée pendant six mois jusqu’à ce que le compte soit compromis le 9 janvier. La MFA est désormais activée pour tous les comptes de réseaux sociaux de la SEC, selon la SEC.
La SEC a déclaré que les forces de l’ordre enquêtent actuellement sur la façon dont les attaquants ont amené l’opérateur à changer la carte SIM du compte et comment ils savaient quel numéro de téléphone était associé au compte.
Les attaquants sont généralement capables de procéder à un échange de carte SIM en convainquant un employé d’un fournisseur de téléphonie mobile (soit par corruption, soit en se faisant passer pour la victime) d’échanger le numéro de téléphone d’une victime contre une carte SIM contrôlée par l’attaquant. Cela nécessiterait un certain niveau d’ingénierie sociale ; Par exemple, pour obtenir un numéro de téléphone, les attaquants peuvent avoir besoin de fouiller dans les informations open source disponibles pour associer un compte à une personne identifiable, par exemple en consultant les gestionnaires de médias sociaux qui répertorient leurs responsabilités sur LinkedIn. Après avoir volé ces numéros de téléphone, les attaquants peuvent les utiliser pour réinitialiser les mots de passe de divers comptes en ligne, notamment les comptes de messagerie, de stockage cloud et d’échange de crypto-monnaie.
Le piratage de comptes d’échange de cartes SIM, une attaque qui existe depuis de nombreuses années, a déjà conduit à la compromission d’autres comptes Twitter très médiatisés – notamment le compte de l’ancien PDG de Twitter, Jack Dorsey en 2019. En 2019 et 2020, des sénateurs et des représentants ont tenté de pousser le La Federal Communications Commission (FCC) doit tenir les opérateurs de téléphonie mobile responsables de la protection des consommateurs contre ce type d’attaque.
Ce dernier piratage, ainsi qu’un autre piratage du compte Twitter de Mandiant plus tôt ce mois-ci, a également mis l’accent sur les politiques MFA et sur la manière dont ces protections sont exploitées sur la plateforme Twitter. Selon Twitter dans un rapport sur la sécurité des comptes de 2022, 2,6 % des comptes Twitter actifs avaient au moins une méthode 2FA activée (entre juillet 2021 et décembre 2021), la majorité de ces utilisateurs tirant parti de la 2FA basée sur SMS.
L’utilisation de messages SMS comme deuxième facteur d’authentification a été abusée par les acteurs de la menace, et des entités comme le NIST encouragent depuis longtemps les consommateurs à s’éloigner du 2FA basé sur SMS et à adopter à la place des moyens plus sécurisés d’authentification multifacteur comme les jetons matériels ou l’authentification. applications.
Dans une lettre adressée à Deborah Jeffrey, inspectrice générale de la SEC, plus tôt en janvier, le sénateur Ron Wyden (D-Ore.) a fait valoir que la SEC devrait utiliser les « meilleures pratiques du secteur » pour l’AMF et a cité une note de politique publiée en 2022 par l’Office of Management and Budget (OMB) exige que les agences fédérales utilisent une « MFA résistante au phishing, y compris des clés de sécurité » (notamment, cette exigence ne s’appliquait qu’aux systèmes hébergés par les agences et non aux sites Web de médias sociaux).
“Un piratage entraînant la publication d’informations importantes pour les investisseurs pourrait avoir des impacts significatifs sur la stabilité du système financier et la confiance dans les marchés publics, y compris une potentielle manipulation du marché”, selon la lettre de Wyden. “Nous vous invitons à enquêter sur les pratiques de l’agence liées à l’utilisation de la MFA, et en particulier de la MFA résistante au phishing, afin d’identifier les failles de sécurité restantes qui doivent être comblées.”
La SEC a déclaré qu’elle continuait de travailler avec diverses entités chargées de l’application de la loi et de surveillance fédérale, notamment le FBI, la CISA, le DoJ et la Commodity Futures Trading Commission, pour enquêter sur le piratage.
#SEC #une #attaque #par #échange #carte #SIM #conduit #une #compromission #compte #Twitter
1706044470
