No começo dessa semana, a Comissão de Valores Mobiliários dos Estados Unidos (SEC) forneceu novas informações sobre o incidente que afetou a conta da organização na rede social X (antigo Twitter) no início de janeiro. Segundo o comunicado disponibilizado no site da Comissão, a ocorrência teria sido resultado de um golpe de SIM swap contra o número de celular vinculado ao perfil, ocorrido por meio da própria operadora de telecomunicações.
No dia 9 de janeiro, a conta da SEC na mídia social foi comprometida por um agente hostil. Segundo informações divulgadas pela Reuters, os cibercriminosos chegaram a publicar notícias falsas sobre a autorização de Exchange Traded Funds (ETFs) para Bitcoins negociados na Bolsa de Valores local. Essa informação levou o preço da criptomoeda a disparar, alarmando os investidores.
Conforme informou a SEC, um golpe de SIM swap promove a transferência do número de celular da vítima para o dispositivo do atacante, permitindo que este possa receber mensagens de textos, ligações e notificações originalmente direcionadas ao número sequestrado. Através desse acesso, foi possível ao invasor solicitar a mudança da senha na conta da Comissão e viabilizar o acesso.
No momento, tanto a SEC quanto as autoridades policiais norte-americanas estão investigando como a parte não autorizada conseguiu acesso ao número de celular através do serviço da operadora, ou mesmo como o atacante teve ciência do número vinculado ao perfil no X. Também se reforça que não foram encontrados indícios de acesso aos sistemas, dados, dispositivos ou outras contas de mídia social da SEC.
“A equipe da Comissão continua a se coordenar com várias entidades de fiscalização e supervisão federal, incluindo o Escritório do Inspetor Geral da SEC, o Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna (CISA), a Commodity Futures Trading Commission (CFTC), o Departamento de Justiça (DoJ) e a própria Divisão de Fiscalização da SEC”, segue o posicionamento.
A nota se encerra explicando que os controles de Autenticação Multifator estavam desativados para o perfil a pedido do próprio time da SEC, feito em julho de 2023, devido a problemas de acesso à conta. “Atualmente, a MFA está ativada em todas as contas de mídia social da SEC”, concluiu.
A Security Report publica, na íntegra, o posicionamento emitido pela Comissão de Valores Mobiliários:
“Estamos fornecendo a seguinte atualização sobre o acesso não autorizado e a atividade de 9 de janeiro de 2024 (o “incidente”) na conta @SECGov X:
A equipe da SEC continua a se coordenar com várias entidades de fiscalização e supervisão federal, incluindo o Escritório do Inspetor Geral da SEC, o Federal Bureau of Investigation, a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna, a Commodity Futures Trading Commission, o Departamento de Justiça e a própria Divisão de Fiscalização da SEC.
Dois dias após o incidente, em consulta com a operadora de telecomunicações da SEC, a SEC determinou que a parte não autorizada obteve o controle do número de telefone celular da SEC associado à conta em um aparente ataque de “SIM swap”.
O SIM swap é uma técnica usada para transferir o número de telefone de uma pessoa a outro dispositivo sem autorização, permitindo que a parte não autorizada comece a receber comunicações de voz e SMS associadas ao número.
O acesso ao número de telefone ocorreu por meio da operadora de telecomunicações, não por meio dos sistemas da SEC. A equipe da SEC não identificou nenhuma evidência de que a parte não autorizada tenha obtido acesso aos sistemas, dados, dispositivos ou outras contas de mídia social da SEC.
Uma vez no controle do número de telefone, a parte não autorizada redefiniu a senha da conta @SECGov. Entre outras coisas, as autoridades policiais estão atualmente investigando como a parte não autorizada conseguiu que a operadora alterasse o SIM da conta e como a parte sabia qual número de telefone estava associado à conta.
Embora a autenticação multifator (MFA) tenha sido ativada anteriormente na conta @SECGov X, ela foi desativada pelo Suporte X, a pedido da equipe, em julho de 2023, devido a problemas de acesso à conta.
Depois de restabelecido o acesso, a MFA permaneceu desativada até a equipe a reativar depois de a conta ser comprometida em 9 de janeiro. Atualmente, a MFA está ativada para todas as contas de mídia social da SEC que a oferecem.”
