Ο αμερικανικός ρυθμιστής των οικονομικών επιβεβαίωσε ότι ένα καίριο μέτρο ασφαλείας για το λογαριασμό του με την ονομασία ‘X’ είχε ανασταλεί για έξι μήνες όταν χάκερς ανάρτησαν ψεύτικη ανάρτηση σχετικά με το Bitcoin τον Ιανουάριο.
Η κρυπτονόμισμα αυξήθηκε στην αξία του πριν η ανάρτηση διαγραφεί. Η Επιτροπή Κεφαλαιαγοράς και Χρηματοπιστωτικών Αγορών (SEC) δεν είχε ενεργοποιημένη την πολυπαραγοντική επαλήθευση (MFA) όταν οι χάκερς κατάφεραν να αποκτήσουν πρόσβαση στον λογαριασμό.
Ειδικοί στην κυβερνοασφάλεια επισημαίνουν ότι αυτό πρέπει να λειτουργήσει σαν επαγρύπνηση για άλλες υπηρεσίες.
- “Ενώ η κυβερνοασφάλεια του λογαριασμού ‘X’ της SEC αποτελεί ένα μικρό περιστατικό ασφαλείας, όλοι οι κυβερνητικοί φορείς θα πρέπει να επανεξετάσουν την ασφάλεια των λογαριασμών τους στα κοινωνικά δίκτυα”, δήλωσε ο Ilia Kolochenko από την κυβερνο-εταιρεία ImmuniWeb.
Επεσήμανε ότι ένα παρόμοιο περιστατικό σε κάποιον οργανισμό όπως το Υπουργείο Άμυνας των Ηνωμένων Πολιτειών θα μπορούσε να έχει πιο “καταστροφικές συνέπειες”.
- “Ενώ η MFA είχε ενεργοποιηθεί προηγουμένως στον λογαριασμό ‘X’ του @SECGov, απενεργοποιήθηκε από την υποστήριξη του λογαριασμού (‘X Support’) τον Ιούλιο του 2023 λόγω προβλημάτων πρόσβασης στον λογαριασμό”, ανέφερε η SEC σε ανακοίνωσή της.
“Αφού η πρόσβαση αποκαταστάθηκε, η MFA παρέμεινε απενεργοποιημένη μέχρι να την ενεργοποιήσει ξανά το προσωπικό μετά την παραβίαση του λογαριασμού στις 9 Ιανουαρίου.
“Προς το παρόν, η MFA είναι ενεργοποιημένη για όλους τους λογαριασμούς κοινωνικών μέσων ενημέρωσης της SEC που την υποστηρίζουν.”
Σε μια επίθεση Sim-swapping, συνήθως ένας χάκερ θα καλέσει έναν πάροχο κινητής τηλεφωνίας, ισχυριζόμενος ότι έχει χάσει το κινητό που στοχεύει και χρειάζεται ένα νέο Sim κάρτα αποσταλμένο σε αυτόν.
Μερικές φορές, οι χάκερ θα πάνε από κοντά σε ένα κατάστημα για να πραγματοποιήσουν την απάτη.
Η πολυπαραγοντική επαλήθευση (MFA) προορίζεται για την προστασία από αυτού του είδους επιθέσεις.
Λαμβάνει πολλές μορφές, συμπεριλαμβανομένης μιας ειδικής εφαρμογής που παρέχει έναν κωδικό pin για μια ιστοσελίδα, καθώς και την αποστολή ενός κειμένου, αν και αυτό θεωρείται λιγότερο ασφαλές.
Εάν η επαλήθευση που επιλέγει κάποιος είναι να λάβει ένα κείμενο επιβεβαιώνοντας ότι είναι ο χρήστης, μια άτομο που έχει κερδίσει πρόσβαση στον αριθμό τηλεφώνου του θα λάβει το κείμενο αντί αυτού.
Εξαιτίας αυτού, οι ειδικοί συμβουλεύουν τους ανθρώπους να χρησιμοποιούν μια ειδική εφαρμογή για την επαλήθευση αντί για αποστολή κειμένου.
