Uma fraude de SIM Swap tomou o controle da conta da SEC na rede social X, um dia antes da aprovação dos ETFs spot de Bitcoin. O ataque expôs uma falha de segurança: a desativação da autenticação de dois fatores meses antes.
A própria SEC confirmou o incidente, explicando que o invasor apenas precisou realizar o SIM Swap e trocar a senha da conta, pois o 2FA estava desabilitado desde julho de 2023. Segundo a agência, o suporte do X havia desativado a autenticação devido a problemas de acesso, deixando a conta vulnerável.
“Após o incidente, descobrimos que o número de celular associado à conta foi transferido para outro dispositivo sem nosso consentimento”, declarou um porta-voz da SEC, revelando o modus operandi do ataque.
O SIM Swap consiste na transferência fraudulenta de um número de telefone para outro dispositivo, permitindo ao golpista receber SMS e chamadas destinadas à vítima. Com o controle do número, o hacker conseguiu facilmente alterar a senha da conta da SEC no X.
Embora preocupante, a agência reguladora esclareceu que não há evidências de acesso a seus sistemas, dados, dispositivos ou outras contas nas redes sociais.
“O acesso ao número de telefone ocorreu por meio da operadora de telecomunicações”, afirmou a agência, que investiga como o autor do crime conseguiu realizar a troca do SIM e descobrir qual número estava vinculado à conta.
O objetivo do ataque? Propagandas enganosas. Invadindo a conta, o hacker publicou informações falsas sobre a aprovação de ETFs spot de Bitcoin, causando uma turbulência temporária no mercado.
