Un homme de l’Alabama a été arrêté aujourd’hui par le FBI pour son rôle présumé dans le piratage du compte X de la SEC afin de faire une fausse annonce selon laquelle les ETF Bitcoin ont été approuvés.
Le ministère de la Justice a déclaré qu’Eric Council, âgé de 25 ans, de l’Alabama, et des conspirateurs avaient mené une attaque SIM-swap pour prendre l’identité de la personne en charge du compte X de la SEC.
« Les conspirateurs ont pris le contrôle du compte X de la SEC grâce à un échange non autorisé de Module d’identité d’abonné (SIM), prétendument effectué par le Conseil. Un échange de carte SIM fait référence au processus consistant à inciter frauduleusement un opérateur de téléphonie cellulaire à réaffecter un numéro de téléphone cellulaire de la carte SIM de l’abonné légitime ou de l’utilisateur à une carte SIM contrôlée par un acteur criminel. Dans le cadre du stratagème, le Conseil et les co-conspirateurs auraient créé un document d’identification frauduleux au nom de la victime, que le Conseil a utilisé pour usurper l’identité de la victime; a repris le compte de téléphone cellulaire de la victime; et a accédé au compte de réseau social en ligne lié au numéro de téléphone cellulaire de la victime dans le but d’accéder au compte X de la SEC et de générer le message frauduleux au nom du président de la SEC, Gensler. »
❖
Le compte X de la SEC a été piraté le 9 janvier 2024 pour tweeter qu’il avait finalement approuvé la cotation des ETF Bitcoin en bourse.
« Aujourd’hui, la SEC autorise les ETF Bitcoin à s’inscrire sur les bourses de sécurité nationale enregistrées. Les ETF Bitcoin approuvés seront soumis à des mesures de surveillance et de conformité continues pour assurer la protection continue des investisseurs », a lu le faux message sur X.
Ce tweet comprenait une image du président de la SEC, Gary Gensler, avec une citation faisant l’éloge de la décision.
Le prix du Bitcoin a rapidement bondi de 1 000 dollars au cours de l’annonce, puis a tout aussi rapidement chuté de 2 000 dollars après que Gensler a tweeté que le compte de la SEC avait été piraté et que l’annonce était fausse.
Le lendemain, la SEC a confirmé que le piratage était possible grâce à une attaque par échange de carte SIM sur le numéro de téléphone portable associé à la personne en charge du compte X.
Dans les attaques d’échange de cartes SIM, les auteurs de menaces incitent l’opérateur sans fil d’une victime à porter le numéro de téléphone d’un client sur un autre appareil mobile sous le contrôle de l’attaquant. Cela permet aux pirates de récupérer tous les SMS et appels téléphoniques liés au numéro de téléphone, y compris les liens de réinitialisation de mot de passe et les codes d’accès uniques pour l’authentification multifacteur (MFA).
Selon la SEC, les pirates n’avaient pas accès aux systèmes internes, aux données, aux appareils ou à d’autres comptes de médias sociaux de l’agence, et l’échange de carte SIM s’est produit en incitant leur opérateur de téléphonie mobile à porter le numéro.
Une fois que les auteurs de la menace ont contrôlé le numéro, ils ont réinitialisé le mot de passe du compte @SECGov X pour créer la fausse annonce.
Council a été inculpé le 10 octobre par un grand jury fédéral du district de Columbia pour son rôle présumé dans l’attaque. Le suspect est maintenant accusé d’un chef de complot en vue de commettre un vol d’identité aggravé et une fraude à l’appareil d’accès, qui encourt une peine maximale de cinq ans de prison.
Les attaques par échange de cartes SIM sont devenues un outil populaire permettant aux acteurs de la menace de s’emparer des numéros de téléphone des utilisateurs ciblés, leur permettant de recevoir des codes d’accès uniques et des comptes de violation.
Ces attaques sont couramment utilisées pour voler de la crypto-monnaie aux utilisateurs dont les comptes sont généralement protégés par une authentification multifacteur.
La plupart des opérateurs ont mis en place des moyens de bloquer le transfert de votre numéro vers un autre opérateur sans autorisation, et il est fortement conseillé à tous les utilisateurs d’activer ces protections si elles sont disponibles.