FBI houdt 25-jarige man aan wegens hacken X-account van beurstoezichthouder SEC

De FBI heeft een 25-jarige man gearresteerd in Alabama. De man wordt ervan verdacht te hebben ingebroken op het X-account van de Amerikaanse Securities and Exchange Commission. Daarop werd in januari een nepbericht geplaatst, waardoor de koers van bitcoin omhoogschoot.

De FBI heeft de verdachte op donderdagochtend lokale tijd aangehouden in zijn woonplaats Athens in de staat Alabama, zo schrijft de veiligheidsdienst in een persbericht. De aanklacht stelt dat de verdachte samenwerkte met anderen om het account van de beursautoriteit over te nemen via simswapping.

De man zou dat bereikt hebben met een nep-ID-bewijs van de persoon die het X-account van de SEC beheert, zo claimt de FBI. De verdachte nam volgens de politiedienst contact op met de telecomprovider van het slachtoffer, waarna hem een simkaart met het telefoonnummer van het slachtoffer werd toegestuurd. Daarmee kon hij het X-wachtwoord van de SEC veranderen en zo inbreken op het account.

Volgens de FBI zijn verschillende 'verdachte' zoekopdrachten gevonden in de internetgeschiedenis van de verdachte. Daaronder vallen zoektermen als '@SECGov hack' en 'telegram sim swap'. De verdachte zou ook gezocht hebben naar de termen 'hoe weet ik zeker of ik word onderzocht door de FBI' en 'wat zijn de tekenen dat je wordt onderzocht door de politie of de FBI, zelfs als ze geen contact met je hebben opgenomen'.

De hack van het SEC-account vond in januari plaats. Daarop werd een nepbericht op het X-account geplaatst, uit naam van SEC-voorzitter Gary Gensler. Die stelde dat zogeheten exchange-traded funds met bitcoins toegestaan zouden worden op de aandelenbeurs. Daarop steeg de waarde van bitcoin met ruim 1000 dollar. Toen bleek dat het bericht nep was, daalde de koers juist met 2000 dollar. Kort na de hack keurde de SEC bitcoin-etf's alsnog goed.

Update: in het artikel werd de FBI een geheime dienst genoemd, maar dat moest een politiedienst zijn.

IT-banen

Reacties (21)

CyberTijn 18 oktober 2024 15:18

Wanneer houden we nou eens op met het gebruik van mobiele nummers als middel voor MFA en / of password resets? SIM swapping is keer op keer kinderlijk eenvoudig gebleken, en alle cybersecurity specialisten zijn het er wel over eens dat je een mobiel nummer niet als extra factor moet gebruiken. Dat een SEC op deze manier slachtoffer kan worden is echt heel kwalijk.

bartje @CyberTijn • 18 oktober 2024 15:23

het is nog altijd beter dan geen MFA, en de groep die SMS gebruikt is waarschijnlijk ook de groep die andere helemaal geen MFA zou gebruiken.

CH4OS @bartje • 18 oktober 2024 15:28

Dat MFA via mobiel zo gaar is als een mandje, betekend dat niet dat het opeens beter is als geen MFA. Wanneer het dus makkelijk te misbruiken is, is het alsnog met andere sleutels binnenkomen bij hetzelfde huis. De makkelijker het te misbruiken is, hoe groter de kans dat het gebeurd.

Niema @bartje • 18 oktober 2024 15:35

Het is vast erg belangrijk, maar ik vind MfA echt ongeloofelijk irritant. In een fijne wereld is het gewoon wachtwoord en klaar. Nee, ik heb niet altijd mijn smartphone bij de hand en nee, ik wil ook geen 400 verschillende apps installeren, zoals bijvoorbeeld Microsoft die bij veel organisaties specifiek Microsoft authenticator eist. Digid met zijn eigen app en daarnaast nog een normale. Daarnaast ben ik in het verleden ook wel mijn smartphone kwijtgeraakt, kan die gestolen worden en heb ik het een keer volledig moeten resetten doordat die niet meer functioneerde, tenzij ik resette(inloggen werkte niet meer). Hoe wordt ik geacht backups van al die MFA systemen te houden? Lang niet iedereen heeft offline backup codes. Gelukkig google had dat wel wat mij heel erg heeft geholpen, maar self als dat er is kan ik die kwijtraken. Cloud gebackupde MFA codes verpest het concept MFA en sowieso Ben ik niet erg georganiseerd/geduldig

Mijn punt is: Als het niet verplicht is maak ik liever geen gebruik van 2 staps verificatie
En als het moet idd sms.

Misschien moet een officiele instantie beter opletten

air2

@Niema • 21 oktober 2024 08:35

Eigenlijk zijn sleutels en wachtwoorden zelf irritant. Waarom moet ik mijn fiets op slot zetten, waarom moet ik mijn huis afsluiten, met de kans dat ik mezelf buiten sluit. Serieus, ik erger me er echt aan. Maar goed, dat is denk ik de menselijke natuur. Niks aan te doen, maar je hebt zeker een punt, sloten, ww, mfa het blijft irritant.

Monzo @Niema • 21 oktober 2024 10:32

Als je goed zoekt, kan het ook met TOTP in bijvoorbeeld KeepassXC. Dat heb ik nu onder andere ook ingesteld voor Microsoft accounts als primaire MFA.

Ik begin niet voor niets met "Als je goed zoekt", want het is voor veel (grote) bedrijven vrij simpel in te stellen EN de bedrijven doen er alles aan om hun eigen app op je mobiel te krijgen.

Ik sync alles overal naartoe, gebruik strongbox op iPhone om de databases te openen.

Let op dat KeepassXC aanraadt TOTP in een aparte database (met apart wachtwoord) in te stellen zodat MFA goed blijft gaan op de manier waarop het bedoeld is.

SVMartin @bartje • 18 oktober 2024 15:36

Het gaat hier om een een X-account dat in gebruik is door de SEC. Van het beleid van SEC mag je toch iets meer verwachten?

mjtdevries @CyberTijn • 18 oktober 2024 18:41

Inderdaad, die mobiele nummers moeten we daar niet voor gebruiken.
Als je je password wilt resetten moet je dat met een identiteitsbewijs doen.

Oh wacht... dat is juist wat hier gebruikt is. Een vals identiteitsbewijs.

Je gaat wel heel veel problemen veroorzaken als een identiteitsbewijs niet meer voldoende is om je te identificeren.

Het kan ook andersom gebeuren. Een hacker heeft je account overgenomen en dan kun je zelfs met je identiteitsbewijs je account niet meer terug krijgen?

Verwijderd @CyberTijn • 18 oktober 2024 18:50

Ja hallo wat moeten inlichtendiensten dan nog?

jumbos7 18 oktober 2024 15:16

Wat misschien het meest opvallend aan deze hack is dat het op het eerste gezicht lijkt dat het een leek is geweest die hierin is geslaagd. Hij heeft feitelijk op Google gezocht naar manieren om het X account van de SEC over te nemen en vervolgens de telecomprovider van de beheerder van dat account weten te misleiden.

Baserk @jumbos7 • 18 oktober 2024 19:33

Nou, leek...

As described in the indictment, Council, who used online monikers including “Ronin,” “Easymunny,” and “AGiantSchnauzer,” received personal identifying information (PII) and an identification card template containing a victim’s name and photo from co-conspirators. Council then used his identification card printer to create a fake ID with the information. Council proceeded to obtain a SIM card linked to the victim’s phone line by presenting the fake ID at a cell phone provider store in Huntsville, Alabama.

Via tussenpersonen/darknet de naamsgegevens en foto van de account verantwoordelijke en template van een ID card aanschaffen en dat ff uitdraaien op je ID card printer, is toch wat anders dan via Google, à la Adrian Lamo, achter de naam van 'moeders/hond/poes/geboortedatum' komen en met een belletje, de SIM bij de provider opvragen.
Als je een ID card printer in huis hebt voor dit soort fratsen, waarom dan geen Tails oid?
Z'n internet geschiedenis doet 'm mede de das om...sjonge.
Misschien toch echt een leek.

Dafader @jumbos7 • 18 oktober 2024 15:39

Tsja, social engineering werkt vrij goed op de druifjes van de eerstelijns telecomproviders in de VS. Zelfs een leek kan een scriptje van google trekken..

Giedy5 @jumbos7 • 18 oktober 2024 15:44

meer social engineering dan hacken inderdaad, behalve misschien het verkrijgen van de id kaart van de beheerder? Al doet het artikel het meer lijken op het namaken ervan, social engineering dus.

Gelukszoekr 18 oktober 2024 15:24

Toevallig zat de Bicoin community ook al maanden in spanning te wachten op bericht van de SEC. Het was een bijzondere avond weet ik nog wel!

Remzi1993 18 oktober 2024 16:48

volgens de geheime dienst

De FBI is geen geheime dienst maar een federale politie (soort van nationale politie).

AndreKoppies 19 oktober 2024 09:12

Ik weet niet of je hier je telecom provider wel eens hebt gebeld, maar de enige verificatie hier is "Kunt u mij uw postcode en huisnummer doorgeven om te verifiëren"
Met alle instanties die de afgelopen tijd zijn gehacked ligt al die info van denk ik wel elke Nederlander op straat.
Is er nog wel een manier om je persoonlijk te identificeren met info die niemand anders heeft?

nocturnal 18 oktober 2024 15:24

Moet je nagaan hoeveel geld er uit gezogen werd

MennoE 18 oktober 2024 15:41

Nou ben ik wel benieuwd naar tekenen van hoe je weer of je wordt onderzocht door de politie of FBI. Maar ik durf het niet te googelen 😬

Kol Nedra 18 oktober 2024 15:50

dat was een leuk moment

, maar 1 BTC = 1 BTC

Roel1966

19 oktober 2024 22:01

De verdachte nam volgens de geheime dienst contact op met de telecomprovider van het slachtoffer, waarna hem een simkaart met het telefoonnummer van het slachtoffer werd toegestuurd.

Ergens ook een beetje vreemd dat die telecomprovider zomaar een nieuwe simkaart stuurt aan een vreemde. Had hun toch al moeten opvallen dat de simkaart naar een ander adres gestuurd moest worden dan het eigenlijke adres van het slachtoffer.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (21)

Sorteer op:

Weergave: