Huntsville, EUA — InkDesign News — Eric Council Jr., residente em Huntsville, Alabama, foi condenado a 14 meses de prisão por participação em um esquema que envolveu o hacking da conta oficial da Comissão de Valores Mobiliários dos EUA (SEC) na plataforma X, anteriormente conhecida como Twitter.
Incidente e vulnerabilidade
O incidente ocorreu em janeiro de 2024, quando Council e outros conspiradores postaram informações falsas sobre o Bitcoin, ocasionando um impacto temporário em seu valor. Council, conhecido como Ronin e Agiantschnauzer, criou um documento de identificação falso utilizando informações pessoais de uma vítima, que obteve de outros membros do esquema. Este documento foi utilizado em um ataque de SIM swap, essencialmente enganando operadoras de telefonia móvel para transferir o número de celular da vítima para um SIM controlado pelo atacante.
Impacto e resposta
O ataque permitiu que os conspiradores interceptassem códigos de autenticação de dois fatores (2FA) destinados à conta da SEC. Contudo, investigações revelaram que a conta da SEC não tinha o 2FA ativado na época do ataque, facilitando o acesso dos hackers. O tweet não autorizado, que alegava que o presidente da SEC, Gary Gensler, havia aprovado ETFs de Bitcoin, gerou confusão e volatilidade no mercado de criptomoedas, recebendo 1 milhão de visualizações e aumentando o preço do Bitcoin em mais de US$ 1.000. Entretanto, essa valorização foi breve, já que a SEC desmentiu a informação apenas 15 minutos depois, fazendo o preço do Bitcoin cair mais de US$ 2.000.
“Esquemas dessa natureza ameaçam a saúde e a integridade de nosso sistema de mercado.”
(“Schemes of this nature threaten the health and integrity of our market system.”)— Jeanine Pirro, Procuradora dos EUA, Distrito de Columbia
Mitigações recomendadas
Após o incidente, o FBI encontrou uma série de evidências na residência de Council, incluindo o cartão de identificação falso, um impressor portátil e um laptop com buscas relacionadas ao “hack da SECGOV” e “sim swap no Telegram”. Medidas de contenção devem incluir a ativação do 2FA em todas as contas, especialmente em contas oficiais e sensíveis, além da prevenção de ataques SIM swap, utilizando técnicas como a proteção de números de telefone e a verificação adicional de identidade.
“Os perpetradores serão capturados, processados e pagarão o preço pelos danos que suas ações criam.”
(“You will be caught, prosecuted, and will pay the price for the damage your actions create.”)— Jeanine Pirro, Procuradora dos EUA, Distrito de Columbia
À medida que as ameaças cibernéticas evoluem, é crucial que organizações, incluindo agências governamentais, implementem medidas robustas de segurança digital para mitigar riscos futuros e proteger dados sensíveis.
Fonte: (Hack Read – Segurança Cibernética)
