U.S. Securities and Exchange Commission (SEC) menjadi trending topic dalam berita ketika akun X-nya diretas, menyebabkan penerbitan pengumuman palsu tentang persetujuan Bitcoin ETF. Menariknya, SEC baru saja memberikan lampu hijau untuk Bitcoin ETF hanya satu hari sebelum insiden ini terjadi. Badan regulasi ini awalnya menghadapi ketidakpastian mengenai asal usul pelanggaran tersebut, berkomitmen untuk memberikan pembaruan kepada publik seiring berjalannya penyelidikan mereka.
Dalam pengungkapan selanjutnya, SEC mengungkapkan bahwa serangan pertukaran SIM telah menargetkan akun ponsel yang terkait dengan akun X yang diretas. Jenis serangan ini melibatkan manipulasi operator nirkabel korban untuk mentransfer nomor telepon ke perangkat yang dikendalikan oleh penyerang, memberi mereka akses ke pesan teks dan panggilan, termasuk kode keamanan penting untuk otentikasi multi-faktor (MFA). Untungnya, para peretas tidak berhasil menyusup ke dalam sistem internal, data, perangkat, atau akun media sosial SEC; sebaliknya, mereka melakukan pertukaran SIM dengan menipu operator seluler. Dengan mengendalikan nomor telepon, para pelaku ancaman mereset kata sandi akun @SECGov, memungkinkan mereka menyebarkan pengumuman palsu persetujuan Bitcoin ETF.
Saat bekerja sama dengan penegak hukum untuk menyelidiki serangan pertukaran SIM, SEC mengungkapkan bahwa otentikasi multi-faktor tidak diaktifkan pada akun yang diretas. Tanpa adanya MFA memungkinkan para peretas memanfaatkan pertukaran SIM dengan sukses. SEC menjelaskan bahwa bahkan jika MFA diaktifkan melalui SMS, pelanggaran kemungkinan tetap terjadi karena kode satu kali pakai masih dapat diakses oleh para peretas. Rekomendasi SEC adalah agar pengguna mengimplementasikan MFA melalui kunci keamanan perangkat keras atau aplikasi otentikasi daripada mengandalkan token via SMS. Tambahan lapisan keamanan ini dapat menghalangi para peretas bahkan setelah mereka mengganti kata sandi. selain meretas akun, peretas juga memanfaatkan platform “X” untuk membuat iklan berbahaya yang berisi promosi crypto scams dan situs “wallet drainers” secara terus menerus.
Berdasarkan kejadian ini, sudah seharusnya kita mulai “aware” terkait keamanan akun pribadi yang kita miliki, salah satunya dengan menerapkan MFA/2FA.
