O cofundador da Ethereum, Vitalik Buterin, confirmou que a recente invasão de sua conta no X (Twitter) foi resultado de um ataque de SIM Swap.
Manifestando-se na rede de mídia social descentralizada Farcaster em 12 de setembro, Buterin disse que finalmente recuperou sua conta da T-Mobile depois que o hacker conseguiu obter o controle dela por meio de um ataque de SIM Swap.
"Sim, foi um SIM Swap, o que significa que alguém realizou um ataque de engenharia social na própria T-mobile para assumir o controle do meu número de telefone."
O cofundador do Ethereum acrescentou algumas lições e aprendizados de sua experiência com o X.
"Um número de telefone é suficiente para redefinir a senha de uma conta no Twitter, mesmo que não seja usado como 2FA [autenticação de dois fatores]", disse ele, acrescentando que os usuários podem "remover completamente [seus] telefones do Twitter."
"Eu já tinha ouvido anteriormente o alerta de que 'números de telefone são inseguros, não os utilize como forma de atuenticação', mas não tinha percebido isso."
Em 9 de setembro, a conta de Buterin no X foi invadida por golpistas que publicaram uma oferta falsa de NFTs, levando os usuários a clicar em um link malicioso que resultou na perda coletiva de mais de US$ 691.000 pelas vítimas.
Em 10 de setembro, o desenvolvedor da Ethereum, Tim Beiko, recomendou enfaticamente a remoção dos números de telefone das contas X e a ativação da autenticação de dois fatores. "Parece óbvio que esse recurso seja ativado por padrão ou que seja ativado por padrão quando uma conta atingir, digamos, mais de 10 mil seguidores", disse ele ao proprietário da plataforma, Elon Musk.
Twitter opsec PSA:
— timbeiko.eth ☀️ (@TimBeiko) September 9, 2023
If you have a phone number linked on your account, even with other 2FA, it can be used to reset your PW. Need to specifically disable it + remove phone #.
If your Twitter account pre-dates crypto, strongly recommend double-checking, and adding strong 2FA! pic.twitter.com/uXrvHYhQvJ
PSA opsec do Twitter:
Se você tiver um número de telefone vinculado à sua conta, mesmo com outra 2FA, ele poderá ser usado para redefinir seu PW. É necessário especificamente desativá-lo e remover o número de telefone.
Se sua conta do Twitter for anterior à criptografia, é altamente recomendável verificá-lanovamente e adicionar uma autenticação de dois fatores forte!
— timbeiko.eth (@TimBeiko)
O ataque de SIM-swap é uma técnica usada por hackers para obter o controle do número de telefone celular de suas vítimas. Com o controle do número, os golpistas podem usar a autenticação de dois fatores (2FA) para acessar redes sociais, bancos e contas em exchanges de criptomoedas.
Não é a primeira vez que a T-Mobile é alvo desse tipo de vetor de ataque. Em 2020, a gigante das telecomunicações foi processada por supostamente permitir o roubo de criptomoedas no valor de US$ 8,7 milhões em uma série de ataques de SIM Swap.
A T-Mobile também foi processada novamente em fevereiro de 2021, quando um cliente perdeu US$ 450.000 em Bitcoin devido a um ataque de SIM Swap.
LEIA MAIS