去年1月骇入美国证管会(SEC)官方X帐号,因而导致帐号被盗用于发布假贴文、佯称「已核准比特币现货ETF上市」的男子EricCouncilJr.,于周一在华盛顿特区联邦法院认罪。这起事件发生在2024年1月9日,当时美国SEC的官方X帐号发文称「已核准比特币ETF在所有注册的全国证交所上市」,由于时间点与ETF审核截止日相近,许多投资人一度信以为真,市场情绪瞬间沸腾,比特币也应声飙涨超过1千美元至4.8万美元。
但随后SEC主席GaryGensler出面澄清是「帐号被骇客盗用」,并未有任何比特币现货ETF获得批准,市场热情被泼冷水,比特币随即下跌至4.5万美元。根据美国司法部(DoJ)的声明,25岁的EricCouncilJr.被指控与共犯合谋骇入SEC帐号,他于去年10月落网后,周一在法院认罪,罪名包括「共谋严重身分盗窃罪」及「存取设备诈欺罪」,最高可能面临5年徒刑,量刑预计会在5月16日宣判。
此外,EricCouncilJr.也同意被没收5万美元,这笔款项来自共犯支付给他的「骇客酬劳」,并透过比特币支付。骇客手法曝光:SIM卡挟持攻击+伪造身分证件根据美国司法部说法,EricCouncilJr.在网路上使用「Ronin」、「Easymunny」和「AGiantSchnauzer」等化名,并运用「SIM卡挟持攻击(SIMSwapAttack)」的手法,窃取了与SEC官方X帐号绑定的手机门号,进而取得帐号控制权。
检方详细揭露了骇客入侵的过程:伪造身份证件:EricCouncilJr.利用特殊设备伪造了一张假身分证,受害者个资由共犯提供。冒充受害者:EricCouncilJr.使用假身分证骗取电信业者的信任,要求将受害者的手机门号转移到自己掌控的SIM卡上。夺取SEC帐号控制权:手机门号成功转移后,骇客透过简讯验证登入SEC的官方X帐号,并发布假消息。值得一提的是,美国SEC在事发后隔天正式核准了比特币现货ETF。虽然这起骇客攻击最终未影响SEC的决策进程,但却揭露了金融监管机构在社群媒体帐号资安方面的漏洞,也让市场投资人对资讯真实性更加警惕。
