美國證交會X帳號遇駭 手法為SIM卡交換攻擊

在外界愈來愈期待美國證交會覈准追蹤比特幣走勢的指數股票型基金(ETF)之際,不明人士取得證交會的X平臺帳號,發佈產品已獲覈准的不實公告,導致比特幣價格短暫上揚。路透

美國證券交易委員會(SEC)的社羣平臺X帳號本月稍早被駭客入侵。證交會今天表示,當時是遭「SIM卡交換攻擊」,即網路詐騙分子用來控制電話門號的技術。

詐騙分子利用「SIM卡交換攻擊」(SIM swapping)將電話門號轉移到新設備,藉此奪取控制權。

路透社報導,美國證交會還表示,攻擊發生前6個月,工作人員取消稱爲「多重要素驗證」(multi-factor authentication, MFA)的額外保護,直到本月9日遭攻擊後才恢復。

在外界愈來愈期待美國證交會覈准追蹤比特幣走勢的指數股票型基金(ETF)之際,不明人士取得證交會的X平臺帳號,發佈產品已獲覈准的不實公告,導致比特幣價格短暫上揚。

美國證交會翌日才經表決覈准這項產品上市。

美國證交會發言人在聲明中說:「一旦控制了電話門號,未經授權的一方就重新設定@SECGov帳號的密碼。」

美國證交會表示,執法機構正努力釐清駭客如何完成門號轉移;證交會沒有透露其手機營運商是哪一間公司。

國會議員已要求美國證交會解釋,爲何證交會在要求上市公司遵守嚴格網路安全規定的同時,自身卻暴露在這種攻擊之下。

美國證交會今天在聲明中還表示,由於X平臺帳號登入困難,工作人員於2023年6月要求X平臺支援部門停用「多重要素驗證」,這項措施本可針對未經授權的存取提供額外保護。

聲明寫道:「目前證交會所有具有多重要素驗證的社羣媒體帳號均已啓用這項功能。」

X平臺代表沒有立即迴應置評請求。

聲明還表示,此案正接受各單位調查,包括美國證交會督察長辦公室及其執法部門、監管比特幣期貨的商品期貨交易委員會(CFTC)、聯邦調查局(FBI)、司法部,以及網路安全和基礎設施安全局(CISA)。