美國證交會X帳號遇駭 手法為SIM卡交換攻擊

在外界愈来愈期待美国证交会核准追踪比特币走势的指数股票型基金（ETF）之际，不明人士取得证交会的X平台帐号，发布产品已获核准的不实公告，导致比特币价格短暂上扬。路透

美国证券交易委员会（SEC）的社群平台X帐号本月稍早被骇客入侵。证交会今天表示，当时是遭「SIM卡交换攻击」，即网路诈骗分子用来控制电话门号的技术。

诈骗分子利用「SIM卡交换攻击」（SIM swapping）将电话门号转移到新设备，借此夺取控制权。

路透社报导，美国证交会还表示，攻击发生前6个月，工作人员取消称为「多重要素验证」（multi-factor authentication, MFA）的额外保护，直到本月9日遭攻击后才恢复。

在外界愈来愈期待美国证交会核准追踪比特币走势的指数股票型基金（ETF）之际，不明人士取得证交会的X平台帐号，发布产品已获核准的不实公告，导致比特币价格短暂上扬。

美国证交会翌日才经表决核准这项产品上市。

美国证交会发言人在声明中说：「一旦控制了电话门号，未经授权的一方就重新设定@SECGov帐号的密码。」

美国证交会表示，执法机构正努力厘清骇客如何完成门号转移；证交会没有透露其手机营运商是哪一间公司。

国会议员已要求美国证交会解释，为何证交会在要求上市公司遵守严格网路安全规定的同时，自身却暴露在这种攻击之下。

美国证交会今天在声明中还表示，由于X平台帐号登入困难，工作人员于2023年6月要求X平台支援部门停用「多重要素验证」，这项措施本可针对未经授权的存取提供额外保护。

声明写道：「目前证交会所有具有多重要素验证的社群媒体帐号均已启用这项功能。」

X平台代表没有立即回应置评请求。

声明还表示，此案正接受各单位调查，包括美国证交会督察长办公室及其执法部门、监管比特币期货的商品期货交易委员会（CFTC）、联邦调查局（FBI）、司法部，以及网路安全和基础设施安全局（CISA）。