Взлом аккаунта SEC: один твит – и биткоин рухнул

Житель Алабамы признал свою вину в атаке на аккаунт Комиссии по ценным бумагам и биржам США (SEC) в социальной сети X*.

В январе 25-летний Эрик Каунсил-младший взломал аккаунт SEC и опубликовал ложное заявление о скором одобрении биржевых фондов (ETF) с криптовалютами, что вызвало резкие колебания стоимости биткоина. Фальшивая публикация вызвала резкий скачок стоимости биткоина на $1 000, но спустя некоторое время курс обвалился на $2 000, когда глава SEC объявил, что аккаунт был скомпрометирован и сообщение оказалось фейком.

На следующий день SEC официально подтвердила, что атака произошла из-за перехвата номера телефона администратора аккаунта. Каунсил сменил пароль и передал доступ сообщникам, которые заплатили ему $50 000 в биткоинах за возможность разместить публикацию.

Каунсил-младший и его сообщники завладели учетной записью регулятора, используя технику подмены SIM-карты (SIM Swapping). Злоумышленники подделали документы, выдав себя за реального владельца телефонного номера, привязанного к аккаунту SEC. С помощью фейкового удостоверения личности Каунсил посетил салон AT&T, где получил новую SIM-карту с номером жертвы. Затем Каунсил-младший приобрел новый iPhone, активировал на нем перехваченный номер и использовал его для перехвата кодов двухфакторной аутентификации от аккаунта SEC.

Из материалов дела также следует, что после атаки Каунсил искал в Google информацию о взломе SEC, а также способы удаления учетной записи Telegram и признаки возможной слежки со стороны ФБР. Кроме того, он пытался выяснить, как можно определить, ведется ли в отношении него расследование.

Представитель X заявил, что компрометация аккаунта SEC произошла не из-за уязвимости соцсети, а в результате действий третьих лиц, получивших контроль над номером телефона, привязанного к учетной записи. Однако в обвинительном заключении отмечено, что двухфакторная аутентификация на момент взлома была активирована, что противоречит официальному заявлению соцсети.

Теперь Каунсилу грозит до 5 лет тюрьмы за преступный сговор с целью совершения мошенничества и кражи персональных данных. Окончательный приговор вынесут 16 мая 2025 года.

* Социальная сеть запрещена на территории Российской Федерации.