Ủy ban Chứng khoán Mỹ (SEC) xác nhận đã bị hacker sử dụng phương thức “SIM Swap” (đánh tráo SIM) để truy cập vào tài khoản X đăng tin phê duyệt ETF Bitcoin spot giả mạo.
Ngày 22/01, người phát ngôn SEC đã tiết lộ nguyên nhân gây ra sự cố đăng tin phê duyệt ETF Bitcoin giả hồi ngày 09/01, ngay trước 1 ngày cơ quan đưa ra thông cáo phê duyệt chính thức.
Theo đó, SEC xác nhận đã bị hacker tấn công thông qua hình thức “đánh tráo SIM”, cho phép tin tặc chiếm quyền kiểm soát điện thoại liên kết. Ủy ban thừa nhân tài khoản X đã huỷ kích hoạt xác thực đa yếu tố từ tháng 7/2023, do đó vụ tấn công xuất phát từ nhà cung cấp viễn thông và không liên luỵ gì đến hệ thống SEC.
Người phát ngôn SEC cho biết:
- “Việc truy cập vào số điện thoại xảy ra thông qua nhà cung cấp dịch vụ viễn thông, không phải qua hệ thống SEC…Nhân viên của SEC chưa xác định được bất kỳ bằng chứng nào cho thấy hacker có quyền truy cập vào hệ thống, dữ liệu, thiết bị hoặc tài khoản mạng xã hội khác của SEC.”
Hiện cơ quan đang phối hợp cùng Cục Điều tra Liên bang (FBI), Bộ An ninh Nội địa, Ủy ban Giao dịch Hàng hóa Tương lai và Bộ Tư pháp điều tra xem làm thế nào hacker có thể tác động lên nhà mạng, cũng như cách hắn biết được số điện thoại nào được liên kết với tài khoản.
Trên thực tế, tấn công SIM Swap cũng từng xảy ra với nhà sáng lập Ethereum Vitalik Buterin, lúc đó tài khoản X của anh đã đăng tải link lừa đảo và gây ra thiệt hại gần 700.000 USD cho người theo dõi nhấn vào. Về sau, Vitalik cho hay đã chuyển sang sử dụng Warpcast – một giao thức SocialFi cho phép người dùng khôi phục tài khoản thông qua địa chỉ Ethereum.
Ngoài ra, hacker SIM swap cũng nhắm đến người dùng friend.tech – một mạng xã hội phi tập trung chỉ có giao diện trên điện thoại. Trong ngày 05/10/2023, người dùng trên đây báo cáo bị thiệt hại 234 ETH thông qua hình thức đánh tráo SIM. Phía friend.tech sau đó cũng đã gỡ bỏ tính năng xác thực số điện thoại.