搞黑客行为不要用谷歌：此前利用SIM换卡攻击劫持SEC账号的黑客被FBI逮捕

2024 年 1 月 10 日美国证券交易委员会在 X/Twitter 上的官方账号遭黑客劫持，黑客冒充 SEC 发布消息称比特币 ETF 已经获得批准，消息发布后比特币立即调涨 1000 美元。

但毕竟这则消息是假的，随后比特币价格又出现暴跌，事后 SEC 也证实由其员工负责运营的 X 账号并未启用 2FA 验证，而黑客则是通过 SIM 换卡攻击完成对账号的劫持。

10 月 17 日美国联邦调查局 (FBI) 发布消息称涉嫌对 SEC 账号发起攻击的犯罪嫌疑人已经被逮捕，与此同时美国司法部也公布了起诉书。

起诉书显示年仅 25 岁的美国公民 Eric Council Jr. 及其同伙利用复杂的社会工程学活动，利用所谓的 SIM 换卡攻击获取 SEC 官方账号并发布虚假消息。

当时虚假消息发布后比特币的价格走势

不过这名黑客的实操满分但安全意识似乎不太够：

在 FBI 逮捕这名黑客并扣押电脑后，执法机构在其电脑搜索记录中看到了如下内容：(注：黑客使用的是否是谷歌搜索并不清楚，标题中使用谷歌代指搜索引擎)

• SEC GOV hack (对 SEC 进行黑客攻击)
• Telegram SIM 换卡
• 我如何确定我是否正在接受 FBI 调查
• 即使没有被执法部门或 FBI 联系，有什么迹象表明你正在接受调查
• 有什么迹象表明 FBI 正在追捕你
• Verizon 门店列表 (Verizon 是美国无线网络运营商)
• 联邦身份盗窃法
• 删除 Telegram 账户需要多少时间

虽然以上内容听起来有些好笑，但这名黑客及其同伙的具体实操行为可能就没那么好笑了：

Eric Council Jr. 从网上获取一名 FBI 探员的证件照片 (可能与黑客或其同伙比较像容易冒充)，然后将这个照片合成到伪造的证件上，这个证件中的姓名等信息则是负责运营 SEC 账号的员工的信息 (但执法机构并未透露黑客从什么渠道获取到这名员工真实身份信息的)。

前期准备工作还包括伪造美国联邦探员的证件，这样只需要拿着负责 SEC 账号运营的员工证件找 AT&T 运营商的门店即可 (所以上面搜索记录出现的 Verizon 是咋回事？刚开始没搞清楚是哪家运营商的卡号？)

在实际操作中黑客在 AT&T 门店中声称自己是 FBI 探员，但手机坏了需要将手机号码转移到新的 SIM 中，AT&T 员工对此并未怀疑，简单核对证件后便完成了新卡的操作。

接下来就很简单了，它们立即使用短信验证登录了 SEC 账号 (具体是直接短信登录还是重置密码也不清楚，但可以确定的是 SEC 账号并未启用 2FA 验证)。

由于执法机构透露的信息比较少，最大的问题就是负责运营 SEC 账号的员工信息是如何泄露的，要完成伪造证件首先需要知道 SEC 账号绑定的手机号，然后还要通过手机号找到这名员工的真实资料，我们有些怀疑黑客是通过 Telegram 上的某些非法频道完成信息搜寻的，比如有些频道能根据各种泄露数据找出并拼凑出完整的私人信息。

最后这名黑客和其同伙会被判几年就不清楚了，考虑到他已经从搜索引擎上查询过美国联邦身份盗窃法，所以最高能判几年黑客心里估计有数。