SIM-Swaphacker Eric Council Jr. a gagné environ 50 000 $ avec des attaques frauduleuses

Eric Council Jr., un hacker impliqué dans le célèbre hack de SIM-swap du compte X de la Securities and Exchange Commission (SEC), a gagné environ 50 000 $ avec des attaques frauduleuses similaires.

Cela ressort de documents juridiques récents, qui font partie de la demande du procureur de le condamner à deux ans de prison. Lors du hack, une fausse annonce a été publiée concernant l’approbation d’un fonds négocié en bourse Bitcoin (ETF), ce qui a causé de grandes fluctuations sur les marchés.

SIM-Swapping via Telegram

Council a réalisé plusieurs SIM-swaps pour des clients entre janvier et juin 2024, se présentant comme un expert sur Telegram sous le nom ‘easymunny’. Il offrait ces services pour des montants allant de 1 200 $ à 1 500 $ par SIM-swap. Lors de la réalisation du SIM-swap, il utilisait de faux documents d’identité pour se faire passer pour quelqu’un d’autre, ce qui lui permettait d’accéder au compte X de la SEC.

À l’aide de ces faux documents, Council a convaincu un employé d’AT&T de transférer le numéro de téléphone de la victime sur sa carte SIM. Avec l’accès au compte SEC, il a ensuite partagé les codes d’accès avec ses complices, qui ont publié la fausse nouvelle sur le Bitcoin ETF le 9 janvier 2024. Cela a provoqué une hausse immédiate du prix du Bitcoin de 1 000 $, suivie d’une chute dramatique de près de 2 000 $.

Hack du compte SEC et conséquences pour le marché

Le faux message sur le Bitcoin ETF a été vu plus d’un million de fois avant que la SEC ne confirme environ 15 minutes plus tard que le compte avait été piraté. Le prix du Bitcoin a fortement fluctué, entraînant des pertes de millions de dollars en positions de marché. Le FBI et la SEC ont finalement découvert Council lorsqu’il a tenté de réaliser un SIM-swap dans un Apple Store le 12 juin 2024. Six jours plus tard, la police a effectué une perquisition à son domicile, où ils ont trouvé des modèles de fausses cartes d’identité sur son ordinateur portable.

Council a été par la suite inculpé pour vol d’identité grave et fraude aux dispositifs d’accès et a plaidé coupable en février 2025. L’incident a exposé la vulnérabilité du compte SEC, puisqu’il n’avait pas activé l’authentification à deux facteurs (2FA) au moment du hack. La SEC a déclaré que la 2FA avait été configurée à l’origine, mais avait été désactivée à la demande d’un employé par X Support.

Failles de sécurité et perturbations du marché

Ce hack souligne les risques du SIM-swapping et l’importance de mesures de sécurité robustes pour les institutions financières et gouvernementales. La SEC et d’autres organisations ont depuis revu leurs protocoles de sécurité pour éviter des attaques similaires à l’avenir. Cet incident a mis en lumière la vulnérabilité des comptes sans 2FA et a conduit à une réévaluation de la nécessité de renforcer les mesures de sécurité pour les comptes sensibles.