Um ataque
A SEC disse que no primeiro ataque em setembro de 2022, um agente de ameaça sequestrou uma cadeia de e-mail entre a empresa, então conhecida como American Stock Transfer & Trust Company, e um de seus clientes, se passando por funcionário da empresa cliente, e ordenou . A American Stock Transfer emitirá milhões de novas ações da empresa cliente, liquidá-las-á e transferirá aproximadamente US$ 4,78 milhões para contas bancárias de Hong Kong. Apenas cerca de US$ 1 milhão foi recuperado.
Num segundo ataque não relacionado, em Abril de 2023, um atacante utilizou números de Segurança Social (SSNs) roubados de clientes da American Stock Transfer, roubados de uma fonte desconhecida, para criar contas falsas. Os sistemas da American Stock Transfer vinculam automaticamente essas contas à conta real do usuário com base apenas no SSN, ou outras informações pessoais anexadas às contas não correspondem. O invasor usou esse acesso para executar a hipoteca dos títulos dos clientes, retirando cerca de US$ 1,9 milhão. Desse total, cerca de US$ 1,6 milhão foram recebidos.
Penalidades
Para resolver as acusações, a Equiiti concordou em pagar uma multa civil de US$ 850.000. Além disso, a SEC declarou em seu comunicado: “A ordem da SEC conclui que a Equiiti violou a Seção 17A(d) do Securities Exchange Act de 1934 e a Regra 17Ad-12. Além da penalidade civil mencionada acima, a Equiiti concordou com uma ordem de cessar e desistir e uma repreensão.”
