В США подростки украли у бизнесмена криптовалюту на 24 миллиона долларов по схеме с подменой сим-карты Это крупнейшая из тысяч подобных афер в стране, но даже здесь суд встал на сторону сотового оператора
В 2018 году хакеры получили доступ к криптокошелькам американского бизнесмена, главы компании Transform Group Майкла Терпина и украли у него цифровую валюту стоимостью 24 миллиона долларов. Одним из организаторов аферы стал 15-летний геймер Эллис Пински, которого завербовали в международную хакерскую группировку через игру Call of Duty. Пински сдали его собственные сообщники. Благодаря показаниям хакеров, которые доносили друг на друга, историю крупного криптоограбления удалось восстановить в деталях. «Медуза» пересказывает материал Bloomberg, который мог бы превратиться в остросюжетный сериал в духе «Мистера Робота».
О том, что Майкл Терпин стал жертвой мошенников, бизнесмен узнал непосредственно перед технологической конференцией CES-2018, которая проходила в Лас-Вегасе в январе 2018 года. Пока Терпин готовился к первому выступлению, ему пришло имейл-сообщение от Google о входе в аккаунт с неизвестного устройства. Предприниматель тут же заподозрил взлом: полгода назад его уже атаковали мошенники, которые пытались провернуть трюк с подменой сим-карты, чтобы получить доступ к его почтовым ящикам и украсть криптовалюту. Тогда преступники не смогли добраться до цифровых активов бизнесмена, но сумели обмануть нескольких его друзей и выманить деньги у них. Тогда мобильные операторы T-Mobile и AT&T пообещали Терпину соблюдать повышенный уровень безопасности: в случае если он захочет перенести номер с одной сим-карты на другую, потребуется введение дополнительного кода.
Но никакие меры не уберегли Терпина от повторной атаки в январе 2018 года. Бизнесмен принялся заходить в собственные криптокошельки — их у него около полусотни. Исчезли средства в трех цифровых валютах — Steem (60 тысяч долларов), Skycoin (около миллиона долларов) и Triggers (22,7 миллиона долларов). Получив контроль над тремя миллионами токенов Triggers, грабители продали их и обрушили цену цифровой валюты.
После ограбления Терпин начал общественную кампанию с целью добиться справедливости. В результате с ним связались анонимные информаторы
Мошеннические схемы с подменой сим-карт до сих пор широко распространены в США. По данным Bloomberg, в 2022 году ФБР получило больше двух тысяч заявлений от тех, кто в сумме потерял таким образом около 70 миллионов долларов. Реальный ущерб может быть еще больше, поскольку в полицию обращаются далеко не все пострадавшие.
Подмена сим-карт — относительно простая мошенническая схема, которая не требует от хакера высокой компетенции: ему достаточно знать номер жертвы и подкупить (или обмануть) сотрудника сотовой компании, который должен будет «перевести» номер жертвы на новую сим-карту. По мнению Bloomberg, одна из главных причин распространения этой простой схемы заключается в том, что провайдеры предпочитают безопасности удобство своих клиентов и получение прибыли.
Как работает метод подмены сим-карты
1. Хакер находит жертву, номер телефона которой есть в открытых источниках или взломанных базах данных.
2. Затем он выходит на связь с мобильным оператором жертвы.
3. Хакер притворяется, что он владелец номера, и просит перевести этот номер на другую сим-карту. Также возможен подкуп сотрудника компании.
4. Он заходит в почтовый сервис, социальные сети или облачное хранилище жертвы и запускает восстановление пароля по номеру телефона.
5. Получает сообщение с кодом на телефонный номер жертвы (который теперь перенесен на сим-карту хакера) и входит в аккаунты.
6. Ищет пароли от криптокошельков.
7. Забирает криптовалюту.
Спустя полгода после того, как мошенникам удалось вывести активы Терпина, тот подал в суд на AT&T, потребовав от мобильного оператора 224 миллиона долларов компенсации за то, что компания не смогла защитить его данные. По мнению Терпина, в его случае дело не ограничилось лишь предполагаемым участием сотрудника в подмене сим-карты. В момент совершения кражи его жена Максин сразу позвонила в техподдержку провайдера и потребовала заблокировать номер телефона мужа — но на это компании потребовалось целых полтора часа. Как предположил Терпин, если бы сотрудники AT&T отреагировали быстрее, мошенники не успели бы перевести себе активы.
Терпин также написал открытое письмо в Федеральную комиссию по связи США с просьбой заставить крупных операторов скрывать пароли и пин-коды пользователей от работников мобильных салонов.
Майкл Терпин
Chris Ratcliffe / Bloomberg / Getty Images
После того как об ограблении стало известно публично, Терпин начал получать анонимные звонки. Один голос представился Соусом (Sauce) и заявил, что принадлежит к международной преступной группировке Community, которая специализируется на подмене сим-карт. Он также рассказал бизнесмену, что в операции против него участвовали два члена группировки — Николас Трулья и Джозеф ОʼКоннор.
Еще более ценным источником сведений стало письмо, которое пришло Терпину в декабре 2018-го от жителя Нью-Йорка по имени Крис Дэвид. Он заявил, что тайно записал на диктофон признание Николаса Трульи в совершении преступления. Встретившись с Дэвидом в Пуэрто-Рико, где зарегистрированы компании Терпина, предприниматель и его юристы уговорили молодого человека дать письменные показания. Аудиозаписи Дэвида Терпин позже направил в ФБР.
История Николаса Трульи
Мотивы Криса Дэвида были далеки от альтруистических. В сентябре 2018-го между ним и его знакомым, 20‑летним Николасом Трульей, возник конфликт. Наутро после бурной вечеринки Трулья обнаружил пропажу ноутбука и нескольких аппаратных криптокошельков из своей квартиры в элитном жилом комплексе на Манхэттене.
Трулья счел Дэвида одним из главных подозреваемых, так как тот был на вечеринке. В свою очередь Дэвид предпринял превентивные меры и тайно записал на телефон диалог с товарищем. Диалог сводился к тому, что Дэвид просто спросил друга о его крупнейшей афере, и Трулья рассказал, что участвовал в ограблении Терпина.
Трулья так легко делился столь чувствительной информацией, поскольку все его близкое окружение и так знало, что он занимается криптовалютой и участвует в мошеннических схемах. Более того, он не скрывал своего богатого образа жизни: в соцсетях он выкладывал фотографии из частных самолетов, хвастался часами Rolex за 100 тысяч долларов и рассказывал о заработанных миллионах.
Ограбление Терпина было не единственным случаем мошенничества, проведенного Трульей по схеме с подменой сим-карты. Своих сообщников среди сотрудников сотовых операторов Трулья и товарищи находили прямолинейным путем: просто звонили в техподдержку одной из компаний и спрашивали, не хочет ли собеседник, расположенный в одном из азиатских колл-центров, заработать денег. С теми, кто соглашался, злоумышленники связывались через фейсбук или другие соцсети. Как рассказывал Николас, одного сотрудника колл-центра из Индии, который выполнил для него несколько задач, раскрыли и уволили.
История Эллиса Пински
Помимо Криса Дэвида, на связь с Терпином вышел мошенник, которого упоминал хакер Sauce, — Джозеф ОʼКоннор. Последний заявил, что реальным организатором ограбления бизнесмена был хакер, известный в узких кругах под ником Pie («Пирог»). Выяснилось, что его настоящее имя — Эллис Пински и он живет в городе Эрвингтон в штате Нью-Йорк, в 40 километрах к северу от Манхэттена.
Летом 2023-го журналисты Bloomberg встретились с 21-летним Пински и записали его версию событий, которые привели к ограблению Терпина. По словам молодого человека, в школьные годы он постоянно играл в Call of Duty, но в 15 лет заинтересовался киберпреступностью и примкнул к хакерской группе Community. Его привлекал не столько заработок, сколько удовольствие от решения задач. В интервью Эллис признался, что сейчас понимает, насколько был неправ, но в подростковом возрасте он и не задумывался об этической стороне дела.
Группировка Community зародилась на форуме OGUsers — его участники торговали популярными никнеймами для аккаунтов в соцсетях и мультиплеерных играх. Такие ники, как @anonymous или @evil, можно было продать за тысячи долларов. Чтобы получить контроль над никнеймом, аккаунты владельцев часто взламывали.
На специализированных форумах, серверах популярной у геймеров платформы Discord и в телеграм-чатах можно найти объявления о поиске юных хакеров, которым обещали по 100 долларов в день за выполнение несложных задач. На одном из таких форумов, посвященных Call of Duty, Пински познакомился со своим «наставником» под ником Ferno — и начал собирать для него информацию о тех, кого тот собирался взломать. Также Эллис взялся за изучение языка программирования SQL для проникновения в базы данных компаний. Конфиденциальную информацию он продавал киберпреступникам, в том числе, как пишет Bloomberg, из России. Мать Пински эмигрировала из Советского Союза, и он свободно говорит по-русски.
После того как Пински узнал от других хакеров о мошеннической схеме с подменой сим-карты, он создал программу, которая искала в твиттере упоминания о работе в AT&T и других сотовых операторах. Чуть ли не с каждым, кто писал что-то вроде «Закончил смену в AT&T», Эллис связывался ради подкупа. По его оценке, соглашались поучаствовать в мошеннической схеме примерно 10% опрошенных. Хакер утверждает, что в какой-то момент у него было как минимум по одному сообщнику в каждой крупной американской сотовой компании. Пински хвастался заработком в результате успешных хакерских атак и привлек внимание других членов Community. И те стали предлагать новых потенциальных жертв.
Ограбление криптобизнесмена
6 января 2018 года Пински получил в Discord сообщение от некого Гарри. Тот утверждал, что нашел хорошую мишень, и поделился ссылкой на твиттер-аккаунт Майкла Терпина. Его телефонный номер нашелся легко, поскольку предприниматель часто выпускал пресс-релизы и оставлял контактные данные. Пински убедился, что номер действительно принадлежит бизнесмену, с помощью сообщника в мобильном салоне AT&T. С ним же он договорился провести подмену сим-карты за вознаграждение до 500 долларов.
Хакеры осуществили задуманное на следующий день. Они перевели телефонный номер бизнесмена с его BlackBerry на iPhone, принадлежавший еще одному члену группировки. Получив контроль над аккаунтами Терпина, Пински зашел в облачное хранилище Microsoft OneDrive и обнаружил в корзине удаленный файл, в котором перечислялось около 10 криптокошельков. За каждым следовала серия случайных слов. Пински понял, что перед ним так называемые seed-фразы — альтернатива пароля и секретного кода, распространенная в индустрии. Они представляют собой последовательность из случайных английских слов, их безопаснее всего хранить офлайн — но Терпин проявил неосторожность. Вооружившись seed-фразами, Пински и его сообщники получили доступ к кошелькам, в которых хранились валюты Steem, Skycoin и Triggers.
Хакеры — участники операции никогда ранее не слышали о Triggers. Когда подростки проверили стоимость украденных активов, они поняли, что совершили крупнейшее ограбление за всю историю использования метода с подменой сим-карты. К несчастью для мошенников, большинство бирж не поддерживало Triggers, а Binance — одна из немногих платформ-исключений — не допускала на свою площадку несовершеннолетних пользователей вроде Пински. Когда тот спросил, у кого из группировки Community есть аккаунт на Binance, ему ответили несколько «добровольцев», готовых помочь с обменом. В том числе — Николас Трулья.
Пински переводил «волонтерам» Triggers, а те конвертировали цифровую валюту в биткоины и возвращали ему, оставляя себе небольшую комиссию. В разгар операции Трулья заявил Пински, что не может перевести биткоины на 800 тысяч долларов, потому что ему якобы нужно бежать в тренажерный зал. Пински понял, что его обманули, но продолжил манипуляции с криптовалютой. В конце концов на счету группы злоумышленников оказались биткоины стоимостью от 15 до 20 миллионов долларов.
В последующие недели Пински снял со счета 100 тысяч долларов наличными и на половину суммы купил часы Patek Philippe Nautilus. В школу он их не носил — по его словам, это была инвестиция на будущее. В целом тратить деньги юный мошенник не спешил: ему достаточно было ощущения, что он «прошел игру».
Арест Николаса Трульи
Трулья после ограбления Терпина не отказался от мошеннической активности. В первой половине 2018 года он провернул еще ряд схем с подменой сим-карты. Несколько жертв оказались жителями Калифорнии, поэтому и активность мошенника привлекла внимание отдела по расследованию киберпреступлений штата.
Именно калифорнийские борцы с кибермошенниками установили личность Трульи. Сделать это удалось благодаря анонимной наводке, поступившей в мае 2018 года руководству криптобиржи Coinbase. В ней говорилось, что один из пользователей пытается взломать аккаунт умершего человека. Когда мошенника попросили пройти идентификацию с помощью фотографии, Трулья прислал селфи с фальшивым удостоверением личности. Именно по этому снимку его удалось найти. В ноябре 2018 года полиция арестовала Трулью. Ему инкриминировали 21 эпизод мошенничества и кражу криптовалюты на сумму больше миллиона долларов.
В 2019 году, когда Майкл Терпин подал новый иск, ситуация Трульи ухудшилась. Несмотря на то что в ходе ограбления сам он получил лишь 800 тысяч долларов, бизнесмен потребовал от киберпреступника почти 75,8 миллиона долларов компенсации: в США действует закон, позволяющий жертвам организованной преступности требовать возмещения ущерба в тройном размере. Наконец, еще через семь месяцев началось судебное производство по иску ФБР, связанному с обменом украденной криптовалюты через биржу Binance. Трулью также обвинили в хранении наркотиков и использовании фальшивых удостоверений личности. В 2022-м суд приговорил его суммарно к 18 месяцам заключения и выплате Терпину 20 миллионов долларов.
Другие члены группировки Community также подверглись уголовному преследованию. Джозеф ОʼКоннор, сообщивший Терпину имя Эллиса Пински, был осужден за взлом более сотни твиттер-аккаунтов (в том числе Джо Байдена, Илона Маска и Барака Обамы), а также за вымогательство денег у знаменитостей — доступ к их данным он получал с помощью подмены сим-карты. Хакер, известный под именем Гарри, до сих пор не пойман. Тем не менее группировка Community продолжает расти: опрошенные Bloomberg эксперты говорят, что взрослые хакеры, оставаясь в тени, по-прежнему нанимают подростков и поручают им опасную работу.
Избежал уголовных обвинений и Эллис Пински, которому на момент ограбления было 15 лет. Он признал вину и вернул 100 тысяч долларов, обналиченные после мошенничества (что стало с биткоинами на сумму 15–20 миллионов долларов, которые Пински получил вместе с Гарри, Bloomberg не уточняет). Как только Пински исполнилось 18, Терпин подал против него иск. Тогда же предприниматель дал интервью New York Post, в котором назвал подростка «малышом Аль Капоне». Через две недели после публикации в дом семьи Пински в Эрвингтоне ворвались четыре вооруженных грабителя. Они решили, что молодой человек может обладать большой суммой денег. Как Пински рассказал журналу Rolling Stone, он с матерью и младшими братьями заперся на верхнем этаже и стал дожидаться приезда полиции. Двух нападавших арестовали, еще двое скрылись.
По состоянию на август 2023 года Пински — студент Нью-Йоркского университета, где он изучает компьютерные науки и философию. Недавно он стал программистом-интерном в венчурном фонде, экс-кибермошенник вынашивает планы по созданию стартапов. Правда, перед этим ему еще нужно выплатить Терпину 22 миллиона долларов компенсации.
Иск Терпина против мобильного оператора AT&T так и не был удовлетворен: в марте 2023 года судья в Калифорнии отказал бизнесмену в праве на компенсацию. Согласно вердикту, в договоре с компанией не описывалась ситуация, при которой подкупленный сотрудник мобильного салона произведет подмену сим-карты, а затем взломает аккаунты и украдет криптовалюту. Интересно, однако, что в интервью Bloomberg даже Пински встал на сторону своей бывшей жертвы и заявил, что компаниям вроде AT&T нужно лучше заботиться о безопасности клиентов.
«Медуза»
Майкл Терпин
Основатель и глава компании Transform Group, которая занимается продвижением блокчейн-проектов. Среди прочего он помогал запускать эфириум в 2015 году, а также ряд других криптовалют. Компания Терпина BitAngels занимается инвестициями в блокчейн-стартапы. Также бизнесмен организует конференции, посвященные цифровой валюте.
Криптокошелек
Цифровой кошелек, позволяющий безопасно хранить, передавать и получать криптовалюты. Криптокошельки разделяют на холодные и горячие. Горячие кошельки подключены к интернету и используются для проведения ежедневных транзакций. Холодные кошельки работают без подключения к сети и предназначены для долгосрочного хранения.
Steem
Цифровая валюта, которую могут получать активные блогеры на платформе Steemit. Проект запущен в 2016 году. Стоимость Steem по состоянию на 11 августа — 0,1833 доллара, рыночная капитализация — около 80 тысяч долларов.
Triggers
Токен децентрализованной платформы Blocksafe, позволяющей анонимно покупать и продавать оружие. Создатели утверждали, что технология увеличит контроль за оружием и снизит вероятность вооруженных нападений. Проект не получил развития.
Skycoin
Криптовалюта, созданная в 2013 году на базе одноименной блокчейн-платформы. Позже стала основой для проекта Skywire, который позиционировался как интернет следующего поколения. В 2018 году цена Skycoin обвалилась из-за обвинений в инсайдерской торговле, через три года она была исключена из списка активов, доступных для торговли на криптобирже Binance. В 2022 году основатели Skycoin подали в суд на нескольких предпринимателей и журналистов: среди прочего их обвинили в клевете, шантаже, а также в организации похищения главы компании и его девушки.
Аппаратный криптокошелек
Специальное устройство, которое хранит ключи, дающие доступ к криптовалютным активам. Аппаратный кошелек похож на флешку с экраном и подключается через USB-порт. Ключ встроен в аппаратный кошелек, поэтому его нельзя взломать через интернет.
Call of Duty
Серия шутеров и самый популярный проект разработчика Activision. Первая часть игры вышла в 2003 году. Всего за 18 лет компания выпустила 19 Call of Duty в разных сеттингах — от Второй мировой до современности и недалекого будущего. За время существования серии было продано больше 400 миллионов копий.
SQL
Structured Query Language, или язык структурированных запросов, — язык программирования, применяемый для создания, модификации и управления информацией в базах данных.
Binance
Крупнейший сервис обмена криптовалют. Основан в 2017 году Чанпэном Чжао. Компания также предоставляет блокчейн-продукты для инвестиций, исследований и благотворительности. По данным аналитического сервиса CoinGecko на 11 августа, ежедневный объем торгов на Binance превышает пять миллиардов долларов. Для обмена доступно больше 350 цифровых валют.
Как?
Друзья Терпина получали сообщения от имени бизнесмена с требованием вернуть долги в биткоинах. Таким способом мошенники украли около 30 тысяч долларов.
То есть?
Крис Дэвид намеревался получить компрометирующие сведения, чтобы при необходимости использовать их против Николаса Трульи и избежать ответственности. Дэвид сам принимал участие в некоторых аферах.
Почему юных?
По данным экспертов из компании Unit 221B, занимающейся информационной безопасностью, в хакерской среде действует система наставничества: старшие обучают младших.
Это правда?
По данным следствия, Трулья оставил себе криптовалюту как минимум на сумму 673 тысяч долларов.
Как так?
По какой причине Терпин пользовался одним и тем же номером и для публикации пресс-релизов, и для привязки аккаунтов своих криптокошельков, где лежали многомиллионные активы, неизвестно.
А он выплатил компенсацию?
Согласно решению суда, Трулья должен был компенсировать Терпину около 20 миллионов долларов в течение 60 дней после 1 декабря 2022 года (иначе мошенника привлекли бы к административной ответственности и снова отправили в тюрьму). Выплатил бы Трулья компенсацию, точно неизвестно, но в материале Bloomberg рассказывается, как после приговора он работал со своим юристом над конвертацией активов в криптовалюте и драгоценностях, чтобы набрать необходимую сумму.