В США подростки украли у бизнесмена криптовалюту на 24 миллиона долларов по схеме с подменой сим-карты Это крупнейшая из тысяч подобных афер в стране, но даже здесь суд встал на сторону сотового оператора
В 2018 году хакеры получили доступ к криптокошелькам американского бизнесмена, главы компании Transform Group Майкла Терпина и украли у него цифровую валюту стоимостью 24 миллиона долларов. Одним из организаторов аферы стал 15-летний геймер Эллис Пински, которого завербовали в международную хакерскую группировку через игру Call of Duty. Пински сдали его собственные сообщники. Благодаря показаниям хакеров, которые доносили друг на друга, историю крупного криптоограбления удалось восстановить в деталях. «Медуза» пересказывает материал Bloomberg, который мог бы превратиться в остросюжетный сериал в духе «Мистера Робота».
О том, что Майкл Терпин стал жертвой мошенников, бизнесмен узнал непосредственно перед технологической конференцией CES-2018, которая проходила в Лас-Вегасе в январе 2018 года. Пока Терпин готовился к первому выступлению, ему пришло имейл-сообщение от Google о входе в аккаунт с неизвестного устройства. Предприниматель тут же заподозрил взлом: полгода назад его уже атаковали мошенники, которые пытались провернуть трюк с подменой сим-карты, чтобы получить доступ к его почтовым ящикам и украсть криптовалюту. Тогда преступники не смогли добраться до цифровых активов бизнесмена, но сумели обмануть нескольких его друзей и выманить деньги у них. Тогда мобильные операторы T-Mobile и AT&T пообещали Терпину соблюдать повышенный уровень безопасности: в случае если он захочет перенести номер с одной сим-карты на другую, потребуется введение дополнительного кода.
Но никакие меры не уберегли Терпина от повторной атаки в январе 2018 года. Бизнесмен принялся заходить в собственные криптокошельки — их у него около полусотни. Исчезли средства в трех цифровых валютах — Steem (60 тысяч долларов), Skycoin (около миллиона долларов) и Triggers (22,7 миллиона долларов). Получив контроль над тремя миллионами токенов Triggers, грабители продали их и обрушили цену цифровой валюты.
После ограбления Терпин начал общественную кампанию с целью добиться справедливости. В результате с ним связались анонимные информаторы
Мошеннические схемы с подменой сим-карт до сих пор широко распространены в США. По данным Bloomberg, в 2022 году ФБР получило больше двух тысяч заявлений от тех, кто в сумме потерял таким образом около 70 миллионов долларов. Реальный ущерб может быть еще больше, поскольку в полицию обращаются далеко не все пострадавшие.
Подмена сим-карт — относительно простая мошенническая схема, которая не требует от хакера высокой компетенции: ему достаточно знать номер жертвы и подкупить (или обмануть) сотрудника сотовой компании, который должен будет «перевести» номер жертвы на новую сим-карту. По мнению Bloomberg, одна из главных причин распространения этой простой схемы заключается в том, что провайдеры предпочитают безопасности удобство своих клиентов и получение прибыли.
Как работает метод подмены сим-карты
1. Хакер находит жертву, номер телефона которой есть в открытых источниках или взломанных базах данных.
2. Затем он выходит на связь с мобильным оператором жертвы.
3. Хакер притворяется, что он владелец номера, и просит перевести этот номер на другую сим-карту. Также возможен подкуп сотрудника компании.
4. Он заходит в почтовый сервис, социальные сети или облачное хранилище жертвы и запускает восстановление пароля по номеру телефона.
5. Получает сообщение с кодом на телефонный номер жертвы (который теперь перенесен на сим-карту хакера) и входит в аккаунты.
6. Ищет пароли от криптокошельков.
7. Забирает криптовалюту.
Спустя полгода после того, как мошенникам удалось вывести активы Терпина, тот подал в суд на AT&T, потребовав от мобильного оператора 224 миллиона долларов компенсации за то, что компания не смогла защитить его данные. По мнению Терпина, в его случае дело не ограничилось лишь предполагаемым участием сотрудника в подмене сим-карты. В момент совершения кражи его жена Максин сразу позвонила в техподдержку провайдера и потребовала заблокировать номер телефона мужа — но на это компании потребовалось целых полтора часа. Как предположил Терпин, если бы сотрудники AT&T отреагировали быстрее, мошенники не успели бы перевести себе активы.
Терпин также написал открытое письмо в Федеральную комиссию по связи США с просьбой заставить крупных операторов скрывать пароли и пин-коды пользователей от работников мобильных салонов.
После того как об ограблении стало известно публично, Терпин начал получать анонимные звонки. Один голос представился Соусом (Sauce) и заявил, что принадлежит к международной преступной группировке Community, которая специализируется на подмене сим-карт. Он также рассказал бизнесмену, что в операции против него участвовали два члена группировки — Николас Трулья и Джозеф ОʼКоннор.
Еще более ценным источником сведений стало письмо, которое пришло Терпину в декабре 2018-го от жителя Нью-Йорка по имени Крис Дэвид. Он заявил, что тайно записал на диктофон признание Николаса Трульи в совершении преступления. Встретившись с Дэвидом в Пуэрто-Рико, где зарегистрированы компании Терпина, предприниматель и его юристы уговорили молодого человека дать письменные показания. Аудиозаписи Дэвида Терпин позже направил в ФБР.
История Николаса Трульи
Мотивы Криса Дэвида были далеки от альтруистических. В сентябре 2018-го между ним и его знакомым, 20‑летним Николасом Трульей, возник конфликт. Наутро после бурной вечеринки Трулья обнаружил пропажу ноутбука и нескольких аппаратных криптокошельков из своей квартиры в элитном жилом комплексе на Манхэттене.
Трулья счел Дэвида одним из главных подозреваемых, так как тот был на вечеринке. В свою очередь Дэвид предпринял превентивные меры и тайно записал на телефон диалог с товарищем. Диалог сводился к тому, что Дэвид просто спросил друга о его крупнейшей афере, и Трулья рассказал, что участвовал в ограблении Терпина.
Трулья так легко делился столь чувствительной информацией, поскольку все его близкое окружение и так знало, что он занимается криптовалютой и участвует в мошеннических схемах. Более того, он не скрывал своего богатого образа жизни: в соцсетях он выкладывал фотографии из частных самолетов, хвастался часами Rolex за 100 тысяч долларов и рассказывал о заработанных миллионах.
Ограбление Терпина было не единственным случаем мошенничества, проведенного Трульей по схеме с подменой сим-карты. Своих сообщников среди сотрудников сотовых операторов Трулья и товарищи находили прямолинейным путем: просто звонили в техподдержку одной из компаний и спрашивали, не хочет ли собеседник, расположенный в одном из азиатских колл-центров, заработать денег. С теми, кто соглашался, злоумышленники связывались через фейсбук или другие соцсети. Как рассказывал Николас, одного сотрудника колл-центра из Индии, который выполнил для него несколько задач, раскрыли и уволили.
История Эллиса Пински
Помимо Криса Дэвида, на связь с Терпином вышел мошенник, которого упоминал хакер Sauce, — Джозеф ОʼКоннор. Последний заявил, что реальным организатором ограбления бизнесмена был хакер, известный в узких кругах под ником Pie («Пирог»). Выяснилось, что его настоящее имя — Эллис Пински и он живет в городе Эрвингтон в штате Нью-Йорк, в 40 километрах к северу от Манхэттена.
Летом 2023-го журналисты Bloomberg встретились с 21-летним Пински и записали его версию событий, которые привели к ограблению Терпина. По словам молодого человека, в школьные годы он постоянно играл в Call of Duty, но в 15 лет заинтересовался киберпреступностью и примкнул к хакерской группе Community. Его привлекал не столько заработок, сколько удовольствие от решения задач. В интервью Эллис признался, что сейчас понимает, насколько был неправ, но в подростковом возрасте он и не задумывался об этической стороне дела.
Группировка Community зародилась на форуме OGUsers — его участники торговали популярными никнеймами для аккаунтов в соцсетях и мультиплеерных играх. Такие ники, как @anonymous или @evil, можно было продать за тысячи долларов. Чтобы получить контроль над никнеймом, аккаунты владельцев часто взламывали.
На специализированных форумах, серверах популярной у геймеров платформы Discord и в телеграм-чатах можно найти объявления о поиске юных хакеров, которым обещали по 100 долларов в день за выполнение несложных задач. На одном из таких форумов, посвященных Call of Duty, Пински познакомился со своим «наставником» под ником Ferno — и начал собирать для него информацию о тех, кого тот собирался взломать. Также Эллис взялся за изучение языка программирования SQL для проникновения в базы данных компаний. Конфиденциальную информацию он продавал киберпреступникам, в том числе, как пишет Bloomberg, из России. Мать Пински эмигрировала из Советского Союза, и он свободно говорит по-русски.
После того как Пински узнал от других хакеров о мошеннической схеме с подменой сим-карты, он создал программу, которая искала в твиттере упоминания о работе в AT&T и других сотовых операторах. Чуть ли не с каждым, кто писал что-то вроде «Закончил смену в AT&T», Эллис связывался ради подкупа. По его оценке, соглашались поучаствовать в мошеннической схеме примерно 10% опрошенных. Хакер утверждает, что в какой-то момент у него было как минимум по одному сообщнику в каждой крупной американской сотовой компании. Пински хвастался заработком в результате успешных хакерских атак и привлек внимание других членов Community. И те стали предлагать новых потенциальных жертв.
Ограбление криптобизнесмена
6 января 2018 года Пински получил в Discord сообщение от некого Гарри. Тот утверждал, что нашел хорошую мишень, и поделился ссылкой на твиттер-аккаунт Майкла Терпина. Его телефонный номер нашелся легко, поскольку предприниматель часто выпускал пресс-релизы и оставлял контактные данные. Пински убедился, что номер действительно принадлежит бизнесмену, с помощью сообщника в мобильном салоне AT&T. С ним же он договорился провести подмену сим-карты за вознаграждение до 500 долларов.
Хакеры осуществили задуманное на следующий день. Они перевели телефонный номер бизнесмена с его BlackBerry на iPhone, принадлежавший еще одному члену группировки. Получив контроль над аккаунтами Терпина, Пински зашел в облачное хранилище Microsoft OneDrive и обнаружил в корзине удаленный файл, в котором перечислялось около 10 криптокошельков. За каждым следовала серия случайных слов. Пински понял, что перед ним так называемые seed-фразы — альтернатива пароля и секретного кода, распространенная в индустрии. Они представляют собой последовательность из случайных английских слов, их безопаснее всего хранить офлайн — но Терпин проявил неосторожность. Вооружившись seed-фразами, Пински и его сообщники получили доступ к кошелькам, в которых хранились валюты Steem, Skycoin и Triggers.
Хакеры — участники операции никогда ранее не слышали о Triggers. Когда подростки проверили стоимость украденных активов, они поняли, что совершили крупнейшее ограбление за всю историю использования метода с подменой сим-карты. К несчастью для мошенников, большинство бирж не поддерживало Triggers, а Binance — одна из немногих платформ-исключений — не допускала на свою площадку несовершеннолетних пользователей вроде Пински. Когда тот спросил, у кого из группировки Community есть аккаунт на Binance, ему ответили несколько «добровольцев», готовых помочь с обменом. В том числе — Николас Трулья.
Пински переводил «волонтерам» Triggers, а те конвертировали цифровую валюту в биткоины и возвращали ему, оставляя себе небольшую комиссию. В разгар операции Трулья заявил Пински, что не может перевести биткоины на 800 тысяч долларов, потому что ему якобы нужно бежать в тренажерный зал. Пински понял, что его обманули, но продолжил манипуляции с криптовалютой. В конце концов на счету группы злоумышленников оказались биткоины стоимостью от 15 до 20 миллионов долларов.
В последующие недели Пински снял со счета 100 тысяч долларов наличными и на половину суммы купил часы Patek Philippe Nautilus. В школу он их не носил — по его словам, это была инвестиция на будущее. В целом тратить деньги юный мошенник не спешил: ему достаточно было ощущения, что он «прошел игру».
Арест Николаса Трульи
Трулья после ограбления Терпина не отказался от мошеннической активности. В первой половине 2018 года он провернул еще ряд схем с подменой сим-карты. Несколько жертв оказались жителями Калифорнии, поэтому и активность мошенника привлекла внимание отдела по расследованию киберпреступлений штата.
Именно калифорнийские борцы с кибермошенниками установили личность Трульи. Сделать это удалось благодаря анонимной наводке, поступившей в мае 2018 года руководству криптобиржи Coinbase. В ней говорилось, что один из пользователей пытается взломать аккаунт умершего человека. Когда мошенника попросили пройти идентификацию с помощью фотографии, Трулья прислал селфи с фальшивым удостоверением личности. Именно по этому снимку его удалось найти. В ноябре 2018 года полиция арестовала Трулью. Ему инкриминировали 21 эпизод мошенничества и кражу криптовалюты на сумму больше миллиона долларов.
В 2019 году, когда Майкл Терпин подал новый иск, ситуация Трульи ухудшилась. Несмотря на то что в ходе ограбления сам он получил лишь 800 тысяч долларов, бизнесмен потребовал от киберпреступника почти 75,8 миллиона долларов компенсации: в США действует закон, позволяющий жертвам организованной преступности требовать возмещения ущерба в тройном размере. Наконец, еще через семь месяцев началось судебное производство по иску ФБР, связанному с обменом украденной криптовалюты через биржу Binance. Трулью также обвинили в хранении наркотиков и использовании фальшивых удостоверений личности. В 2022-м суд приговорил его суммарно к 18 месяцам заключения и выплате Терпину 20 миллионов долларов.
Другие члены группировки Community также подверглись уголовному преследованию. Джозеф ОʼКоннор, сообщивший Терпину имя Эллиса Пински, был осужден за взлом более сотни твиттер-аккаунтов (в том числе Джо Байдена, Илона Маска и Барака Обамы), а также за вымогательство денег у знаменитостей — доступ к их данным он получал с помощью подмены сим-карты. Хакер, известный под именем Гарри, до сих пор не пойман. Тем не менее группировка Community продолжает расти: опрошенные Bloomberg эксперты говорят, что взрослые хакеры, оставаясь в тени, по-прежнему нанимают подростков и поручают им опасную работу.
Избежал уголовных обвинений и Эллис Пински, которому на момент ограбления было 15 лет. Он признал вину и вернул 100 тысяч долларов, обналиченные после мошенничества (что стало с биткоинами на сумму 15–20 миллионов долларов, которые Пински получил вместе с Гарри, Bloomberg не уточняет). Как только Пински исполнилось 18, Терпин подал против него иск. Тогда же предприниматель дал интервью New York Post, в котором назвал подростка «малышом Аль Капоне». Через две недели после публикации в дом семьи Пински в Эрвингтоне ворвались четыре вооруженных грабителя. Они решили, что молодой человек может обладать большой суммой денег. Как Пински рассказал журналу Rolling Stone, он с матерью и младшими братьями заперся на верхнем этаже и стал дожидаться приезда полиции. Двух нападавших арестовали, еще двое скрылись.
По состоянию на август 2023 года Пински — студент Нью-Йоркского университета, где он изучает компьютерные науки и философию. Недавно он стал программистом-интерном в венчурном фонде, экс-кибермошенник вынашивает планы по созданию стартапов. Правда, перед этим ему еще нужно выплатить Терпину 22 миллиона долларов компенсации.
Иск Терпина против мобильного оператора AT&T так и не был удовлетворен: в марте 2023 года судья в Калифорнии отказал бизнесмену в праве на компенсацию. Согласно вердикту, в договоре с компанией не описывалась ситуация, при которой подкупленный сотрудник мобильного салона произведет подмену сим-карты, а затем взломает аккаунты и украдет криптовалюту. Интересно, однако, что в интервью Bloomberg даже Пински встал на сторону своей бывшей жертвы и заявил, что компаниям вроде AT&T нужно лучше заботиться о безопасности клиентов.
«Медуза»