Викрадення $24M Крипто: Як 15-річний Хакер здійснив один з найбільших шахрайств з SIM-картами

У віці всього 15 років Елліс Пінскі організував те, що стало найбільшим індивідуальним викраденням SIM-карт в історії криптовалюти—викравши $24 мільйон, перебуваючи ще в старшій школі.

Складна операція почалася, коли криптоінвестор Майкл Турпін залишив конференцію. По всій країні Пінський та його команда підкупили працівників телекомунікацій, щоб захопити номер телефону Турпіна за допомогою техніки, відомої як SIM-своп.

Керуючи операцією, Пінскі запустив скрипти через Skype, які методично зібрали всю цифрову інформацію Турпіна—електронні листи, хмарне сховище та особисті файли—все це під час пошуку ключів криптовалютних гаманців.

Команда спочатку виявила гаманець, що містить приблизно $900 мільйон в Ethereum, але не змогла подолати його безпеку. Не розчарувавшись, вони продовжили шукати вразливі активи.

Години по тому, коли Турпін перевірив свої рахунки, він зробив руйнівне відкриття. Хоча його найбільший гаманець залишався в безпеці, $24 мільйон зник з його інших активів. Це викрадення пізніше буде зафіксоване як найбільша індивідуальна атака SIM swap в історії криптовалюти.

Від хакера в спальні до мільйонера в криптовалюті

Шлях Пінського до того, щоб стати цифровим злодієм, почався рано:

• Виростаючи в скромній квартирі в Нью-Йорку
• Отримавши свій перший Xbox у 13 років
• Приєднання до підпільних форумів хакерів
• Освоєння технік SQL-ін'єкцій
• Створення побічного бізнесу з продажу рідкісних облікових записів Instagram

Але привабливість легких грошей незабаром затмила його технічні прагнення. SIM-обмін став ідеальним вектором для доступу до суттєвого багатства з мінімальним фізичним ризиком.

Техніка слідує простому, але руйнівному шаблону:

1. Переконати представників телекомунікацій перевести номер телефону цілі на нову SIM-картку
2. Отримайте контроль над текстовими повідомленнями, кодами двофакторної аутентифікації та опціями відновлення облікового запису
3. Скидання паролів до критичних акаунтів
4. Доступ до електронної пошти та хмарного сховища
5. Знайти та вкрасти криптовалютні активи

Падіння

Незважаючи на успішний пограбування, операція Пінського швидко розпалася. Його колишній партнер Труглія не міг встояти перед спокусою хвалитися їхньою новознайденою багатством, публікуючи компрометуючі заяви в Інтернеті, такі як: "Вкрадено 24 млн доларів. Все ще не можу зберегти друга."

Пінський допустив основні помилки в операційній безпеці, зокрема використовуючи своє справжнє ім'я на рахунках криптовалютних бірж. ФБР швидко ідентифікувало його завдяки цим цифровим слідам.

Хоча Труглія був засуджений до в'язниці, Пінський — який на момент злочину був неповнолітнім — не поніс жодних кримінальних обвинувачень після повернення більшості вкрадених коштів. Турпін в подальшому подав цивільний позов проти нього, вимагаючи $22 мільйон відшкодування.

Наслідки стали ще небезпечнішими, коли озброєні люди в масках вломилися в дім Пінського, показуючи, як швидко цифровий злочин може перетворитися на фізичні загрози.

Життя після пограбування

Сьогодні Пінскі вивчає філософію та комп'ютерні науки в NYU, reportedly зосереджуючись на створенні легітимних стартапів та погашенні своїх боргів.

На піку своєї злочинної діяльності 15-річний накопичив:

• 562 біткойнів
• Зв'язки з інсайдерами телекомунікацій
• Мільйонний позов
• Загрози його життю

Цей випадок є яскравим нагадуванням про вразливості безпеки, які існують у системах зберігання криптовалюти. Для інвесторів впровадження надійних практик безпеки — включаючи апаратні гаманці, двофакторну аутентифікацію без SMS та обізнаність про тактики соціальної інженерії — залишається важливим для захисту цифрових активів від дедалі більш витончених атак.