Как многолетняя преступная деятельность PlugwalkJoe привела к пятигодовому тюремному заключению

Британский киберпреступник Джозеф О’Коннор, известный под псевдонимом PlugwalkJoe, получил пятилетний федеральный тюремный срок после признания его виновным по нескольким обвинениям, связанным с координированными кражами криптовалюты и захватом аккаунтов в социальных сетях. Офис прокурора США по Южному округу Нью-Йорка объявил о приговоре 23 июня, указав, что О’Коннор также должен отбывать три года условно и конфисковать $794,012.64 в криминальных доходах.

Атака с заменой SIM, которая всё началось

Основное преступление в деле О’Коннора заключалось в сложной операции по замене SIM, нацеленой на высокопоставленного руководителя крупной криптовалютной биржи. В апреле 2019 года О’Коннор спланировал схему перенаправления номера телефона жертвы на устройство под его контролем. Перехватывая SMS-коды двухфакторной аутентификации, он получил несанкционированный доступ к аккаунтам и торговым системам руководителя, в итоге похитив $794,000 в цифровых активах.

После первоначальной кражи О’Коннор и его сеть соучастников предприняли большие усилия для сокрытия следов денег. Они перемещали украденную криптовалюту через десятки промежуточных переводов, конвертировали части в Bitcoin через несколько обменных сервисов и в конечном итоге направляли части на счета, зарегистрированные на имя О’Коннора. Эта операция по отмыванию денег демонстрировала явную схему преднамеренного сокрытия, направленную на уклонение от обнаружения.

Взлом Twitter и более широкая кампания

Преступная деятельность О’Коннора выходила далеко за рамки одного взлома биржи. В июле 2020 года он участвовал в скоординированной атаке на Twitter, в результате которой были скомпрометированы около 130 аккаунтов высокого профиля. Работая в рамках более крупного заговора, группа использовала социальную инженерию и техники замены SIM для захвата контроля над этими аккаунтами, получив примерно $120,000 в криптовалюте с помощью мошеннических схем.

Операция в Twitter продемонстрировала сложность подхода О’Коннора. В некоторых случаях злоумышленники напрямую контролировали скомпрометированные аккаунты для проведения обманных промо-акций. В других — продавали доступ к захваченным аккаунтам третьим лицам, создавая дополнительный источник дохода от несанкционированного доступа.

Помимо финансового мошенничества, О’Коннор занимался преследованием и запугиванием. Он пытался вымогать у жертвы Snapchat, угрожая публично опубликовать личные сообщения, если те не продвигали его онлайн-личность. Также он преследовал и угрожал другим лицам, организуя инциденты с “своттингом” — ложными вызовами экстренных служб в полицию — против конкретных целей.

Почему атаки с заменой SIM остаются постоянной угрозой

Несмотря на то, что преступления О’Коннора произошли почти три года назад, атаки с заменой SIM продолжают угрожать индустрии криптовалют. Вектор атаки заключается в временном переносе номера телефона на SIM-карту, контролируемую злоумышленником. После активации злоумышленник перехватывает все входящие звонки и сообщения, получая доступ к любым аккаунтам, использующим SMS-двухфакторную аутентификацию. Эта фундаментальная уязвимость стандартных методов аутентификации делает такие атаки особенно ценными для нападений на держателей крупной криптовалюты.

Недавние инциденты подтверждают продолжающуюся опасность. В июне 2024 года аналитик ZachXBT задокументировал скоординированную кампанию по замене SIM против как минимум восьми известных фигур в криптопространстве, включая основателя Pudgy Penguins Cole Villemain, продюсера электронной музыки и энтузиаста NFT Steve Aoki и редактора Bitcoin Magazine Pete Rizzo. Злоумышленники использовали взломанные аккаунты для распространения фишинговых ссылок, в результате чего было украдено почти $1 миллионов в криптовалюте.

Дело О’Коннора стало знаковым приговором в этой области, но оно не остановило других злоумышленников от использования подобных тактик. Поскольку SMS-авторизация остается распространенной, а высокопрофильные цели продолжают хранить значительные цифровые активы, стимулы для атак с заменой SIM не показывают признаков ослабления.