Як багаторічна злочинна діяльність PlugwalkJoe призвела до п’ятирічного ув’язнення

Британський кіберзлочинець Джозеф О’Коннор, відомий під псевдонімом PlugwalkJoe, отримав п’ятирічний федеральний тюремний термін після засудження за кілька обвинувачень, пов’язаних із скоординованими крадіжками криптовалюти та захопленням акаунтів у соціальних мережах. Офіс прокурора США для Південного округу Нью-Йорка оголосив про засудження 23 червня, зазначивши, що О’Коннор також має відбувати три роки під наглядом і конфіскувати $794,012.64 у кримінальних доходах.

Атака з заміною SIM-карти, яка все почала

Основне правопорушення у справі О’Коннора стосувалося складної операції з заміною SIM-карти, спрямованої на високопоставленого керівника великої криптовалютної біржі. У квітні 2019 року О’Коннор організував схему перенаправлення номера телефону жертви на пристрій під його контролем. Перехоплюючи SMS-коди двофакторної автентифікації, він отримав несанкціонований доступ до акаунтів на біржі та торгових системах керівника, в кінцевому підсумку вивівши $794,000 у цифрових активів.

Після початкової крадіжки О’Коннор і його мережа співучасників доклали великих зусиль, щоб приховати слід грошей. Вони переміщували викрадену криптовалюту через десятки проміжних переказів, конвертували частину у Біткоїн через кілька обмінних сервісів і зрештою переказували частину на рахунки, зареєстровані на ім’я О’Коннора. Ця операція з відмивання демонструвала чіткий шаблон навмисного приховування, спрямованого на уникнення виявлення.

Злом Twitter та ширша кампанія

Кримінальна діяльність О’Коннора значно виходила за межі одного пограбування біржі. У липні 2020 року він брав участь у скоординованій атаці на Twitter, яка скомпрометувала приблизно 130 акаунтів високого профілю. Працюючи у рамках більшої змови, група застосовувала соціальну інженерію та техніки заміни SIM-карт для захоплення контролю над цими акаунтами, отримавши близько $120,000 у криптовалюті через шахрайські схеми.

Операція з Twitter показала складність підходу О’Коннора. У деяких випадках зловмисники безпосередньо контролювали зламані акаунти для проведення шахрайських промоцій. В інших вони продавали доступ до захоплених акаунтів третім особам, створюючи додатковий джерело доходу від їхнього несанкціонованого доступу.

Крім фінансового шахрайства, О’Коннор займався залякуваннями та переслідуваннями. Він намагався шантажувати жертву Snapchat, погрожуючи публічно оприлюднити приватні повідомлення, якщо вона не прославить його онлайн-особистість. Також він переслідував та погрожував іншим особам, організовуючи інциденти з “swatting” — фальшивими викликами екстрених служб до правоохоронних органів — проти конкретних цілей.

Чому атаки з заміною SIM-карт залишаються постійною загрозою

Незважаючи на те, що злочини О’Коннора трапилися майже три роки тому, атаки з заміною SIM-карт продовжують турбувати індустрію криптовалют. Вектор атаки полягає у тимчасовому перенесенні номера телефону на SIM-карту, контрольовану зловмисником. Після активації зловмисник перехоплює всі вхідні дзвінки та повідомлення, отримуючи доступ до будь-якого акаунта, що залежить від SMS-двофакторної автентифікації. Ця фундаментальна вразливість стандартних методів автентифікації робить її особливо цінною для цілей високовартісних криптоінвесторів.

Останні інциденти підтверджують постійну небезпеку. У червні 2024 року аналітик ZachXBT задокументував скоординовану кампанію з заміни SIM-карт проти щонайменше восьми видатних фігур у криптопросторі, включаючи засновника Pudgy Penguins Cole Villemain, продюсера електронної музики та ентузіаста NFT Steve Aoki і редактора Bitcoin Magazine Pete Rizzo. Зловмисники використали зламані акаунти для розповсюдження фішингових посилань, зрештою викравши майже $1 мільйонів у криптовалюті.

Справа О’Коннора стала визначною засудженою у цій галузі, але вона не зупинила інших зловмисників від застосування подібних тактик. Оскільки автентифікація на основі SMS залишається поширеною, а високопрофільні цілі продовжують зберігати значні цифрові активи, стимул для атак з заміною SIM-карт не має ознак ослаблення.