Vụ Trộm SIM Swap $24 Triệu của Ellis Pinsky khi 15 tuổi—Cách Một Thiếu Niên Thực Hiện Vụ Trộm Tiền Điện Tử Táo Bạo Nhất

Chỉ mới 15 tuổi, Ellis Pinsky đã tổ chức thành công vụ tấn công đổi SIM lớn nhất trong lịch sử ghi nhận. Đây không phải là một vụ tấn công của những kẻ chơi script đơn thuần—đây là một vụ trộm kỹ thuật số chính xác, cuối cùng đã đưa vụ việc lên bàn làm việc của FBI và thay đổi cách ngành công nghiệp crypto nhìn nhận về các lỗ hổng bảo mật.

Câu chuyện bắt đầu với Michael Turpin, một nhà đầu tư crypto không hề hay biết rằng số điện thoại của mình sắp trở thành mảnh đất có giá trị nhất trong hoạt động tội phạm của một thiếu niên. Ellis Pinsky, hoạt động từ bờ Đông cùng một mạng lưới đồng phạm tuổi teen, đã nghĩ ra một phương thức tấn công đơn giản nhưng cực kỳ hiệu quả: hối lộ nhân viên công ty viễn thông để chuyển hướng số điện thoại của mục tiêu về thiết bị do chúng kiểm soát.

Mục tiêu hoàn hảo và kẻ chủ mưu đứng sau vụ lừa đảo

Cuộc đời của Michael Turpin thay đổi ngay khi ông rời khỏi một hội nghị crypto và điện thoại của ông mất tín hiệu. Trên khắp đất nước, mạng lưới của Ellis Pinsky đã bắt đầu hành động. Họ đã xây dựng mối quan hệ với nhân viên viễn thông sẵn sàng thực hiện đổi SIM với mức giá phù hợp. Khi kiểm soát được số của Turpin, họ có chìa khóa vàng: mã xác thực qua tin nhắn SMS.

Ellis sử dụng các script qua Skype để xâm nhập hệ thống kỹ thuật số của Turpin theo từng bước—đầu tiên là email, rồi lưu trữ đám mây, cuối cùng là mục tiêu tối thượng: thông tin ví tiền điện tử. Chiến dịch diễn ra có hệ thống. Nhóm phát hiện ra một điều kinh ngạc: có tới 900 triệu USD Ethereum nằm trong các ví của Turpin. Nhưng chúng bị bảo vệ bởi các biện pháp đa chữ ký mà họ không thể phá vỡ.

Họ tiếp tục đào sâu. Và rồi họ phát hiện ra—24 triệu USD trong một ví dễ tiếp cận hơn. Chỉ trong vài giờ, số tiền đã biến mất. Các tài khoản chính của Turpin vẫn còn nguyên, nhưng 24 triệu USD đã hoàn toàn biến mất vào nền kinh tế ngầm của Ellis Pinsky.

900 triệu USD trong tầm tay, nhưng chỉ có 24 triệu USD trong tay

Khoản tiền lớn đến mức đó, nhưng đi kèm với những rắc rối ngay lập tức. Một đồng phạm đã bỏ trốn với 1,5 triệu USD trong số tiền bị đánh cắp. Người khác mắc sai lầm nghiêm trọng khi bàn về việc thuê sát thủ trực tuyến—một cuộc trò chuyện sau này bị cơ quan điều tra chú ý. Dù kỹ thuật tinh vi, nhưng hoạt động này bắt đầu sụp đổ dưới sức nặng của những lời khai và lòng tham của tội phạm.

Ellis Pinsky, đột nhiên giàu có chưa từng có tuổi teen nào, đã phạm những sai lầm dự đoán được. Một chiếc đồng hồ Rolex trị giá 100.000 USD được mua và giấu dưới giường. Anh thường xuyên lui tới các câu lạc bộ đêm. Những khoản tiêu xài xa xỉ này là những sai lầm về an ninh hoạt động (OPSEC) cuối cùng cũng bắt kịp mọi tội phạm.

Sự sụp đổ: Khi các cộng sự không giữ được bí mật

Bắt đầu từ khi Nicholas Truglia, một trong những cộng sự chủ chốt của Ellis Pinsky trong hoạt động, mắc sai lầm chí mạng. Truglia khoe khoang công khai trên mạng: “Đã trộm 24 triệu USD. Cũng không giữ nổi bạn bè.” Thêm vào đó, hắn dùng tên thật trên Coinbase. FBI không cần nhiều chứng cứ sau đó. Truglia bị bắt và sau đó bị kết án tù.

Ellis Pinsky đối mặt với kết quả khác, chủ yếu vì tuổi của hắn. Hệ thống pháp luật liên bang dành cho vị thành niên khiến hắn tránh được các cáo buộc nặng nhất, nhưng không thể thoát khỏi hậu quả hoàn toàn. Michael Turpin đã kiện dân sự Pinsky đòi 22 triệu USD. Những tên côn đồ đeo mặt khẩu súng đột nhập vào nhà Ellis Pinsky như một lời nhắc nhở đáng sợ rằng thế giới tội phạm hoạt động theo quy tắc khác với hệ thống công lý.

Từ tội phạm kỹ thuật số đến sinh viên NYU: Hành trình của Ellis Pinsky sau vụ trộm

Hiện nay, Ellis Pinsky là sinh viên chuyên ngành triết học và khoa học máy tính tại Đại học New York. Cậu mô tả mình là một nhà sáng lập startup đang cố gắng trả nợ và rút lui khỏi quá khứ tội phạm. Việc tự reinvent bản thân có thật sự chân thành hay chỉ là diễn xuất vẫn còn là câu hỏi mở—nhưng vào tuổi 15, Ellis Pinsky đã tích lũy tài sản, mối quan hệ nội bộ, các vụ kiện và đe dọa thực thể vật lý mà hầu hết mọi người phải mất cả đời để có được.

Các con số kể câu chuyện: 562 Bitcoin thu được qua hoạt động tội phạm, một mạng lưới nội bộ viễn thông tham nhũng trên toàn quốc, vụ kiện 22 triệu USD, và sự chú ý không mong muốn của cả cơ quan thực thi pháp luật liên bang lẫn các cá nhân tìm kiếm trả thù.

Những gì vụ án Ellis Pinsky tiết lộ về bảo mật crypto

Vụ trộm của Ellis Pinsky đã phơi bày những lỗ hổng nghiêm trọng trong cách ngành công nghiệp crypto—và hạ tầng viễn thông—bảo vệ tài sản kỹ thuật số. Đổi SIM vẫn là một trong những phương thức tấn công hiệu quả nhất chống lại cả những người dùng tinh vi nhất vì lỗ hổng không phải về kỹ thuật; đó là về con người. Hối lộ nhân viên viễn thông thường dễ hơn nhiều so với việc khai thác lỗ hổng zero-day.

Sự kiện này đã thúc đẩy việc sử dụng ví phần cứng, xác thực sinh trắc học và yêu cầu đa chữ ký trên các sàn giao dịch và dịch vụ lưu ký lớn. Nó cũng làm nổi bật một rủi ro thế hệ mới: những thiếu niên có kỹ năng kỹ thuật cao, không có gì để mất và mọi thứ để đạt được, có thể gây ra mối đe dọa sinh tồn cho các cá nhân có giá trị tài sản cao trong không gian crypto.

Câu chuyện của Ellis Pinsky là một bài học cảnh báo về hai mặt—đối với các nhà đầu tư crypto xem nhẹ các cuộc tấn công xã hội và đối với các hacker trẻ tin rằng kỹ năng kỹ thuật của mình sẽ miễn nhiễm khỏi hậu quả.