Як підліток Елліс Пінскі організував $24 -мільйонний крадіжку через SIM-заміну

Усього лише 15 років Елліс Пінскі керував однією з найбільших операцій цифрового крадіжки, яку коли-небудь приписували неповнолітнім. За допомогою скоординованих атак із заміною SIM-карт він і група співучасників перехоплювали телефонні системи автентифікації, щоб отримати доступ до криптовалютних гаманців, у результаті чого було викрадено цифрових активів на суму 24 мільйони доларів. Відчайдушність цієї схеми — виконаної підлітками без традиційних кримінальних мереж — привернула увагу федеральних слідчих і викликала обговорення про вразливості телекомунікаційної інфраструктури та безпеки криптовалют.

Операція почалася, коли Елліс Пінскі та його співучасники націлилися на криптоінвестора Майкла Турпіна. Група застосувала класичну телекомунікаційну експлуатацію: підкуплювали працівників телекомунікаційних компаній, щоб перенаправити номер Турпіна на пристрої під їхнім контролем. Отримавши контроль над його номером, Елліс Пінскі та його команда запустили автоматизовані скрипти, які систематично витягували цифрові активи з акаунтів Турпіна — електронної пошти, хмарних сховищ і, що важливо, даних для входу до його криптовалютних рахунків.

Технічний механізм: як заміна SIM стала зброєю у криптовалюті

Заміна SIM-карт, по суті, є низькотехнологічним обходом автентифікації. Злочинці визначили, що двофакторна автентифікація через телефон — створена для захисту онлайн-акаунтів — може бути обійдена, якщо вони контролюють номер цілі. Переконавши або підкупивши представників телекомунікацій, щоб перенести номер жертви на нову SIM-карту, зловмисники отримували доступ до SMS-кодів, що розблоковують функції скидання паролів. Потрапивши до електронних поштових акаунтів, вони отримували доступ до даних гаманців. Для криптовалют, таких як Ethereum і Bitcoin, це означало майже повне компрометування акаунтів.

Операція Елліса Пінскі спочатку виявила 900 мільйонів доларів у Ethereum на рахунках Турпіна, але ці активи були захищені додатковими шарами автентифікації. Команда змінила тактику і знайшла 24 мільйони доларів доступних цифрових активів, які їм вдалося успішно перевести на свої рахунки. Вкрадені кошти стали найбільшим задокументованим крадіжкою за допомогою заміни SIM у той час.

Від форумів хакерів до федерального розслідування

Шлях Елліса Пінскі до кіберзлочинності був звичайним. Виріс у Нью-Йорку, він рано ознайомився з технологіями та хакерськими спільнотами онлайн. Уже в підлітковому віці він перейшов від академічних форумів до більш серйозної злочинної діяльності — спочатку монетизуючи викрадені облікові записи у соцмережах, а згодом переходячи до безпосередніх крадіжок криптовалют через експлуатацію заміни SIM.

Операція принесла йому значне миттєве багатство. Елліс Пінскі та його співучасники купували розкішні речі — висококласні годинники та доступ до нічних клубів — намагаючись зберегти оперативну безпеку. Однак схема швидко розвалилася, коли співучасники не змогли тримати мовчання про свій успіх. Співучасник Ніколас Трулья відкрито хвалився крадіжкою в мережі і зробив критичну помилку, зв’язавши свою справжню особистість із транзакціями на Coinbase. Федеральні слідчі простежили кошти через блокчейн і традиційні банківські канали. Трулья був притягнутий до відповідальності та ув’язнений.

Наслідки та шлях Елліса Пінскі вперед

Елліс Пінскі зіткнувся з серйозними федеральними звинуваченнями, але його вік — на момент злочину йому було 15 років — став важливим юридичним фактором. Хоча він уникнув максимальних кримінальних покарань, Майкл Турпін подав цивільний позов і отримав проти нього рішення на 22 мільйони доларів. Цей позов значно перевищував будь-які активи Елліса Пінскі, фактично поставивши його у десятки років боргового навантаження.

Крім того, наслідки вийшли за межі суду. Турпін і інші, на яких напали Елліс Пінскі та його група, зазнали фізичних загроз; в одному випадку озброєні особи увірвалися до помешкання жертви, що ілюструє, як цифрові злочини часто переростають у фізичну небезпеку.

Зараз Елліс Пінскі навчається у Нью-Йоркському університеті, вивчає філософію та комп’ютерні науки. Він публічно заявив про намір створювати легальні технологічні проєкти і працювати над виконанням цивільного рішення проти нього. Чи є це справжньою реформою, чи стратегічним переформатуванням — залишається предметом обговорень у спільнотах кібербезпеки.

Справа Елліса Пінскі стала яскравим прикладом вразливості заміни SIM у сучасній телекомунікаційній інфраструктурі та підняла нагальні питання щодо захисту криптовалютних активів від атак на основі автентифікації. Його історія слугує застереженням про участь підлітків у складних кіберзлочинах і про прогалини у безпеці, які зробили цю крадіжку можливою.