Một nhóm tội phạm mạng có tên Scattered Spider đã bị buộc tội tổ chức một chiến dịch lừa đảo qua tin nhắn có giá trị 11 triệu đô la, xâm phạm vào các công ty và cướp đi hàng triệu đô la tiền điện tử.
Các cơ quan chức năng Hoa Kỳ đã tiết lộ các cáo buộc chống lại năm cá nhân bị cáo buộc là những kẻ chủ mưu của kế hoạch này. Kế hoạch nhắm vào nhân viên của các công ty trên khắp đất nước, lợi dụng thông tin đăng nhập của họ để truy cập vào dữ liệu nhạy cảm và ví tiền điện tử cá nhân.
Cartel tiền điện tử sử dụng Smishing để tống tiền 11 triệu đô la
Chiến dịch này dựa vào một vector tấn công đơn giản nhưng nguy hiểm: Lừa đảo qua tin nhắn SMS, hay "smishing". Từ tháng 9 năm 2021 đến tháng 4 năm 2023, nhân viên đã nhận được tin nhắn văn bản có vẻ như đến từ nhà tuyển dụng hoặc các nhà cung cấp CNTT liên kết.
Các tin nhắn này cảnh báo về việc vô hiệu hóa tài khoản sắp xảy ra và hướng dẫn người nhận đến các trang web giả mạo được ngụy trang như các cổng thông tin chính thức của công ty. Tại đây, nhân viên đã vô tình cung cấp thông tin đăng nhập của họ, cho phép những kẻ tấn công mở khóa cả mạng nội bộ của công ty và cuối cùng là ví tiền điện tử.
Các tài liệu tòa án vẽ ra một bức tranh chi tiết về sự chính xác của nhóm này. Trước tiên, họ lừa nhân viên chia sẻ thông tin của họ, sau đó họ vượt qua xác thực hai yếu tố, lừa nạn nhân phê duyệt các lần đăng nhập. Điều này cho phép những kẻ tấn công xâm nhập vào hệ thống của công ty, đánh cắp tài sản trí tuệ và thu thập nhiều dữ liệu cá nhân. Nhưng vụ trộm không dừng lại ở đó.
Thông tin bị đánh cắp trở thành nền tảng cho một cuộc tấn công thứ cấp - lần này nhắm vào các tài khoản tiền điện tử cá nhân. Nhóm cáo buộc đã sử dụng dữ liệu bị đánh cắp của họ để rút 11 triệu đô la tài sản kỹ thuật số từ những người nắm giữ tiền điện tử không ngờ trước.
"Đây là cách các tác nhân đe dọa, như SCATTERED SPIDER, tiến hành các cuộc tấn công vishing (lừa đảo qua điện thoại) để lừa nạn nhân chia sẻ thông tin nhạy cảm, chẳng hạn như thông tin đăng nhập, chi tiết tài chính hoặc mã bảo mật. Những kẻ tấn công này thường giả vờ là các thực thể đáng tin cậy, như hỗ trợ CNTT, tạo ra cảm giác khẩn cấp để thao túng mục tiêu của họ tuân thủ," một ảnh hưởng tiền điện tử X đã nói.
Những người bị cáo buộc là những cá nhân trẻ, thông thạo công nghệ với nhiều danh tính trực tuyến khác nhau. Một trong số họ là Ahmed Hossam Eldin Elbadawy, 23 tuổi, được biết đến với tên "AD". Một người khác là Noah Michael Urban, 20 tuổi, sử dụng các bí danh như "Sosa" và "Elijah".
Cũng liên quan đến vụ việc này là Evans Onyeaka Osiebo, 20 tuổi, và Joel Martin Evans, 25 tuổi, có biệt danh là "joeleoli", cả hai đều ở Mỹ. Cuối cùng, Tyler Robert Buchanan, 22 tuổi, cư trú ở Vương quốc Anh. Các cơ quan chức năng Hoa Kỳ đã tiến hành bắt giữ, bao gồm một bị cáo, Urban, người cũng đang đối mặt với các cáo buộc lừa đảo riêng biệt ở Florida.
Hậu quả pháp lý là đáng kể. Nếu bị kết tội, các bị cáo có thể phải đối mặt với tối đa 20 năm tù liên bang về tội âm mưu lừa đảo qua điện thoại, thêm các bản án cho các tội danh liên quan và thời gian tù bắt buộc về trộm cắp danh tính. Đối với Tyler Buchanan, các cáo buộc lừa đảo qua điện thoại một mình cũng có thể thêm nhiều thập kỷ vào bản án tiềm năng của anh ta.
Khi tài sản phi tập trung ngày càng phổ biến, sự sáng tạo của những người tìm cách khai thác chúng cũng tăng lên. Vụ việc này cảnh báo các công ty và người dùng tiền điện tử cần cảnh giác trước lừa đảo và tăng cường các biện pháp bảo mật. Trong một thế giới kỹ thuật số nơi niềm tin có giá trị, sự tự mãn sẽ đến với một cái giá cao và đôi khi thảm khốc.
