诺亚·厄本 (Noah Urban) 在臭名昭著的「Scattered Spider」团伙中扮演的角色是劝说人们在不知情的情况下让犯罪分子获取敏感电脑系统的存取权限。
2022 年 9 月的一个下午,在满是金袋表情符号和小丑表情符号、充斥著「笑到快疯了」(lmfaos)和「笑到不行」(loooools)的 Telegram 群聊中,出现了一张像素化的缩图,画面是一名满身是血的少年。诺亚·厄本(Noah Urban)当时 18 岁,居住在佛罗里达州棕榈海岸,他点开了影片。
影片中,这名少年哀求诺亚向他的绑匪转帐 20 万美元,绑匪正拿著枪对准他的头。「埃利亚(Elijah),真的兄弟,你知道我们以前一起干活过,」少年说道,称呼诺亚为他的一个化名。他的脸肿胀,嘴里满是血,血滴到他穿著的白色 Hollister 卫衣上。「你知道我一直支持你。只要告诉我,我会做任何你想让我做的事。」
诺亚立刻认出了这个少年。贾斯汀(Justin)曾为他工作,帮助他盗窃加密货币。他虽然不知道贾斯汀的全名,但他知道自己不能向绑匪妥协。此外,他认为,这段影片可能是伪造的。于是,他没有转帐任何资金。
这样的片段可能会让大多数青少年感到惊恐,但到 2022 年,诺亚已经见过太多类似的事情。当时,他正在逃避联邦调查局(FBI)的追捕,作为一个网路犯罪团伙的成员,该团伙后来被称为「Scattered Spider」(深潮注:也被称为 UNC3944,是一个主要由青少年和年轻人组成的骇客组织,成员据信主要来自美国和英国。这个组织因其复杂的社会工程手段和网路攻击而闻名)Margi Murphy。这个团伙已经成为全球最臭名昭著的网路犯罪组织之一,与数十起针对美国和英国公司的攻击有关。其中最严重的包括:2023 年对米高梅国际度假村(MGM Resorts International)的勒索软体攻击,该攻击导致赌场的电脑系统瘫痪,给公司造成了 1 亿美元的损失;以及今年早些时候对英国零售商 Marks & Spencer Group Plc 的攻击,预计将导致约 4 亿美元的损失。
联邦调查局和英国国家犯罪局已将「Scattered Spider」列为重点打击目标。美国网路安全与基础设施安全局(CISA)将该团伙描述为「对美国机构构成严重且持续威胁」。网路防御公司 Mandiant 将其列为「影响欧洲和美国机构的最具侵略性和渗透性威胁行为者」之一。去年,《60 分钟》节目还报导了「Scattered Spider」与俄罗斯勒索软体骇客的联系。
诺亚在该团伙中扮演了关键角色,担任「电话诈骗员」(caller)。他的经历是一则警示故事,讲述了一名没有多少技术能力的高中生如何从游戏过渡到快速盗窃加密货币,再到通过电话诈骗进入电信和科技公司的电脑网路以窃取敏感资料。他在佛罗里达中部的一个中产家庭长大,小时候常穿著 Crocs 凉鞋和冲浪短裤去钓鱼,去鳄鱼乐园(Gatorland)体验高空滑索,或者到奥兰多的环球影城游玩——这些都是普通男孩的活动。然而,随著他的犯罪行为升级,虚拟世界的活动开始蔓延到现实世界。绑架、火焰炸弹袭击以及性勒索案件引起了执法部门的注意。诺亚在网上结交的朋友如今面临长期监禁。
这篇报导是通过法院文件、Discord 上的对话以及 Telegram 讯息整理而成,同时采访了数十位威胁情报分析师、执法人员以及熟悉诺亚犯罪生涯的其他人士。其中包括诺亚本人,他在佛罗里达州的一所监狱里通过几十次电话与《彭博商业周刊》交谈,并提出条件,要求在他被判刑之前不得报导这些对话。
「你好,我叫凯文(Kevin),我正在代表 T-Mobile 内部安全管理部门打电话。」
诺亚其实并不是真正的骇客。他出生于 2004 年,也就是 Facebook 推出的那一年。他喜欢游泳和橄榄球,而不是编程。他有几个朋友和一个高中的恋人,但大多数时候他独来独往,在课堂上也不怎么参与。「我是个怪孩子,」诺亚回忆道。「我没有很多朋友,所以我没学到那种从与人交往中学到的社交暗示。」毕业后三年,他最喜欢的老师甚至不记得他。
诺亚 8、9 岁时开始玩《我的世界》(Minecraft),15 岁时通过游戏认识了一些人,并首次听说了 SIM 卡交换(SIM-swapping)骗局。这种骗局涉及将某人的电话号码转移到你拥有的手机上,以便拦截安全代码、接管他们的线上帐户并转移资金。这种操作不需要任何编程技能,关键技能是社会工程学——说服或贿赂电信公司员工为你「激活」号码。
诺亚很快展现了出色的谈话能力,拥有一副与年龄不符的低沉嗓音,能够欺骗受害者交出个人资讯。他还将自己的社交工程能力归功于父母,「礼貌和尊重,这两项是我小时候学到的最重要的东西,」他说。
通过《我的世界》认识的 SIM 交换团伙领导人,每次诺亚成功通过电话导致加密货币被盗,就支付他 50 美元。他在第一周就赚了 3000 美元。
诺亚并不缺钱。他的父母在他还是幼儿时就分开了,但生活都很舒适。他的母亲在奥兰多北部一个封闭社区里拥有一套房子,从事人力资源工作;他的父亲是一名海军退役军人,经营一家线上行销公司,在附近拥有一处带泳池和按摩浴缸的住宅。
然而,SIM 卡交换带来的肾上腺素飙升,以及在现实生活中难以找到的友情,让诺亚深深著迷。「如果你在沃尔玛旁边排队站著 10 个人,你可能不会找到很多与你合得来的人,」他说,「但如果你可以在线挑选你想要的朋友——大家都有共同的兴趣爱好——那就特别容易相处。」
诺亚加入了一个由大约 15 名玩家组成的团体,其中包括来自俄勒冈州波特兰的 17 岁少年丹尼尔·贾恩克(Daniel Junk)和来自苏格兰的另一名 17 岁少年泰勒·布坎南(Tyler Buchanan)。诺亚说,他们购买了一份从加密钱包公司 Ledger SAS 盗取的资料库,该资料库提供了加密货币持有者及其电子邮件地址的名单。下一步是进入这些电子邮件帐户,他们开始寻找任何使用 Outlook、AOL 或 Yahoo!帐户的人。他们告诉诺亚,这些帐户是最容易攻破的。
这些新朋友是所谓「Com」(社群)地下网路的一部分,这个网路广泛分布在 Discord 和 Telegram 上,汇集了许多年轻人,他们寻找珍贵的用户名、视频游戏战利品以及可以通过帐户接管盗取的加密货币。联邦调查局(FBI)从 2018 年开始调查「Com」,据探员估计,到那时,该团体已经盗窃了 5000 万美元。
随著更多「Com」成员发现盗取加密货币的简单性,对 SIM 卡交换的需求也随之增加。一些人猜测哪家电信公司,比如 T-Mobile US Inc. 或 AT&T Inc. 的呼叫中心支援承包商员工最容易被欺骗。还有人雇佣孩子跑进手机店偷客户代表的 iPad。为了取乐,窃贼们经常拍摄这些行为并上传到网上。
诺亚说,贾恩克发现了一种方法,可以通过将自己的个人电脑注册到 T-Mobile 的企业网路,并使用远端存取软体进入公司的 SIM 卡激活工具,有时能够持续数月。当 T-Mobile 检测到可疑登入时,它会重置帐户,将贾恩克锁定在外。因此,他开始付钱给诺亚,让他拨打电话欺骗员工交出登入资讯。诺亚假装自己是资讯科技部门的员工,成功骗取了登入资讯。
其他参与 SIM 交换的人会在 Discord 上监听诺亚拨打电话的过程,同时玩《反恐精英》(Counter-Strike)或《使命召唤》(Call of Duty),并阅读贾恩克为他编写的脚本。「你好,我叫凯文(Kevin),」脚本开头写道,「我正在代表 T-Mobile 内部安全管理部门打电话。」当毫无戒心的销售代表不小心让诺亚进入系统时,贾恩克和他的朋友们会屏息倾听每一个字。当诺亚出错时,他们会笑得前仰后合。(T-Mobile 的一位发言人表示,公司已经改进了安全措施,以「减少非法 SIM 卡交换」。)
随著诺亚欺骗越来越多的人,他发现目标不仅是可预测的,而且本质上是善良的。虽然很难让员工相信他们提交了 IT 工单,但他可以让他们相信工单一定是错误地连结到他们的帐户上——能否请他们帮忙关闭工单,以便他结束工作?他们几乎总是配合。当诺亚通过谈话攻入一个新帐户时,来自新朋友的认可比《我的世界》带来的满足感还要强。
「令人震惊的是,这么年轻的孩子居然有能力在世界某个地方煽动枪击事件,而且几乎不需要承担责任。」
诺亚的母亲开始怀疑他在搞什么鬼。陌生人订购的神秘披萨开始送到她家门口。她听到关于 SIM 卡交换的对话。当她试图制定更严格的规则时,16 岁的诺亚搬去和父亲住。
罗伯特·厄本(Robert Urban)住在佛罗里达州德兰的一栋五居室房子里。车库里堆满了工具,客厅摆满了他伴侣两个孩子的玩具。一只白色的马尔基犬在他脚边吠叫。他说,当诺亚开始叫他「失败者」(buster)时,他注意到了一些变化。那时诺亚大约 15 岁。「你不开法拉利,你还要支付房贷,你拼命工作,却仍然在挣扎,」他回忆诺亚说过的话。从那时起,厄本发现儿子的行为发生了「剧烈变化」。
当设计师服装送到家门口时,或者在罕见的社交场合中,诺亚戴著一块镶满钻石、价值 3.5 万美元的劳力士手表,穿著一双路易威登的运动鞋时,他会告诉父亲,他通过《我的世界》出售物品,用所得资金投资加密货币。厄本自己也喜欢比特币,他还向朋友炫耀儿子的成功。
厄本试图让诺亚变现部分加密货币资产,用于更传统的投资。「不,爸爸,」诺亚会对他说,「我有我的计划。」相反,他花了 8 万美元购买了一个用户名为 Elijah 的《我的世界》帐户,又花了 3 万美元购买了 Twitter 上的 @e,此外还花了另一笔「荒谬」的金额购买了 @autistic。
诺亚很快开始雇用自己的电话诈骗员,包括他认识的贾斯汀。他会根据电信公司帐户的安全等级支付从 60 美元到 1000 美元不等的报酬。如果电话诈骗员能让员工安装远端存取工具,他会支付高达 4000 美元。当新冠疫情在全国范围内关闭学校时,诺亚对员工额外的空闲时间感到非常满意。
对电信公司的存取时有时无,导致一些 SIM 交换者开始互相盗窃。有些人开始进行「人肉搜索」(doxing),将其他骇客的真实姓名和个人资讯发布到网上以敲诈他们。《彭博商业周刊》查看了数十段 Discord 和 Telegram 影片,显示年轻人在喊著各自 SIM 交换派系的名字时向住宅投掷砖块,这种行为被称为「投砖」(bricking)。他们还破解并泄露对手女友的裸照及个人资讯,鼓励他人骚扰她们。甚至有专门的 Telegram 聊天群用于羞辱「Com」成员的女友。
宾夕法尼亚州东部威斯顿-东戈申警察局的侦探大卫·黑尔(David Hale)说,他在 2022 年 1 月了解到「Com」,当时他被叫到一个富裕郊区的住宅,该住宅有人向客厅开了八枪,屋内有三人。两周前,该地区另一处房屋报告了一起火焰炸弹袭击事件。这两起攻击的目标都是与「Com」有关的年轻女性。「令人震惊的是,这么年轻的孩子居然有能力在世界某个地方煽动枪击事件,而且几乎不需要承担责任,」黑尔说。
诺亚说,他没有参与任何内部争斗,但他知道麻烦会找上门来。2021 年,骇客向他母亲的家投掷砖块,以为他还住在那里。她收到了匿名讯息,威胁如果她儿子不转移数十万美元的加密货币,攻击将继续。诺亚拒绝了,最终攻击停止了。
艾莉森·尼克松(Allison Nixon)对此感到越来越担忧。作为网路安全公司 Unit221B 的首席研究官,她对骇客逃避警方审查感到沮丧,并对他们攻击的侵略性表示担忧。
网路安全领域的成年人通常对青少年骇客持宽容态度,试图引导他们进入产业职业,以利用他们的才能。但在尼克松看来,这种方法已经不再奏效。「解决这个问题的唯一方法,」她说,「是政府像对待暴力街头帮派一样,历史性地解决这个问题。」
她的建议没有引起政府官员的共鸣。她形容这些官员「完全不知所措」,并表现得好像有更重要的事情要做,而不是在网上追逐孩子。她和其他网路安全调查人员警告执法官员,「Com」成员可能会成为更大的威胁。
到 2022 年,诺亚即将完成高中学业。他变得越来越疏离,错过了集会和舞会,也没有提交一段展示同学戴口罩的 YouTube 合集影片。根据法庭记录,诺亚已经是百万富翁,但他更专注于将自己的犯罪事业提升到新的层次。
「我只想要财务自由,整天和朋友们一起玩,听音乐。」
寻找新的加密货币持有者名单时,诺亚想到了针对通信技术公司 Twilio Inc. 的主意。由于该公司的软体被 5 万家公司用于管理与客户的简讯和电话,诺亚认为它会拥有大量有价值的资料。2022 年 8 月,在他 18 岁生日的几个星期前,他和朋友购买了一个伪造域名,该域名的网页看起来像用户认证公司 Okta Inc. 的登入页面,并向 Twilio 员工发送了带有连结的简讯。
「警告!!!您的 Twilio 日程已更改。点击 twilio-okta.com 查看更改!」
诺亚成功让一名 Twilio 员工上当受骗。然而,当那个人没有他想要的资料时,他登入了他们的 Slack 帐户,并向他在 LinkedIn 上找到的一名更高级别员工发送了一条讯息。「我基本上告诉他们,我们需要这些资料用于审计目的或类似的事情,」诺亚说,「然后他们就导出了资料库并发送给了我。」
通过 Twilio 的企业客户存取码,诺亚和同伙能够攻入更多公司。总的来说,他们最终获得了使用 Twilio 的 209 家公司的客户资料,包括简讯验证码。「我们感觉自己像神一样,」诺亚说。
几天后,一家协助 Twilio 客户的网路安全公司 Group-IB 在部落格中宣布了资料盗窃事件,并将骇客命名为 0ktapus。受到惊吓的诺亚丢掉了价值 3000 美元的电脑和手机,换了新设备。不久之后,一名 0ktapus 成员将资料分享给另一名 SIM 交换者,后者又进一步广泛传播。随著越来越多的「Com」成员从资料库中挑选名字,这些资料在黑市上不再具有任何价值。
诺亚所在团队的成员暂时低调了一段时间,但当警方没有上门时,他们变得更加大胆。据 Group-IB 表示,0ktapus 在 2022 年继续盗取了数千名员工的凭证。当他们成功进入一个企业帐户后,就会找出权限更高的员工并以他们为目标。同年 12 月,该团伙还盗取了由温克尔沃斯兄弟(Winklevoss twins)拥有的加密货币交易所 Gemini Trust Co. 的 570 万名客户个人资讯,并将这些资讯放到犯罪论坛上出售。
在诺亚满 18 岁后,他搬出了父亲的家,住进了佛罗里达州棕榈海岸一个安静社区的长期 Airbnb。他为自己的住所添置了床、桌子、沙发、电视,还有一只毛色像奥利奥饼干的猫,名叫戴安娜(Diana)。他说:「我只想要财务自由,整天和朋友们一起玩,听音乐。」
每周一次,他会开著道奇挑战者(Dodge Challenger)去一个商业街,在橄榄园餐厅(Olive Garden)和一家铁板烧餐厅之间选择,并留下 100 到 200 美元的现金小费。他还喜欢在夜晚高速公路上飙车,听 Lil Uzi Vert、Playboi Carti 和 Ken Carson 的音乐。
诺亚经常活跃在一个名为 Leakth.is 的论坛上,那里的人会发布他们最喜欢艺术家的「珍品」(即未发行的曲目)。他决定针对环球音乐集团(Universal Music Group NV)和华纳音乐集团(Warner Music Group Corp.)的员工,以便进入音效工程师和制作人的 Dropbox 或 iCloud 帐户,怀疑他们的文件中有未发行的音乐。
2022 年,诺亚使用一个名为 King Bob 的 Twitter 帐户发布了一段他声称是 Playboi Carti 未发行歌曲《Money N Drugs》的珍品片段。这个名字是向《卑鄙的我》(Despicable Me)中的小黄人致敬。他的帐户粉丝数一夜之间飙升至 11,000 人。关于 King Bob 身份的各种理论在网上传播开来,粉丝们猜测他可能是音乐工作室的推广者或叛变的制作助理。(唱片公司拒绝置评,Playboi Carti 的经理没有回应置评请求。)
诺亚称,他并不是唯一一个使用 King Bob 化名盗取音乐的人,而且他认为发布珍品是推广行为,而不是盗窃。然而,被他攻击的人却有不同的看法。纳西尔·彭伯顿(Nasir Pemberton),一位为侃爷(Kanye West)、A$AP Rocky 和 Playboi Carti 工作的制作人,指控诺亚盗取了他数百首歌曲,并在 Discord 上分享了他的 Dropbox 截图。「他差点毁了我的生活,」彭伯顿说。
「这完全是关于他们社群中的地位。这只是炫耀权。」
0ktapus 并不是「Com」中唯一引发关注的团体。另一个派系——后来与诺亚的团队联手后被暱称为「Scattered Spider」——也想超越 SIM 交换的领域。该派系包括一些曾属于 Lapsus$ 的成员,这个团体曾攻击过英伟达(Nvidia Corp.)和优步(Uber Technologies Inc.)。其中一名成员是一位名叫 Jack 的骇客,他吹嘘自己与勒索软体提供商有关系,并拥有绕过高级安全工具的软体。(另一名成员 Thalha Jubair,据检方称代号为 EarthtoStar,本月在英国被捕。美国检方于 9 月 18 日公开了一项指控,称现年 19 岁的 Jubair 帮助敲诈了 47 家美国公司,总金额达 1.15 亿美元。他的英国律师拒绝置评。)
诺亚觉得与他们合作会很酷。他开始与 Jack 建立联系,Jack 对 Twilio 的入侵感到印象深刻,但却贬低诺亚和他朋友们通过攻入公司盗取资料库的策略。Jack 认为,通过敲诈被攻入的公司赚钱要快得多。
诺亚说,他们一起通过谈话进入加密货币交易平台 Crypto.com 的一名员工帐户。他们还利用联合包裹服务公司(UPS)的系统收集潜在受害者的个人资料。(Crypto.com 的一位发言人表示,此次针对其平台的攻击此前未被媒体报导,涉及的资讯仅影响「极少数个人」,且没有客户资金被存取。UPS 在 2023 年表示已修复问题,但拒绝为本文提供进一步细节。)
该团体渴望获取更多资料。诺亚称,在虚拟课堂间隙,他使用 ChatGPT 研究哪些组织可以存取盗取加密货币所需的个人详细资讯,以及哪些类型的员工可能拥有这些资讯。2023 年 1 月,他们攻入了影片游戏公司 Riot Games Inc.,盗取了其热门游戏《英雄联盟》(League of Legends)的原始码以及一些反作弊工具。他们要求支付 1000 万美元以归还这些资料,这是该团体首次提出勒索要求。Riot Games 拒绝支付。
诺亚说,他没有参与勒索企图,但他此前通过自己的电话诈骗技巧进入了该公司。他在盗窃期间对自己个人的 Riot Games 帐户进行升级,这成为调查人员认为的重要线索——此外还有检方称他在几天后发送的一条似乎承认攻击的讯息。
2023 年 3 月 1 日清晨,一切开始崩塌。当诺亚带著他的猫从兽医那里回家时,二十多名 FBI 探员和警察包围了他的车,要求他打开车门。他犹豫了一下,担心戴安娜会跑出去,这让他们起初怀疑他在隐藏什么。当他解释后,警察允许他把猫带进屋。
诺亚坐在沙发上阅读搜查令,而探员们翻遍了他的住所,没收了他的电脑和 iPhone。他拒绝提供密码。当他要求打电话给父亲时,一名 FBI 探员同意了,并将诺亚的手机举到他脸前试图解锁。「好尝试,」诺亚心想,同时躲开了。
检方称,联邦探员总共查获了约 400 万美元的加密货币、10 万美元现金和价值 10 万美元的珠宝,包括劳力士手表和另外五块手表。他们还拿走了一台点钞机和诺亚的索尼 PlayStation 5。诺亚说,他们只给他留下 16 美元和一本护照。
「像其他所有的父亲一样,我心碎了,但我会永远爱他,并在我死之前不会放弃他。」
诺亚当天没有被逮捕,但 FBI 探员指控他攻入 Riot Games 以及涉及几起加密货币盗窃事件。「他们让我坐下,说,『我们知道你是一个社会工程师,』」诺亚回忆道。「『我们知道你是 Scattered Spider 的一员。』」
事实证明,FBI 自 2021 年起就一直在追踪诺亚,当时他因在俄勒冈州波特兰的一起 SIM 交换事件中被标记为低级参与者。尽管诺亚缺乏技术技能,但他仍然是「我们当时所知的顶级交换者之一,」负责波特兰办公室的特别探员道格拉斯·奥尔森(Douglas Olson)说,他参与了此案。「他非常非常擅长欺骗员工交换受害者电话号码并获取个人资讯,从而实施犯罪。」
诺亚搬回了父亲家,他的父亲表示,当他听到儿子涉嫌犯罪的程度时感到震惊。同月,他们与律师一起飞往俄勒冈州,那里 FBI 探员一直在追踪贾恩克,诺亚的某位合作伙伴。据法庭文件显示,诺亚在那里向检方承认,从 2020 年底到 2023 年初,他盗窃了多达 1500 万美元。他表示自己不会再接触加密货币或进行骇客活动。
尽管诺亚在采访中的言论,FBI 的奥尔森认为他「完全没有表现出悔意」。奥尔森说,诺亚的整个社交生活都围绕著实施网路犯罪,这使他对受害者变得麻木。事实上,诺亚告诉探员,他的大部分收益几乎是获得后立即花在加密货币赌博和游戏网站上。「这完全是关于他们社群中的地位,」奥尔森说。「这只是炫耀权。」
即使在家中被突袭后,诺亚仍继续进行社会工程学和盗窃音乐活动,据一名参与调查但要求匿名的 FBI 探员称。网路犯罪研究人员表示,Scattered Spider 在突袭后似乎安静了一段时间。同年 9 月,该团伙涉嫌攻入凯撒娱乐公司(Caesars Entertainment Inc.),并敲诈这家赌场公司 1500 万美元。据知情人士透露,凯撒没有回应置评请求。
几天后,米高梅度假村(MGM Resorts)发现骇客已经进入了其系统,盗取了员工的 Okta 密码。米高梅关闭了其电脑系统。在拉斯维加斯的赌场大厅里,老虎机的支付功能停止工作。包括时任联邦贸易委员会主席莉娜·汗(Lina Khan)在内的客人被锁在房间外。公司没有支付赎金,但估计此次攻击造成了 1 亿美元的损失。
这一事件令人震惊。勒索软体通常是俄语团体的专属领域,而现在的证据表明,这种软体被离家更近的骇客所使用。
网路安全公司 CrowdStrike Holdings Inc. 和 Mandiant 表示,Scattered Spider 几个月来一直在积极追踪他们的客户。这些公司与网路安全公司分享了 Scattered Spider 与其客户服务员工之间的录音,研究人员惊讶地听到熟悉的口音。加密货币交易所 Coinbase Global Inc. 的首席资讯安全官杰夫·隆格霍费尔(Jeff Lunglhofer)在 2023 年描述他们为「年轻、口齿伶俐的男性」,「反应迅速,甚至很机智。」
米高梅攻击发生一个月后,微软公司(Microsoft Corp.)在部落格文章中描述了 Scattered Spider 的勒索信变得越来越具有攻击性。成员们使用家庭地址和家族姓名以及身体威胁来迫使人们分享密码或代码,微软表示。同年 11 月,美国国土安全部警告称 Scattered Spider 与勒索软体团体 AlphV 合作,后者的成员讲俄语,并为赎金分成提供现成的恶意软体。
诺亚否认参与赌场攻击或部署勒索软体,他也没有因这些罪行被起诉。但政府怀疑他没有完全改邪归正。检方后来声称,2023 年 8 月,诺亚从一个 FBI 正在追踪的钱包中提取了价值 1 万美元的比特币,尽管他承诺不再接触加密货币。他们发现了诺亚给朋友的 Discord 讯息。其中一条写道:「我今天和一个联邦律师谈过。他们说如果我很快没有被起诉,我很可能会赢得这场官司。你无法想像如果我没有启动『核模式』(指删除电脑上的所有内容)会有多糟糕。」
FBI 对诺亚帐户的分析显示,2022 年中期,他帮助通过加密货币交易所和线上赌博服务转移了约 7600 万美元。诺亚说,这个数字不完全准确,但「也差不多。」
随著执法部门逐渐逼近诺亚,他的一些同伙陷入了另一种麻烦。贾恩克于 2023 年 3 月认罪,承认共谋进行电信欺诈。他在保释期间继续进行骇客活动。同年 11 月,当他返回波特兰的公寓时,三名男子将他拖进了一辆货车。他们将他的手绑在背后,套上头罩。绑架者多次取下头罩询问贾恩克的加密货币藏匿地点,当他不回答时,又将头罩紧紧套回他的脖子。他们不知道联邦探员已经从他那里查获了 400 万美元的加密货币。
「该死,」贾恩克回忆道,他在加州洛姆波克联邦监狱的探视室里坐在一个儿童大小的椅子上讲述了这次绑架。「我可能要死了。」
第二天早晨,一名慢跑者在一个十字路口发现了贾恩克,他被绑在一根柱子上,遍体鳞伤。贾恩克在离开重症监护病房后一个月再次被捕,并被判处六年监禁。他说,现在在监狱里是一种解脱,他的手腕上仍然可见一条电缆束带留下的疤痕,上面刺有《飞出个未来》(Futurama)角色本德(Bender)的纹身。他说,他的家人可以重建他们的生活,不再受到骚扰,而他自己也不再有骇客的诱惑。「我们做的事情,我想,确实挺糟糕的,」他说。
2024 年 10 月,四名男子因与贾恩克绑架案有关而被捕。他们都不认罪,目前正在等待审判。检方称,另外两名男子负责绑架贾斯汀,即那名在影片中请求诺亚帮助他的男孩。两人因入室盗窃和加密货币盗窃被定罪。贾斯汀设法逃脱,并在距离家 120 英里的佛罗里达高速公路上被一名州警发现。他无法联系置评。
诺亚于 2024 年 1 月被捕,距离警方搜查他在棕榈海岸的住所已有九个月。他被关押期间不得保释。随后,加州检方对他及另外四人提起了涉及骇客攻击 13 家公司的指控,包括 AT&T、T-Mobile、Verizon Communications Inc.、Twilio 和 Riot Games。这些指控中包括他的苏格兰游戏好友泰勒·布坎南(Tyler Buchanan),后者于 2024 年 6 月在西班牙被捕并被引渡至美国,他对指控表示不认罪。布坎南本人及其律师均未回应置评请求。AT&T、T-Mobile、Verizon、Twilio 和 Riot Games 也拒绝置评。
诺亚并未因盗窃音乐而受到指控,但检方在起诉书中提到了 King Bob,而他的拘留照片迅速成为网路上的表情包。在线上,Playboi Carti 的粉丝呼吁 FBI 公开诺亚盗取的音乐收藏。一名 Reddit 用户指责诺亚的父母对其犯罪行为负有责任,这促使诺亚的父亲在网站上作出回应。「有时候人们会做出违背他们所受教育的选择,」厄本写道,「像其他所有的父亲一样,我心碎了,但我会永远爱他,并在我死之前不会放弃他。」
美国佛罗里达中区的检察官格雷戈里·基奥(Gregory Kehoe)预测,像诺亚这样的人很难彻底摆脱犯罪。「这不仅仅是上瘾,这是他们的生活方式,」他说。「如果你的整个社交网路都围绕著多个平台上的线上交流,即使你遇到了一些挫折,你又有多大可能不会重新回到那种生活?」
诺亚表现出他还未准备好放弃线上生活的迹象。他曾因使用偷运的手机被两次关进单独监禁。2024 年 8 月,他在 X(原 Twitter)帐户上发了一条贴文:「无聊。」负责他案件的法官遭到骇客攻击,检方 accuses 这是诺亚的一名同伙所为。
「像 AT&T 和 T-Mobile 这样的财富 500 强公司居然被一群青少年孩子轻易地欺骗了。」
被捕几周后,诺亚从监狱打电话给《商业周刊》的一名记者,回应采访请求。在接下来的一年里,他几乎每周都会从佛罗里达州斯塔克的监狱打电话,讲述他的经历。他言词礼貌、冷静,且拥有一种令人放松的幽默感。他说,起初大多数囚犯都对这个因「电脑指控」而被关押的白人小孩持怀疑态度——通常「电脑指控」是性犯罪的代名词。但当他的拘留照片出现在关于米高梅骇客事件的《60 分钟》节目片段中时,他们开始对他改观。
2024 年 4 月,诺亚对电信欺诈和严重身份盗窃罪表示认罪。在 7 月的一次视讯通话中,他蜷缩在他生活了 19 个月的 30 人宿舍的双层床底部,距离判刑还有几周。在之前的电话中,他听起来很自信,谈论如何赢得囚犯的尊重,以及用方便面赌博而不是用数百万美元。然而,这次,他头发梳在额头上,显得年轻而笨拙。他谈起一个曾经喜欢的女孩,他们在学校一起打排球。
当听到英国逮捕了四名「Scattered Spider」嫌疑人的消息时,他的眼神几乎没有变化。诺亚说,只要年轻人继续招募彼此,这种犯罪就会继续。「希望它会结束,但我看不到这种可能性。」
2024 年 8 月 20 日,诺亚穿著一件背后印有「囚犯」字样的海军蓝色囚服,出现在杰克逊维尔的联邦法院接受判刑。在前一晚的电话中,他说自己「既紧张又兴奋」,预计不会超过八年监禁,并对律师提出的五年请求感到乐观。
他的律师凯瑟琳·谢尔顿(Kathryn Sheldon)告诉法庭,诺亚受到了年长的共谋者的教唆,并卷入了他认为是游戏的活动。「不是要把责任推到 Coinbase 或其他组织身上,」她说,「但像 AT&T 和 T-Mobile 这样的财富 500 强公司居然被一群青少年孩子轻易地欺骗了。」
诺亚向受害者和家人道歉,承诺将传播他所负责的剥削行为的意识。「无论什么时候我能出来,我都想专注于改善自己,」他说。
但他并没有得到他所希望的宽恕。美国地区法官哈维·施莱辛格(Harvey Schlesinger)是一名 85 岁的前检察官,自 1991 年起担任法官,他宣读了诺亚几名受害者的声明,包括一名前消防员,他本指望自己的加密货币储备来支付试管婴儿治疗费用;还有一名退休人员,他在失去钱后不得不找份快递员的工作。一名来自明尼阿波利斯的企业主,他的数十万美元加密货币本是为孩子准备的,被诺亚盗走,他坐在旁听席上听判。
法官判处诺亚 10 年监禁——比检方要求的刑期还要长。法官表示,尽管诺亚的大部分犯罪行为是在未成年时进行的,但他显然「比大多数人聪明」。较长的刑期希望能起到威慑作用。他在法官宣读他欠债的一长串受害者名单并命令他支付 1340 万美元赔偿时几乎没有动作。
第二天晚上,诺亚从监狱打来电话。他说自己后悔伤害了家人和受害者,但他似乎对自己建立的友谊充满希望。「我并不是说我做的事情是好事,这是一个可怕的社群,而我做的事情是坏的,」诺亚说。「但我爱我的生活。我喜欢我自己。我很高兴我能以我自己的方式活过这一生。」
