Hacker statunitense incarcerato per aver partecipato a una campagna di scambio di SIM multimilionaria
Il Dipartimento di Giustizia (DOJ) d'America ha annunciato questa settimana che il sesto membro (l'unico rimasto) di una banda internazionale di criminali informatici chiamata "The Community" è stato condannato a causa della sua parte nella truffa multimilionaria di scambio di SIM.
Il 22enne Garrett Endicott, cittadino del Missouri, è il sesto membro del gruppo di hacker ad essere condannato. È stato condannato a 10 mesi di reclusione a causa della sua partecipazione alla campagna, durante la quale è stata rubata alle vittime una criptovaluta per un valore di milioni di dollari e gli sono stati richiesti $ 121.549 in restituzione.
Il dirottamento della SIM, comunemente inteso come scambio di SIM, è una tattica che consente a un cyberattaccante di entrare in possesso del numero di telefono del suo bersaglio. In questo modo, l'attaccante inizia a ricevere messaggi e codici di autenticazione a due fattori (2FA) che possono essere utilizzati per accedere all'archivio cloud, alle e-mail e agli account di criptovaluta del bersaglio.
Secondo i pubblici ministeri del caso The Community, la campagna di scambio di SIM "è stata spesso facilitata corrompendo un dipendente di un provider di telefonia mobile". Hanno inoltre dichiarato:
“Altre volte, il dirottamento della SIM è stato compiuto da un membro della Comunità che ha contattato il servizio clienti di un provider di telefonia mobile — spacciandosi per la vittima — e chiedendo che il numero di telefono della vittima fosse scambiato con una carta SIM (e quindi un dispositivo mobile) controllata da The Comunità."
La campagna si è conclusa con il furto di decine di milioni di dollari di criptovaluta. Le vittime di questa campagna che sono state identificate come residenti in città di tutti gli Stati Uniti, tra cui Texas, Missouri, New York, California, Michigan, Illinois e Utah, hanno perso criptovaluta stimata tra $ 2.000 e oltre $ 5 milioni al momento del furto.
Il Dipartimento di Giustizia ha dichiarato che gli autori di reato sono stati coinvolti in furti totali il cui valore variava da circa $ 50.000 a $ 9 milioni.
Tra tutti gli imputati di The Community, Endicott ha ricevuto una condanna più leggera. Ricky Handschumacher, residente in Florida, ha ricevuto una condanna che includeva una multa di oltre $ 7,6 milioni con 4 anni di reclusione, Colton Jurisic, residente in Iowa, è stata chiesta una multa di oltre $ 9,5 milioni con 42 mesi di reclusione, Reyad Gafar Abbas, un residente nella Carolina del Sud, è stata condannata a una multa di oltre $ 310.000 con 2 anni di reclusione.
Conor Freedman, residente in Irlanda, è stato condannato in precedenza a tre anni di reclusione dal tribunale irlandese, mentre Ryan Stevenson, residente nel Connecticut, è stato anche condannato alla libertà vigilata dopo essersi dichiarato colpevole dal distretto del Connecticut.
Il verdetto di Endicott è arrivato subito dopo due settimane dopo che la Federal Communications Commission (FCC) ha proposto alcune nuove leggi per combattere le operazioni di scambio di SIM. La FCC richiede ai fornitori di optare per metodi di sicurezza migliori per l'autenticazione dell'identità di una persona prima di trasferire il proprio servizio a un nuovo operatore telefonico o cellulare.
FCC ha anche proposto una regola per cui i provider notificano ai propri clienti ogni volta che viene effettuata una richiesta di port-out o di cambio SIM dai loro account.
Questa non è la prima campagna di scambio di SIM ad essere evidenziata. All'inizio di settembre, una truffa multimilionaria di dirottamento di SIM ha provocato la violazione degli account dei telefoni cellulari e dei social media degli utenti. Anche se Europol ha arrestato oltre 100 criminali informatici coinvolti nello scambio di SIM e nel riciclaggio di denaro, ce ne sono molti altri in sospeso.