Kasus Ellis Pinsky: Bagaimana Seorang Remaja Melaksanakan Pembobolan SIM Swap Senilai $24 Juta

Ketika seorang remaja berusia 15 tahun dari New York memutuskan untuk mengubah keterampilan hacking-nya menjadi keuntungan, dia tidak hanya mencuri dari korban biasa. Ellis Pinsky mengoordinasikan salah satu serangan swap SIM terbesar yang pernah tercatat, merusak aset digital seorang investor kripto dan mengungkap kerentanan kritis dalam cara kita melindungi nomor telepon dan dompet kita. Kasus ini menjadi pelajaran yang memperingatkan dan akan mengubah percakapan tentang keamanan telekomunikasi dan perlindungan aset cryptocurrency.

Serangan terhadap Michael Turpin: Swap SIM terbesar yang pernah tercatat

Targetnya adalah Michael Turpin, seorang investor kripto yang menghadiri konferensi dan merasa aman dengan kepemilikan digitalnya. Yang tidak diketahui Turpin adalah bahwa di seluruh negeri, sekelompok hacker remaja telah memulai operasi mereka. Mereka menyuap pekerja telekomunikasi untuk merebut nomor teleponnya—teknik yang akan memberi mereka akses ke semua yang dilindungi oleh verifikasi SMS.

Ellis Pinsky mengarahkan operasi ini dari jarak jauh. Menggunakan skrip yang dijalankan melalui Skype, timnya secara sistematis bekerja melalui infrastruktur digital Turpin: email, penyimpanan cloud, dan setiap gerbang yang mungkin mengarah ke kunci dompet cryptocurrency. Mereka menemukan kepemilikan Ethereum senilai sekitar $900 juta, tetapi yang diamankan dengan perlindungan tambahan yang tidak bisa mereka tembus. Namun, mereka menemukan target alternatif dengan cryptocurrency yang dapat diakses senilai $24 juta. Dalam beberapa jam, uang itu hilang dari akun Turpin. Ini menandai pencurian swap SIM terbesar yang pernah didokumentasikan.

Dari forum hacker NYC ke operasi berisiko tinggi

Perjalanan Ellis Pinsky ke dunia ini dimulai jauh sebelumnya. Dibesarkan di sebuah apartemen sempit di New York City, dia menerima Xbox pertamanya saat berusia 13 tahun—sebuah pintu masuk ke komunitas daring di mana para penggemar teknologi muda berkumpul. Dia berkembang dari mempelajari teknik injeksi SQL hingga memperdagangkan nama pengguna Instagram langka, membangun reputasi dan pengaruh di forum bawah tanah. Tapi status saja tidak cukup. Daya tarik sebenarnya adalah mengakses kekayaan nyata.

Swap SIM menawarkan jalur: menyuap perwakilan telekomunikasi, mengendalikan nomor telepon seseorang, menyadap kode verifikasi pesan teks, mengatur ulang kata sandi, dan akhirnya menguras dompet cryptocurrency. Ini adalah teknik yang mengubah pengetahuan teknis remaja menjadi kekuatan finansial langsung. Pada usia 15 tahun, Ellis Pinsky telah membentuk jaringan: 562 Bitcoin dalam aset yang disita, orang dalam telekomunikasi di gajinya, dan akses ke jutaan akun cryptocurrency.

Teknologi di balik serangan swap SIM dan mengapa mereka berhasil

Metode swap SIM memanfaatkan kelemahan mendasar dalam cara perusahaan telekomunikasi dan platform digital menangani pemulihan akun. Ketika nomor telepon dipindahkan ke SIM baru (atau SIM hacker), semua kode verifikasi berbasis teks dikirim ke penyerang alih-alih pemilik sah. Kerentanan tunggal ini menyebabkan efek berantai di seluruh akun email, platform perbankan, dan pertukaran cryptocurrency.

Serangan ini berhasil karena sebagian besar keamanan bergantung pada verifikasi SMS sebagai perlindungan “faktor kedua”. Setelah nomor telepon dikompromikan, tim Ellis Pinsky secara sistematis melewati perlindungan yang seharusnya ini. Mereka mendapatkan akses ke penyimpanan cloud berisi file sensitif, akun email dengan tautan pemulihan kata sandi, dan akhirnya ke titik terlemah dalam pertahanan digital Turpin.

Pengungkapan: Ketika rekan pelaku menjadi beban

Operasi ini mulai pecah karena tekanan internal. Salah satu rekan pelaku melarikan diri dengan $1,5 juta, menghilang dari jaringan. Anggota lain, yang tampaknya tidak menyadari risiko, secara terbuka membahas menyewa seseorang untuk melakukan kekerasan—percakapan yang langsung menimbulkan tanda bahaya. Tapi kesalahan terbesar datang dari Nicholas Truglia, salah satu mitra Ellis dalam kejahatan ini.

Truglia tidak bisa menahan untuk membanggakan diri. Secara daring, dia membanggakan pencurian itu: “Mencuri $24 juta. Masih tidak bisa menjaga teman.” Dia membuat kesalahan fatal dengan menggunakan nama aslinya di Coinbase saat mencoba mengonversi dana curian. FBI melacak ini langsung kembali ke dia, yang mengarah ke penangkapannya dan hukuman penjara. Kesalahan ini menunjukkan poin penting: keamanan operasional runtuh ketika peserta mencari pengakuan.

Dampak setelahnya: Konsekuensi hukum dan upaya rehabilitasi

Ketika FBI datang ke rumah Ellis Pinsky, statusnya sebagai minor menjadi pelindung sekaligus beban. Sistem hukum memperlakukannya berbeda dari pelaku dewasa. Dia menghindari tuduhan paling berat sebagian karena usianya, tetapi tidak tanpa biaya. Turpin mengajukan gugatan perdata sebesar $22 juta terhadapnya atas dana yang dicuri. Selain itu, sekelompok penembak bersenjata yang memakai topeng pernah masuk ke rumahnya—sebuah konsekuensi dari dunia bawah yang dia masuki.

Saat ini, Ellis Pinsky adalah mahasiswa filsafat dan ilmu komputer di NYU. Dia mengklaim mengalihkan bakatnya untuk membangun startup sambil berusaha membayar hutang hukum yang besar. Apakah ini menunjukkan rehabilitasi sejati atau bab lain dalam narasi yang berkelanjutan tetap menjadi pertanyaan terbuka. Kasusnya menunjukkan betapa cepatnya seorang remaja dengan keahlian teknis dapat mengakses jumlah besar—dan betapa rapuhnya kekayaan seperti itu.

Implikasi yang Lebih Luas: Apa yang diungkapkan Kasus Ellis Pinsky

Insiden ini mengungkapkan betapa tergantungnya keamanan modern pada infrastruktur telekomunikasi yang usang. Pemilik cryptocurrency besar belajar bahwa memiliki aset digital saja tidak cukup; mereka perlu melindungi nomor telepon yang terkait dengan pemulihan akun. Kasus ini mendorong pertukaran, penyedia email, dan lembaga keuangan untuk menerapkan metode verifikasi yang lebih kuat di luar kode SMS.

Bagi industri cryptocurrency, kasus Ellis Pinsky menjadi bukti bahwa kerentanan keamanan tidak selalu memerlukan eksploitasi zero-day yang rumit. Kadang-kadang, tautan terlemah adalah pekerja telekomunikasi yang bersedia menerima suap, atau kesederhanaan swap SIM sebagai vektor serangan. Pada usia 15 tahun, Ellis Pinsky telah menunjukkan pelajaran sebesar $24 juta tentang mengapa strategi multi-faktor harus berkembang melampaui verifikasi pesan teks.