Криптоограбление Майкла Турпина: как 15-летний и мошенничество с SIM-картой принесли $24 миллионов

Когда криптоинвестор Майкл Турпин покидал технологическую конференцию в 2020 году, он и представить не мог, что его цифровая жизнь вот-вот будет методично разрушена группой подростков с другой стороны страны. То, что развернулось в последующие часы, стало одним из самых дерзких краж в истории криптовалют — хищением на сумму 24 миллиона долларов, организованным в основном 15-летним Эллисом Пински. Этот инцидент выявил критические уязвимости в телекоммуникационной безопасности и продемонстрировал, как богатство на блокчейне можно легко похитить и вывести с помощью удивительно простых методов социальной инженерии.

Идеальный шторм: как Эллис Пински нацелился на криптоинвестора

Атака началась с телефона Майкла Турпина. Эллис Пински и его соучастники подготовились тщательно. Они подкупили сотрудников крупной телекоммуникационной компании, чтобы перенести номер Турпина на SIM-карту под их контролем — так называемый SIM-спуфинг. Этот простой прием дал им доступ к чему-то гораздо более ценному, чем телефонная линия: к ключам от цифровой личности Турпина.

Овладев номером, Эллис запустил серию скриптов через звонок Skype, которые систематически собирали данные с онлайн-аккаунтов Турпина. Электронные письма, файлы в облаке, опции восстановления паролей — все стало доступно злоумышленникам. Они искали учетные данные криптовалютных кошельков, ищущие приватные ключи, открывающие цифровое богатство. Объем обнаруженного был ошеломляющим: 900 миллионов долларов в Ethereum, разбросанных по нескольким кошелькам. Но возникла проблема — большая часть была защищена мерами безопасности, которые они не могли обойти.

Тогда они копнули глубже. Искали Bitcoin, дополнительные аккаунты Ethereum, любые доступные криптоактивы. Часы шли, подростки систематически взламывали аккаунт за аккаунтом, действуя как опытные пентестеры. И вдруг нашли: кошелек на 24 миллиона долларов, который не был защищен. Он был доступен, и в мгновение ока деньги исчезли.

Внутри схемы SIM-спуфинга: техническое использование уязвимостей

Атака SIM-спуфинга, которая постигла Майкла Турпина, — одна из самых эффективных, но при этом предотвращаемых методов компрометации владельцев крупного капитала в криптовалюте. Вот как работает схема:

Шаг 1: Социальная инженерия — злоумышленники убеждают сотрудников телеком-компании перенести номер цели на новую SIM-карту. Обычно это делается с помощью предтекстов (лжи о своей личности) или, как в случае Эллиса, — предложением финансовых стимулов инсайдерам.

Шаг 2: Перехват аутентификации — получив контроль над номером, они получают все коды двухфакторной аутентификации (2FA) по SMS. Большинство криптовалютных бирж и почтовых сервисов отправляют коды восстановления именно так.

Шаг 3: Захват аккаунта — с помощью 2FA-кодов злоумышленники сбрасывают пароли, получают доступ к почтовым ящикам и, в конечном итоге, — к криптовалютным биржам, где хранятся средства.

Шаг 4: Вывод средств — последний этап — вывод кошельков до того, как системы безопасности обнаружат вторжение.

В случае с Турпиным Эллис действовал точно. Подросток научился взлому через форумы, изучая SQL-инъекции и другие уязвимости. Он уже проводил мелкие операции — продавал редкие аккаунты в Instagram за скромную прибыль. Но это было небо и земля по сравнению с криптовалютами, ставки были выше. В то время BTC торговался примерно по 68 328 долларов, а ETH — около 1 982 долларов. Общая сумма украденных цифровых активов превосходила все его предыдущие попытки.

Подросток, ставший миллионером: как Эллис потратил 24 миллиона

Эллис Пински внезапно стал богатым как никогда. Но он всё ещё был 15-летним подростком, живущим в тесной квартире в Нью-Йорке, всё ещё думающим как подросток. Деньги шли по предсказуемым направлениям: предметы роскоши, ночная жизнь и попытки сохранить свой новый статус среди знакомых, которые не участвовали в ограблении.

Он купил Rolex за 100 000 долларов и спрятал его под кроватью как секрет. Тратил щедро в элитных ночных клубах. Разбрасывал деньги, будто их бесконечно. Но удерживать команду соучастников становилось всё сложнее. Один из товарищей украл 1,5 миллиона долларов в украденных криптовалютах. Друг столкнулся с личными проблемами и шутливо предлагал нанять кого-то для насилия. Группа распадалась под давлением и подозрениями.

Эллис построил свою репутацию благодаря настойчивости: Xbox в 13 лет, вход в хакерские форумы, изучение программирования, успешная продажа нелегальных аккаунтов. Но всё это не подготовило его к управлению преступной организацией, даже неформальной.

Распутывание: как неосторожность Труглиа привела к ФБР

Могло бы остаться незамеченным дольше, если бы не соучастник Эллиса — Труглиа. Давление от кражи миллионов, паранойя, межличностные конфликты — всё стало слишком. Труглиа начал публиковать в соцсетях сообщения о краже, фактически хвастаясь преступлением: «Украл 24 миллиона. Всё равно не могу завести друзей».

Эта неосторожность оказалась катастрофической. Труглиа допустил rookie-ошибку: использовал своё настоящее имя на Coinbase при попытке перевести или получить часть украденных криптовалют. Следы привели прямо к нему, а затем — к остальной части операции. Расследование ФБР пошло быстро. Правоохранительные органы имели конкретную цель, цепочку транзакций и цифровые улики, связывающие Труглиа с преступлением.

Труглиа арестовали и он отсидел срок. Но Эллис стал юридической головной болью: он был несовершеннолетним. Майкл Турпин потерял 24 миллиона долларов, но то, что преступник — несовершеннолетний, усложнило уголовное преследование. Эллис не был официально обвинен. Вместо этого ему пришлось вернуть большую часть украденных средств — хотя не всю.

Турпин подал гражданский иск на сумму около 22 миллионов долларов. Но прежде чем дело полностью развернулось, случилось нечто гораздо более зловещее: вооружённые люди в масках ворвались в дом Майкла Турпина. Связано ли это с ограблением или отдельным происшествием — осталось неясным, но это показало, насколько опасной стала жизнь жертвы такой высокопрофильной кражи.

От киберпреступника к студенту-философу: что сейчас делает Эллис Пински

Сегодня Эллис Пински учится в Нью-Йоркском университете, получая степени по философии и компьютерным наукам. Он публично заявил о намерении работать в легальных стартапах и в будущем вернуть долг Турпину и обществу в целом. Насколько искренне его изменение или это лишь игра — покажет время.

Что остается очевидным — это ущерб: Майкл Турпин потерял 24 миллиона долларов из-за SIM-спуфинга, организованного несовершеннолетним. Этот случай показал, насколько уязвимы даже относительно продвинутые криптоинвесторы перед социальными атаками. К 15 годам Эллис накопил активы, которых не достигают большинство взрослых, скомпрометировал безопасность криптоинвестора и совершил преступление, которое определит его раннюю жизнь.

Этот случай служит предупреждением для криптосообщества: никакие сложные протоколы безопасности не спасут, если номер телефона и SMS-2FA скомпрометированы. По мере роста стоимости цифровых активов возрастает и уровень хитрости и отчаяния тех, кто пытается их украсть — иногда с соучастниками, едва достигшими совершеннолетия.