Справа Еліса Пінського: Як підліток здійснив $24 мільйонну аферу з SIM-картою

Коли 15-річний хлопець із Нью-Йорка вирішив перетворити свої навички хакерства на прибуток, він не просто викрав у звичайної жертви. Елліс Пінскі координував один із найбільших у історії одноосібних атак із заміною SIM-карт, що скомпрометували цифрові активи криптоінвестора та виявили критичні вразливості у захисті наших номерів телефонів і гаманців. Ця справа стала попереджувальним прикладом, який змінив дискусії навколо безпеки телекомунікацій та захисту криптовалютних активів.

Атака на Майкла Турпіна: найбільша в історії індивідуальна заміна SIM

Мішенню був Майкл Турпін, криптоінвестор, який відвідував конференцію і вважав свої цифрові активи захищеними. Що Турпін не знав, так це те, що по всій країні група підліткових хакерів вже почала свою операцію. Вони підкупили працівників телекомунікаційних компаній, щоб захопити його номер телефону — техніка, яка давала їм доступ до всього, що захищене через SMS-підтвердження.

Елліс Пінскі керував операцією дистанційно. За допомогою скриптів, запущених через Skype, його команда систематично працювала з цифровою інфраструктурою Турпіна: електронною поштою, хмарним сховищем, будь-якими шлюзами, що могли вести до ключів криптовалютних гаманців. Вони виявили Ethereum-активи приблизно на 900 мільйонів доларів, але ці були захищені додатковими засобами, які їм не вдалося зламати. Однак вони знайшли альтернативну ціль — криптовалюту на 24 мільйони доларів, доступну для зламу. За кілька годин гроші зникли з рахунків Турпіна. Це стала найбільша в історії задокументована крадіжка за допомогою заміни SIM.

Від форумів хакерів у Нью-Йорку до високоризикових операцій

Шлях Елліса Пінскі у цей світ почався набагато раніше. Виріс у тісній квартирі в Нью-Йорку, отримав перший Xbox у 13 років — перший крок у світ онлайн-спільнот, де збиралися молоді технічні ентузіасти. Він пройшов шлях від вивчення технік SQL-ін’єкцій до торгівлі рідкісними акаунтами в Instagram, здобуваючи репутацію та вплив у підпільних форумах. Але статус був недостатнім. Його справжнім мотивом було отримання реальних багатств.

Заміна SIM відкривала шлях: підкупити представника телекомунікаційної компанії, отримати контроль над номером телефону, перехоплювати текстові коди підтвердження, скинути паролі і, зрештою, зняти криптовалюту з гаманців. Це була техніка, яка перетворювала технічні знання підлітка на миттєву фінансову силу. До 15 років Елліс Пінскі створив мережу: 562 біткойни у конфіскованих активах, працівників телекомунікацій на зарплаті та доступ до мільйонів криптовалютних рахунків.

Технології атак із заміною SIM і чому вони працюють

Метод заміни SIM використовує вразливість у тому, як телекомунікаційні компанії та цифрові платформи обробляють відновлення акаунтів. Коли номер телефону переноситься на нову SIM-карту (або на SIM-у хакера), всі текстові коди підтвердження йдуть до зловмисника, а не до легітимного власника. Ця одна вразливість спричиняє ланцюгову реакцію: зламані поштові акаунти, банківські платформи та криптовалютні біржі.

Атака була успішною, бо більшість систем безпеки покладається на SMS-підтвердження як на “другий фактор” захисту. Після компрометації номера телефону команда Елліса Пінскі систематично обходила ці нібито захисні механізми. Вони отримали доступ до хмарних сховищ із конфіденційними файлами, поштових акаунтів із посиланнями для відновлення паролів і, зрештою, до найслабших ланок цифрової оборони Турпіна.

Розкриття: коли співучасники стають тягарем

Операція почала руйнуватися через внутрішній тиск. Один співучасник зник із 1,5 мільйонами доларів, зникнувши з мережі. Інший, очевидно, не усвідомлював ризиків, відкрито обговорював найм когось для насильства — розмови, що одразу викликали підозру. Але найбільша помилка сталася з Ніколасом Трулією, одним із партнерів Елліса.

Трулія не міг стриматися і похвалився. В інтернеті він хвалився крадіжкою: “Вкрадено 24 мільйони доларів. Ще не можу тримати друзів.” Він зробив фатальну помилку, використовуючи своє справжнє ім’я на Coinbase під час спроби конвертувати вкрадені кошти. ФБР відстежило це безпосередньо до нього, що призвело до його арешту і ув’язнення. Його помилка показала важливий момент: операційна безпека руйнується, коли учасники шукають визнання.

Наслідки для Елліса Пінскі: юридичні наслідки та спроби реабілітації

Коли ФБР прийшло до Елліса Пінскі, його статус неповнолітнього став і щитом, і тягарем. Правова система ставилася до нього інакше, ніж до дорослих злочинців. Його уникнули найсуворіших звинувачень частково через вік, але не безкоштовно. Турпін подав цивільний позов на 22 мільйони доларів проти нього за вкрадені кошти. Крім того, його одного разу пограбували озброєні люди — наслідок його входження в підпільний світ.

Зараз Елліс Пінскі навчається на факультеті філософії та комп’ютерних наук у NYU. Він стверджує, що спрямовує свої таланти на створення стартапів і намагається погасити значний юридичний борг. Чи це справжня реабілітація, чи ще одна глава у його історії — питання відкриті. Його випадок показує, наскільки швидко підліток із технічними навичками може отримати величезні суми — і наскільки нестійким є таке багатство.

Ширші наслідки: що відкриває справа Елліса Пінскі

Ця справа показала, наскільки сучасна безпека залежить від застарілої телекомунікаційної інфраструктури. Власники великих криптовалютних активів зрозуміли, що володіння цифровими активами недостатньо; потрібно захищати номери телефонів, пов’язані з відновленням акаунтів. Це змусило біржі, провайдерів пошти та фінансові установи впроваджувати більш надійні методи підтвердження, що виходять за межі SMS-кодів.

Для криптовалютної індустрії справа Елліса Пінскі стала доказом того, що вразливості безпеки не завжди вимагають складних нуль-день експлойтів. Іноді найслабше місце — це працівник телекомунікаційної компанії, готовий прийняти підкуп, або простота атаки через заміну SIM. До 15 років Елліс Пінскі продемонстрував урок на 24 мільйони доларів про те, що стратегія багатофакторної автентифікації має розвиватися і виходити за межі підтвердження через текстові повідомлення.