Хакер #305. Многошаговые SQL-инъекции
Министерство юстиции США сообщило об аресте 21-летнего Эрика Мейггса (Eric Meiggs) и 20-летнего Деклана Харрингтона (Declan Harrington). Их обвиняют по 11 пунктам, в том числе в сговоре, мошенничестве с использованием электронных средств, компьютерном мошенничестве и злоупотреблениях, а также в краже личных данных при отягчающих обстоятельствах.
Дело в том, что Мейггс и Харрингтон занимались так называемыми атаками SIM swap. Суть таких атак заключается в том, что преступник обращается к представителям сотового оператора своей жертвы и применяет социальную инженерию. К примеру, выдавая себя за настоящего владельца номера, злоумышленник заявляет, что потерял или сломал SIM-карту и добивается переноса номера на новую SIM-карту. Затем злоумышленники воруют привязанные к номеру телефона учетные записи, фактически похищая чужие личности полностью. Такие атаки часто используются для кражи крупных сумм в криптовалюте или компрометации дорогих Instagram-аккаунтов.
Следствие сообщает, что в основном жертвами Мейггса и Харрингтона становились руководители криптовалютных компаний, а также пользователи, у которых было значительное количество криптовалюты в кошельках на Coinbase или Block.io. Кроме того, мошенников интересовали владельцы особенно «ценных» аккаунтов в Instagram и Tumblr.
Так, обвиняемые похитили у неназванного жителя Аризоны криптовалюту на сумму 200 000 долларов за один раз. Еще 100 000 долларов были украдены у пострадавшего из Калифорнии, который дружил с другой целью злоумышленников — руководителем некоего блокчейн-бизнеса. Также криптовалюта на сумму 165 000 долларов была украдена у главы криптовалютного проекта из Иллинойса, и еще 35 000 долларов злоумышленники похитили из кошелька на Block.io, который принадлежал жителю Невады, владеющему сетью Bitcoin-банкоматов.
Хуже того, обвинительное заключение гласит, что в одном случае Мейггс угрожал убить жену пострадавшего, если не получит контроль нужной ему учетной записью в Instagram. Обычно в таких случаях мошенники брали телефонный номер жертвы «в заложники», а затем в качестве выкупа требовали предоставить им учетные записи от аккаунта в социальной сети. Но, видимо, в тот раз что-то пошло не так.
В общей сложности за период с ноября 2017 года по май 2018 года подозреваемые сумели или попытались украсть более 550 000 долларов США по крайней мере у 10 опознанных жертв из США. В этом же время Мейггс успел установить контроль над учетными записями в социальных сетях, принадлежавшим двум жертвам.
Теперь Мейггсу и Харрингтону грозит до 20 лет лишения свободы только по каждому обвинению в мошенничестве с использованием электронных средств связи, а каждый эпизод кражи личных данных при отягчающих обстоятельствах предусматривает дополнительные 2 года тюремного срока.