Vijf vermeende leden van de beruchte cybercriminaliteitsploeg Scattered Spider zijn in de VS aangeklaagd omdat ze werknemers van bedrijven in het hele land hebben aangevallen met behulp van social engineering-technieken om inloggegevens te verzamelen en deze te gebruiken om ongeoorloofde toegang te krijgen tot gevoelige gegevens en in te breken in crypto-accounts om digitale activa te stelen ter waarde van miljoenen dollars.
Alle beschuldigde partijen zijn beschuldigd van één aanklacht wegens samenzwering om telegrafische fraude te plegen, één aanklacht wegens samenzwering en één aanklacht wegens ernstige identiteitsdiefstal. Ze omvatten –
- Ahmed Hossam Eldin Elbadawy, 23, ook bekend als AD, uit College Station, Texas
- Noah Michael Urban, 20, ook bekend als Sosa en Elijah, uit Palm Coast, Florida
- Evans Onyeaka Osiebo, 20, uit Dallas, Texas
- Joel Martin Evans, 25, ook bekend als joeleoli, uit Jacksonville, North Carolina; En
- Tyler Robert Buchanan, 22, ook bekend als Tylerb, uit Groot-Brittannië
Hoewel de naam Scattered Spider niet wordt genoemd in de gerechtelijke documenten, wordt deze beschreven als “een losjes georganiseerde, financieel gemotiveerde cybercriminele groep waarvan de leden zich voornamelijk richten op grote bedrijven en hun gecontracteerde leveranciers van telecommunicatie, informatietechnologie en bedrijfsprocessen.”
Evans werd volgens het Amerikaanse ministerie van Justitie (DoJ) op 19 november 2024 gearresteerd door het Federal Bureau of Investigation (FBI). Het is vermeldenswaard dat Buchanan in juni 2024 uit Spanje werd aangehouden. Nog een 17-jarige Britse tiener werd een maand later gearresteerd. Urban zou ook worden geconfronteerd met afzonderlijke aanklachten in verband met SIM-swapping-aanvallen in Florida.
“Wij beweren dat deze groep cybercriminelen een geavanceerd plan heeft gepleegd om intellectueel eigendom en eigendomsinformatie ter waarde van tientallen miljoenen dollars te stelen en persoonlijke informatie van honderdduizenden individuen te stelen”, aldus de Amerikaanse advocaat Martin Estrada.
“Zoals deze zaak aantoont, zijn phishing en hacking steeds geavanceerder geworden en kunnen ze tot enorme verliezen leiden. Als iets aan de sms of e-mail die je hebt ontvangen of aan de website die je bekijkt niet klopt, is dat waarschijnlijk ook zo.”
Uit gerechtelijke documenten blijkt dat de beklaagden van ten minste september 2021 tot april 2023 phishing-aanvallen hebben uitgevoerd door sms-berichten te sturen naar werknemers van het bedrijf, waarbij ze beweerden afkomstig te zijn van het bedrijf zelf of van een gecontracteerde leverancier van informatietechnologie of zakelijke diensten van het slachtoffer.
De sms-berichten beweerden verder dat hun accounts op het punt stonden te worden gedeactiveerd en dat ze op een meegeleverde link moesten klikken om hun inloggegevens opnieuw in te stellen, waardoor sommige onwetende gebruikers hun inloggegevens op de neppagina’s verstrekten.
Gewapend met de inloggegevens verwierf de bende illegale toegang tot bedrijfsnetwerken en stal niet-openbare gegevens en persoonlijk identificeerbare informatie, en hevelde niet minder dan $11 miljoen aan cryptocurrency over van individuele slachtoffers.
“Het doel van het phishing-programma dat zich richtte op bedrijven was gedeeltelijk om toegang te krijgen tot tools die nodig zijn voor SIM-swapping en om toegang te krijgen tot klant-/identificatiegegevens, die vervolgens kunnen worden gebruikt om uiteindelijk cryptocurrency te stelen”, luidt de klacht.
Er wordt aangenomen dat Buchanan en zijn medesamenzweerders zich hebben gericht op ten minste 45 bedrijven in de VS en daarbuiten, waaronder Canada, India en Groot-Brittannië. Bij veroordeling riskeert elk van de in de VS gevestigde beklaagden een gevangenisstraf van maximaal 27 jaar voor alle aanklachten. Buchanan riskeert ook een gevangenisstraf van twintig jaar vanwege het aantal fraudefraude.
“De beklaagden zouden in dit phishing-programma nietsvermoedende slachtoffers hebben belaagd en hun persoonlijke informatie hebben gebruikt als toegangspoort om miljoenen op hun cryptocurrency-accounts te stelen”, zegt Akil Davis, de assistent-directeur die verantwoordelijk is voor het Los Angeles Field Office van de FBI.
“Dit soort frauduleuze verzoeken zijn alomtegenwoordig en beroven Amerikaanse slachtoffers met één muisklik van hun zuurverdiende geld.”