Zu dieser Zeit war Noel Mitglied einer Cybergang, die später unter dem Namen Scattered Spider bekannt wurde, auf der Flucht vor dem FBI. Die Gruppe entwickelte sich zu einer der berüchtigtsten Cyberkriminellengruppen der Welt und war an Dutzenden von Angriffen auf Unternehmen in den USA und Großbritannien beteiligt. Zu den schwerwiegendsten gehörte ein Ransomware-Angriff auf MGM Resorts International, der die Computersysteme des Casinos im Jahr 2023 lahmlegte und das Unternehmen 100 Millionen Dollar kostete, sowie ein weiterer Angriff Anfang des Jahres auf die Marks & Spencer Group Plc, der nach Schätzungen des britischen Einzelhändlers zu Verlusten von rund 400 Millionen Dollar geführt hat.
Noah sagt, Junk (ein Bandenmitglied) habe herausgefunden, wie er auf das Kundenservice-Portal von T-Mobile zugreifen konnte, indem er seinen PC im Firmennetzwerk registrierte und mithilfe einer Fernzugriffssoftware auf das SIM-Aktivierungstool des Unternehmens zugriff – oft monatelang. Sobald T-Mobile eine verdächtige Anmeldung feststellte, wurde das Konto zurückgesetzt und Junk gesperrt. Also begann er, Noah dafür zu bezahlen, Geschäfte anzurufen und die Mitarbeiter dazu zu bringen, ihre Anmeldedaten herauszugeben, was er auch gemacht hat, indem er sich als IT-Mitarbeiter ausgab.
Andere Tauschpartner hörten über Discord mit, während Noah Geschäfte anrief, während er Counter-Strike oder Call of Duty spielte und ein Skript vorlas, das Junk für ihn geschrieben hatte. „Hey, mein Name ist Kevin“, begann es, „und ich rufe von der internen Sicherheitsabteilung von T-Mobile an.“ Junk und seine Freunde hingen an jedem Wort, als ein ahnungsloser Vertriebsmitarbeiter den Teenager versehentlich herein ließ. Als Noah stolperte, brachen sie in Gelächter aus. (Ein Sprecher von T-Mobile sagte, das Unternehmen habe die Sicherheit verbessert, um „illegale SIM-Austausche zu reduzieren.“)
Um den 2 FA zu entgehen haben wir verschiedene Vorschläge. Eine Einigung sollte man zuerst hinbekommen.
Auf der Suche nach neuen Listen von Krypto-Besitzern kam Noah auf die Idee, das Kommunikationstechnologie Unternehmen Twilio Inc. ins Visier zu nehmen. Da dessen Software von 50.000 Unternehmen zur Verwaltung ihrer SMS und Anrufe mit Kunden genutzt wurde, vermutete Noah, dass es über eine Fülle wertvoller Daten verfügen würde. Im August 2022, wenige Wochen vor seinem 18. Geburtstag, kauften er und seine Freunde eine gefälschte Domain mit einer Webseite, die wie der Login des Benutzerauthentifizierung Unternehmens Okta Inc. aussah, und schickten SMS mit dem Link an Twilio-Mitarbeiter. „ACHTUNG!!! Ihr Twilio-Zeitplan hat sich geändert. Tippen Sie auf twilio-okta.com, um die Änderungen anzuzeigen!“ Noah überlistete einen Twilio-Mitarbeiter. Als dieser die gewünschten Daten nicht hatte, loggte er sich in dessen Slack-Konto ein und schickte eine Nachricht an einen höherrangigen Mitarbeiter, den er auf LinkedIn gefunden hatte. „Ich habe ihnen im Grunde gesagt, dass wir die Daten für Audit Zwecke oder so etwas benötigen“, sagt Noah, „und sie haben einfach die Datenbank exportiert und sie mir geschickt.“ Mit den Zugangscodes für Twilios Firmenkunden konnten Noah und seine Komplizen in weitere Unternehmen einbrechen. Insgesamt erbeuteten sie Kundendaten von 209 Unternehmen, die Twilio nutzten, darunter auch SMS-Verifizierungscodes. „Wir fühlten uns wie Götter“, sagt Noah.
Tage später gab Group-IB, ein Cyber Sicherheitsunternehmen, das Twilios Kunden betreut, den Datendiebstahl in einem Blogbeitrag bekannt und nannte die Hacker 0ktapus. Verängstigt warf Noah seinen 3.000 Dollar teuren Computer und sein Handy weg und kaufte neue Geräte. Kurz nach dem Einbruch gab ein 0ktapus-Mitglied die Daten an einen anderen SIM-Swapper weiter, der sie noch weiter verbreitete. Da so viele Com-Mitglieder Namen aus der Datenbank auswählten, waren sie auf dem Schwarzmarkt wertlo
Trotz Noahs Äußerungen während der Vernehmungen kam Olson vom FBI zu dem Schluss, dass er „absolut keine Reue“ gezeigt habe. Noahs gesamtes Soziales Leben habe sich um Cyberkriminalität gedreht, sagt Olson, was ihn gegenüber seinen Opfern desensibilisiert habe. Tatsächlich erzählte Noah den Agenten, dass er den Großteil seiner Gewinne fast so schnell, wie er sie erlangt hatte, für Kryptowährungen-Glücksspiele und Gaming-Seiten ausgegeben habe. „Es geht nur um Status in ihrer Community“, sagt Olson. „Es geht nur darum, anzugeben.“
Auch nach der Razzia in seinem Haus habe Noah weiterhin Social Engineering betrieben und Musik gestohlen, so ein FBI-Agent, der an den Ermittlungen beteiligt war, aber anonym bleiben wollte, da er über einen laufenden Fall sprach. Um Scattered Spider sei es nach der Razzia still geworden, sagen Cybercrime-Forscher. Im September brach die Organisation angeblich bei Caesars Entertainment Inc. ein und erpresste das Casino-Unternehmen um 15 Millionen Dollar, sagen mit dem Angriff vertraute Personen. Caesars reagierte nicht auf Anfragen nach einem Kommentar. Wenige Tage später stellte MGM Resorts fest, dass Hacker ebenfalls in seine Systeme eingedrungen waren und die Okta-Passwörter seiner Mitarbeiter gestohlen hatten. MGM schaltete seine Computersysteme ab. In seinem Casino in Las Vegas funktionierten die Zahlungsfunktionen der Spielautomaten nicht mehr. Gäste, darunter Lina Khan, die damalige Vorsitzende der Federal Trade Commission, wurden aus ihren Zimmern ausgesperrt. Das Unternehmen zahlte kein Lösegeld, schätzte den Schaden durch den Angriff aber auf 100 Millionen Dollar.
Es war eine alarmierende Entwicklung. Ransomware war bisher weitgehend russischsprachigen Gruppen vorbehalten. Nun deuteten Beweise darauf hin, dass sie auch von Hackern in viel näherer Umgebung eingesetzt wurde.
Businessweek sichtete Dutzende von Discord- und Telegram-Videos, in denen junge Leute Ziegelsteine in Häuser werfen (eine Praxis, die als „Bricking“ bezeichnet wird) und dabei die Namen ihrer jeweiligen SIM-Swapping-Fraktionen rufen. Sie hackten auch explizite Fotos der Freundinnen von Rivalen und veröffentlichten ihre persönlichen Daten, um andere zu anstiften, sie zu belästigen. Es gab ganze Telegram-Chats, die sich ausschließlich der Demütigung der Freundinnen von Com-Mitgliedern widmeten. Das zur Ganovenehre.
Noah wurde im Januar 2024 verhaftet, neun Monate nach der Durchsuchung seines Hauses in Palm Coast. Er wurde ohne Kaution festgehalten. Später wurde in Kalifornien eine Anklage wegen Hackerangriffen auf 13 Unternehmen erhoben – darunter AT&T, T-Mobile, Verizon Communications Inc., Twilio und Riot Games – gegen ihn und vier weitere Personen. Unter ihnen war auch Buchanan, sein schottischer Gaming-Freund, der im Juni 2024 in Spanien verhaftet und an die USA ausgeliefert wurde, wo er auf nicht schuldig plädierte. Weder er noch sein Anwalt reagierten auf Anfragen nach einem Kommentar. AT&T, T-Mobile, Verizon, Twilio und Riot Games lehnten eine Stellungnahme ab.
Obwohl 2FA als Eckpfeiler moderner Sicherheit gilt, ist 2FA alles andere als zuverlässig. Erfahrungen mit Google zeigen, dass Google wie auf Metas 2FA inkonsistent ist und auch Microsofts 2FA schlichtweg katastrophal ist. Wenn Big Tech 2FA nicht hinbekommt, welche Hoffnung haben dann kleinere Unternehmen? Sie können sich bei uns melden, denn es gibt sichere Methoden, die mit einer Backup-Strategie verbunden sind. Sicher auch wir sind Drittanbieter, allerdings ist unser Dienst sehr an der Integrität Ihrer Daten interessiert. Anders dagegen verhalten sich Angestellte in Großbetrieben.
