Ein Teenager-Hacker zahlt 22 Mio US-Dollar Schadenersatz an einen Krypto-Investor. Das Geld hatte er im Jahr 2018 durch SIM-Swapping erlangt.
Der inzwischen 20-jähriger Krypto-Hacker, Ellis Pinsky mit Nickname Baby Al Capone, willigte gemäß einer Gerichtsakte ein, dem Krypto-Investor Michael Terpin 22 Millionen US-Dollar zu zahlen. Diesen hatte der Hacker um 23,8 Millionen US-Dollar mittels SIM-Swapping betrogen. Darüber berichtete Gizmodo.
Ursprünglich geht der Hack auf das Jahr 2018 zurück und beinhaltete ein ausgeklügeltes SIM-Swapping-Schema. Dies zielte auf den Mobilfunkbetreiber AT&T ab. Beim SIM-Swapping, auch bekannt als SIM-Karten-Swap, verschaffen sich die Täter die Handynummer ihrer Opfer und geben sich dann bei dessen Mobilfunkanbieter als rechtmäßiger Besitzer aus. Danach lassen sie sich die echten SIM-Karten-Daten auf eine eigene, neue SIM-Karte, übertragen. Damit ist auch der Weg frei für Online-Banking-Zugangsdaten. Im nächsten Schritt loggen sich die Cyberkriminellen in die Bankkonten ihrer Opfer ein. SIM-Swapping ist somit eine Möglichkeit, die Zwei-Faktor-Authentifizierung mit Mobilfunkbetreibern zu umgehen, um in sensible Websites wie Krypto-Börsen und Online-Banking einzudringen.
Pinsky war zum Zeitpunkt des Hacks 15 Jahre alt und Schüler der 10. Klasse an der Irvington High School in einem Vorort von New York. Er bestätigte seine direkte Beteiligung am SIM-Swapping und dem anschließenden Diebstahl, wie aus dem Gerichtsakte hervorgeht. Bereits ein Jahr später habe er seinem Opfer schon erste 2 Millionen US-Dollar zurückgezahlt.
Hack mittels SIM-Swapping: 24 Millionen US-Dollar weg
Zur damaligen Hack-Durchführung habe Pinsky ein Python-Skript geschrieben, das soziale Medien nach Leuten durchsuchen würde, die für Mobilfunknetze arbeiten würden. Ihnen hat er private Nachrichten gesendet, um sie gegen Bitcoin-Bezahlung für SIM-Swapping zu gewinnen. Nachdem ein AT&T-Mitarbeiter den SIM-Tausch durchgeführt hatte, fand Pinsky gemeinsam mit einem Komplizen eine Datei in einem Outlook-Konto, die mit Krypto-Wallet-Informationen geladen war. Diese verwendeten sie infolge, um das Geld abzuschöpfen. Den mobilen mTAN-Code, den die Diebe für die Überweisungs-Verifizierung brauchen, lassen sie sich vom Kreditinstitut per SMS an die übernommene Handynummer schicken. Schließlich entleeren sie die Konten ihrer Opfer und überweisen das Geld auf ihre eigenen Konten.
In einem LinkedIn-Beitrag teilte Michael Terpin, Gründer und Geschäftsführer der Blockchain-Beratungsfirma Transform Group, seinen Anhängern den Sieg in der Zivilklage mit:
„[Pinsky] wird für 22 Millionen Dollar verantwortlich gemacht (der Betrag, den er und seine Gangmitglieder gestohlen haben, abzüglich einer Gutschrift von 2 Millionen Dollar für die Rückzahlung eines kleinen Teils an uns im Jahr 2019). Ebenso wichtig ist seine Zustimmung, in unserem bevorstehenden Prozess im Mai 2023 vor dem Bundesgericht in Los Angeles Beweise und Zeugenaussagen gegen AT&T vorzulegen.“
Pinsky soll bei Freunden geprahlt haben, dass er niemals erwischt werden würde. Auch soll er sich gerühmt haben, seit seinem 13. Lebensjahr Kryptowährung im Wert von über 100 Millionen Dollar gestohlen zu haben. Hunderttausende Dollar hätte er in Bargeld in seinem Schlafzimmer deponiert. Bereits vor der Klageeinreichung hat Terpin den Kontakt zu Pinsky gesucht und ihn mit der Tat konfrontiert. Daraufhin erhielt er von Pinsky Krypto-Wallets, Bargeld und eine Uhr mit einem Gesamtwert von zwei Millionen Dollar. Dies kam für Terpin einem Schuldeingeständnis gleich. Er verwendete dies vor Gericht als Beweis.
Michael Terpin reichte bereits Anfang Mai 2020 beim Bundesgericht in White Plains, New York, Klage gegen den Teenager Ellis Pinksy ein. Dem zu dem Zeitpunkt 18-Jährigen wurde zur Last gelegt, 23,8 Millionen US-Dollar in verschiedenen Kryptowährungen von Terpin gestohlen zu haben. Terpin verlangte als Schadenersatz eine drakonische Strafe. Er fordert von Pinsky und 20 weiteren an der Tat Beteiligten den dreifachen Wert der geraubten Summe, satte 71,4 Millionen US-Dollar. Die Hacker-Gruppe bezeichnet sich selbst als „20 John Does“.
Klage gegen AT&T mit Aussage des Hackers aussichtsreicher auf Erfolg?
Terpin verklagte zudem den Mobilfunkanbieter AT&T im Jahr 2018. Er behauptete, deren laxe Sicherheit sei es gewesen, die Pinskys Gruppe erst SIM-Swapping ermöglicht hätte, um die Kontrolle über sein Telefon zu erlangen. Das Unternehmen hatte den Vorwurf allerdings zurückgewiesen. Ein kalifornisches Gericht wies eine Schadensersatzklage in Höhe von 200 Millionen Dollar von Terpin gegen AT&T ab. Diese hatte er vor zwei Jahren eingereicht.
Pinsky hat gemäß Terpin aktuell zugestimmt, gegen AT&T auszusagen. Terpins Anwalt Tim Toohey hofft, dass AT&T mit diesen detaillierten Informationen die Verantwortung für Sicherheitsmängel übernimmt, die zu dem Verstoß geführt hätten. Der Fall soll diesbezüglich im Mai 2023 vor dem Bundesgericht in Los Angeles fortgesetzt werden, wie Coindesk informierte.
In der damaligen Klage brachte Terpin vor, dass Pinsky wie ein “durchschnittlicher amerikanischer Junge” erschiene. Jedoch wäre der Teenager aus dem Vorort Westchester County in Wirklichkeit ein “gefährliches Computergenie”. Immerhin hätte er eine “Bande digitaler Banditen” bei der Durchführung einer “hochkomplexen Cybercrime-Tat” angeführt. Und das bereits im Jahr 2018, als Pinsky gerade erst 15 Jahre alt war.
“Pinsky und seine anderen Kohorten sind in der Tat gefährliche Computergenies mit soziopathischen Merkmalen, die das Leben ihrer unschuldigen Opfer herzlos ruinieren und sich fröhlich ihrer millionenschweren Überfälle rühmen.” Die Finanzverbrechen der Jugendlichen wären “nicht weniger heimtückisch als Banküberfälle, Kreditkarten- und Bankbetrug sowie Geldwäsche durch Drogenhändler und Terroristen.”