Scattered Spider駭客因SIM卡置換攻擊竊幣遭重判10年

美國佛州中區聯邦地院宣判，20歲的Noah Michael Urban因電信詐欺、共謀電信詐欺與加重身分盜竊，處聯邦徒刑10年。法院並命其沒收含加密貨幣等約480萬美元資產，另須支付1,300萬美元賠償。Noah Urban已於2025年4月4日認罪，檢方指出，受害者總損失超過1,300萬美元。

外媒Bleeping Computer報導指出，Noah Urban為Scattered Spider駭客組織的重要成員。Noah Urban所採取的犯罪手法，包括社交工程、SIM卡置換攻擊及多因素驗證轟炸（MFA Bombing），均與Scattered Spider一貫的攻擊模式高度吻合。

根據法院釋出的資訊，Noah Urban於2022年8月至2023年3月間至少鎖定59名受害者，透過SIM卡置換攻擊（SIM swaps）將受害者門號在電信端改指派至其控制的SIM或eSIM。這種手法使受害者手機失去服務，攻擊者即可攔截簡訊一次性驗證碼，再非法登入加密貨幣交易所或錢包盜取資產。這類攻擊的特點是利用社交工程或內部協助操作電信流程，以繞過以簡訊為基礎的多因素身分驗證機制，進而重設密碼並奪取帳戶完整控制權。

同一時期，Noah Urban還參與針對企業員工的釣魚簡訊攻擊，誘使受害者在仿冒網站輸入憑證，進一步取得公司非公開資料，並結合外洩資料入侵多人加密貨幣帳戶。FBI搜索其住處時，在電腦與裝置中查獲與受害者信箱、錢包相關的數位證據，並發現約480萬美元加密貨幣。