诺亚·厄本 (Noah Urban) 在臭名昭著的“Scattered Spider”团伙中扮演的角色是劝说人们在不知情的情况下让犯罪分子获取敏感计算机系统的访问权限。
2022 年 9 月的一个下午,在满是金袋表情符号和小丑表情符号、充斥着“笑到快疯了”(lmfaos)和“笑到不行”(loooools)的Telegram群聊中,出现了一张像素化的缩略图,画面是一名满身是血的少年。诺亚·厄本(Noah Urban)当时18岁,居住在佛罗里达州棕榈海岸,他点开了视频。
视频中,这名少年哀求诺亚向他的绑匪转账20万美元,绑匪正拿着枪对准他的头。“埃利亚(Elijah),真的兄弟,你知道我们以前一起干活过,”少年说道,称呼诺亚为他的一个化名。他的脸肿胀,嘴里满是血,血滴到他穿着的白色 Hollister 卫衣上。“你知道我一直支持你。只要告诉我,我会做任何你想让我做的事。”
诺亚立刻认出了这个少年。贾斯汀(Justin)曾为他工作,帮助他盗窃加密货币。他虽然不知道贾斯汀的全名,但他知道自己不能向绑匪妥协。此外,他认为,这段视频可能是伪造的。于是,他没有转账任何资金。
这样的片段可能会让大多数青少年感到惊恐,但到2022年,诺亚已经见过太多类似的事情。当时,他正在逃避联邦调查局(FBI)的追捕,作为一个网络犯罪团伙的成员,该团伙后来被称为“Scattered Spider”(深潮注:也被称为 UNC3944,是一个主要由青少年和年轻人组成的黑客组织,成员据信主要来自美国和英国。这个组织因其复杂的社会工程手段和网络攻击而闻名)MargiMurphy。这个团伙已经成为全球最臭名昭著的网络犯罪组织之一,与数十起针对美国和英国公司的攻击有关。其中最严重的包括:2023年对米高梅国际度假村(MGM Resorts International)的勒索软件攻击,该攻击导致赌场的计算机系统瘫痪,给公司造成了 1 亿美元的损失;以及今年早些时候对英国零售商 Marks & Spencer Group Plc 的攻击,预计将导致约 4 亿美元的损失。
联邦调查局和英国国家犯罪局已将“Scattered Spider”列为重点打击目标。美国网络安全与基础设施安全局(CISA)将该团伙描述为“对美国机构构成严重且持续威胁”。网络防御公司Mandiant将其列为“影响欧洲和美国机构的最具侵略性和渗透性威胁行为者”之一。去年,《60分钟》节目还报道了“Scattered Spider”与俄罗斯勒索软件黑客的联系。
诺亚在该团伙中扮演了关键角色,担任“电话诈骗员”(caller)。他的经历是一则警示故事,讲述了一名没有多少技术能力的高中生如何从游戏过渡到快速盗窃加密货币,再到通过电话诈骗进入电信和科技公司的计算机网络以窃取敏感数据。他在佛罗里达中部的一个中产家庭长大,小时候常穿着Crocs凉鞋和冲浪短裤去钓鱼,去鳄鱼乐园(Gatorland)体验高空滑索,或者到奥兰多的环球影城游玩——这些都是普通男孩的活动。然而,随着他的犯罪行为升级,虚拟世界的活动开始蔓延到现实世界。绑架、火焰炸弹袭击以及性勒索案件引起了执法部门的注意。诺亚在网上结交的朋友如今面临长期监禁。
这篇报道是通过法院文件、Discord上的对话以及Telegram消息整理而成,同时采访了数十位威胁情报分析师、执法人员以及熟悉诺亚犯罪生涯的其他人士。其中包括诺亚本人,他在佛罗里达州的一所监狱里通过几十次电话与《彭博商业周刊》交谈,并提出条件,要求在他被判刑之前不得报道这些对话。
“你好,我叫凯文(Kevin),我正在代表T-Mobile内部安全管理部门打电话。”
诺亚其实并不是真正的黑客。他出生于2004年,也就是Facebook推出的那一年。他喜欢游泳和橄榄球,而不是编程。他有几个朋友和一个高中的恋人,但大多数时候他独来独往,在课堂上也不怎么参与。“我是个怪孩子,”诺亚回忆道。“我没有很多朋友,所以我没学到那种从与人交往中学到的社交暗示。”毕业后三年,他最喜欢的老师甚至不记得他。
诺亚8、9岁时开始玩《我的世界》(Minecraft),15岁时通过游戏认识了一些人,并首次听说了SIM卡交换(SIM-swapping)骗局。这种骗局涉及将某人的电话号码转移到你拥有的手机上,以便拦截安全代码、接管他们的在线账户并转移资金。这种操作不需要任何编程技能,关键技能是社会工程学——说服或贿赂电信公司员工为你“激活”号码。
诺亚很快展现了出色的谈话能力,拥有一副与年龄不符的低沉嗓音,能够欺骗受害者交出个人信息。他还将自己的社交工程能力归功于父母,“礼貌和尊重,这两项是我小时候学到的最重要的东西,”他说。
通过《我的世界》认识的SIM交换团伙领导人,每次诺亚成功通过电话导致加密货币被盗,就支付他50美元。他在第一周就赚了3000美元。
诺亚并不缺钱。他的父母在他还是幼儿时就分开了,但生活都很舒适。他的母亲在奥兰多北部一个封闭社区里拥有一套房子,从事人力资源工作;他的父亲是一名海军退役军人,经营一家在线营销公司,在附近拥有一处带泳池和按摩浴缸的住宅。
然而,SIM卡交换带来的肾上腺素飙升,以及在现实生活中难以找到的友情,让诺亚深深着迷。“如果你在沃尔玛旁边排队站着10个人,你可能不会找到很多与你合得来的人,”他说,“但如果你可以在线挑选你想要的朋友——大家都有共同的兴趣爱好——那就特别容易相处。”
诺亚加入了一个由大约15名玩家组成的团体,其中包括来自俄勒冈州波特兰的17岁少年丹尼尔·贾恩克(Daniel Junk)和来自苏格兰的另一名17岁少年泰勒·布坎南(Tyler Buchanan)。诺亚说,他们购买了一份从加密钱包公司Ledger SAS盗取的数据库,该数据库提供了加密货币持有者及其电子邮件地址的名单。下一步是进入这些电子邮件账户,他们开始寻找任何使用 Outlook、AOL 或 Yahoo!账户的人。他们告诉诺亚,这些账户是最容易攻破的。
这些新朋友是所谓“Com”(社区)地下网络的一部分,这个网络广泛分布在Discord和Telegram上,汇集了许多年轻人,他们寻找珍贵的用户名、视频游戏战利品以及可以通过账户接管盗取的加密货币。联邦调查局(FBI)从2018年开始调查“Com”,据探员估计,到那时,该团体已经盗窃了5000万美元。
随着更多“Com”成员发现盗取加密货币的简单性,对SIM卡交换的需求也随之增加。一些人猜测哪家电信公司,比如T-Mobile US Inc.或AT&T Inc.的呼叫中心支持承包商员工最容易被欺骗。还有人雇佣孩子跑进手机店偷客户代表的iPad。为了取乐,窃贼们经常拍摄这些行为并上传到网上。
诺亚说,贾恩克发现了一种方法,可以通过将自己的个人电脑注册到T-Mobile的企业网络,并使用远程访问软件进入公司的SIM卡激活工具,有时能够持续数月。当T-Mobile检测到可疑登录时,它会重置账户,将贾恩克锁定在外。因此,他开始付钱给诺亚,让他拨打电话欺骗员工交出登录信息。诺亚假装自己是信息技术部门的员工,成功骗取了登录信息。
其他参与SIM交换的人会在Discord上监听诺亚拨打电话的过程,同时玩《反恐精英》(Counter-Strike)或《使命召唤》(Call of Duty),并阅读贾恩克为他编写的脚本。“你好,我叫凯文(Kevin),”脚本开头写道,“我正在代表T-Mobile内部安全管理部门打电话。”当毫无戒心的销售代表不小心让诺亚进入系统时,贾恩克和他的朋友们会屏息倾听每一个字。当诺亚出错时,他们会笑得前仰后合。(T-Mobile的一位发言人表示,公司已经改进了安全措施,以“减少非法SIM卡交换”。)
随着诺亚欺骗越来越多的人,他发现目标不仅是可预测的,而且本质上是善良的。虽然很难让员工相信他们提交了IT工单,但他可以让他们相信工单一定是错误地链接到他们的账户上——能否请他们帮忙关闭工单,以便他结束工作?他们几乎总是配合。当诺亚通过谈话攻入一个新账户时,来自新朋友的认可比《我的世界》带来的满足感还要强。
“令人震惊的是,这么年轻的孩子居然有能力在世界某个地方煽动枪击事件,而且几乎不需要承担责任。”
诺亚的母亲开始怀疑他在搞什么鬼。陌生人订购的神秘披萨开始送到她家门口。她听到关于SIM卡交换的对话。当她试图制定更严格的规则时,16岁的诺亚搬去和父亲住。
罗伯特·厄本(Robert Urban)住在佛罗里达州德兰的一栋五居室房子里。车库里堆满了工具,客厅摆满了他伴侣两个孩子的玩具。一只白色的马尔基犬在他脚边吠叫。他说,当诺亚开始叫他“失败者”(buster)时,他注意到了一些变化。那时诺亚大约15岁。“你不开法拉利,你还要支付房贷,你拼命工作,却仍然在挣扎,”他回忆诺亚说过的话。从那时起,厄本发现儿子的行为发生了“剧烈变化”。
当设计师服装送到家门口时,或者在罕见的社交场合中,诺亚戴着一块镶满钻石、价值3.5万美元的劳力士手表,穿着一双路易威登的运动鞋时,他会告诉父亲,他通过《我的世界》出售物品,用所得资金投资加密货币。厄本自己也喜欢比特币,他还向朋友炫耀儿子的成功。
厄本试图让诺亚变现部分加密货币资产,用于更传统的投资。“不,爸爸,”诺亚会对他说,“我有我的计划。”相反,他花了8万美元购买了一个用户名为Elijah的《我的世界》账户,又花了3万美元购买了Twitter上的@e,此外还花了另一笔“荒谬”的金额购买了@autistic。
诺亚很快开始雇佣自己的电话诈骗员,包括他认识的贾斯汀。他会根据电信公司账户的安全等级支付从60美元到1000美元不等的报酬。如果电话诈骗员能让员工安装远程访问工具,他会支付高达4000美元。当新冠疫情在全国范围内关闭学校时,诺亚对员工额外的空闲时间感到非常满意。
对电信公司的访问时有时无,导致一些SIM交换者开始互相盗窃。有些人开始进行“人肉搜索”(doxing),将其他黑客的真实姓名和个人信息发布到网上以敲诈他们。《彭博商业周刊》查看了数十段Discord和Telegram视频,显示年轻人在喊着各自SIM交换派系的名字时向住宅投掷砖块,这种行为被称为“投砖”(bricking)。他们还破解并泄露对手女友的裸照及个人信息,鼓励他人骚扰她们。甚至有专门的Telegram聊天群用于羞辱“Com”成员的女友。
宾夕法尼亚州东部威斯顿-东戈申警察局的侦探大卫·黑尔(David Hale)说,他在2022年1月了解到“Com”,当时他被叫到一个富裕郊区的住宅,该住宅有人向客厅开了八枪,屋内有三人。两周前,该地区另一处房屋报告了一起火焰炸弹袭击事件。这两起攻击的目标都是与“Com”有关的年轻女性。“令人震惊的是,这么年轻的孩子居然有能力在世界某个地方煽动枪击事件,而且几乎不需要承担责任,”黑尔说。
诺亚说,他没有参与任何内部争斗,但他知道麻烦会找上门来。2021年,黑客向他母亲的家投掷砖块,以为他还住在那里。她收到了匿名信息,威胁如果她儿子不转移数十万美元的加密货币,攻击将继续。诺亚拒绝了,最终攻击停止了。
艾莉森·尼克松(Allison Nixon)对此感到越来越担忧。作为网络安全公司Unit221B的首席研究官,她对黑客逃避警方审查感到沮丧,并对他们攻击的侵略性表示担忧。
网络安全领域的成年人通常对青少年黑客持宽容态度,试图引导他们进入行业职业,以利用他们的才能。但在尼克松看来,这种方法已经不再奏效。“解决这个问题的唯一方法,”她说,“是政府像对待暴力街头帮派一样,历史性地解决这个问题。”
她的建议没有引起政府官员的共鸣。她形容这些官员“完全不知所措”,并表现得好像有更重要的事情要做,而不是在网上追逐孩子。她和其他网络安全调查人员警告执法官员,“Com”成员可能会成为更大的威胁。
到2022年,诺亚即将完成高中学业。他变得越来越疏离,错过了集会和舞会,也没有提交一段展示同学戴口罩的YouTube合集视频。根据法庭记录,诺亚已经是百万富翁,但他更专注于将自己的犯罪事业提升到新的层次。
“我只想要财务自由,整天和朋友们一起玩,听音乐。”
寻找新的加密货币持有者名单时,诺亚想到了针对通信技术公司Twilio Inc.的主意。由于该公司的软件被5万家公司用于管理与客户的短信和电话,诺亚认为它会拥有大量有价值的数据。2022年8月,在他18岁生日的几个星期前,他和朋友购买了一个伪造域名,该域名的网页看起来像用户认证公司Okta Inc.的登录页面,并向Twilio员工发送了带有链接的短信。
“警告!!!您的Twilio日程已更改。点击twilio-okta.com查看更改!”
诺亚成功让一名Twilio员工上当受骗。然而,当那个人没有他想要的数据时,他登录了他们的Slack账户,并向他在LinkedIn上找到的一名更高级别员工发送了一条消息。“我基本上告诉他们,我们需要这些数据用于审计目的或类似的事情,”诺亚说,“然后他们就导出了数据库并发送给了我。”
通过Twilio的企业客户访问代码,诺亚和同伙能够攻入更多公司。总的来说,他们最终获得了使用Twilio的209家公司的客户数据,包括短信验证码。“我们感觉自己像神一样,”诺亚说。
几天后,一家协助Twilio客户的网络安全公司Group-IB在博客中宣布了数据盗窃事件,并将黑客命名为0ktapus。受到惊吓的诺亚丢掉了价值3000美元的电脑和手机,换了新设备。不久之后,一名0ktapus成员将数据分享给另一名SIM交换者,后者又进一步广泛传播。随着越来越多的“Com”成员从数据库中挑选名字,这些数据在黑市上不再具有任何价值。
诺亚所在团队的成员暂时低调了一段时间,但当警方没有上门时,他们变得更加大胆。据Group-IB表示,0ktapus在2022年继续盗取了数千名员工的凭证。当他们成功进入一个企业账户后,就会找出权限更高的员工并以他们为目标。同年12月,该团伙还盗取了由温克尔沃斯兄弟(Winklevoss twins)拥有的加密货币交易所Gemini Trust Co.的570万名客户个人信息,并将这些信息放到犯罪论坛上出售。
在诺亚满18岁后,他搬出了父亲的家,住进了佛罗里达州棕榈海岸一个安静社区的长期Airbnb。他为自己的住所添置了床、桌子、沙发、电视,还有一只毛色像奥利奥饼干的猫,名叫戴安娜(Diana)。他说:“我只想要财务自由,整天和朋友们一起玩,听音乐。”
每周一次,他会开着道奇挑战者(Dodge Challenger)去一个商业街,在橄榄园餐厅(Olive Garden)和一家铁板烧餐厅之间选择,并留下100到200美元的现金小费。他还喜欢在夜晚高速公路上飙车,听Lil Uzi Vert、Playboi Carti和Ken Carson的音乐。
诺亚经常活跃在一个名为Leakth.is的论坛上,那里的人会发布他们最喜欢艺术家的“珍品”(即未发行的曲目)。他决定针对环球音乐集团(Universal Music Group NV)和华纳音乐集团(Warner Music Group Corp.)的员工,以便进入音效工程师和制作人的Dropbox或iCloud账户,怀疑他们的文件中有未发行的音乐。
2022年,诺亚使用一个名为King Bob的Twitter账户发布了一段他声称是Playboi Carti未发行歌曲《Money N Drugs》的珍品片段。这个名字是向《卑鄙的我》(Despicable Me)中的小黄人致敬。他的账户粉丝数一夜之间飙升至11,000人。关于King Bob身份的各种理论在网上传播开来,粉丝们猜测他可能是音乐工作室的推广者或叛变的制作助理。(唱片公司拒绝置评,Playboi Carti的经理没有回应置评请求。)
诺亚称,他并不是唯一一个使用King Bob化名盗取音乐的人,而且他认为发布珍品是推广行为,而不是盗窃。然而,被他攻击的人却有不同的看法。纳西尔·彭伯顿(Nasir Pemberton),一位为侃爷(Kanye West)、A$AP Rocky和Playboi Carti工作的制作人,指控诺亚盗取了他数百首歌曲,并在Discord上分享了他的Dropbox截图。“他差点毁了我的生活,”彭伯顿说。
“这完全是关于他们社区中的地位。这只是炫耀权。”
0ktapus并不是“Com”中唯一引发关注的团体。另一个派系——后来与诺亚的团队联手后被昵称为“Scattered Spider”——也想超越SIM交换的领域。该派系包括一些曾属于Lapsus$的成员,这个团体曾攻击过英伟达(Nvidia Corp.)和优步(Uber Technologies Inc.)。其中一名成员是一位名叫Jack的黑客,他吹嘘自己与勒索软件提供商有关系,并拥有绕过高级安全工具的软件。(另一名成员Thalha Jubair,据检方称代号为EarthtoStar,本月在英国被捕。美国检方于9月18日公开了一项指控,称现年19岁的Jubair帮助敲诈了47家美国公司,总金额达1.15亿美元。他的英国律师拒绝置评。)
诺亚觉得与他们合作会很酷。他开始与Jack建立联系,Jack对Twilio的入侵感到印象深刻,但却贬低诺亚和他朋友们通过攻入公司盗取数据库的策略。Jack认为,通过敲诈被攻入的公司赚钱要快得多。
诺亚说,他们一起通过谈话进入加密货币交易平台Crypto.com的一名员工账户。他们还利用联合包裹服务公司(UPS)的系统收集潜在受害者的个人数据。(Crypto.com的一位发言人表示,此次针对其平台的攻击此前未被媒体报道,涉及的信息仅影响“极少数个人”,且没有客户资金被访问。UPS在2023年表示已修复问题,但拒绝为本文提供进一步细节。)
该团体渴望获取更多数据。诺亚称,在虚拟课堂间隙,他使用ChatGPT研究哪些组织可以访问盗取加密货币所需的个人详细信息,以及哪些类型的员工可能拥有这些信息。2023年1月,他们攻入了视频游戏公司Riot Games Inc.,盗取了其热门游戏《英雄联盟》(League of Legends)的源代码以及一些反作弊工具。他们要求支付1000万美元以归还这些数据,这是该团体首次提出勒索要求。Riot Games拒绝支付。
诺亚说,他没有参与勒索企图,但他此前通过自己的电话诈骗技巧进入了该公司。他在盗窃期间对自己个人的Riot Games账户进行升级,这成为调查人员认为的重要线索——此外还有检方称他在几天后发送的一条似乎承认攻击的消息。
2023年3月1日清晨,一切开始崩塌。当诺亚带着他的猫从兽医那里回家时,二十多名FBI探员和警察包围了他的车,要求他打开车门。他犹豫了一下,担心戴安娜会跑出去,这让他们起初怀疑他在隐藏什么。当他解释后,警察允许他把猫带进屋。
诺亚坐在沙发上阅读搜查令,而探员们翻遍了他的住所,没收了他的电脑和iPhone。他拒绝提供密码。当他要求打电话给父亲时,一名FBI探员同意了,并将诺亚的手机举到他脸前试图解锁。“好尝试,”诺亚心想,同时躲开了。
检方称,联邦探员总共查获了约400万美元的加密货币、10万美元现金和价值10万美元的珠宝,包括劳力士手表和另外五块手表。他们还拿走了一台点钞机和诺亚的索尼PlayStation 5。诺亚说,他们只给他留下16美元和一本护照。
“像其他所有的父亲一样,我心碎了,但我会永远爱他,并在我死之前不会放弃他。”
诺亚当天没有被逮捕,但FBI探员指控他攻入Riot Games以及涉及几起加密货币盗窃事件。“他们让我坐下,说,‘我们知道你是一个社会工程师,’”诺亚回忆道。“‘我们知道你是Scattered Spider的一员。’”
事实证明,FBI自2021年起就一直在追踪诺亚,当时他因在俄勒冈州波特兰的一起SIM交换事件中被标记为低级参与者。尽管诺亚缺乏技术技能,但他仍然是“我们当时所知的顶级交换者之一,”负责波特兰办公室的特别探员道格拉斯·奥尔森(Douglas Olson)说,他参与了此案。“他非常非常擅长欺骗员工交换受害者电话号码并获取个人信息,从而实施犯罪。”
诺亚搬回了父亲家,他的父亲表示,当他听到儿子涉嫌犯罪的程度时感到震惊。同月,他们与律师一起飞往俄勒冈州,那里FBI探员一直在追踪贾恩克,诺亚的某位合作伙伴。据法庭文件显示,诺亚在那里向检方承认,从2020年底到2023年初,他盗窃了多达1500万美元。他表示自己不会再接触加密货币或进行黑客活动。
尽管诺亚在采访中的言论,FBI的奥尔森认为他“完全没有表现出悔意”。奥尔森说,诺亚的整个社交生活都围绕着实施网络犯罪,这使他对受害者变得麻木。事实上,诺亚告诉探员,他的大部分收益几乎是获得后立即花在加密货币赌博和游戏网站上。“这完全是关于他们社区中的地位,”奥尔森说。“这只是炫耀权。”
即使在家中被突袭后,诺亚仍继续进行社会工程学和盗窃音乐活动,据一名参与调查但要求匿名的FBI探员称。网络犯罪研究人员表示,Scattered Spider在突袭后似乎安静了一段时间。同年9月,该团伙涉嫌攻入凯撒娱乐公司(Caesars Entertainment Inc.),并敲诈这家赌场公司1500万美元。据知情人士透露,凯撒没有回应置评请求。
几天后,米高梅度假村(MGM Resorts)发现黑客已经进入了其系统,盗取了员工的Okta密码。米高梅关闭了其计算机系统。在拉斯维加斯的赌场大厅里,老虎机的支付功能停止工作。包括时任联邦贸易委员会主席莉娜·汗(Lina Khan)在内的客人被锁在房间外。公司没有支付赎金,但估计此次攻击造成了1亿美元的损失。
这一事件令人震惊。勒索软件通常是俄语团体的专属领域,而现在的证据表明,这种软件被离家更近的黑客所使用。
网络安全公司CrowdStrike Holdings Inc.和Mandiant表示,Scattered Spider几个月来一直在积极追踪他们的客户。这些公司与网络安全公司分享了Scattered Spider与其客户服务员工之间的录音,研究人员惊讶地听到熟悉的口音。加密货币交易所Coinbase Global Inc.的首席信息安全官杰夫·隆格霍费尔(Jeff Lunglhofer)在2023年描述他们为“年轻、口齿伶俐的男性”,“反应迅速,甚至很机智。”
米高梅攻击发生一个月后,微软公司(Microsoft Corp.)在博客文章中描述了Scattered Spider的勒索信变得越来越具有攻击性。成员们使用家庭地址和家族姓名以及身体威胁来迫使人们分享密码或代码,微软表示。同年11月,美国国土安全部警告称Scattered Spider与勒索软件团体AlphV合作,后者的成员讲俄语,并为赎金分成提供现成的恶意软件。
诺亚否认参与赌场攻击或部署勒索软件,他也没有因这些罪行被起诉。但政府怀疑他没有完全改邪归正。检方后来声称,2023年8月,诺亚从一个FBI正在追踪的钱包中提取了价值1万美元的比特币,尽管他承诺不再接触加密货币。他们发现了诺亚给朋友的Discord消息。其中一条写道:“我今天和一个联邦律师谈过。他们说如果我很快没有被起诉,我很可能会赢得这场官司。你无法想象如果我没有启动‘核模式’(指删除电脑上的所有内容)会有多糟糕。”
FBI对诺亚账户的分析显示,2022年中期,他帮助通过加密货币交易所和在线赌博服务转移了约7600万美元。诺亚说,这个数字不完全准确,但“也差不多。”
随着执法部门逐渐逼近诺亚,他的一些同伙陷入了另一种麻烦。贾恩克于2023年3月认罪,承认共谋进行电信欺诈。他在保释期间继续进行黑客活动。同年11月,当他返回波特兰的公寓时,三名男子将他拖进了一辆货车。他们将他的手绑在背后,套上头罩。绑架者多次取下头罩询问贾恩克的加密货币藏匿地点,当他不回答时,又将头罩紧紧套回他的脖子。他们不知道联邦探员已经从他那里查获了400万美元的加密货币。
“该死,”贾恩克回忆道,他在加州洛姆波克联邦监狱的探视室里坐在一个儿童大小的椅子上讲述了这次绑架。“我可能要死了。”
第二天早晨,一名慢跑者在一个十字路口发现了贾恩克,他被绑在一根柱子上,遍体鳞伤。贾恩克在离开重症监护病房后一个月再次被捕,并被判处六年监禁。他说,现在在监狱里是一种解脱,他的手腕上仍然可见一条电缆扎带留下的疤痕,上面刺有《飞出个未来》(Futurama)角色本德(Bender)的纹身。他说,他的家人可以重建他们的生活,不再受到骚扰,而他自己也不再有黑客的诱惑。“我们做的事情,我想,确实挺糟糕的,”他说。
2024年10月,四名男子因与贾恩克绑架案有关而被捕。他们都不认罪,目前正在等待审判。检方称,另外两名男子负责绑架贾斯汀,即那名在视频中请求诺亚帮助他的男孩。两人因入室盗窃和加密货币盗窃被定罪。贾斯汀设法逃脱,并在距离家120英里的佛罗里达高速公路上被一名州警发现。他无法联系置评。
诺亚于2024年1月被捕,距离警方搜查他在棕榈海岸的住所已有九个月。他被关押期间不得保释。随后,加州检方对他及另外四人提起了涉及黑客攻击13家公司的指控,包括AT&T、T-Mobile、Verizon Communications Inc.、Twilio和Riot Games。这些指控中包括他的苏格兰游戏好友泰勒·布坎南(Tyler Buchanan),后者于2024年6月在西班牙被捕并被引渡至美国,他对指控表示不认罪。布坎南本人及其律师均未回应置评请求。AT&T、T-Mobile、Verizon、Twilio和Riot Games也拒绝置评。
诺亚并未因盗窃音乐而受到指控,但检方在起诉书中提到了King Bob,而他的拘留照片迅速成为网络上的表情包。在线上,Playboi Carti的粉丝呼吁FBI公开诺亚盗取的音乐收藏。一名Reddit用户指责诺亚的父母对其犯罪行为负有责任,这促使诺亚的父亲在网站上作出回应。“有时候人们会做出违背他们所受教育的选择,”厄本写道,“像其他所有的父亲一样,我心碎了,但我会永远爱他,并在我死之前不会放弃他。”
美国佛罗里达中区的检察官格雷戈里·基奥(Gregory Kehoe)预测,像诺亚这样的人很难彻底摆脱犯罪。“这不仅仅是上瘾,这是他们的生活方式,”他说。“如果你的整个社交网络都围绕着多个平台上的在线交流,即使你遇到了一些挫折,你又有多大可能不会重新回到那种生活?”
诺亚表现出他还未准备好放弃在线生活的迹象。他曾因使用偷运的手机被两次关进单独监禁。2024年8月,他在X(原Twitter)账户上发了一条帖子:“无聊。”负责他案件的法官遭到黑客攻击,检方指责这是诺亚的一名同伙所为。
“像AT&T和T-Mobile这样的财富500强公司居然被一群青少年孩子轻易地欺骗了。”
被捕几周后,诺亚从监狱打电话给《商业周刊》的一名记者,回应采访请求。在接下来的一年里,他几乎每周都会从佛罗里达州斯塔克的监狱打电话,讲述他的经历。他言辞礼貌、冷静,且拥有一种令人放松的幽默感。他说,起初大多数囚犯都对这个因“电脑指控”而被关押的白人小孩持怀疑态度——通常“电脑指控”是性犯罪的代名词。但当他的拘留照片出现在关于米高梅黑客事件的《60分钟》节目片段中时,他们开始对他改观。
2024年4月,诺亚对电信欺诈和严重身份盗窃罪表示认罪。在7月的一次视频通话中,他蜷缩在他生活了19个月的30人宿舍的双层床底部,距离判刑还有几周。在之前的电话中,他听起来很自信,谈论如何赢得囚犯的尊重,以及用方便面赌博而不是用数百万美元。然而,这次,他头发梳在额头上,显得年轻而笨拙。他谈起一个曾经喜欢的女孩,他们在学校一起打排球。
当听到英国逮捕了四名“Scattered Spider”嫌疑人的消息时,他的眼神几乎没有变化。诺亚说,只要年轻人继续招募彼此,这种犯罪就会继续。“希望它会结束,但我看不到这种可能性。”
2024年8月20日,诺亚穿着一件背后印有“囚犯”字样的海军蓝色囚服,出现在杰克逊维尔的联邦法院接受判刑。在前一晚的电话中,他说自己“既紧张又兴奋”,预计不会超过八年监禁,并对律师提出的五年请求感到乐观。
他的律师凯瑟琳·谢尔顿(Kathryn Sheldon)告诉法庭,诺亚受到了年长的共谋者的教唆,并卷入了他认为是游戏的活动。“不是要把责任推到Coinbase或其他组织身上,”她说,“但像AT&T和T-Mobile这样的财富500强公司居然被一群青少年孩子轻易地欺骗了。”
诺亚向受害者和家人道歉,承诺将传播他所负责的剥削行为的意识。“无论什么时候我能出来,我都想专注于改善自己,”他说。
但他并没有得到他所希望的宽恕。美国地区法官哈维·施莱辛格(Harvey Schlesinger)是一名85岁的前检察官,自1991年起担任法官,他宣读了诺亚几名受害者的声明,包括一名前消防员,他本指望自己的加密货币储备来支付试管婴儿治疗费用;还有一名退休人员,他在失去钱后不得不找份快递员的工作。一名来自明尼阿波利斯的企业主,他的数十万美元加密货币本是为孩子准备的,被诺亚盗走,他坐在旁听席上听判。
法官判处诺亚10年监禁——比检方要求的刑期还要长。法官表示,尽管诺亚的大部分犯罪行为是在未成年时进行的,但他显然“比大多数人聪明”。较长的刑期希望能起到威慑作用。他在法官宣读他欠债的一长串受害者名单并命令他支付 1340 万美元赔偿时几乎没有动作。
第二天晚上,诺亚从监狱打来电话。他说自己后悔伤害了家人和受害者,但他似乎对自己建立的友谊充满希望。“我并不是说我做的事情是好事,这是一个可怕的社区,而我做的事情是坏的,”诺亚说。“但我爱我的生活。我喜欢我自己。我很高兴我能以我自己的方式活过这一生。”