Egy koppanásra ébredt, aztán kapucnis alakok egy AK-47-est szorítottak a fejéhez, és azt követelték: adja át a kriptóit

2022 szeptemberében, egy nyugodtnak induló éjszakáján a hatvanas éveiben járó Julia Goodwin arra ébredt floridai háza hálószobájában, hogy az üvegajtajukon valami koppant. Julia, és férje, Glenn, először azt hitték, hogy egy madár repülhetett neki az üvegnek, de azért felkeltek. Julia úgy ahogy volt, meztelenül, kiment a nappaliba megnézni, mi okozta a zajt. Felkapcsolta a lámpát, de kint először csak sötétséget látott.

Néhány másodperccel később újra hallotta a koppanást, majd az üvegajtó szilánkokra tört, a darabjai szétszóródtak a nappali padlóján. A házba három elfedett arcú, kapucnis alak rohant be, egyikük rávetette magát Glennre, a másik kettő pedig Juliára támadt. Egy AK-47-es gépkarabélyt szorítottak a fejéhez, és azt követelték tőle, hogy adja meg a telefonja és a számítógépe jelszavát, valamint a kriptókat tartalmazó online pénztárcájához való hozzáférést. „Ha nem adod oda, megölünk” – mondta egyikük – „Mi a jelszavad?”.

Julia a támadás közben először arra gondolt, hogy milyen fájdalmakat élhet át az előrehaladott Parkinson-kórban szenvedő férje. De ennél is erősebben öntötte el a hitetlenkedés érzése: nem akarta ugyanis elhinni, hogy ez másodszor is megtörténhet vele – írja a Bloomberg a történetét bemutató cikkben.

Julia Goodwin – akit a valóságban nem így hívnak – először a YouTube-on hallott a decentralizált pénzügyi rendszerekről és a kriptókról. Még a 2010-es években eladta a korábban kiadott lakásait, a pénzből pedig kriptót vásárolt. Miután annak az értéke rövid időn belül megsokszorozódott, Goodwin vagyona hirtelen átlépte a hárommillió dollárt.

2021-ben azonban, miközben ő Costa Ricán volt a testvérénél, hekkerek támadták meg a fiókját, amin a kriptóit tartotta. Négy perc alatt 19 átutalást indítottak a fiókjáról, amivel összesen 28 bitcoint és 1108 ethert veszített. Ezzel négy perc alatt a nyugdíjas éveire félrerakott vagyona több mint 90 százalékát elvesztette. Később pert indított a BlockFi nevű cég ellen, ahol a fiókja volt, ők azonban tagadták a felelősségüket, majd csődbe mentek.

Juliának azonban még így is maradt több százezer dollárnyi kriptója, és amikor egy évvel később AK-47-est fogtak a fejéhez, elhatározta, hogy ezt már nem fogja elveszíteni. „Lőjetek le! Csak lőjetek le!” – kiabálta a maszkos betörőknek az ügyben indított bírósági eljárás tanúvallomásai szerint. Az egyik betörő először megpróbálta a lakáson belül megkeresni a laptop és a telefon kinyomtatott jelszavait, később azonban azzal kezdték fenyegetni, hogy ha nem mondja el azokat, megkínozzák.

A kínzásra azonban nem került sor, az addigra megvert és a ház garázsába lökött Glenn ugyanis egy pillanatra ki tudott szabadulni és meg tudta nyomni a ház riasztójának vészjelző gombját. A riasztó megszólalt, mire a betörők megijedtek, összeszedtek mindent, ami értékesnek tűnt, és elmenekültek.

Julia Goodwin esete egyáltalán nem egyedi. A Bloomberg Businessweek január elején jelentetett meg egy hosszú cikket a kriptotulajdonosok elleni fizikai támadásokról és azon belül is egy nemzetközi bandáról, ami 2022 és 2023 között az Egyesült Államok négy különböző államában támadt meg vélt vagy valós kriptósokat. A Miau (angolul Meow) becenevű fiú által vezetett csapatot 2023 nyarán kapcsolta le az FBI, a perük tavaly zajlott.

Az Egyesült Államok Igazságügyi Minisztériumának beszámolója szerint a nagyrészt fiatalokból álló banda 12 tagját 2024 szeptemberében ítélték el. Az elkövetők a vád szerint SIM-kártyás csalásokkal és betörésekkel összesen 3,5 millió dollárnak megfelelő értéket, főleg kriptót emeltek le áldozatok számláiról. A bűncselekményeket kiötlő, akkor 23 éves Miau – polgári nevén Jarod Gabriel Seemungal – bűnösnek vallotta magát, és 20 év börtönbüntetést kapott azzal, hogy leghamarabb 2040-ben szabadulhat. A betöréseket végrehajtó csapatot vezető 25 éves Remy Ra St Felix 47 év börtönbüntetést kapott, majd, miután a börtönben találkozott az egyik rá terhelő vallomást tevő társával, és megtámadta őt, tavaly a 47 év felett további 6 év 10 hónap büntetést szabtak ki rá.

Az Igazságügyi Minisztérium közleménye részletesen felsorolja, hogy a St Felix által vezetett csapat:

• 2022 szeptemberében betört egy, a floridai Delray Beach-en élő párhoz, akiket fegyverrel fenyegettek (ez a Bloomberg által Julia Goodwin álnéven bemutatott nő esete);
• még abban a hónapban a szintén floridai Homesteadben betörtek egy családhoz, amelynek tagjait fegyverrel tartották fogva, majd a férfit elrabolták, túszul ejtették, megverték, és az otthonától 120 kilométerre magára hagyták;
• 2022 decemberében egy texasi házba törtek be, ahol egy férfit és édesanyját három óráig tartották fogva, miközben a férfit megverték. Innen 150 ezer dollárnyi készpénzzel, két Rolex-szel és egy nyaklánccal távoztak;
• majd 2023 áprilisában az akkor 24 éves St Felix és egy 23 éves társa az észak-karolinai Durhamben törtek be egy házaspár otthonába, akiket műanyag kábelkötegelőkkel kötötte ki, majd arra kényszerítettek, hogy adják ki a férfi kriptokereskedéshez használt fiókjának hozzáférését;
• hogy aztán 2023 júliusában egy újabb támadásra készülve az FBI lecsapjon rájuk.

A banda úgy dolgozott, hogy Miau és a neki dolgozó hekkerek kiszivárgott adatbázisok alapján azonosítottak kriptotulajdonosokat, akikről aztán az interneten megpróbáltak mindent kideríteni. A helyszínen dolgozó csapat – amelyet St Felix vezetett – napokon keresztül megfigyelte a célpontokat, majd éjszaka csaptak le rájuk.

A támadások során az áldozatoknak meg kellett adniuk a kriptopénztárcáikhoz való hozzáférést a betörőknek, akik titkosított csatornákon továbbították azt a Miau által vezetett hekkercsapatnak. Miau és társai beléptek a tárcákba, ahonnan aztán saját kezelésű, anonim fiókokba továbbították a kriptót, amit azonnali tőzsdei üzleteken és decentralizált pénzügyi platformokon keresztül mostak tisztára – közölte az USA Igazságügyi Minisztériuma.

A bandának utánajáró Bloomberg cikke szerint a 2001-es születésű Miau középosztálybeli családban nőtt fel a floridai Orlandóban, sőt, nagyszülei néha magángépen utaztatták a közös nyaralásokra. Tizenévesen szokott rá a Minecraftra, majd kezdett programozni egy olyan cégnek, ami bitcoinban fizetett neki a munkáért. Hamar beleszeretett a kriptóba, és megpróbálta minden barátját rávenni, hogy minden pénzüket abba fektessék, majd egy idő után két, a Minecrafton megismert európai barátjával SIM Swap csalásokba kezdtek.

A SIM swap lényege a Kiberpajzs.hu szerint, hogy a csalók először megszerzik az áldozat adatait, majd ezek segítségével valamilyen ürügyre hivatkozva – például, hogy kisebb kártya kell – új SIM kártyát igényelnek a szolgáltatótól. Ha ez sikerül, akkor az áldozatnál lévő eredeti SIM-kártya deaktiválódik, és a csalóknál lévő új SIM-kártya aktiválódik, amelyet aztán ők tudnak kezelni.

Miau vallomása szerint két európai társával több mint száz SIM-kártya felett vették át az irányítást, amivel a tulajdonosok elektronikus pénztárcáját is ki tudták üríteni. Miau szerint egy-egy ilyen csalással átlagosan 10 ezer dollárt tudtak ellopni, néha azonban belefutottak jóval gazdagabb áldozatokba is. A legnagyobb fogás Julia Goodwin volt, akitől első körben több mint kétmillió dollárnyi kriptót loptak el – ebből az akkor 20 éves Miau másfél milliót kapott. A fiú ekkor költözött el anyjától és vett egy BMW M8-ast.

Ebben az időben azonban a telefonszolgáltatók olyan biztonsági funkciókat építettek be a rendszereikbe, amelyekkel a SIM swapping a korábbinál jóval nehezebb lett. Miau és társai ezért azt találták ki, hogy az áldozatokat nem online, hanem fizikailag rabolják ki, az ehhez szükséges piszkos munkát pedig mással végeztetik el. Erre találták meg az akkor 21 éves, egy fegyverhez kapcsolódó bűncselekmény miatt a börtönből éppen akkor kiengedett Remy Ra St Felixet, aki gyorsan bandát toborzott a betörésekhez.

A megegyezés az volt, hogy a betörésekkel megszerzett vagyon 70 százaléka a hekkerekhez kerül, a betörés résztvevői pedig a maradékon osztoznak. Bizonyos betöréseknél, amelyekben öten vettek részt, ez azt jelentette, hogy egy-egy betörő mindössze a zsákmány 6 százalékára számíthatott. Miau azzal győzte meg őket, hogy milliomosokat fognak kirabolni, így a betörők a zsákmány kis részéből is „generációkon átívelő léptékű vagyont” építhetnek.

A valóságban ez nem jött össze, a betörések egy részénél ugyanis nem sikerült megszerezni az áldozatok kriptóit, és ahol sikerült, ott is volt, hogy a vártnál kevesebb pénzhez jutottak. Arról nem beszélve, hogy az ellopott kriptó nagy részét a hekkerek megtartották maguknak, a betöréseket végző bűnözőknek csak egy kis részt osztottak vissza.

A leghosszabb, 47 éves büntetést St Felix kapta, de a betörők közül volt még 25, 16 éves büntetés is, a többiek pedig mind 12 évet kaptak. A hekkerek közül Miau 20 évet kapott, két Nagy-Britanniában élő társának kiadatása még zajlik, miközben egy finn társuk ellen Finnországban indítottak eljárást.

A Bloomberg szerint az eset rávilágít arra, hogy a legtöbb kripto-kereskedelemre és kriptovaluták kezelésére alkalmas platform milyen veszélyeket hordoz. Az amerikai pénzmosás elleni szabályok ma már előírják, hogy az ilyen platformokra regisztráló felhasználóknak meg kell adniuk az azonosításukra alkalmas adatokat. Ez elvileg idővel kiszűri majd a csalások egy részét, a kriptocégek azonban ennek eltörlését követelik, szerintük ugyanis pont az veszélyes, ha a fiókokhoz személyeket lehet kötni – enélkül ugyanis szerintük nem lehetne megtalálni és fizikailag kirabolni a tulajdonosokat.

A lap szerint eközben 2020 óta világszerte 215 fizikai támadás történt kriptotulajdonosok ellen, a trend pedig egyértelműen növekedő: 2025-ben kétszer annyi ilyen eset történt, mint 2024-ben. Jameson Lopp kriptoipari biztonsági tanácsadó szerint azonban a valóságban ennél sokkal több embert támadhattak meg a kriptói miatt, mert sok áldozat nem jelenti az ilyeneket, egy részük ugyanis fél az új támadásoktól, míg másik részük nem bízik a hatóságokban.

A Bloomberg teljes cikkét előfizetés birtokában itt lehet elolvasni.