Un homme de New York âgé de 24 ans qui s’est vanté d’avoir aidé à voler plus de 20 millions de dollars de crypto-monnaie à un dirigeant de la technologie a plaidé coupable de complot en vue de commettre une fraude électronique. Nicolas Truglia faisait partie d’un groupe qui aurait volé plus de 100 millions de dollars à des investisseurs en crypto-monnaie en utilisant des « échanges SIM » frauduleux, des escroqueries dans lesquelles des voleurs d’identité détournent le numéro de téléphone portable d’une cible et l’utilisent pour prendre le contrôle de l’identité en ligne de la victime.
Truglia a admis devant un tribunal fédéral de New York qu’il avait laissé un ami utiliser son compte sur une plateforme de crypto-trading Binance en 2018 pour blanchir plus de 20 millions de dollars de monnaie virtuelle volée à Michel Terpinun investisseur en crypto-monnaie qui a cofondé le premier groupe d’investisseurs providentiels pour les passionnés de bitcoin.
Suite au vol, Terpin a intenté une action civile contre Truglia auprès de la Cour supérieure de Los Angeles. En mai 2019, le jury a accordé à Terpin un jugement de 75,8 millions de dollars contre Truglia. En janvier 2020, un grand jury de New York a inculpé Truglia (PDF) pour sa part dans le vol de crypto de Terpin.
Une carte SIM est la minuscule puce amovible d’un appareil mobile qui lui permet de se connecter au réseau du fournisseur. Les clients peuvent légitimement demander un échange de carte SIM lorsque leur appareil mobile a été endommagé ou perdu, ou lorsqu’ils passent à un autre téléphone nécessitant une carte SIM d’une autre taille.
Nicholas Truglia, tenant une bouteille. Image : twitter.com/erupts
Mais les escrocs frauduleux abusent fréquemment des échanges de cartes SIM frauduleux qui incitent les fournisseurs de téléphonie mobile à lier le service d’une cible à une nouvelle carte SIM et à un nouveau téléphone portable contrôlés par les escrocs. Les échanges de carte SIM non autorisés sont souvent perpétrés par des fraudeurs qui ont déjà volé ou hameçonné le mot de passe d’une cible, car de nombreuses institutions financières et services en ligne s’appuient sur des SMS pour envoyer aux utilisateurs un code à usage unique pour l’authentification multifacteur.
Pour aggraver la menace, de nombreux sites Web permettent aux clients de réinitialiser leurs mots de passe simplement en cliquant sur un lien envoyé par SMS au numéro de téléphone mobile lié au compte, ce qui signifie que toute personne qui contrôle ce numéro de téléphone peut réinitialiser les mots de passe de ces comptes.
Appelé pour un commentaire, Terpin a déclaré que son agresseur s’en était bien sorti.
« Je suis scandalisé qu’après près de quatre ans et des centaines de pages de preuves que le mieux que les procureurs aient pu recommander était une négociation de plaidoyer pour un chef d’accusation unique et relativement mineur d’utilisation non autorisée d’un compte d’échange Binance, alors que toutes les preuves pointent vers Truglia étant l’un des deux cerveaux d’un complot criminel de grande envergure visant à me voler des cryptos, à moi et à d’autres », a déclaré Terpin à BreachTrace.
Terpin a déclaré que les archives judiciaires publiques montrent déjà que Truglia se vante d’avoir volé ses fonds et de les utiliser pour financer un style de vie somptueux.
« Il a au moins retiré 100 bitcoins (d’une valeur de 1,6 million de dollars à l’époque et près de 5 millions de dollars aujourd’hui) de mon vol dans son portefeuille dans un échange séparé basé aux États-Unis, puis les a déplacés ou dépensés », a déclaré Terpin. « Le fait est que le vol intentionnel de 24 millions de dollars, qu’il soit commis à la pointe d’une arme à feu dans une banque ou via un échange de carte SIM, est un crime majeur. Truglia devrait être poursuivi avec toute la rigueur de la loi.
Nicholas Truglia, exhibant une montre Piaget sertie de diamants à bord d’un jet privé. Image : twitter.com/erupts.
Terpin mène également une poursuite civile en cours contre un jeune de 18 ans Ellis Pinsky, qui est accusé de travailler avec Truglia dans le cadre d’une équipe d’échange de cartes SIM qui a volé plus de 100 millions de dollars en crypto-monnaie. Selon Terpin, Pinsky avait 15 ans lorsqu’il a participé à l’échange de carte SIM de 24 millions de dollars en 2018, mais il a restitué pour 2 millions de dollars de crypto-monnaie après avoir été confronté aux enquêteurs de Terpin.
« En surface, Pinsky est un » All American Boy « », accuse Terpin de poursuites civiles. « Fils de privilège, il est actif dans les activités parascolaires et vit une vie de banlieue avec une mère adorée qui est un médecin éminent. »
« Malgré leurs apparences saines, Pinsky et ses autres cohortes sont en fait des génies informatiques diaboliques avec des traits sociopathes qui ruinent sans cœur la vie de leurs victimes innocentes et se vantent joyeusement de leurs braquages de plusieurs millions de dollars », poursuit le procès. « Pinsky est réputé pour avoir utilisé ses gains mal acquis pour acheter des montres de plusieurs millions de dollars et est connu pour faire des virées nocturnes dans des clubs haut de gamme à New York, et Truglia a loué des jets privés et a joué le rôle d’un playboy fringant avec des jeunes femmes qui le dorlotent.
Pinksy n’a pas pu être immédiatement jointe pour un commentaire. Mais un examen des derniers documents déposés dans le procès montre que les avocats de Pinsky ont cessé de le représenter car il n’avait plus les fonds pour payer leurs services. L’entrée la plus récente dans le rôle du district sud de New York demande au tribunal de donner à Pinsky un délai supplémentaire pour chercher un avocat, et laisse entendre qu’à moins qu’il ne finisse par se représenter lui-même.
Ellis Pinsky, sur une photo téléchargée sur son profil de réseau social.
Truglia fait toujours l’objet de poursuites pénales à Santa Clara, en Californie, siège du groupe de travail REACT, qui poursuit les cas d’échange de carte SIM dans tout le pays. En novembre 2018, les enquêteurs de REACT et les autorités de New York Truglia arrêté soupçonné d’avoir utilisé des échanges de cartes SIM pour voler environ 1 million de dollars de crypto-monnaies à Robert Rossun père de deux enfants à San Francisco qui a ensuite fondé le site Web de défense des victimes stopsimcrime.org.
Selon rapports publiés, Truglia et ses complices ont également perpétré des échanges de cartes SIM contre le PDG du service de stockage de blockchain 0Chain ; le hedge-funder Myles Danielson, vice-président de Hall Capital Partners ; et Gabrielle Katsnelson, co-fondatrice de la startup SMBX.
Truglia devrait actuellement être condamné en avril 2022 pour son plaidoyer de culpabilité à New York. Il encourt une peine maximale de 20 ans de prison.
Erin West, procureur adjoint du comté de Santa Clara, a déclaré à BreachTrace que l’échange de cartes SIM reste un problème majeur. Mais elle a déclaré que bon nombre des victimes qu’ils assistent actuellement sont des investisseurs relativement nouveaux en crypto-monnaie pour lesquels une attaque par échange de carte SIM peut être financièrement dévastatrice.
« À l’origine, les cibles d’échange de cartes SIM étaient les premiers à adopter la cryptographie », a déclaré West. «Maintenant, nous voyons beaucoup plus de ce que j’appellerais des gens normaux s’essayer à la cryptographie, et cela fait de beaucoup plus de gens une cible. Cela rend les personnes qui ne connaissent pas leur sécurité personnelle en ligne vulnérables aux pirates dont tout le travail consiste à trouver comment séparer les gens de leur argent.
West a déclaré que REACT continue de former les responsables de l’application des lois des États et locaux à travers le pays sur la manière d’enquêter et de poursuivre avec succès les cas d’échange de cartes SIM.
« La bonne nouvelle est que nos partenaires à travers le pays apprennent à gérer ces cas », a-t-elle déclaré. « Alors qu’il s’agissait d’un phénomène relativement nouveau il y a trois ans, d’autres juridictions plus petites du pays apprennent maintenant à poursuivre ce crime. »
Tous les principaux opérateurs de téléphonie mobile permettent aux clients d’ajouter une sécurité contre les échanges de cartes SIM et les systèmes connexes en définissant un code PIN qui doit être fourni par téléphone ou en personne dans un magasin avant que des modifications de compte ne soient effectuées. Mais ces fonctionnalités de sécurité peuvent être contournées par des employés de magasins mobiles incompétents ou corrompus.
Pour quelques conseils sur la façon de minimiser vos chances de devenir la prochaine victime d’échange de carte SIM, consultez la section « Que pouvez-vous faire ? » section à la fin de cette histoire.