Een 20-jarige Amerikaanse man die lid was van de bekende cybercrimegroep Scattered Spider en zich ook schuldig maakte aan sim-swapping is in de Verenigde Staten veroordeeld tot een gevangenisstraf van tien jaar. Daarnaast moet hij zijn slachtoffers een schadevergoeding van 13 miljoen dollar betalen. De Amerikaanse openbaar aanklager had acht jaar cel geëist. Volgens de verdachte besloot de rechter hem een hogere straf op te leggen omdat een ander Scattered Spider-lid zijn e-mailaccount had gehackt, om zo de niet openbare aanklacht in de zaak te kunnen stelen.

Scattered Spider is een groep criminelen die vaak social engineering toepast om bij organisaties binnen te dringen. Zo doen leden van de groep zich voor als medewerkers van de aangevallen organisatie en proberen de helpdesk te overtuigen om het wachtwoord van de medewerker te resetten en de multifactorauthenticatie (MFA) over te zetten naar een apparaat waar zij de controle over hebben. De groep is nog steeds actief en wordt verantwoordelijk gehouden voor aanvallen op allerlei organisaties, waaronder bleekmiddelfabrikant Clorox, de Britse ketens Marks & Spencer, Co-op en Harrods en de Amerikaanse casino- en hotelketen Caesars Entertainment.

De Amerikaanse man werd begin vorig jaar door de autoriteiten aangehouden en later dat jaar aangeklaagd. Volgens de autoriteiten gebruikte de verdachte social engineering en phishing om toegang tot accounts van medewerkers van organisaties te krijgen. Vervolgens werd intellectueel eigendom en proprietary informatie ter waarde van tientallen miljoenen dollars gestolen, alsmede de persoonlijke informatie van honderdduizenden personen. Getroffen organisaties werden vervolgens afgeperst en moesten betalen om openbaarmaking van de gestolen data te voorkomen.

Daarnaast gebruikte de groep gestolen informatie, alsmede gegevens uit andere bronnen, om toegang tot cryptowallets en -accounts van individuen te krijgen en zo miljoenen dollars aan cryptovaluta te stelen. In een reactie tegenover it-journalist Brian Krebs laat de verdachte weten dat zijn straf hoger uit is gevallen omdat een ander Scattered Spider-lid het e-mailaccount van de rechter hackte. Tijdens een hoorzitting die eerder dit jaar plaatsvond liet de rechter inderdaad weten dat er door middel van social engineering was ingebroken op het account (pdf). Naast de gevangenisstraf moet de man 59 slachtoffers een schadevergoeding van in totaal 13 miljoen dollar betalen.