Celui qui voulait rafler une quarantaine de millions de dollars
L’un des voleurs de Josh Jones est finalement arrêté après qu’il ait flambé une partie de son magot dans l’achat d’un nom d’utilisateur rare.
Bonsoir,
Bienvenue pour le dernier volet de cet épisode de Pwned sur ce spectaculaire hold-up crypto de plusieurs dizaines de millions de dollars qui avait visé une baleine crypto en février 2020. Pour rappel, vous pouvez lire les deux premiers volets ici et là.
Mais tout d’abord, si vous n’êtes pas inscrit à cette newsletter sur le cybercrime, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires. N’hésitez pas également à la partager autour de vous.
La semaine dernière, je vous parlais d’un gang emblématique des attaques par SIM-swapping, “The Community”. En prenant le contrôle de numéros de téléphone, ils ont réussi à faire d'impressionnants vols en ciblant des baleines de la crypto.
Tiens, d’ailleurs, il y a justement un jeune Canadien d’environ 17 ans qui gravite pas très loin de “The Community”. On va l’appeler Rodney, ainsi que l’a surnommé le magazine Toronto Life. Le pseudonyme s'impose : mineur au moment des faits, l'identité de Rodney est alors protégée par la justice canadienne.
Les fréquentations de Rodney ne sont pas anodines et devraient vous rappeler quelque chose, surtout si vous avez lu attentivement les derniers épisodes de Pwned. L’ado est en lien avec Colton Jurisic et Corey De Rose, deux membres de “The Community”.
Et il navigue dans les mêmes cercles que Rolex ou PlugWalkJoe, ces deux jeunes mis en cause dans l’attaque des comptes Twitter de célébrités. On retrouve également Rodney en cheville avec un gang de SIM-swapper, le Chuckling Squad (dont on n’avait cette fois pas encore parlé).
En août 2019, il les aide par exemple à pirater le téléphone d’un youtubeur américain connu dans le monde du jeu vidéo. Son job? Mettre la main sur une carte SIM vierge et un téléphone, qui seront utilisés par le Chuckling Squad pour transférer la ligne de la victime en trompant l'opérateur.
Puis, Rodney est chargé d'envoyer au gang les codes d’authentification pour réinitialiser les mots de passe. Au début, tout se passe bien. Mais les cybercriminels butent sur un problème de taille.
L’influenceur a protégé ses comptes avec une application d’authentification, ce qui est effectivement recommandé pour bien se protéger. Comme les pirates ne peuvent pas avoir accès à l’application du téléphone, seulement à la ligne téléphonique, l’attaque tombe à l’eau.
Cependant, ce fiasco ne rebute visiblement pas Rodney, puisqu'on le retrouve six mois plus tard à l'œuvre dans le vol contre Josh Jones, une nouvelle attaque par SIM-swapping. Manifestement, cette histoire a été un tournant dans la vie de Rodney.
Peu après, il va en effet prendre la tangente du domicile familial. L’ado déménage avec un ami, qui a l'avantage d'être tout juste majeur, à Mississauga juste à côté de Toronto. Deux jeunes fans de Fortnite font une coloc’ et croulent sous la crypto. Vous voyez le tableau quotidien, du style weed, jeux vidéo et ubereats...
Mais tout le monde n’apprécie pas Rodney. Au mois d'avril, il est par exemple visé par un swatting, ces fausses dénonciations d’un crime destinées à provoquer une intervention policière. Vers deux heures du matin, des policiers sonnent à la porte du gourbi des deux ados, appelés pour des violences contre une femme.
Ils ne trouvent évidemment que les deux acolytes, sans la moindre trace de petite amie ni de violence. Ils restent une heure à discuter et repartent.
Et il y a plusieurs doxx - ces dénonciations en ligne - qui le ciblent. Cela peut d’ailleurs donner l’impression que l’enquête policière a été poussée par quelques tuyaux partagés avec la police. Il y avait manifestement dans l’entourage de Rodney des gens très bien informés qui ne l’aimaient pas.
Attention toutefois à ne pas réécrire l’histoire. Une partie des dénonciations sont postérieures à ses ennuis judiciaires. Il y a par exemple ce commentaire à un article de Brian Krebs de juillet 2020 où il est mentionné nommément comme l’auteur d’un vol à 40 millions, et aussi comme une victime de PlugWalkJoe. Vous voyez la bonne ambiance qui règne entre les pirates du SIM swap’.
Quoiqu’il en soit, comme souvent, les pirates informatiques qui dérobent des cryptos ont tendance à être trop confiants. Ils pensent à tort qu’ils ont bien brouillé toutes leurs traces. Or il suffit d’un écart pour donner un indice aux enquêteurs.
Et justement, dans l’affaire de Josh Jones, quelqu’un a racheté le nom d’utilisateur “God” sur le Playstation network. Une transaction qui représente la bagatelle de 50 000 dollars canadiens en crypto monnaie.
La somme vous paraît sans doute démentielle, c’est aussi mon avis. Mais voilà, c’est comme ça, il y a des noms d’utilisateurs courts ou originaux âprement recherchés par certains internautes. Quitte d’ailleurs à pirater des comptes ou à acheter des accès frauduleux.
Cet achat est intéressant car il permet aux enquêteurs canadiens de faire le lien entre le nom d’utilisateur “God” et une précédente adresse de messagerie appartenant à Rodney - on a pas plus de détails. L’adolescent est finalement arrêté par la police de Hamilton le 14 mai, une grosse poignée de semaines après le vol de Josh Jones.
L’enquête a été rapide. Il faudra cependant attendre encore plusieurs mois avant que cette arrestation ne soit rendue publique. Pourquoi? Eh bien sans doute parce qu’il y a pas mal d’argent qui manque à l’appel. La police explique alors avoir saisi l’équivalent de 7 millions de dollars canadiens dans ce vol à 46 millions, le plus gros vol de crypto alors signalé au Canada.
Il manque donc environ 39 millions. Les enquêteurs ont sans doute espéré mettre la main sur d’éventuels comparses et sur le reste du magot avant de médiatiser leur arrestation. Selon une dénonciation publiée en ligne, le butin aurait en fait été partagé à parts égales avec un complice à l'identité non précisée. Rodney, généreux ou pigeon, aurait aussi glissé quelques millions à une amie rencontrée en ligne.
Mais tant pis pour sa malheureuse victime, puisque l’enquête va en rester là. En juin 2021, sans surprise, Rodney est condamné par la justice canadienne. Ça va permettre de restituer 94 bitcoins à Josh Jones, c’est déjà ça. Par contre, la peine de l’adolescent semble extrêmement clémente au vu des sommes volées.
Une simple probation d'un an assortie d'une interdiction de jouer avec les cryptos pendant un an, sans détention supplémentaire après l'année passée en prison dans l'attente de son procès. Soit Rodney a eu de la chance, soit il avait un super avocat.
Bon après tout, c’était un gamin à l’enfance tourmentée, entre un père absent, une mère dépressive et un diagnostic de troubles de l’attention. Tout le monde a droit à une seconde chance, non? On a tous envie d’y croire, mais malheureusement, il faudra sans doute repasser pour le happy-end.
Un an plus tard, le détective crypto Zachxbt publie l'une de ses enquêtes serrées qui font sa réputation sur le web. En tirant le fil d'arnaques crypto récentes basées sur le piratage de comptes Twitter, il débusque un suspect spécialisé dans ce genre d'intrusions… Vous avez compris qui est l’homme qu’il soupçonne.
On se retrouve bientôt pour une histoire de cybercrime,
Bonne soirée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
THE CASE OF THE MISSING $46 MILLION
Hamilton teen banned from crypto for a year after hacking $48-million from ‘bitcoin pioneer’
Arrest Made in $46 Million Dollar Cryptocurrency Theft
Canadian Teen SIM Swaps for $37m and is now allegedly responsible for multiple Twitter hacks.