10 anni di carcere al mago del SIM Swapping di Scattered Spider

Un 20enne della Florida considerato essere il perno centrale del gruppo cybercriminale noto come “Scattered Spider” è stato condannato a 10 anni di carcere federale e all’obbligo di pagare circa 13 milioni di dollari di risarcimento alle vittime, secondo quanto riportato da fonti giudiziarie e media locali. Il giovane, Noah Michael Urban di Palm Coast (Florida), aveva ammesso la propria responsabilità nell’aprile 2025 per capi d’imputazione di frode telematica e associazione a delinquere, in relazione a una serie di attacchi di SIM swapping e campagne di phishing che avrebbero consentito il furto di dati e criptovalute.

La decisione del tribunale ha superato la richiesta dei pubblici ministeri, che avevano richiesto una pena di otto anni: il giudice federale ha infatti imposto 120 mesi di reclusione, tre anni di libertà vigilata e la restituzione per un totale complessivo di 13 milioni di dollari, misura che copre le vittime coinvolte sia nel procedimento in Florida sia nel caso parallelo in California. Secondo i documenti e le ricostruzioni citate, i fatti contestati includono la sottrazione di almeno 800.000 dollari a cinque vittime attraverso attacchi di SIM swapping attuati dirottando chiamate e SMS su dispositivi controllati dagli imputati, con successivo accesso ai conti di criptovalute.

Noah Michael Urban - Fonte: Volusia County Sheriff

Urban era stato inoltre incriminato a novembre 2024 dai procuratori federali di Los Angeles come uno dei cinque membri del collettivo Scattered Spider (conosciuto anche come “Oktapus”, “Scatter Swine” e “UNC3944”), specializzato in phishing via SMS e voce contro dipendenti aziendali per carpire credenziali e codici di acesso OTP, spesso indirizzandoli a falsi portali di autenticazione Okta e pagine che imitavano le interfacce aziendali. In quella sede, Urban si era dichiarato colpevole di un capo per associazione a commettere frode telematica, e la somma dei risarcimenti determinati dal giudice è stata definita per coprire i danni subiti dalle vittime in entrambi i fascicoli.

Per anni, gli alias online di Urban, tra cui “King Bob” e “Sosa”, sono comparsi con frequenza all’interno della cosiddetta “The Com”, una comunità basata soprattutto su Telegram e Discord in cui soggetti legati al cybercrimine anglofono vantano exploit e violazioni basate di norma su social engineering. In base alle ricostruzioni, “King Bob” si sarebbe spesso vantato del furto di registrazioni musicali inedite di artisti popolari, presumibilmente ottenute tramite le attività di SIM swapping, contenuti poi messi in vendita o diffusi su forum.

Usando invece l'alias Sosa”, Urban avrebbe preso parte a un gruppo particolarmente distruttivo di SIM swapper denominato “Star Fraud”, su cui sono stati riportati collegamenti con gli attacchi di estorsione che nel 2023 hanno colpito Caesars Entertainment e MGM Resorts. Secondo le informazioni pubblicate, Star Fraud avrebbe ottenuto nel tempo la capacità di spostare temporaneamente numeri mobili bersaglio su device sotto il proprio controllo, grazie a un’attività continua di phishing ai danni di dipendenti dei principali operatori telefonici. Dati resi pubblici nel febbraio 2023 hanno mostrato, in base ai canali Telegram di Star Fraud e di altri due gruppi specializzati, una focalizzazione su clienti T‑Mobile e la pretesa di aver avuto accesso interno all’operatore in 100 occasioni nel corso di sette mesi del 2022, a riprova della pervasività delle tecniche di ingegneria sociale sul settore.

Le campagne di SMS phishing attribuite al gruppo si sono consumate per diversi mesi durante l’estate del 2022, con messaggi che sollecitavano i dipendenti a cliccare su un link e autenticarsi su siti che imitavano il portale Okta della propria azienda, oppure che annunciavano scadenze di credenziali VPN o presunti cambiamenti di orario di lavoro per indurre gli utenti ad agire con urgenza. Quella ondata di attacchi avrebbe fruttato accessi fraudolenti a oltre 130 aziende, tra cui Twilio, LastPass, DoorDash, MailChimp e Plex, consentendo al gruppo di sottrarre dati proprietari, informazioni sui clienti e, in più casi, di eseguire truffe su criptovalute per somme rilevanti.

Su X/Twitter, Urban ha definito la sentenza ingiusta, sostenendo che il giudice non avrebbe considerato la sua età come fattore attenuante a causa di un presunto attacco informatico ai danni dello stesso magistrato, avvenuto durante il procedimento. Una trascrizione di udienza di febbraio 2025 conferma l’episodio: sarebbe stata violata la casella email di un giudice magistrato, con furto della copia dell’atto d’accusa sotto sigillo, attraverso una richiesta fraudolenta di cambio password inoltrata al fornitore esterno che gestisce le credenziali, ingannato da una telefonata di chi si spacciava per il giudice. Il giudice ha definito la dinamica un “grosso scivolone”, chiarendo che l’accesso sarebbe avvenuto proprio tramite il reset della password concesso al chiamante che si era finto personale dell’ufficio del magistrato.