Người Scotland nhận tội trong vụ lừa đảo tiền ảo 8 triệu USD liên quan đến nhóm Scattered Spider

Người Scotland nhận tội trong vụ lừa đảo tiền ảo 8 triệu USD liên quan đến nhóm Scattered Spider

Một người đàn ông Scotland có liên quan đến nhóm tội phạm mạng Scattered Spider đã nhận tội tại Mỹ về một kế hoạch lừa đảo qua phishing và chuyển đổi SIM (SIM-swap), đánh cắp ít nhất 8 triệu USD tiền mã hóa.

Tyler Robert Buchanan, 24 tuổi, đã nhận tội tại tòa án California về một tội danh âm mưu lừa đảo qua đường truyền thông (wire fraud) và một tội danh trộm cắp danh tính nghiêm trọng. Hiện tại, anh này đang đối mặt với mức án tối đa là 22 năm tù theo quy định của pháp luật.

Buchanan, người đến từ Dundee, bị bắt tại sân bay Palma vào tháng 6 năm 2024 và đã bị giam giữ tại Mỹ kể từ tháng 4 năm 2025. Danh tính của anh ta ban đầu được giữ kín trong các báo cáo của cảnh sát Tây Ban Nha, chỉ đề cập đến việc bắt giữ một công dân Anh 22 tuổi bị nghi ngờ có liên quan đến tội phạm mạng nghiêm trọng.

Phương thức hoạt động và vai trò của Buchanan

Buchanan, người sử dụng các biệt danh như "Dread Pirate Roberts", "Evefan" và "tylerb", đã được xác nhận danh tính chính thức sau khi bị dẫn độ từ Tây Ban Nha về Mỹ vào tháng 4 năm ngoái. Anh ta thừa nhận là thành viên của nhóm đã lừa đảo ít nhất một chục công ty Mỹ, nhân viên của họ và nhiều cá nhân khác trong giai đoạn từ tháng 9 năm 2021 đến tháng 4 năm 2023.

Mặc dù Bộ Tư pháp Hoa Kỳ (DoJ) không chỉ định nhóm này cụ thể là Scattered Spider, nhưng nhiều báo cáo cho rằng Buchanan là thành viên hoạt động trong thời gian trên. Người Scotland này thừa nhận tham gia vào các vụ trộm cắp tổng cộng ít nhất 8 triệu USD tiền ảo.

Cùng với những đồng phạm khác được nêu tên trong tài liệu tòa án, băng đảng này bị cáo buộc đã đánh cắp ít nhất 11 triệu USD thông qua hàng loạt tội phạm mạng trong thời gian một năm rưỡi.

Kỹ thuật tấn công của Scattered Spider

Scattered Spider nổi tiếng với các cuộc tấn công chuyển đổi SIM tinh vi để sử dụng kỹ thuật xã hội (social engineering) nhằm thực hiện các cuộc tấn công mạng hướng tới lợi ích tài chính.

Danh sách nạn nhân của Scattered Spider rất dài, bao gồm MGM Resorts và Caesars Entertainment — cả hai đều là nạn nhân của các vụ tấn công ransomware tại sòng bạc Las Vegas năm 2023 — cùng với Transport for London và các cuộc tấn công bán lẻ tại Anh vào mùa hè năm 2025.

Tuy nhiên, theo mốc thời gian mà DoJ cung cấp, các vụ tấn công nổi tiếng nhất này đều diễn ra sau khi thời gian tham gia của Buchanan kết thúc. Dù vậy, theo các cáo buộc chính thức, Buchanan và các đồng phạm khác có các trách nhiệm khác nhau trong việc thực hiện các cuộc tấn công.

Ngoài việc thực hiện các kế hoạch phishing và xâm nhập máy tính, cả bốn bị cáo đều được cho là đã làm việc "phía sau hậu trường" để tạo dựng, quản lý và thanh toán cho cơ sở hạ tầng, chẳng hạn như tên miền và các trang web giả mạo để hỗ trợ các cuộc tấn công phishing.

Một ví dụ về tin nhắn phishing gửi cho nạn nhân bao gồm cảnh báo rằng VPN của họ sắp hết hạn và yêu cầu nhấp vào liên kết để đảm bảo dịch vụ vẫn hoạt động. Những kẻ khác đơn giản là hướng dẫn người dùng đến các trang web giả mạo để thu thập thông tin đăng nhập và sau đó sử dụng để chiếm đoạt tài khoản.

Số tiền 8 triệu USD mà Buchanan nhận tội đã đánh cắp đến từ các cá nhân mà anh ta đã đột nhập vào ví tiền ảo của họ bằng cách sử dụng dữ liệu bị đánh cắp từ các công ty và các phương thức quen thuộc của Scattered Spider.

"Buchanan thừa nhận thêm rằng anh ta và một số đồng phạm đã sử dụng thông tin bị đánh cắp từ các cuộc xâm nhập công ty để xác định và truy cập vào các tài khoản và ví tiền ảo thuộc về các nạn nhân cá nhân nhằm đánh cắp hàng triệu USD giá trị tiền ảo," thông cáo của DoJ cho biết.

Để truy cập vào ví tiền ảo của nạn nhân và vượt qua tính năng bảo mật xác thực hai yếu tố (2FA), Buchanan và những người khác đã truy cập trái phép vào các tài khoản trực tuyến của nạn nhân và thực hiện chuyển đổi SIM số điện thoại di động của nạn nhân sang các thiết bị do nhóm đồng phạm kiểm soát.

Vào tháng 4 năm 2023, cảnh sát đã tìm thấy bằng chứng tại nơi cư trú của Buchanan ở Scotland, bao gồm tên và địa chỉ của các cá nhân, cũng như một tệp văn bản chứa các cụm từ khôi phục ví (seed phrases) và thông tin đăng nhập cho tài khoản của một nạn nhân.

Buchanan dự kiến sẽ bị tuyên án vào ngày 21 tháng 8 năm 2026.