От Minecraft до суда. Как школьник без технических навыков обманул IT-гигантов и стал кошмаром для ФБР.

История Ноа Урбана — один из самых наглядных кейсов того, как подростковая социалка и голос по телефону превращаются в инструмент киберпреступления. По данным расследования на основе переписки в Discord и Telegram, материалов суда и бесчисленных разговоров с источниками, Урбан был «коллером» (caller) в группировке Scattered Spider (0ktapus, UNC3944).

Технических навыков у преступника почти не было — решали голос, манеры и уверенная импровизация. Задача «коллера» — разговорить людей так, чтобы они сами открывали двери во внутренние системы компаний, после чего шли кражи данных, угон аккаунтов и вымогательство. По словам следователей и аналитиков, именно эта роль обеспечила группе доступы для атаки на телеком-и технологические компании, а затем — к более масштабным целям.

Родившийся в 2004 году флоридский школьник не писал эксплойты и не занимался реверсом — он рано освоил SIM Swapping и социальную инженерию. По схеме из чатов Minecraft и подпольных каналов он звонил в салоны связи и представился сотрудником поддержки, выбивая учётки и удалённый доступ к внутренним инструментам. Первые недели приносили тысячи долларов, азарт рос, а вместе с ним и круг знакомых из так называемой «Com» — подростковых сообществ в Discord и Telegram, где охотились за «красивыми» никами, криптоактивами и чужими резервными кодами.

К 2022 году Урбан с напарниками перешёл от точечных угонов к атакам на поставщиков. Летом группа развернула фишинговую копию входа в Okta и разослала её сотрудникам Twilio. Достаточно было одной жертвы, чтобы попасть в Slack и через более высокоуровневого коллегу выпросить выгрузку с кодами для клиентов. В итоге из Twilio утекли данные 209 организаций — от верификационных SMS до корпоративных учёток; именно эта серия получила прозвище 0ktapus. Позже те же приёмы применялись против Riot Games: злоумышленники похитили исходники League of Legends и античиты и потребовали деньги за «возврат». Компания отказалась.

На фоне взрослеющих схем Scattered Spider всё чаще связывали с тяжёлыми инцидентами в США и Британии. В 2023 году MGM Resorts оценила ущерб от простоя и восстановления в 100 миллионов долларов; другой крупный ритейлер — Marks & Spencer — заявил о потенциальных потерях порядка 400 миллионов. Параллельно следователи отмечали сотрудничество с иностранными вымогателями, рост давления на жертв и попытки пугать родственников сотрудников. CISA называла группировку «серьёзной и продолжающейся угрозой», Mandiant — одной из наиболее агрессивных.

ФБР наблюдало за Урбаном как минимум с 2021 года. В марте 2023-го федеральные агенты провели обыск в его доме во Флориде и изъяли около 4 миллионов долларов в криптовалюте, 100 тысяч наличными, часы и электронику. Сам он оценивал общий объём прокрученных через биржи и гэмблинг-сайты средств в десятки миллионов. Весной 2024 года последовали арест и обвинения по эпизодам против 13 компаний, включая операторов связи и технологические фирмы. В апреле он признал вину в мошенничестве и краже идентификаторов, а 20 августа 2025 года суд приговорил его к 10 годам лишения свободы и обязал выплатить 13,4 миллиона долларов пострадавшим.

Дело Урбана показывает, что для взлома зачастую хватает уверенного голоса, хорошо поставленного сценария и целеустремлённости. Платформа-посредник, которую доверяют тысячи клиентов, превращается в трамплин, а подростковая «игра в звонки» — в цепочку атак с многомиллионным ущербом. В правоохранительных сводках рядом с вымогательством теперь соседствуют похищения и поджоги, спровоцированные конфликтами внутри молодёжных банд онлайна. И пока набор софт-навыков важнее кода, а рекрутинг идёт через игровые и музыкальные коммьюнити, эта угроза будет оставаться живой — с телефонного «привет» до отключённых систем на курортах Лас-Вегаса.