Membros do grupo Scattered Spider se declaram culpados no primeiro dia de julgamento

A confissão no tribunal expõe a engrenagem do Scattered Spider. Thalha Jubair e Owen Flowers pularam a fase de defesa e admitiram culpa logo na abertura do julgamento no Reino Unido. O foco central recai sobre o ataque de agosto de 2024 contra a Transport for London. A dupla não agia sozinha. Jubair operava o canal Star Chat no Telegram, um verdadeiro balcão de negócios para SIM swapping. Eles usavam phishing por voz e SMS para roubar credenciais de funcionários de operadoras de telefonia. Com isso, interceptavam códigos de autenticação multifator e vendiam o acesso sob demanda.

O rastro de extorsão cruza o Atlântico. Flowers também admitiu participação na invasão a redes de saúde americanas. Nos Estados Unidos, Jubair enfrenta acusações pesadas em Nova Jersey. O indiciamento aponta 120 invasões a 47 organizações e um rombo de 115 milhões de dólares em resgates pagos por vítimas. A tática do grupo evoluiu do phishing em massa de 2022, que atingiu LastPass e DoorDash, para a extorsão direta de grandes varejistas britânicos e cassinos de Las Vegas. A sentença da dupla está marcada para meados de julho.

O caso ilustra a falência da autenticação baseada apenas em SMS. O Scattered Spider provou que engenheiros sociais adolescentes conseguem derrubar infraestruturas críticas e redes de saúde sem precisar de exploits de dia zero. A cadeia de suprimentos de identidade virou o alvo principal. Quando funcionários de operadoras de telecomunicações caem em phishing básico, o MFA por SMS vira papel. Empresas precisam abandonar códigos via mensagem de texto e migrar para chaves de segurança físicas ou autenticadores baseados em FIDO2. A prisão desses operadores fecha um ciclo, mas o mercado negro de SIM swapping continua ativo em fóruns fechados.