Un truffatore che si spaccia per un supporto di Coinbase ruba più di 2 milioni di dollari in criptovalute

Un truffatore che si è spacciato per personale di supporto di Coinbase ha truffato più di 2 milioni di dollari in criptovalute nel 2025, organizzando attacchi di ingegneria sociale.

L'investigatore blockchain ZachXBT ha smascherato l'autore della minaccia canadese, noto come Haby o Havard, utilizzando analisi on-chain e prove sui social media. Il truffatore ha telefonato agli utenti di Coinbase con numeri di telefono che si spacciavano per quelli dell'assistenza clienti, per poi indirizzare le vittime a trasferire fondi su wallet controllati dagli aggressori.

ZachXBT traci furti tramite l'analisi della blockchain.

Le indagini sono iniziate quando Haby, il 30 dicembre 2024, ha pubblicato uno screenshot che mostrava un XRP furto ZachXBT ha confrontato l'indirizzo del wallet con altri due furti di utenti di Coinbase, per un valore di circa 500.000 dollari. L'analisi ha dimostrato che Haby aveva scambiato XRP con Bitcoin tramite exchange istantanei.

9/ Ulteriori screenshot tratti dal suo profilo IG mostrano altri furti di ingegneria sociale.

Un post della storia è trapelato "Da "Harvi's MacBook Air"

Una persona nella loro chat gli ha addirittura consigliato di smettere di fare così spesso i muscoli. pic.twitter.com/YJQlbxTfyK

— ZachXBT (@zachxbt) 29 dicembre 2025

Attraverso l'analisi temporale, ZachXBT tracrintracciato l'indirizzo Bitcoin di Haby. Nel febbraio 2025, Haby aveva condiviso degli screenshot in una chat di gruppo che mostravano un portafoglio contenente 237.000 dollari.

Il Bitcoin per l'dentcorrispondeva agli screenshot del 1° febbraio 2025. Traca ritroso da questo indirizzo sono stati scoperti altri tre furti di identità per un totale di oltre 560.000 $.

L'investigatore ha collegato i portafogli ad Haby attraverso informazioni trapelate in post sui social media e registrazioni dello schermo. Un video trapelato mostrava Haby mentre effettuava una chiamata di ingegneria sociale con una vittima.

La registrazione dello schermo ha rivelato l'indirizzo email e il suo account Telegram. Ulteriori screenshot di Instagram mostravano post che si vantavano di furti di ingegneria sociale. Un post di un articolo ha rivelato la dicitura "Dal MacBook Air di Harvi" nelle informazioni sul dispositivo.

Truffatore operante con scarsa sicurezza operativa

Haby pubblicava regolarmente storie e selfie sui social media, mostrando il suo stile di vita finanziato da criptovalute rubate. I post mostravano acquisti di costosi nomi utente Telegram, articoli di lusso, servizio di bottiglie e spese per il gioco d'azzardo. Un membro del suo gruppo di chat gli ha consigliato di smettere di pubblicare così frequentemente le sue attività.

Il truffatore sembrava poco preoccupato per la sicurezza operativa. L'analisi dei social media ha rivelato la sua posizione ad Abbotsford, vicino a Vancouver, nella Columbia Britannica. L'OSINT condotta sui suoi post ha confermato la posizione.

Haby acquistava spesso costosi nomi utente Telegram e cancellava il suo account più recente due giorni prima della pubblicazione dell'inchiesta. Gli account precedenti mostravano il suo alias in varie chat, confermando l'autenticità degli screenshot trapelati.

Le truffe di impersonificazione del supporto di Coinbase sono aumentate nel 2025

Il 2025 è stato un periodo piuttosto impegnativo per gli utenti di Coinbase. Gli aggressori sono passati dal phishing tradizionale al targeting di precisione, utilizzando dati rubati dai sistemi di supporto di Coinbase. Una violazione dei dati interna avvenuta nel maggio 2025 ha portato a termine truffe di impersonificazione altamente efficaci per tutto l'anno.

Si trattava di corruzione da parte di criminali informatici che hanno assunto agenti di assistenza clienti all'estero, principalmente a Hyderabad, in India, per rubare dati interni. Le informazioni compromesse includevano nomi, indirizzi email, numeri di telefono, indirizzi di residenza, immagini di documenti d'identità governativi e saldi dei conti in tempo reale.

Gli aggressori non hanno avuto accesso diretto alle chiavi private e alle password. Complessivamente, circa l'1% degli utenti di Coinbase è stato preso di mira, per un totale di circa 70.000 clienti di alto valore.

Gli aggressori hanno chiesto un riscatto di 20 milioni di dollari in cambio della cancellazione dei dati rubati. Coinbase ha rifiutato la richiesta di riscatto, ha imposto una ricompensa di 20 milioni di dollari sugli aggressori e ha rimborsato le vittime colpite.

Arresti multipli avvenuti nel dicembre 2025

L'attività delle forze dell'ordine ha raggiunto il picco nel dicembre 2025, con diversi arresti legati a truffe di furto d'identità ai danni di Coinbase. Ronald Spektor di Brooklyn, New York, è stato accusato di aver rubato 16 milioni di dollari a circa 100 utenti.

La sua metodologia prevedeva l'utilizzo di dati rubati dei clienti per spacciarsi per "Elite Support" di Coinbase e avvisare gli utenti delle transazioni non autorizzate in sospeso. Guidava le vittime a trasferire fondi in un "deposito sicuro" che in realtà era un portafoglio da lui controllato.

la polizia indiana ha arrestato un ex agente di supporto di Coinbase, ritenuto coinvolto nel furto di dati di maggio. L'arresto ha confermato la teoria dell'insider corrotto ed è stata la prima importante azione delle forze dell'ordine contro la fonte della fuga di dati.