Buchanan gab zu, SMS-Phishing-Attacken durchgeführt zu haben, bei denen Hunderte von Mitarbeitern der Zielunternehmen mit Nachrichten bombardiert wurden, die zu Phishing-Seiten führten. Diese waren darauf ausgelegt, Anmeldedaten und persönliche Informationen abzugreifen. Mit den gestohlenen Daten drangen Buchanan und seine Komplizen in Mitarbeiterkonten und Firmensysteme ein, um vertrauliche Informationen wie geistiges Eigentum, persönliche Daten und Dokumente zu entwenden.
Besonders raffiniert war die Verwendung eines Phishing-Kits, mit dem die erbeuteten Anmeldedaten an einen von Buchanan und einem Mittäter verwalteten Telegram-Kanal gesendet wurden. Dies ermöglichte eine zentrale Verwaltung der gestohlenen Credentials.
Eine besondere Bedrohung ging von SIM-Swapping-Angriffen aus, einer Technik, bei der die Telefonnummer des Opfers auf eine SIM-Karte unter Kontrolle der Angreifer umgeleitet wird. Dadurch konnten die Hacker Zwei-Faktor-Authentifizierungscodes abfangen und auf Kryptowährungs-Wallets zugreifen. Auf diese Weise entwendeten Buchanan und seine Gruppe mindestens 8 Millionen Dollar in Kryptowährungen von Opfern in den USA.
Bei einer Durchsuchung von Buchanans Wohnort in Schottland im April 2023 entdeckten Ermittler ein Gerät mit Namen und Adressen mehrerer Opfer sowie eine Datei mit Kryptowährungs-Seed-Phrases und Anmeldeinformationen.
Buchanan ist nicht allein verantwortlich. Sein Komplize Noah Michael Urban wurde bereits im August 2023 zu 10 Jahren Gefängnis verurteilt. Drei weitere Personen wurden angeklagt: Ahmed Hossam Eldin Elbadawy (23, Texas), Evans Onyeaka Osiebo (20, Texas) und Joel Martin Evans (25, North Carolina).
Die Sentenzierung Buchanans ist für August 21 angesetzt. Der Fall unterstreicht die Notwendigkeit für Unternehmen, ihre Mitarbeiter kontinuierlich zu Phishing-Risiken zu schulen, Multi-Faktor-Authentifizierung zu implementieren und insbesondere SIM-Swapping-Schutzmaßnahmen bei Mobilfunkanbietern einzufordern.