一名少年加密黑客的狱中自白

2022 年 9 月的一个下午，某 Telegram 群聊里，一连串钱袋、小丑表情符号与「哈哈哈哈」「笑到不行」的刷屏消息间，突然弹出一张像素模糊的缩略图 —— 图中少年浑身是血。当时 18 岁、家住佛罗里达州棕榈海岸的 Noah Urban，伸手点下了「播放」键。

视频里，那名少年哀求他向绑架者转账 20 万美元，而绑架者正用枪抵着少年的头。「Elijah，说真的兄弟，你知道我们以前一起共事过的。」少年用 Noah 的一个化名对他说道。少年的脸肿得老高，嘴里满是鲜血，正滴落在一件白色的霍利斯特运动衫上。「你知道我一直挺你，你说句话就行，我什么都愿意做。」

Noah 一眼就认出了视频里的孩子 —— Justin。Justin 曾为他工作，帮忙窃取加密货币。Noah 并不知道 Justin 的全名，但他清楚不能向赎金要求屈服。况且，他心想，这段视频说不定是伪造的。最终，他没有转任何钱。

这样的片段本该让大多数青少年感到恐慌，但到 2022 年时，Noah 早已见怪不怪。当时，作为后来被称为「分散蜘蛛」的网络犯罪团伙成员，他正躲避美国 FBI 的追捕。该团伙已成为全球最臭名昭著的网络犯罪团伙之一，涉嫌对美国和英国的数十家企业发动攻击。其中最严重的两起案件包括：2023 年对美高梅国际酒店集团发起勒索软件攻击，导致这家赌场的计算机系统全面瘫痪，损失达 1 亿美元；以及今年早些时候对玛莎百货集团的攻击，这家英国零售商估计，此次攻击将造成约 4 亿美元损失。

拉斯维加斯美高梅大酒店及赌场。摄影：AaronP/Getty Images

美国 FBI 与英国国家犯罪局已将「分散蜘蛛」列为重点打击目标。美国网络安全与基础设施安全局称该组织「对美国各类机构构成严重且持续的威胁」。网络防御公司曼迪昂特（Mandiant）将其归为「对欧美地区各类机构影响最广、攻击性最强的威胁行为体之一」。去年，《60 分钟》的一期节目还曝光了「分散蜘蛛」与俄罗斯勒索软件黑客之间的关联。

Noah 在团伙中担任「呼叫者」（caller），角色至关重要。他的经历堪称一则警示故事：一个几乎没有技术能力的高中生，从玩游戏起步，逐渐发展到实施短期加密货币盗窃，最终靠花言巧语侵入电信和科技公司的计算机网络，窃取敏感数据。他小时候常穿着洞洞鞋和冲浪短裤钓鱼，在鳄鱼乐园的鳄鱼池上空玩滑索，还会去奥兰多的佛罗里达环球影城主题公园游玩 —— 这些都是佛罗里达州中部中产家庭少年的典型日常。但随着他的犯罪行为不断升级，虚拟世界的勾当开始渗透到现实生活中。绑架、纵火爆炸和性勒索案件接连发生，引起了执法部门的关注。Noah 在网上结交的朋友，如今大多面临长期监禁。

本文的内容整合自《彭博商业周刊》查阅的法庭文件、Discord 聊天记录和 Telegram 消息，以及对数十名威胁情报分析师、执法人员和其他熟悉 Noah 犯罪生涯人士的采访。其中还包括 Noah 本人的叙述 —— 他在佛罗里达州一所监狱中与《商业周刊》进行了数十次电话沟通，条件是在他被判刑前不公开这些对话内容。

Noah 从来都算不上真正的黑客。他出生于 2004 年（也就是 Facebook 成立的那一年），喜欢游泳和足球，对编程毫无兴趣。他有几个朋友，高中时还交过一个女友，但大多数时候他都独来独往，不怎么参与课堂活动。「我曾是个古怪的孩子，」Noah 回忆道，「我没什么朋友，所以没能从与人相处中学会那些社交技巧。」毕业三年后，就连他当年最喜欢的老师都记不起他了。

他 8、9 岁时开始玩《我的世界》，15 岁时从游戏中认识的人那里第一次听说了 SIM 卡劫持。这种手段是将他人的手机号转移到自己持有的手机上，从而拦截验证码、接管对方的在线账户并转移资金。这一过程不需要任何编程技术，关键在于「社会工程学」—— 也就是说服或贿赂电信公司员工，让他们为自己「激活」该号码。

Noah 其实是个很会聊天的人，他的嗓音低沉，与年龄不符，这让他能轻易骗得受害者交出个人信息。他还认为，父母从小教给他的技能，后来在社会工程学中派上了大用场。「礼貌和尊重 —— 这是我小时候学到的最重要的两堂课。」他说。

他通过《我的世界》加入了一个 SIM 卡劫持团伙，每次他的电话沟通能成功导致加密货币被盗，团伙头目就会给他 50 美元。仅在第一周，他就赚了 3000 美元。

孩童时期的 Noah Urban 。来源：Rob Urban

Noah 其实并不缺钱。他的父母在他还蹒跚学步时就离婚了，但两人都过着舒适的生活。母亲在人力资源行业工作，在奥兰多北部一个有门禁的社区拥有一套房子；父亲是海军陆战队退伍军人，经营着一家在线营销公司，住处离母亲家不远，还带有游泳池和按摩浴缸。

但 SIM 卡劫持能带来强烈的肾上腺素飙升感，还让他感受到了在现实生活中难以获得的友谊。「要是你在沃尔玛里让 10 个人站在你身边，你可能找不到几个合得来的人，」他说，「但在网上，你可以挑选想结交的朋友 —— 大家都有共同兴趣 —— 相处起来就容易多了。」

Noah 加入了一个由约 15 名游戏玩家组成的团体，其中包括来自俄勒冈州波特兰的 17 岁少年 Daniel Junk，以及同样 17 岁、来自苏格兰的 Tyler Buchanan。Noah 表示，他们购买了一个从加密钱包公司 Ledger SAS 窃取的数据库，里面包含加密货币持有者的名单及其电子邮件地址。下一步就是侵入这些邮箱账户，他们把目标锁定在使用 Outlook、AOL 或雅虎邮箱的用户身上 —— 据他们告诉 Noah，这类账户最容易攻破。

据称，在 Discord 和 Telegram 上有一个庞大的地下社区（常被称为「Com」），Noah 的这些新朋友就是其中众多活跃的年轻人之一。这个社区里的人专门寻找珍贵的用户名、游戏道具和加密货币，通过接管账户的方式盗取。FBI 从 2018 年开始调查「Com」，特工们估计，截至当时该团伙已盗取 5000 万美元。

随着越来越多「Com 成员」发现窃取加密货币如此容易，对 SIM 卡劫持的需求也随之上升。有人会讨论美国 T-Mobile 公司或美国电话电报公司的呼叫中心外包商中，哪些公司的员工最容易被蒙骗；还有人雇孩子冲进手机门店，偷走客服代表的 iPad。为了取乐，这些小偷还经常把作案过程拍下来发布到网上。

摄影师：Jakub Porzycki/Getty Images

Noah 称，Junk 找到了进入 T-Mobile 客户服务门户的方法：将自己的个人电脑注册到 T-Mobile 的企业网络，再用远程访问软件登录公司的 SIM 卡激活工具，一次登录往往能持续数月。一旦 T-Mobile 检测到可疑登录，就会重置账户，把 Junk 锁定在外。于是，Junk 开始付钱让 Noah 给 T-Mobile 门店打电话 —— Noah 会谎称自己是 IT 部门员工，骗门店员工交出登录信息。

Noah 打电话时，还会同时玩《反恐精英》或《使命召唤》，并照着 Junk 为他写的脚本念台词。其他劫持者会在 Discord 上旁听他的通话。脚本开头是：「您好，我叫 Kavin，是从 T-Mobile 内部安全管理部门打来的。」当某个毫无防备的销售代表不小心让 Noah 得手时，Junk 和朋友们会全神贯注地听每一个字；要是 Noah 出了岔子，他们就会哈哈大笑。（T-Mobile 的一位发言人表示，公司已加强安全措施，以「减少非法 SIM 卡劫持行为」。）

随着欺骗的人越来越多，Noah 发现这些受害者不仅容易预测，本质上还都很善良。要让没提交过 IT 工单的员工相信自己提交过工单，这很难；但他可以让对方相信，某个工单「误关联」到了他们的账户 ——「能不能麻烦您帮忙关闭一下？这样我就能下班了。」大多数员工都会照做。当他靠花言巧语攻破一个新账户时，新朋友给予的认可，比《我的世界》能带来的任何乐趣都更让他满足。

Noah 的母亲开始怀疑儿子在搞鬼。常有陌生人订购的披萨莫名送到家里，她还无意中听到儿子谈论 SIM 卡劫持。当她试图制定更严格的规定约束 Noah 时，当时 16 岁的 Noah 搬去和父亲住了。

Robert Urban 住在佛罗里达州德兰市一栋有五间卧室的房子里。车库里塞满了工具，客厅里摆满了他伴侣两个孩子的玩具，一只白色的马尔济斯㹴在他脚边汪汪叫。他说，当 Noah 开始叫他「失败者」时，他察觉到儿子变了 —— 那时 Noah 大约 15 岁。「你不开法拉利，要还房贷，拼尽全力工作，却还是过得很挣扎。」Robert 回忆起 Noah 当时说的话。从那以后，他发现儿子的行为发生了「天翻地覆的变化」。

当名牌衣服送到家门口，或是在难得的社交场合中 Noah 戴上价值 3.5 万美元的镶钻劳力士手表、穿上路易威登运动鞋时，Noah 会告诉父亲，这些钱是他在《我的世界》上卖东西，再用收益投资加密货币赚来的。Robert 自己也对比特币感兴趣，还会向朋友吹嘘儿子的「成功」。

Robert 曾试图让 Noah 变现部分加密货币资产，转而进行更传统的投资。但 Noah 会说：「不，爸爸，我心里有数。」相反，他花 8 万美元买了一个用户名是「Elijah」的《我的世界》账号，花 3 万美元买了 Twitter（现 X 平台）上的 @e 账号，还花了一笔他记不清的「离谱」金额买了 @autistic 账号。

Robert Urban 在他位于佛罗里达州德兰市的家中。摄影：Michelle Bruzzese，为《彭博商业周刊》拍摄

很快，Noah 开始雇佣自己的「呼叫者」，其中就包括他认识的 Justin。他为一个登录权限支付的费用从 60 美元到 1000 美元不等，具体取决于电信公司的安全级别；如果某个呼叫者能让公司员工安装远程访问工具，他会支付高达 4000 美元的报酬。当新冠疫情导致全美学校停课时，Noah 还为团队因此获得的额外空闲时间感到高兴。

获取电信公司权限的机会时有时无，这导致一些 SIM 卡劫持者开始互相偷窃。有人开始搞「人肉搜索」—— 将其他黑客的真实姓名和个人信息发布到网上进行勒索。《商业周刊》查看了数十个 Discord 和 Telegram 上的视频，视频中年轻人向住宅扔砖头（这种行为被称为「砸砖」），同时喊着各自 SIM 卡劫持派系的名字。他们还入侵并泄露竞争对手女友的不雅照片及个人信息，怂恿他人骚扰这些女性。Telegram 上甚至有专门用来羞辱「Com」成员女友的完整聊天群组。

David Hale 是宾夕法尼亚州东部韦斯特敦 – 东戈申警察局的警探。他表示，自己是在 2022 年 1 月了解到「Com」的：当时有人向一个富裕郊区的一户人家客厅开了八枪，屋内还有三人，他奉命前往调查。两周前，该地区另一所房子还发生了纵火爆炸事件。调查发现，这两起袭击的目标都是与「Com」有关联的年轻女性。「这么小的孩子，竟然有能力教唆世界其他地方发生枪击事件，却基本不用承担罪责 —— 这太令人震惊了。」Hale 说。

Noah 称，他没有参与任何内部争斗，但他知道麻烦迟早会找上自己。2021 年，麻烦果然来了：黑客向他母亲的家扔砖头（他们以为 Noah 还住在那里），他母亲还收到匿名信息，威胁说除非 Noah 转几十万美元的加密货币，否则会继续发动攻击。Noah 拒绝了，最终对方停止了行动。

Allison Nixon 是网络安全公司 Unit221B 的首席研究官，她密切关注着这一切，内心的担忧与日俱增。她既对黑客能躲避警方追查感到沮丧，也对他们攻击行为的凶狠程度感到担忧。

网络安全领域的成年人通常对少年黑客较为宽容，会试图引导他们进入该行业，让他们的才能有正当用武之地。但在 Nixon 看来，这种做法已经行不通了。「要解决这个问题，唯一的办法就是政府像以往打击暴力街头帮派那样，严肃对待这个问题。」她说。

但她沟通的政府官员并没有认同这一观点 —— 用她的话说，这些官员「完全应接不暇」，似乎觉得有比追查网上少年更重要的事要做。她和其他网络安全侦探警告执法人员，「Com」成员可能会成为更大的威胁。

到 2022 年，Noah 即将高中毕业。但他对学校的事越来越不上心，缺席动员大会和毕业舞会，甚至没给同学制作的 YouTube 口罩主题蒙太奇视频提交素材。法庭文件显示，此时的 Noah 已经是百万富翁，他更专注于将自己的犯罪生涯提升到更高水平。

为了寻找新的加密货币持有者名单，Noah 想到了以通信技术公司 Twilio Inc. 为目标。由于 Twilio 的软件被 5 万家企业用于管理与客户的短信和通话业务，Noah 认为该公司一定掌握着大量有价值的数据。2022 年 8 月，也就是他 18 岁生日前几周，他和朋友购买了一个伪造域名，制作了一个酷似用户认证公司 Okta Inc. 登录页面的网站，然后向 Twilio 员工发送包含该链接的短信。

短信内容是：「警告！您的 Twilio 日程已变更，请点击 twilio-okta.com 查看变更内容！」

Noah 成功骗到了一名 Twilio 员工。但当他发现这名员工没有他想要的数据时，他登录了对方的 Slack 账户，给一位他在 LinkedIn 上找到的资深员工发了消息。「我大概说我们需要这些数据做审计之类的，」Noah 回忆道，「然后对方就导出数据库发给我了。」

掌握了 Twilio 企业客户的访问代码后，Noah 和同伙得以侵入更多公司。最终，他们获取了使用 Twilio 服务的 209 家公司的客户数据，其中包括短信验证码。「我们感觉自己就像神一样。」Noah 说。

几天后，协助 Twilio 客户处理安全问题的网络安全公司 Group-IB 在一篇博客文章中披露了这起数据盗窃事件，并将黑客团伙命名为「0ktapus」。Noah 感到恐慌，扔掉了价值 3000 美元的电脑和手机，重新买了新设备。入侵事件发生后不久，一名「0ktapus」成员将数据分享给了另一名 SIM 卡劫持者，而后者又将数据进一步扩散。由于太多「Com」成员从数据库中筛选目标，这份数据在黑市上彻底失去了价值。

图片制作：Jaque Silva/Getty Images

Noah 的团伙成员暂时低调了一段时间，但看到警方没有找上门，他们变得更加大胆。Group-IB 表示，2022 年全年，「0ktapus」持续窃取数千名员工的登录凭证。每当成功侵入一个企业账户，他们就会找出权限更高的员工，将其作为下一个目标。同年 12 月，该团伙还窃取了 Winklevoss 兄弟旗下加密货币交易所 Gemini 570 万客户的个人信息，并在一个犯罪论坛上出售。

18 岁生日后，Noah 搬出父亲家，住进了棕榈海岸一个安静社区的 Airbnb 民宿。他给民宿配备了床、书桌、沙发、电视，还养了一只名叫 Diana 的奥利奥色猫咪。「我只是想要财务自由，能整天和朋友待在一起，听听音乐。」他说。

他每周会开着自己的道奇挑战者去一次商业街，在橄榄园和铁板烧餐厅之间选一家吃饭，每次都会留下 100 或 200 美元的现金小费。他还喜欢在晚上开着车在高速公路上疾驰，听 Lil Uzi Vert、Playboi Carti 和 Ken Carson 的歌。

Noah 是论坛 Leakth.is 的常客，这个论坛上的用户会分享自己喜欢的歌手的「珍藏曲目」。他决定将目标对准环球音乐集团和华纳音乐集团的员工，希望能借此侵入录音师和制作人的 Dropbox 或 iCloud 账户 —— 他怀疑这些人的文件里存着未发行的音乐。

2022 年，Noah 用「鲍勃国王」（King Bob）的名字注册了一个 Twitter 账号（这个名字是致敬《神偷奶爸》里的小黄人角色），并发布了一段他声称是 Playboi Carti 当时未发行歌曲《Money N Drugs》的片段。一夜之间，他的账号粉丝数飙升至 1.1 万。关于「鲍勃国王」身份的猜测在网上蔓延，粉丝们纷纷猜测他是音乐工作室的推广人员，还是叛逃的制作助理。（两家唱片公司均拒绝置评；Playboi Carti 的经纪人未回应置评请求。）

Noah 表示，并非只有他一个人用「鲍勃国王」的化名窃取音乐，而且在他看来，发布「珍藏曲目」算是推广，不算盗窃。但被他入侵的人可不这么认为。Nasir Pemberton 是为 Kanye West、AAP Rocky 和 Playboi Carti 工作的制作人，他声称 Noah 从他那里偷走了数百首歌曲，并在 Discord 上分享了他 Dropbox 账户的截图。「他差点毁了我的生活。」Pemberton 说。

「0ktapus」并非「Com」中唯一登上新闻头条的团伙。另一个派系 —— 后来与 Noah 的团队联手，被称为「分散蜘蛛」—— 也想摆脱单纯的 SIM 卡劫持。这个派系中不乏曾隶属于「Lapsus」此前曾入侵英伟达和 Uber。其中一名化名为「Jack」的黑客，声称自己与勒索软件提供商有联系，还能获取可绕过高端安全工具的软件。（另一名成员 Thalha Jubair —— 检察官称其化名为「EarthtoStar」—— 于本月在英国被捕。美国检察官于 9 月 18 日公布了一份起诉书，指控 19 岁的朱贝尔协助勒索 47 家美国公司，涉案金额达 1.15 亿美元。他在英国的律师拒绝置评。）

Noah 觉得能和他们合作很酷。他主动尝试与 Jack 建立联系 —— Jack 对 Noah 团队入侵 Twilio 的行为印象深刻，但不屑于他们「入侵公司只为窃取数据库」的策略。Jack 认为，入侵公司后直接勒索，赚钱速度要快得多。

Noah 表示，他们联手用花言巧语骗得了加密货币交易平台 Crypto.com 一名员工的账户权限。他们还利用美国联合包裹服务公司的系统，收集潜在受害者的个人信息。（Crypto.com 的一名发言人表示，此次针对其平台的攻击此前未被媒体报道，涉及的信息仅影响「极少数人」，且未发生客户资金被盗的情况；UPS 于 2023 年表示已修复相关漏洞，但拒绝就本文提供更多细节。）

该团伙渴望获取更多数据。Noah 称，他在上网课的间隙，会用 ChatGPT 研究哪些机构掌握着窃取加密货币所需的个人信息，以及哪些岗位的员工能接触到这些信息。2023 年 1 月，他们入侵了游戏开发商拳头游戏（Riot Games），窃取了其热门游戏《英雄联盟》的源代码，以及部分反作弊工具。他们要求对方支付 1000 万美元赎回这些数据 —— 这是该团伙首次提出勒索要求。拳头游戏拒绝付款。

Noah 称自己没有参与这次勒索尝试，但他此前确实用惯用的「电话诈骗」手段侵入过该公司系统。调查人员认为，在入侵期间，Noah 的个人拳头游戏账户被升级，这成了关键线索 —— 此外，检察官表示，Noah 在几天后发送的一条信息中，似乎暗示自己是这次攻击的参与者。

Noah 的入狱登记照。来源：沃卢西亚县警长办公室

2023 年 3 月 1 日清晨，一切都崩塌了。当时 Noah 带着猫咪从宠物医院回家，二十多名 FBI 探员和警察突然围住了他的车，要求他开门。Noah 犹豫了 —— 他担心猫咪 Diana 跑出去，这一反应起初让警方怀疑他在藏匿什么。在他解释清楚后，警察允许他抱着猫咪进屋。

Noah 坐在沙发上阅读搜查令，探员们则在屋里搜查，没收了他的电脑和 iPhone。他拒绝提供密码。当他提出要给父亲打电话时，一名 FBI 探员同意了，但试图将他的手机举到他面前，想用面部识别解锁。「想得美。」Noah 心想，随即躲开了。

检察官称，FBI 最终查获了约 400 万美元的加密货币、10 万美元现金，以及价值 10 万美元的珠宝（包括那只劳力士手表和另外五块名表）。他们还拿走了一台点钞机和 Noah 的索尼 PlayStation 5 游戏机。Noah 说，他们最后只给他留下了 16 美元和护照。

那天 Noah 没有被捕，但 FBI 探员指控他入侵拳头游戏，并参与了多起加密货币盗窃案。「他们让我坐下，然后说：我们知道你是社会工程学高手，」Noah 回忆道，「我们也知道你是「分散蜘蛛」的成员。」

事实证明，FBI 从 2021 年就开始追踪 Noah 了 —— 当时他在俄勒冈州波特兰一起 SIM 卡劫持调查案中，被列为低级参与者。负责该案的波特兰办公室特别探员 Douglas Olson 表示，尽管 Noah 缺乏技术能力，但他仍是「当时我们已知的最顶尖的劫持者之一」。「他非常擅长欺骗员工，让他们帮自己替换受害者的手机号，还能获取他人的个人信息，以便实施犯罪。」

Noah 搬回了父亲家，Robert 称，当他得知儿子被控罪行的严重程度时，感到震惊不已。当月晚些时候，他们在律师陪同下飞往俄勒冈州 —— FBI 探员当时正在那里追踪 Noah 的临时同伙 Junk。法庭文件显示，在那里，Noah 向检察官承认，2020 年底至 2023 年初，他共窃取了高达 1500 万美元的资金。他还承诺，今后不会再接触加密货币，也不会再实施黑客行为。

尽管 Noah 在讯问中作了这些表态，但 FBI 的 Olson 认为，他「完全没有悔意」。Olson 表示，Noah 的整个社交生活都围绕网络犯罪展开，这让他对受害者变得麻木。事实上，Noah 告诉探员，他大部分赃款到手后，很快就花在了加密货币赌博和游戏网站上。「这一切都和他们圈子里的地位有关，」Olson 说，「本质上就是为了炫耀。」

一名参与调查但因案件未结要求匿名的 FBI 探员表示，即便在自家被搜查后，Noah 仍在继续利用社会工程学窃取音乐。网络犯罪研究人员称，「分散蜘蛛」在搜查事件后似乎沉寂了一段时间，但据称在当年 9 月，该团伙入侵了凯撒娱乐公司，并向这家赌场公司勒索 1500 万美元（知情人士透露）。凯撒娱乐未回应置评请求。

几天后，美高梅度假村发现黑客也侵入了其系统，窃取了员工的 Okta 密码。美高梅随即关闭了计算机系统。在拉斯维加斯的赌场大厅里，老虎机的支付功能陷入瘫痪；包括当时的联邦贸易委员会主席 Lina Khan 在内的客人，都被锁在客房外。该公司没有支付赎金，但估计此次攻击造成了 1 亿美元损失。

这一进展令人警惕。此前，勒索软件主要是俄语黑客团伙的「专利」，而现在有证据表明，本土黑客也开始使用这种手段。

网络安全公司克劳德斯特里克（和曼迪昂特表示，「分散蜘蛛」数月来一直在猛烈攻击它们的客户。这些客户将其客服人员与「分散蜘蛛」的通话录音分享给了网络安全公司，研究人员惊讶地发现，电话那头的人操着熟悉的本地口音。加密货币交易所 Coinbase（该团伙的攻击目标之一）的首席信息安全官 Jeff Lunglhofer 在 2023 年这样描述该团伙成员：「他们是年轻男性，表达清晰，反应敏捷，甚至还很风趣。」

美高梅遇袭一个月后，微软在一篇博客文章中指出，「分散蜘蛛」的勒索信变得越来越凶狠。微软称，该团伙会使用受害者的家庭住址、家人姓名，并辅以人身威胁，强迫对方交出密码或验证码。同年 11 月，美国国土安全部发出警告，称「分散蜘蛛」与勒索软件团伙 AlphV 建立了合作关系 ——AlphV 成员以俄语为母语，提供现成的恶意软件，并从中分取收益。

Noah 否认参与了对赌场的攻击，也否认使用过勒索软件，且他未因这些罪行被起诉。但政府怀疑他并未彻底收手。检察官后来称，2023 年 8 月，尽管 Noah 承诺不再接触加密货币，却仍从 FBI 监控的一个钱包中提取了价值 1 万美元的比特币。他们还发现了他发给朋友的 Discord 消息，其中一条写道：「我今天和联邦检察官谈过了。他们说如果我近期不被起诉，就很有可能赢下这个案子。你们根本不知道，如果我当时没启动『核爆模式』（指删除电脑上的所有数据），我现在会有多惨。」

FBI 对 Noah 2022 年年中账户的分析显示，他协助通过加密货币交易所和在线赌博平台转移了约 7600 万美元。Noah 表示，这个数字「不完全准确，但也差不了太多」。

随着执法部门对 Noah 的追查逐渐收紧，他的一些同伙也陷入了别样的麻烦。2023 年 3 月，Junk 承认犯有共谋实施电信欺诈罪，但在保释期间仍继续实施黑客行为。同年 11 月，当他回到波特兰的公寓时，三名男子将他拽进一辆面包车后座，反绑他的双臂，并用布袋套住他的头。绑匪多次取下布袋，逼问 Junk 藏匿加密货币的地点，若他不回答，就将布袋勒得更紧。但绑匪们不知道，FBI 早已从 Junk 那里查获了 400 万美元的加密货币。

「该死，」Junk 在加利福尼亚州隆波克一所联邦监狱的探视室里，坐在一把儿童尺寸的椅子上回忆那次绑架时说，「我当时觉得自己可能要死了。」

第二天早上，一名慢跑者发现 Junk 被绑在一个十字路口的木桩上，浑身是伤，血迹斑斑。他离开重症监护室约一个月后再次被捕，最终被判处六年监禁。Junk 说，待在监狱里反而让他松了口气 —— 他手腕上还留着束线带造成的疤痕，上方有一个《飞出个未来》角色 Bender 的纹身。他表示，家人终于可以摆脱骚扰，修复生活，而自己也不再有实施黑客行为的诱惑。「我想，我们以前做的事确实太过分了。」他说。

2024 年 10 月，四名与 Junk 绑架案有关的男子被捕，他们均不认罪，目前正在等待审判。此外，两名据称绑架了视频中向 Noah 求助的少年 Justin 的男子，已因非法入侵住宅和盗窃加密货币罪名成立。Justin 成功逃脱，一名州警在距离他家 120 英里的佛罗里达州高速公路上发现了他。目前无法联系到 Justin 置评。

Noah 在佛罗里达州监狱进行视频通话的截图。摄影：Margi Murphy

2024 年 1 月，在棕榈海岸的家被搜查九个月后，Noah 被捕，且不得保释。随后，加利福尼亚州当局对他和另外四人提起诉讼，指控他们入侵了包括美国电话电报公司（AT&T）、T-Mobile、威瑞森通信公司、Twilio 和拳头游戏在内的 13 家公司。他在苏格兰的游戏好友 Buchanan 也在被告之列 —— Buchanan 于 2024 年 6 月在西班牙被捕，并被引渡到美国，他对此表示不认罪。Buchanan 及其律师均未回应置评请求；美国电话电报公司、T-Mobile、威瑞森、Twilio 和拳头游戏均拒绝置评。

Noah 未因窃取音乐被控罪，但检察官在起诉书中提到了「鲍勃国王」这一身份，他的入狱登记照很快成了网络 meme。在网上，Playboi Carti 的粉丝呼吁 FBI 公布 Noah 藏匿的音乐；有 Reddit 用户将 Noah 的罪行归咎于他的父母，这促使他的父亲在该网站上回应：「有时候，人们会自主做出与教养相悖的选择。」Robert 写道，「和其他所有父亲一样，我心碎不已，但我会一直爱他，至死都不会放弃他。」

佛罗里达州中部地区联邦检察官 Gregory Kehoe 预测，像 Noah 这样的人很难彻底脱离犯罪。「这不仅仅是成瘾，这已经成了他们的生活方式，」他说，「如果一个人的整个社交网络都建立在多个平台的在线交流上，即便人生遇到一点波折，他又怎么可能不回到老路上去呢？」

有迹象表明，Noah 尚未准备好放弃自己的网络生活。他已被单独监禁两次，其中一次是因为使用走私的手机。2024 年 8 月，他的 X 账号发布了一条状态：「好无聊。」负责审理他案件的法官也遭到了黑客攻击 —— 检察官称，这是 Noah 的一名同伙所为。

Noah 被捕几周后，主动从监狱给《商业周刊》的记者打了电话，回应采访请求。在接下来的一年里，他几乎每周都会从佛罗里达州斯塔克的监狱打来电话，讲述自己的「经历」。他说话彬彬有礼，语气平静，还带着一种让人放松警惕的幽默感。他说，起初，监狱里的大多数囚犯都对他这个「因电脑罪名入狱的白人小孩」心存怀疑 ——「电脑罪名」通常是性虐待犯罪的隐晦说法。但他表示，当他的入狱登记照出现在《60 分钟》关于美高梅黑客事件的节目中后，其他囚犯对他的态度逐渐缓和。

Noah 于 2024 年 4 月承认犯有电信欺诈罪和严重身份盗窃罪。7 月，在量刑前几周的一次视频通话中，他蜷缩在一个 30 人宿舍的下铺 —— 他已在那里住了 19 个月。在之前的电话中，他听起来很自信，会聊自己如何赢得其他囚犯的尊重，以及如何用拉面代替数百万美元赌博。但此时，他棕色的头发贴在额头上，显得稚气又局促。他聊起了高中时喜欢过的一个女生，两人曾一起打排球。

当听到「分散蜘蛛」四名嫌疑人在英国被捕的消息时，他的眼神几乎没有波动。Noah 表示，只要年轻人还在不断拉拢新人加入，这类犯罪就不会停止。「我希望这一切能结束，但我觉得不太可能。」他说。

8 月 20 日，Noah 穿着背后印着「囚犯」字样的藏青色囚服，出现在杰克逊维尔的联邦法院接受量刑。在前一天的电话中，他说自己「既紧张又兴奋」，预计刑期不会超过八年，且对律师请求的五年刑期抱有希望。

他的律师 Kathryn Sheldon 在法庭上表示，Noah 是被年长的同谋教唆的，且他起初以为自己只是在「玩游戏」。「我并不是要把责任推给 Coinbase 或其他机构，」她说，「但像 AT&T、T-Mobile 这样的财富 500 强公司，本质上是被一群少年骗了。」

Noah 向受害者和家人道歉，并承诺会向公众警示自己所犯下的侵害行为。「无论我何时出狱，我都想专注于提升自己。」他说。

但他并没有得到期望中的宽恕。85 岁的美国地区法官 Harvey Schlesinger ——1991 年被任命为法官，此前曾担任检察官 —— 宣读了多名 Noah 受害者的陈述，其中包括一名前消防员（他原本指望用加密货币存款支付试管婴儿费用）和一名退休人员（他在损失资金后不得不找了份快递员的工作）。一名明尼阿波利斯的企业主也坐在旁听席上 —— Noah 曾从他那里偷走了数十万美元的加密货币，而这些钱本是为他的孩子们准备的。

当时离 21 岁生日还有几周的 Noah，被法官判处 10 年监禁 —— 刑期比检方要求的还要长。法官表示，尽管 Noah 的大部分罪行是在未成年时犯下的，但他显然「比大多数人都聪明」。他说，这么长的刑期有望起到震慑作用。当法官念出一长串 Noah 需要赔偿的受害者名单，并下令他支付 1340 万美元赔偿金时，Noah 几乎没有动。

第二天晚上，Noah 从监狱打来电话。他说，他后悔伤害了家人和受害者，但似乎仍对自己结交的友谊能长久保持抱有希望。「我不是说我做的事是对的 —— 那个圈子很可怕，我做的事也很糟糕，」Noah 说，「但我热爱我曾经的生活。我也喜欢我自己。能那样活过一次，我不后悔。」

如今，Noah 在联邦监狱的日常被严格管控：早上 6 点起床，整理床铺、打扫卫生，然后吃早餐（通常是麦片或鸡蛋）；白天要么在监狱工厂工作（每小时挣 23 美分，为政府制作家具），要么参加「思考改变」等改造课程 —— 这类课程旨在帮助囚犯反思自己的行为模式。他每周能看三个小时电视，主要看《海绵宝宝》和体育比赛，还会和父亲 Robert 通两次电话。Robert 每月会开车四个小时去监狱探视他，每次会面两小时，隔着厚玻璃用电话交流。

「他变了，开始愿意听我说话了，」Robert 说，「以前他总觉得自己什么都懂，现在会跟我聊监狱里的事，问我的建议。」Noah 还在监狱里学起了西班牙语，偶尔会在电话里用西班牙语跟父亲打招呼。他说，等出狱后，想当一名汽车技师 —— 这是他小时候就有的梦想，后来被网络世界的诱惑打断了。

网络安全专家们则在反思「分散蜘蛛」事件带来的警示。曼迪昂特公司负责威胁情报的副总裁 John Hultquist 表示，这类由青少年主导的黑客团伙之所以能屡屡得手，核心原因在于企业的安全体系存在「人性漏洞」—— 员工缺乏防范社会工程学诈骗的意识，轻易就会泄露账户信息或验证码。「我们花了大量资金购买防火墙、入侵检测系统，却忽视了对员工的安全培训，」Hultquist 说，「Noah 们正是抓住了这一点，用最简单的电话诈骗，攻破了最顶尖公司的防线。」

为应对这类威胁，多家企业开始调整安全策略：Crypto.com 推出了「员工安全意识季度考核」，要求客服人员定期参加社会工程学诈骗模拟测试；UPS 升级了内部系统的身份验证机制，增加了「异常登录二次审批」流程；拳头游戏则建立了「源代码分级保护制度」，限制普通员工接触核心数据的权限。美国国土安全部也在 2024 年推出了「青少年网络犯罪预防计划」，走进高中校园讲解黑客行为的法律后果，试图从源头遏制青少年犯罪。

但 Noah 对此并不乐观。他在电话里提到，自己在监狱里认识了一个 20 岁的年轻人，对方曾入侵过学校的教务系统篡改成绩，「他说出去后还要干这行，觉得这比打工轻松多了」。Noah 说，只要网络世界还能给年轻人提供「快速成名、轻松赚钱」的幻想，就总会有人重蹈他的覆辙。

「我以前觉得自己很厉害，能骗过那么多大公司，」Noah 的声音在电话里有些沙哑，「现在才明白，我骗的不是公司，是我自己。我以为那些钱、那些粉丝能让我变得重要，结果只是把自己送进了监狱，让我爸偷偷哭了无数次。」他停顿了一下，补充道，「如果能回到 15 岁，我宁愿在公园里踢一下午足球，也不会碰什么 SIM 卡劫持。」

截至 2025 年 9 月，Noah 已在监狱服刑 13 个月，仍有 8 年多刑期。他的赔偿款仅支付了不到 1 万美元 —— 大部分来自监狱工厂的微薄收入。Robert 会定期帮儿子向受害者账户转账，尽管这让他本就不富裕的生活更加拮据。「我会帮他还，就算花一辈子也会还完，」Robert 说，「不为别的，只为让他知道，做错了事就要承担责任，还有人在等他好好出来。」

而在网络世界里，关于「Noah Urban」的讨论仍在继续：有人在 Reddit 上分析他的犯罪手法，有人在 YouTube 上制作他的「人生纪录片」，还有人在 Leakth.is 论坛上追问他当年藏匿的未发行歌曲下落。但对 Noah 来说，这些都已不再重要。他在最近一次电话里说，自己现在最期待的，是出狱那天能吃到父亲做的烤牛排，再抱着猫咪 Diana（Robert 一直在照顾它）晒晒太阳 —— 那些他曾经不屑一顾的平凡日常，如今成了他最珍贵的向往。