En av de mest framträdande medlemmarna i cyberbrottsgruppen Scattered Spider har erkänt sig skyldig i en amerikansk federal domstol. Tyler Robert Buchanan, 24 år och från Skottland, erkände conspiracy to commit wire fraud och aggravated identity theft efter nästan ett år i häkte.

SMS-phishing i stor skala

Buchanan erkände att han skickat hundratals SMS-phishing-meddelanden som utgav sig för att komma från företags IT-helpdesk. Mottagarna lurades till falska inloggningssidor, bland annat förfalskade Okta-portaler, där deras uppgifter samlades in. FBI kopplade Buchanan till en kampanj sommaren 2022 som resulterade i intrång hos över 130 organisationer, däribland Twilio och Cloudflare.

Gruppen stal sammanlagt minst 8 miljoner dollar i kryptovaluta genom dessa attacker.

Från "The Com" till rättssal

Scattered Spider växte fram 2022 ur den löst sammansatta cyberbrottsmiljön känd som "The Com", bestående av mestadels unga västliga hackare. Trots sin ålder har gruppen orsakat enorma skador genom sofistikerade social engineering-attacker riktade mot stora teknikföretag.

Buchanan greps i Palma de Mallorca i april 2025 när han försökte fly till Neapel med ett charterflyg. Bakgrunden till flykten var dramatisk: redan i februari 2023 lämnade han Skottland efter att en rivaliserande kriminell grupp brutit sig in i hans hem, attackerat hans mamma och hotat honom med blåslampa för att komma åt hans kryptonycklar. Skotsk polis beslagtog omkring 20 elektroniska enheter vid en husrannsakan i april 2023.

Buchanan är inte den första Scattered Spider-medlemmen som döms. En annan medlem avtjänar redan tio års fängelse för sin roll i gruppens verksamhet.

Varför detta är relevant för svenska företag

Scattered Spider är ett tydligt exempel på hur moderna cyberbrottslingar arbetar. De riktar inte in sig på tekniska sårbarheter utan på människor. SMS-phishing, eller smishing, som utger sig för att komma från den egna IT-avdelningen är svår att skilja från legitima meddelanden. Att en ledande medlem nu erkänt sig skyldig visar att brottsbekämpningen gör framsteg, men metoderna som gruppen använder kopieras redan av andra aktörer.

Så skyddar du ditt företag

Utbilda all personal i att känna igen SMS-phishing. Meddelanden som uppmanar till snabb inloggning via en länk, särskilt de som utger sig för att komma från IT-support, bör alltid verifieras genom en andra kanal, till exempel ett telefonsamtal till en känd kontaktperson.

Implementera phishing-resistent multifaktorautentisering. Lösningar baserade på FIDO2 eller passkeys gör det praktiskt omöjligt för angripare att återanvända stulna inloggningsuppgifter, även om en anställd råkar lämna ut dem.

Inför en rutin där alla IT-relaterade förfrågningar som kommer via SMS eller e-post bekräftas via en separat kommunikationskanal innan någon åtgärd vidtas. Den enkla principen att alltid dubbelkolla kan stoppa även de mest övertygande phishing-försöken.