Впіймай мене, якщо зможеш. Історія українського розробника, який обікрав Microsoft на $10,1 млн через подарункові карти Xbox
Українця Володимира Квашука засудили на 9 років позбавлення волі у США за викрадення понад 152 000 подарункових карт Xbox на суму $10,1 млн.
Коли ФБР приїхало його заарештовувати, Квашук жив у будинку з семизначним цінником на березі озера Вашингтон і планував купити лижне шале, яхту та гідролітак.
Суд виніс йому вирок ще у листопаді
Еміграція у США
Вперше Квашук приїхав у США з України у 2015 році на весілля своєї тітки Алли, яка виходила заміж за дантиста з Південної Каліфорнії. Він родом з Рівненської області, вивчав інформатику та економіку в університеті, де викладали його батьки. Він любив пити пиво, грати в Minesweeper та World of Warcraft, боксувати та їздити на мотоциклі. У
Тітка та новоспечений дядько допомогли йому залишитися у США, він зустрівся з імміграційним повіреним, щоб попросити про притулок. У 2017 році влаштувався на роботу в Microsoft у штаб-квартиру в Редмонді на фултайм-позицію Software Engineer, що робить рев’ю JavaScript-коду, з доходом $116K на рік.
Трохи про карти Xbox
У Xbox ще з
Тобто подарункові карти можна розглядати як своєрідну цифрову валюту, сьогодні існують торговельні онлайн-платформи, де будь-хто може обміняти коди подарункових карт на біткоїни й потім на готівку.
Робота в Microsoft
Команда Microsoft, частиною якої був Вова, працювала над пошуком збоїв у платіжній системі інтернет-магазину. Для цього вони моделювали фіктивні покупки в ньому. Наприклад, Квашук додав комп’ютер Dell у кошик і використав підставну кредитну карту, яку йому давала Microsoft, завершив транзакцію та задокументував усі помилки. Так система знає, що покупка фіктивна та що її не треба доставляти «замовнику». Принаймні так мало б бути.
Виконуючи цю роботу, Володимир знайшов баг, який змінив усе його життя.
Він помітив, що система запрограмована лише на те, щоб запобігати відправленню фіктивних покупок. Щоразу ж, коли він перевіряв купівлю подарункових карт, Microsoft Store видавав йому справжні коди 5×5. Цей недолік був настільки очевидним, що Квашук не зміг змусити себе повідомити про нього менеджерам. Він зрозумів, що може генерувати майже необмежену кількість кодів абсолютно безплатно.
Квашук почав створювати карти Xbox з кроком від $10 до $100. Але потім його улов значно зріс. У якийсь момент він створював таку кількість кодів, що прокурори заявили, що саме він несе відповідальність за глобальні коливання цін на подарункові карти Xbox на ринках реселерів. Коли ціни падали надто низько, він припиняв постачання у надії, що засуха підштовхне ринок вгору.
«Це був злочин старої закалки з високотехнологічним управлінням», — сказав про це Майкл Діон, головний повірений в кримінальній справі проти Квашука. Сам Квашук же заявив слідчим, що він не міг зробити нічого протизаконного, адже цифрова валюта, яку він викачував з Microsoft, не вважалася «справжніми грошима».
Квашук та його колеги зазвичай перемикалися між кількома фіктивними профілями, які вони реєстрували під псевдонімами та з поверховою інформацією в команді магазина Microsoft. Щоб не розкрити себе, Квашук дізнався паролі своїх колег і використав їхні тестові логіни. Тієї осені він працював зі своєї квартири у Сіетлі, маскував трафік через сервери у Японії та Росії. Після розміщення тестових замовлень одразу ж з’являлися десятки кодів подарункових карт на суму $2K, потім $4,2K і, врешті, набагато більші.
Оптимізація схеми
У січні 2018 року Квашук створив комп’ютерну програму PurchaseFlow.CS, щоб прискорити процес. За допомогою кількох кліків мишкою у застосунку він міг обрати номінал подарункової карти ($30, $75, $100), вихідну валюту (долари США, євро, британські фунти) та бажану кількість покупок. Пізніше прокуратора повідомила, що ця програма була створена суто з однією метою: автоматизувати крадіжки в особливо великих розмірах.
Real money. «Всі виграють, крім Microsoft»
У березні 2018 список подарункових карт Xbox номіналом на $30, $50 і $75, які вкрав Квашук та продавав зі знижкою 55%, вистачило б на 2344 сторінки роздрукованої таблиці Excel.
Квашук продавав їх під маркою Grizzled Wolf на Paxful.com, провідної торгової платформи для обміну подарункових карт на криптовалюту, зазвичай біткоїн. Вона популярна серед гуртових покупців та продавців. Укладання угоди відбувається в чаті.
Покупець з нікнеймом Makoo, який стверджував у профілі, що базується в Китаї, замовив у Grizzled Wolf 300 карт Xbox вартістю $27 848. На той час Paxful не вимагав державних документів, що підтверджують особу, що дозволяло лишатися анонімним.
За декілька секунд у чаті Володимир відповів «Добре». Він зняв з Makoo 1,98 біткоїна та залишок $17 240. Потім скопіював та вставив пачки викрадених кодів 5×5 в чат, які Makko, ймовірно, продав іншим покупцям з націнкою.
Після цього Квашук укладав і більші угоди з іншими агресивними трейдерами, а в його криптогаманець надходило багато біткоїн-платежів. Makoo та ще один користувач Paxful виконали транзакції з подарунковими картами Microsoft на суму близько $7 млн.
Журналісти Bloomsberg зв’язалися з трейдером під ніком Avsterbone, який мимоволі придбав кілька вкрадених Квашуком кодів Xbox. З’ясувалося, що в той час він був старшокласником.
«Тонна моїх друзів у шкільному автобусі грала в Xbox, тому я купував ці коди у цього дилера на Paxful з великою знижкою, а потім перепродував їх своїм друзям, все ще з великою знижкою», — пояснює Avsterbone, також відомий як Аві Рахлін. Наразі йому 19 років, він вивчає бізнес в Університеті штату Пенсільванія.
«Якщо я отримую знижку 50%, вони отримують знижку 25%. Всі виграють, крім, як ми тепер знаємо, Microsoft».
Тепер Paxful посилив свої стандарти та поліпшив технологію боротьби з відмиванням грошей.
Люди, які роблять транзакції біткоїнами можуть зберігати анонімність, але числа, відповідні будь-якій транзакції, відстежуються в блокчейні та створюють запис для державних органів. Квашук спробував уникнути цього, скерувавши частину своїх доходів через ChipMixer.com, який прокуратура США пізніше визначила як інструмент для відмивання грошей в інтернеті, який діє як «блендер» для змішування біткоїнів з іншою криптовалютою тієї ж цінності, щоб «приховати першоджерело» і «стерти слід блокчейну».
Потім Квашук переводив біткоїни на свій профіль в Coinbase, популярному застосунку для криптовалютної торгівлі, звідки продавав їх за готівкою.
У березні того ж року він перевів $1,4 млн з Coinbase на свій особистий рахунок у Wells Fargo & Co. Потім ще $935 000 у квітні. Він сказав своєму бухгалтеру, що доходи від біткоїнів були просто подарунком його батька.
За даними прокуратури, в проміжках між своєю роботою в Microsoft і підробітком злодія Квашук захоплювався розділом «House Styles That Americans Love» на сайті BobVila.com. Він купив червону Tesla Model S за $162 899, а потім сучасний будинок за $1,675 млн, який має власну човнову пристань на озері Вашингтон. Агент, який брав участь в останній транзакції, відзначив, що Квашук сказав, що заробив багато грошей, торгуючи біткоїнами, і що він хотів купити будинок на набережній суто за готівку.
Перші ластівки кінця
Були ознаки того, що Квашук був під підозрою. Історії вебпошуку припускають, що він намагався кинути вживати алкоголь і збирався отримати канадську візу. Бізнес ще кипів, але у нього почалися проблеми «з постачанням». З якоїсь дивної причини деякі коди 5×5 перестали працювати. Старшокласниця Avsterbone зажадала відшкодування. Той сказав Grizzled Wolf, що подзвонив за номером служби підтримки Microsoft, де його попередили про те, що подарункові карти були краденими. Квашук повертав гроші, надавав нові подарункові карти для клієнтів і звинувачував свого «постачальника» в будь-яких «мертвих» кодах.
Makoo теж зв’язався з Microsoft після того, як отримав купу недійсних кодів, про що повідомив Квашуку.
«Чорт забирай, вам не слід відсилати цей запит в Microsoft. Надішліть його мені, — лаючись, написав у відповідь Квашук.
Якщо вони почнуть відстежувати мене, тоді я просто вийду під заставу».
Правосуддя
Фактично Microsoft вже полювала на нього. У лютому 2018 року група з розслідування шахрайства помітила незрозумілий сплеск онлайн-покупок з використанням кодів подарункових карт, який був удвічі більший, ніж зазвичай. Команда Microsoft з боротьби з шахрайством (FIST) припустила, що злам здійснив «зовнішній зловмисник», відповідно до внутрішнього звіту. Але незабаром зрозуміла, що це була внутрішня крадіжка.
У березні корпоративні слідчі простежили нерегулярну діяльність за двома внутрішніми тестовими обліковими записами, призначеним співробітникам відділу магазинів Microsoft. Вони дізналися, що рахунки вже поглинули майже $8 млн у вигляді кодів, які продавалися на Paxful та інших сайтах. Вони занесли в чорний список тестові облікові записи. Крім ще одного, який почав купувати коди через кілька днів. З цього облікового запису (пароль: $tore123) вдалося вкрасти ще $1,6 млн подарункових карт Xbox протягом 26 годин, перш ніж Microsoft заблокувала і його.
Згідно зі звітом від 17 квітня, слідчі допитали співробітників, що працювали з цими тестовими обліковими записами. Вони виглядали приголомшеними жертвами, а не злочинцями. Microsoft визначила, що програма тестування під назвою Fiddler, яку співробітники використовували для відправлення звітів про помилки, містила дані про логіни тестувальників. Будь-хто, у кого був доступ до Fiddler, міг зламати облікові записи. Вони припустили, що відповідальність за це може нести інший співробітник або підрядник. Команда FIST звернулася до Ендрю Куксона, який протягом майже 15 років займався судово-медичним розслідуванням посадових злочинів у Microsoft. Ветеран відділу комп’ютерних злочинів Скотланд-Ярду Куксон швидко виявив нового підозрюваного — Володимира Квашука.
Проаналізувавши дані CSV, Microsoft виявила, що одна з офіційних тестових облікових записів Квашука незаконно купила кілька подарункових карт Xbox у 2017 році. Що ще більш підозріло, Квашук був пов’язаний з іншою партією вкрадених кодів, які використовувалися в інтернет-магазині Microsoft для покупки трьох високорівневих карт GeForce від NVIDIA Corp. Їх відправили покупцеві на ім’я Григір Шікор у підрозділ 309 Norman Arms в Сіетлі. Ніхто з таким прізвищем не жив в Norman Arms, а максимальна кількість підрозділів була 308. Квашук жив у 101.
О 14:03 18 травня Квашук сидить навпроти Куксона, коли той увімкнув диктофон в конференц-залі кампусу Microsoft у Редмонді.
«Очевидно, що ми намагаємося розібратися у всіх тих інших кодах, за які ви не несете відповідальності», — сказав детектив, згідно з протоколом зустрічі.
Коли Вову запитали, чи використовував він тестові облікові записи для генерації кодів, він невизначено зізнався, що викупив близько 600 з них, але тільки для покупки фільмів для перегляду вдома зі своєю дівчиною Діаною, теж українською емігранткою. Він і Діана вели список кодів, прикріплених до чорної консолі Xbox до телевізора, і викреслювали їх при завантаженні фільмів, сказав він. Щодо карт NVIDIA, то він визнав, що використовував їх для майнінгу криптовалюти, але підкреслив, що не пам’ятав, як замовляв їх, і не міг пояснити, чому вони були відправлені поштою Григіру Шікору за його попередньою адресою проживання. «Я загубився тут», — сказав Квашук Коксону.
Чотири тижні потому Microsoft звільнила Квашука. Для, здавалося б, досвідченого інженера, він зробив багато помилок новачка. Хоча він, наприклад, приховав свій трафік через міжнародні сервери, все ж неуважно використовував той же комп’ютер на базі Linux з тією ж застарілою версією браузера Firefox, щоб скоїти крадіжку метаданих, які дозволили Microsoft зв’язати його зі злочином. Слідчі навіть виявили, що ліцензія Microsoft Office, яку він купив на початку своєї афери за $169,99, була зареєстрована в адміністративному обліковому записі SearchDom, його стартапу.
Він і Діана продовжували жити в розкоші у своєму новому будинку. Вони прогулялися на човні навколо острова Мерсер і полетіли відпочивати на Гаваї. На фото в Instagram, зробленому в грудні 2018 року, Квашук тримає коктейль в барі Cliff Dive біля Мауї, незабаром після того, як отримав нову роботу в цифровому підрозділі Sinclair Broadcast Group Inc., розташованому недалеко від Seattle Space Needle. Колега Сінклера в той час згадує Квашука як «теплого» і «чуйного», з «дуже холодною поведінкою», що виглядав як будь-який інший технар. Він ніколи не показував, що заможний; колеги просто припустили, що в нього багато грошей після того, як той з’явився на роботі на своїй червоній Tesla. 16 липня 2019 року друг запросив його випити кави, але обліковий запис Квашука був деактивований. Повідомлення не повернулися. Більше про нього нічого не чули.
Коли агенти ФБР, які проводили розслідування щодо Квашука після того, як Microsoft передала їм справу, приїхали з обшуком до його будинку та ділянки на березі озера, Квашук сидів на канапі, схрестивши ноги, поки вони обшукували дім. Там виявили безліч доказів, що доводять його вину, таких як ключі від криптогаманця, записні книжки з інформацією про банківський рахунок, USB-накопичувачі, набиті вкраденими кодами 5×5, і безліч готівки. Федеральні агенти також знайшли список Квашука, де він записав майбутні інвестиції українською мовою.
Скан записки Квашука
У лютому
Адвокати Квашука стверджували, що клієнт не збирався нікого обманювати. Він згенерував коди подарункових карт, щоб допомогти компанії, бо що більше безплатних подарунків Xbox роздає, то популярнішою буде платформа, що призведе до збільшення загальних витрат. Отже, його логіка полягала в тому, що треба роздати десятки тисяч безплатних подарункових карт Xbox, щоб перевірити, чи підвищить це якимось чином попит і продажі в майбутньому.
Все це було частиною його «наступного великого проєкту», на який його надихнули винахідники, що змінили світ, такі як Генрі Форд і Томас Едісон, свідчив Квашук. Рукописна записка з детальним описом того, як він витратить наступні 10 мільйонів доларів, була просто списком мотиваційних бажань. І крадіжка паролів своїх колег? За його словами, технічно це не крадіжка особистих даних, тому що тестові облікові записи були підробленими.
Суддя і присяжні визнали його захист безглуздим і визнали його винним за всіма пунктами звинувачення. Він, ймовірно, буде депортований назад до України після відбуття терміну у в’язниці до березня 2027 року і повинен буде повернути $8,3 млн.
Одна з найбільш винахідливих заяв Квашука полягала в тому, що подарункові картки не були «справжніми» грошима і втратили свою цінність для Microsoft, тому що за ними не відбулося ніяких реальних банківських транзакцій. Суд не прийняв цей аргумент, а прокурор Діон підкреслила, що великий будинок Квашука був куплений не на «монопольні гроші». Зрештою, рахунок оплачувала Microsoft.
Це важливий момент. В епоху, коли коди Xbox і біткоїни здаються імітацією віртуальних грошей, Діон каже, що деякі люди купують і обмінюють їх так, ніби вони «грають персонажами в GTA».
Квашук, за його словами, «просто захопився шансом миттєво стати мільйонером».
Найкращі коментарі пропустити