Przestępcy założyli korporację i oszukali miliony osób

Innovative Marketing oszukało miliony ludzi, a jej szefów poszukuje dziś Interpol. Poznaj kulisy jednego z największych w Europie przekrętów w branży IT

Odkrycie niemieckiego analityka wirusów, doprowadziło do zdemaskowania największego znanego producenta scareware'u. Na przykładzie Innovative Marketing widać doskonale, jakimi trikami i z jaką bezwzględnością internetowi przestępcy wyciągają pieniądze z kieszeni swoich ofiar.

Prawie 55. milionów złotych rocznego obrotu, około 600 pracowników i oddziały w całym świecie: Innovative Marketing (IM) na pierwszy rzut oka robi wrażenie kwintesencji firmy programistycznej, która odniosła sukces.

Ze swojej siedziby w Kijowie, firma przynajmniej od 200. roku zaopatrywała klientów z całego świata we wszelkiego rodzaju oprogramowanie. Jednak żaden z klientów nawet nie przypuszczał, że w modelu biznesowym firmy IM tkwi haczyk: zamiast oprogramowania ochronnego firma produkowała całą masę bezużytecznych programów, podszywających się pod narzędzia do optymalizacji systemu i antywirusy, których jedynym celem było zwabienie klientów, poddanie ich szantażowi i oskubanie z pieniędzy.

Interes z wymuszeniami za pomocą oprogramowania kwitł przez ponad cztery lata bez żadnej ingerencji ze strony ukraińskich władz. To zdumiewające, bo IM nie przypominała firmy-krzaka. Firma miała oficjalną siedzibę, recepcję, ferie bożonarodzeniowe, a nawet... centrum obsługi telefonicznej dla zirytowanych, oszukanych klientów.

Tym, który zdemaskował machinacje scareware'owego imperium, okazał się 37-letni Dirk Kollberg, który jako starszy specjalista do spraw wykrywania zagrożeń w specjalizującej się w ochronie antywirusowej firmie Sophos zajmował się nowymi zagrożeniami z internetu. Na trop oszustów wpadł w lipcu 200. roku. Jego uwagę zwrócił fakt, że jedna z luk w zabezpieczeniach Adobe Flash Playera podejrzanie często wykorzystywana była do potajemnego instalowania scareware'u na pecetach niepodejrzewających niczego użytkowników.

- Sprawdziłem, z jakiego obszaru adresowego internetu kopiowano oprogramowanie - mówi Kollberg. Ślad prowadził bezpośrednio do Innovative Marketing na Ukrainie. Kollberg przyjrzał się sprawie bliżej. Nie mógł uwierzyć w to, co odkrył: firma, która odniosła taki sukces ekonomiczny, pozwoliła sobie na niewiarygodną lekkomyślność - jej serwer był podłączony do internetu bez jakiejkolwiek ochrony. Prześwietlenie interesów IM było na wyciągnięcie ręki. Firma Innovative Marketing ułatwiła zadanie: obszerna dokumentacja zawierała instrukcje, szczegółowe informacje o schematach działania i komunikatach, za pomocą których program prowadził użytkowników w pułapkę. Przez lata działalności firma IM wypracowała metody umożliwiające bardzo skuteczne funkcjonowanie przekrętu.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

Dokumenty firmy wskazywały na to, że Innovative Marketing wciąż odgrzewał te same produkty podstawowe, wyposażając je w nowe interfejsy i nadając im coraz to inne nazwy. Z rzekomego programu antywirusowego Winifighter w ciągu dwóch lat powstało 4. nowych produktów o chwytliwych nazwach, takich jak Safe-Fighter lub SystemCop, jednak ich rdzenie wciąż były te same.

Kollberga zainteresował nie tylko scareware - zapragnął dowiedzieć się więcej o kulisach firmy. Odnalazł więcej danych, niż potrzebował - na swoje dyski skopiował 6. gigabajtów kompromitujących materiałów, a wśród nich listy pracowników, rozliczenia, opracowane statystyki sprzedaży oraz szczegóły wszystkich podejrzanych biznesowych powiązań.

- Organizacja firmy była godna podziwu - mówi Kollberg. IM pod każdym względem funkcjonowało jak profesjonalne przedsiębiorstwo, ale z tą różnicą, że cele firmy były natury czysto kryminalnej. Na szczęście tylko raz jeden z pracowników dostrzegł obecność Kollberga: pewnego wieczoru na jego ekranie pojawiła się wiadomość "Who are you?" (Kim jesteś?). Kollberg zrobił na pamiątkę zrzut ekranowy i wolał zajrzeć na serwer innym razem. W ciągu długich nocy po godzinach pracy znalazł mnóstwo materiałów, a wciąż pojawiały się wskazówki nowych powiązań.

Szczególnie interesujące dla Kollberga było pytanie, jak firma Innovative Marketing zdobywała nowe ofiary. Tę pracę IM pozostawiał tak zwanym affiliates - partnerom biznesowym, których firma nagradzała premią za każdy zainstalowany program szantażujący. Interes się opłacał: partnerzy kasowali nawet do 9. procent ceny sprzedaży. Dokumenty wskazują, że najlepsi spośród nich osiągali obrót do 100 tysięcy euro tygodniowo.

Ludzie Innovative Marketing byli ekspertami w wabieniu ofiar i wybierając metody, nie przebierali w środkach. W trybie drive-by-download, a więc przez zainfekowane strony internetowe, umieszczali szkodliwe programy na komputerach ofiar, a te z kolei pobierały scareware. Inna metoda to infekowanie stron, które znajdowały się na wysokich pozycjach w wynikach wyszukiwania Google. Oprócz tego firma wabiła klientów zmasowanymi ogłoszeniami w internecie.

Nieważne, jak została zwabiona naiwna ofiara - i tak na końcu lądowała w pułapce. Kiedy scareware znalazł już drogę na komputer, firma Innovative Marketing zajmowała się wszystkimi innymi sprawami. Użytkownicy byli bombardowani komunikatami o rzekomo skrajnie niebezpiecznych problemach z pecetem. Wywoływanie paniki sprawdzało się zastraszająco dobrze.

- Nasza analiza wykazała, że w ciągu 1. miesięcy ponad 4,5 miliona ludzi faktycznie kupiło pełną wersję programu-szantażysty - mówi Kollberg.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

Jednym z partnerów, który wyjątkowo skutecznie napędzał ofiary w ramiona IM, był Rosjanin Gavril D., znany jako Krab. Był głową grupy sterującej rozbudowaną siecią sprzedaży programów szantażujących. Kollberg wciąż natrafiał na jego nazwisko i znalazł rozliczenia wskazujące na obroty w wysokości 8. tysięcy euro tygodniowo (prawie 320 tysięcy złotych). Pod firmami Bakasoftware i Pandora Krab sam także pisał programy typu scareware.

Również Krab nie zadał sobie wystarczająco dużo trudu, aby pozostać anonimowym. Na serwerze znajdowały się setki niechronionych prywatnych zdjęć Gavrila D. wiele o nim mówiących. Zdjęcia pokazują słodkie życie oszusta, jakie za wyłudzone pieniądze prowadził w Tajlandii: imprezy, narkotyki, plaże, szybkie samochody i kobiety oraz własny dom z basenem.

Dzięki sztuczkom przestępców takich jak Krab sprzedaż programów szantażujących szła doskonale. Dopóki ofiary grzecznie płaciły, interes szedł świetnie, a majątek przestępców rósł. Ale nie wszyscy płacili bez oporów. Niektórzy użytkownicy przejrzeli szwindel i anulowali swoje płatności kartami kredytowymi. Skutek: coraz więcej banków odmawiało rozliczeń z IM.

Wtedy oszuści wpadli na doskonały pomysł: zorganizowali infolinię, która uspokajała poirytowanych klientów. W Indiach, na Ukrainie i w USA firma otworzyła własne centra obsługi telefonicznej. Tylko w roku 200. zadzwoniło do nich dwa miliony klientów. Klienci z niektórych państw otrzymali nawet specjalne numery telefonów, które miały wzmocnić zaufanie do serwisu. Pracownicy byli przeszkoleni tylko w jednej dziedzinie: powstrzymywaniu ofiar od anulowania swoich płatności.

Dzięki przeprowadzonemu śledztwu można dokładnie sprawdzić, jakie triki wykorzystywali pracownicy call center do przekonywania klientów. Bo rozmowy z klientami były rejestrowane - w dużej części bez ich wiedzy i były dostępne na serwerach IM.

- Niektórzy klienci - mówi Kollberg - stwierdzali, że ich prawdziwe produkty antywirusowe lub przeglądarki ostrzegały przed produktami IM. Zaniepokojone ofiary mamiono przez telefon, aby usuwały z komputerów swoje prawdziwe pakiety oprogramowania ochronnego. Ostrzeżenia znikały, komputery znów działały dobrze i klienci byli zadowoleni.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

Równolegle do własnego prywatnego śledztwa Kollberg podjął kontakt z organami ścigania. Zgłosił się do Policji Kryminalnej w Hamburgu, do FBI i do amerykańskiej FTC (Federal Trade Commission - Federalna Komisja Handlu). W Niemczech nie nastąpiły żadne konsekwencje.

- Niemieckie ofiary po prostu nie zgłaszały się na Policję - uważa Kollberg. A bez zgłoszeń nie ma śledztw. Inaczej stało się w amerykańskiej FTC, gdzie skargi złożyło ponad 100. klientów. Zgromadzone dowody dla prowadzącej śledztwo agencji były na wagę złota. FTC wszczęła postępowanie sądowe, w którym obszerne zeznania złożył również Kollberg. FTC jako zarządzających IM zidentyfikowała pięć osób - na marginesie: żadna z nich nie była Ukraińcem!

Zdemaskowanie oszustwa doprowadziło wreszcie do końca IM: jesienią 200. roku drzwi centrum cyberszantażu w Kijowie zostały zamknięte.

Problem scareware'u bynajmniej nie zniknął razem z Innovative Marketing.

- Interes szedł po prostu za dobrze - uważa Kollberg. Jak zaobserwował, stare powiązania wciąż funkcjonują, a niektórzy szefowie przedsiębiorstwa kontynuują działalność według wypracowanego przez IM modelu. Wskazują na to odkryte w USA serwery.

Dawni pracownicy Innovative Marketing pomimo swojej przeszłości nie muszą obawiać się o swoją karierę zawodową. Niektórzy informacje o pracy w IM wręcz zamieszczają w swoich CV. I tak odpowiedzialnego w IM za oprogramowanie zabezpieczające Olega I. spotkać można teraz w Microsofcie, a Vadym P., który wcześniej pisał programy dla IM, pracuje teraz dla firmy, która do swoich klientów zalicza Deutsche Bank.

Wielu pracowników znalazło zatrudnienie w ukraińskiej firmie antywirusowej Zillya. Jej produktów nie można wprawdzie zaliczyć do scareware'u, ale w testach zwracają one na siebie uwagę wyjątkowo kiepskimi wynikami rozpoznawania wirusów. Nic dziwnego, bo odpowiedzialny w Zillya za zarządzanie jakością Oleh S. również w Innovative Marketing odpowiadał za jakość.

Nie wiadomo, co stało się z Krabem, którego ślad urywa się w Tajlandii. Bardzo prawdopodobne jest, że zgodnie z azjatycką mądrością "to samo, ale inaczej" w dalszym ciągu zajmuje się sprzedażą scareware'u.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

Firma Innovative Marketing zatrudniała ponad 60. pracowników, którzy wymuszeniami osiągali roczne obroty rzędu 700 milionów złotych. Poznajmy pięć najważniejszych postaci firmy:

40-letni Amerykanin uchodzi za mózg Innovative Marketing. W roku 200. założył firmę. Był wielokrotnie skazywany, w roku 2005 na przykład za podrabianie produktów firmy Symantec. Poszukuje go Interpol, aktualnie przebywa prawdopodobnie na Ukrainie.

32-letni Szwed był szefem technologów w IM, oprócz tego prowadził różne firmy-krzaki. Skazany kryminalista przepadł jak kamień w wodę w swojej szwedzkiej ojczyźnie, Interpol poszukuje również jego.

27-letni obywatel USA zarządzał centrum obsługi telefonicznej klientów, którego zadaniem było uspokajanie oszukanych klientów. Również był wielokrotnie karany i jak dotychczas pozostaje jedynym członkiem grupy, którego organom ścigania udało się aresztować.

Był przypuszczalnie szefem IM do spraw finansowych. W pierwszej linii zajmował się trudnymi relacjami z bankami, ponieważ z powodu skarg często dochodziło do problemów.

Dbał o pozycjonowanie internetowych banerów reklamowych, służących do rozpowszechniania szantażujących programów wśród użytkowników. Dysponował na ten cel budżetem wynoszący przynajmniej 1. milionów złotych.

_ Autor: dk (Computer Bild) _

-/SW/GB

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?