Przestępcy założyli korporację i oszukali miliony osób

Strona głównaPrzestępcy założyli korporację i oszukali miliony osób
04.04.2011 14:09
Przestępcy założyli korporację i oszukali miliony osób
Źródło zdjęć: © komputerswiat.pl

Innovative Marketing oszukało miliony ludzi, a jej szefów poszukuje dziś Interpol. Poznaj kulisy jednego z największych w Europie przekrętów w branży IT

Odkrycie niemieckiego analityka wirusów, doprowadziło do zdemaskowania największego znanego producenta scareware'u. Na przykładzie Innovative Marketing widać doskonale, jakimi trikami i z jaką bezwzględnością internetowi przestępcy wyciągają pieniądze z kieszeni swoich ofiar.

288764923067250835
Źródło zdjęć: © Recepcja Innovative Marketing w Kijowie. Nawet do 600 pracowników zajmowało się tutaj wymuszeniami dokonywanymi na milionach klientów z całego świata (fot. komputerswiat.pl)

Prawie 55. milionów złotych rocznego obrotu, około 600 pracowników i oddziały w całym świecie: Innovative Marketing (IM) na pierwszy rzut oka robi wrażenie kwintesencji firmy programistycznej, która odniosła sukces.

Ze swojej siedziby w Kijowie, firma przynajmniej od 200. roku zaopatrywała klientów z całego świata we wszelkiego rodzaju oprogramowanie. Jednak żaden z klientów nawet nie przypuszczał, że w modelu biznesowym firmy IM tkwi haczyk: zamiast oprogramowania ochronnego firma produkowała całą masę bezużytecznych programów, podszywających się pod narzędzia do optymalizacji systemu i antywirusy, których jedynym celem było zwabienie klientów, poddanie ich szantażowi i oskubanie z pieniędzy.

Interes z wymuszeniami za pomocą oprogramowania kwitł przez ponad cztery lata bez żadnej ingerencji ze strony ukraińskich władz. To zdumiewające, bo IM nie przypominała firmy-krzaka. Firma miała oficjalną siedzibę, recepcję, ferie bożonarodzeniowe, a nawet... centrum obsługi telefonicznej dla zirytowanych, oszukanych klientów.

Tym, który zdemaskował machinacje scareware'owego imperium, okazał się 37-letni Dirk Kollberg, który jako starszy specjalista do spraw wykrywania zagrożeń w specjalizującej się w ochronie antywirusowej firmie Sophos zajmował się nowymi zagrożeniami z internetu. Na trop oszustów wpadł w lipcu 200. roku. Jego uwagę zwrócił fakt, że jedna z luk w zabezpieczeniach Adobe Flash Playera podejrzanie często wykorzystywana była do potajemnego instalowania scareware'u na pecetach niepodejrzewających niczego użytkowników.

288764923067578515
Źródło zdjęć: © Analityk wirusów Dirk Kollberg przez prawie dwa lata przeszukiwał zawartość wewnętrznych komputerów firmowych Innovative Marketing - największego znanego producenta scareware'u. Jego praca dostarczyła amerykańskiemu urzędowi ochrony konsumentów FTC decydujących dowodów do procesu sądowego, który wszedł właśnie w decydującą fazę. (fot. komputerswiat.pl)

- Sprawdziłem, z jakiego obszaru adresowego internetu kopiowano oprogramowanie - mówi Kollberg. Ślad prowadził bezpośrednio do Innovative Marketing na Ukrainie. Kollberg przyjrzał się sprawie bliżej. Nie mógł uwierzyć w to, co odkrył: firma, która odniosła taki sukces ekonomiczny, pozwoliła sobie na niewiarygodną lekkomyślność - jej serwer był podłączony do internetu bez jakiejkolwiek ochrony. Prześwietlenie interesów IM było na wyciągnięcie ręki. Firma Innovative Marketing ułatwiła zadanie: obszerna dokumentacja zawierała instrukcje, szczegółowe informacje o schematach działania i komunikatach, za pomocą których program prowadził użytkowników w pułapkę. Przez lata działalności firma IM wypracowała metody umożliwiające bardzo skuteczne funkcjonowanie przekrętu.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

288764923067775123

Dokumenty firmy wskazywały na to, że Innovative Marketing wciąż odgrzewał te same produkty podstawowe, wyposażając je w nowe interfejsy i nadając im coraz to inne nazwy. Z rzekomego programu antywirusowego Winifighter w ciągu dwóch lat powstało 4. nowych produktów o chwytliwych nazwach, takich jak Safe-Fighter lub SystemCop, jednak ich rdzenie wciąż były te same.

Kollberga zainteresował nie tylko scareware - zapragnął dowiedzieć się więcej o kulisach firmy. Odnalazł więcej danych, niż potrzebował - na swoje dyski skopiował 6. gigabajtów kompromitujących materiałów, a wśród nich listy pracowników, rozliczenia, opracowane statystyki sprzedaży oraz szczegóły wszystkich podejrzanych biznesowych powiązań.

- Organizacja firmy była godna podziwu - mówi Kollberg. IM pod każdym względem funkcjonowało jak profesjonalne przedsiębiorstwo, ale z tą różnicą, że cele firmy były natury czysto kryminalnej. Na szczęście tylko raz jeden z pracowników dostrzegł obecność Kollberga: pewnego wieczoru na jego ekranie pojawiła się wiadomość "Who are you?" (Kim jesteś?). Kollberg zrobił na pamiątkę zrzut ekranowy i wolał zajrzeć na serwer innym razem. W ciągu długich nocy po godzinach pracy znalazł mnóstwo materiałów, a wciąż pojawiały się wskazówki nowych powiązań.

288764923068037267
Źródło zdjęć: © Impreza pracowników Innovative Marketing. Ostre strzelanie, tym razem korków od szampana, odbywało się nie tylko podczas zabawy w paintball (fot. komputerswiat.pl)

Wspólnicy zapewniają obrót

Szczególnie interesujące dla Kollberga było pytanie, jak firma Innovative Marketing zdobywała nowe ofiary. Tę pracę IM pozostawiał tak zwanym affiliates - partnerom biznesowym, których firma nagradzała premią za każdy zainstalowany program szantażujący. Interes się opłacał: partnerzy kasowali nawet do 9. procent ceny sprzedaży. Dokumenty wskazują, że najlepsi spośród nich osiągali obrót do 100 tysięcy euro tygodniowo.

Ludzie Innovative Marketing byli ekspertami w wabieniu ofiar i wybierając metody, nie przebierali w środkach. W trybie drive-by-download, a więc przez zainfekowane strony internetowe, umieszczali szkodliwe programy na komputerach ofiar, a te z kolei pobierały scareware. Inna metoda to infekowanie stron, które znajdowały się na wysokich pozycjach w wynikach wyszukiwania Google. Oprócz tego firma wabiła klientów zmasowanymi ogłoszeniami w internecie.

Nieważne, jak została zwabiona naiwna ofiara - i tak na końcu lądowała w pułapce. Kiedy scareware znalazł już drogę na komputer, firma Innovative Marketing zajmowała się wszystkimi innymi sprawami. Użytkownicy byli bombardowani komunikatami o rzekomo skrajnie niebezpiecznych problemach z pecetem. Wywoływanie paniki sprawdzało się zastraszająco dobrze.

- Nasza analiza wykazała, że w ciągu 1. miesięcy ponad 4,5 miliona ludzi faktycznie kupiło pełną wersję programu-szantażysty - mówi Kollberg.

288764923068364947
Źródło zdjęć: © Na zdjęciu po lewej Gavril D. - jeden z najlepszych partnerów biznesowych IM w koszulce z napisem Krab na imprezie znanego koncernu internetowego (fot. komputerswiat.pl)

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

288764923068496019

Kryptonim: Krab

Jednym z partnerów, który wyjątkowo skutecznie napędzał ofiary w ramiona IM, był Rosjanin Gavril D., znany jako Krab. Był głową grupy sterującej rozbudowaną siecią sprzedaży programów szantażujących. Kollberg wciąż natrafiał na jego nazwisko i znalazł rozliczenia wskazujące na obroty w wysokości 8. tysięcy euro tygodniowo (prawie 320 tysięcy złotych). Pod firmami Bakasoftware i Pandora Krab sam także pisał programy typu scareware.

Również Krab nie zadał sobie wystarczająco dużo trudu, aby pozostać anonimowym. Na serwerze znajdowały się setki niechronionych prywatnych zdjęć Gavrila D. wiele o nim mówiących. Zdjęcia pokazują słodkie życie oszusta, jakie za wyłudzone pieniądze prowadził w Tajlandii: imprezy, narkotyki, plaże, szybkie samochody i kobiety oraz własny dom z basenem.

288764923068692627
Źródło zdjęć: © Gavril D. alias Krab jako partner biznesowy Innovative Marketing na rozpowszechnianiu programów szantażujących osiągał obroty do 80 000 euro tygodniowo (fot. komputerswiat.pl)

Szantażyści z własnym call center

Dzięki sztuczkom przestępców takich jak Krab sprzedaż programów szantażujących szła doskonale. Dopóki ofiary grzecznie płaciły, interes szedł świetnie, a majątek przestępców rósł. Ale nie wszyscy płacili bez oporów. Niektórzy użytkownicy przejrzeli szwindel i anulowali swoje płatności kartami kredytowymi. Skutek: coraz więcej banków odmawiało rozliczeń z IM.

Wtedy oszuści wpadli na doskonały pomysł: zorganizowali infolinię, która uspokajała poirytowanych klientów. W Indiach, na Ukrainie i w USA firma otworzyła własne centra obsługi telefonicznej. Tylko w roku 200. zadzwoniło do nich dwa miliony klientów. Klienci z niektórych państw otrzymali nawet specjalne numery telefonów, które miały wzmocnić zaufanie do serwisu. Pracownicy byli przeszkoleni tylko w jednej dziedzinie: powstrzymywaniu ofiar od anulowania swoich płatności.

Dzięki przeprowadzonemu śledztwu można dokładnie sprawdzić, jakie triki wykorzystywali pracownicy call center do przekonywania klientów. Bo rozmowy z klientami były rejestrowane - w dużej części bez ich wiedzy i były dostępne na serwerach IM.

- Niektórzy klienci - mówi Kollberg - stwierdzali, że ich prawdziwe produkty antywirusowe lub przeglądarki ostrzegały przed produktami IM. Zaniepokojone ofiary mamiono przez telefon, aby usuwały z komputerów swoje prawdziwe pakiety oprogramowania ochronnego. Ostrzeżenia znikały, komputery znów działały dobrze i klienci byli zadowoleni.

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

288764923069085843

Śledczy wkraczają do akcji

Równolegle do własnego prywatnego śledztwa Kollberg podjął kontakt z organami ścigania. Zgłosił się do Policji Kryminalnej w Hamburgu, do FBI i do amerykańskiej FTC (Federal Trade Commission - Federalna Komisja Handlu). W Niemczech nie nastąpiły żadne konsekwencje.

- Niemieckie ofiary po prostu nie zgłaszały się na Policję - uważa Kollberg. A bez zgłoszeń nie ma śledztw. Inaczej stało się w amerykańskiej FTC, gdzie skargi złożyło ponad 100. klientów. Zgromadzone dowody dla prowadzącej śledztwo agencji były na wagę złota. FTC wszczęła postępowanie sądowe, w którym obszerne zeznania złożył również Kollberg. FTC jako zarządzających IM zidentyfikowała pięć osób - na marginesie: żadna z nich nie była Ukraińcem!

Zdemaskowanie oszustwa doprowadziło wreszcie do końca IM: jesienią 200. roku drzwi centrum cyberszantażu w Kijowie zostały zamknięte.

Od firmy wymuszającej do Microsoftu

Problem scareware'u bynajmniej nie zniknął razem z Innovative Marketing.

- Interes szedł po prostu za dobrze - uważa Kollberg. Jak zaobserwował, stare powiązania wciąż funkcjonują, a niektórzy szefowie przedsiębiorstwa kontynuują działalność według wypracowanego przez IM modelu. Wskazują na to odkryte w USA serwery.

Dawni pracownicy Innovative Marketing pomimo swojej przeszłości nie muszą obawiać się o swoją karierę zawodową. Niektórzy informacje o pracy w IM wręcz zamieszczają w swoich CV. I tak odpowiedzialnego w IM za oprogramowanie zabezpieczające Olega I. spotkać można teraz w Microsofcie, a Vadym P., który wcześniej pisał programy dla IM, pracuje teraz dla firmy, która do swoich klientów zalicza Deutsche Bank.

288764923069544595
Źródło zdjęć: © Wcześniej oszust w Innovative Marketing, dziś pracownik Microsoftu: oszuści również robią kariery. Oleg I. najwyraźniej nie wstydzi się swojej przeszłości (fot. komputerswiat.pl)

Wielu pracowników znalazło zatrudnienie w ukraińskiej firmie antywirusowej Zillya. Jej produktów nie można wprawdzie zaliczyć do scareware'u, ale w testach zwracają one na siebie uwagę wyjątkowo kiepskimi wynikami rozpoznawania wirusów. Nic dziwnego, bo odpowiedzialny w Zillya za zarządzanie jakością Oleh S. również w Innovative Marketing odpowiadał za jakość.

Nie wiadomo, co stało się z Krabem, którego ślad urywa się w Tajlandii. Bardzo prawdopodobne jest, że zgodnie z azjatycką mądrością "to samo, ale inaczej" w dalszym ciągu zajmuje się sprzedażą scareware'u.

288764923069741203
Źródło zdjęć: © Zillya Antivirus szczyci się, że na Ukrainie ma już pół miliona klientów. Większość pracowników firmy pracowała wcześniej w Innovative Marketing (fot. komputerswiat.pl)

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

288764923069872275

Firma Innovative Marketing zatrudniała ponad 60. pracowników, którzy wymuszeniami osiągali roczne obroty rzędu 700 milionów złotych. Poznajmy pięć najważniejszych postaci firmy:

Sam Jain

40-letni Amerykanin uchodzi za mózg Innovative Marketing. W roku 200. założył firmę. Był wielokrotnie skazywany, w roku 2005 na przykład za podrabianie produktów firmy Symantec. Poszukuje go Interpol, aktualnie przebywa prawdopodobnie na Ukrainie.

288764923070068883
Źródło zdjęć: © (fot. komputerswiat.pl)

Daniel Sundin

32-letni Szwed był szefem technologów w IM, oprócz tego prowadził różne firmy-krzaki. Skazany kryminalista przepadł jak kamień w wodę w swojej szwedzkiej ojczyźnie, Interpol poszukuje również jego.

288764923070199955
Źródło zdjęć: © (fot. komputerswiat.pl)

James Reno

27-letni obywatel USA zarządzał centrum obsługi telefonicznej klientów, którego zadaniem było uspokajanie oszukanych klientów. Również był wielokrotnie karany i jak dotychczas pozostaje jedynym członkiem grupy, którego organom ścigania udało się aresztować.

Marc D'Souza

Był przypuszczalnie szefem IM do spraw finansowych. W pierwszej linii zajmował się trudnymi relacjami z bankami, ponieważ z powodu skarg często dochodziło do problemów.

Kristy Ross

Dbał o pozycjonowanie internetowych banerów reklamowych, służących do rozpowszechniania szantażujących programów wśród użytkowników. Dysponował na ten cel budżetem wynoszący przynajmniej 1. milionów złotych.

_ Autor: dk (Computer Bild) _

-/SW/GB

Polecamy w wydaniu internetowym komputerswiat.pl: Masz szybkie łącze. Na pewno?

288764923070658707
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (47)