„Kto się na to nabiera?!” – pisaliście w komentarzach pod naszym artykułem o udanych scenariuszach kradzieży stosowanych wobec polskich firm. Okazało się, że podobnym atakom zdarzyło się ulec nawet takim gigantom jak Google i Facebook.
Evaldas Rimašauskas, litewski przedsiębiorca zatrzymany w marcu 2017 r. i kilka miesięcy później poddany ekstradycji do Stanów Zjednoczonych, przyznał się w końcu do winy – czytamy w oświadczeniu wydanym przez amerykański Departament Sprawiedliwości (wcześniej oskarżony starał się udowodnić, że był tylko małym trybikiem w przestępczej machinie zarządzanej przez kogo innego – nie wyszło). Na formalny wyrok będziemy musieli poczekać do lipca, wiadomo jednak, że grozi mu 30 lat za kratami. Czym sobie na to zasłużył?
Od pomysłu do realizacji
Zaczął w 2013 r. od zarejestrowania na Łotwie firmy Quanta Computer. Być może tego nie wiecie, ale przedsiębiorstwo o identycznej nazwie istnieje na Tajwanie. Działa od 30 lat, zatrudnia ponad 70 tys. pracowników, wytwarza sprzęt komputerowy i współpracuje w tym zakresie z różnymi korporacjami. Są wśród nich m.in. Apple, Dell, Hewlett-Packard, Amazon, Cisco, LG, Lenovo, Sony, Toshiba, a także – wymienione już – Google i Facebook, które Litwin wziął na celownik.
Departament Sprawiedliwości nie szafuje nazwami – pisze „multinational technology company”, mając na myśli Google, a Facebooka charakteryzuje jako „multinational online social media company”. Dziennikarze dwutygodnika „Fortune” niedługo po aresztowaniu Rimašauskasa przeprowadzili własne śledztwo i ustalili, o jakie firmy chodzi. Obie potwierdziły, że dały się nabrać i straciły miliony (choć według Bloomberga większość środków udało się już odzyskać). Oficjalny komunikat głosi, że chodzi o ponad 100 mln dolarów, ale litewskie media podają dokładniejsze dane. Od Facebooka przedsiębiorczy oszust wyłudził 98,88 mln dolarów, a od Google’a – 23,26 mln dolarów.
Dokonał tego w bardzo prosty sposób. Wiedząc, że Google i Facebook prowadzą interesy z tajwańskim producentem sprzętu, nawiązał z nimi mailową korespondencję. Występując w imieniu firmy Quanta Computer (a tak właśnie nazwał własną), namówił gigantów do wykonywania płatności za świadczone usługi na konta, które w tym celu założył. Jak wyjaśnia jeden z litewskich serwisów, Google miał wpłacać pieniądze do SEB Banku na Łotwie, a Facebook – do Eurobanku na Cyprze. Stamtąd wyłudzone środki były przesyłane na inne rachunki w bankach zlokalizowanych w różnych krajach – Departament Sprawiedliwości wymienia Łotwę, Cypr, Słowację, Litwę, Węgry i Hongkong.
Aby osiągnąć większe zyski, Litwin posunął się do fałszowania faktur, umów i listów, które zaopatrywał w podrobione podpisy osób decyzyjnych i stemplował odpowiednimi pieczątkami. Przedstawiał je następnie bankom w celu potwierdzenia przelewów dużych kwot z rachunków zaatakowanych firm na jego własne.
Od sukcesu do upadku
Rimašauskas okazał się na tyle wiarygodny, że oszustwo wyszło na jaw dopiero po dwóch latach. Google nabrał podejrzeń jako pierwszy i to on w 2015 r. zawiadomił organy ścigania. Namierzanie przestępcy zajęło kolejne dwa lata, aż w końcu doszło do jego aresztowania na Litwie. W sierpniu 2017 r. – ku wielkiemu rozczarowaniu „biznesmena” – zapadła decyzja o ekstradycji do Stanów Zjednoczonych. Postawiono mu wówczas zarzuty oszustwa, prania brudnych pieniędzy i kradzieży tożsamości. Litwin długo nie przyznawał się do winy, argumentując, że to nie on był pomysłodawcą ataku, że stoją za nim – a jakżeby inaczej! – Rosjanie, których rzekomo poznał podczas pobytu w Moskwie. Żona potwierdzała jego słowa, dodając, że nie starczyłoby mu rozumu (lit. „tiesiog nepakaktų smegenų”), by zrealizować opisany wyżej scenariusz – nie jest hakerem, nie zna angielskiego itd. Do sądu ta argumentacja nie przemówiła. Wyrok poznamy za kilka miesięcy.
Jak już podkreślaliśmy, wykorzystana metoda do trudnych nie należy. Przy jej omawianiu anglojęzyczne serwisy lubią posługiwać się skrótem BEC, co oznacza „business email compromise”. W komunikacie Departamentu Sprawiedliwości też pada takie określenie. A chodzi po prostu o wykorzystanie przejętej w dowolny sposób firmowej skrzynki pocztowej albo takiej o podobnym adresie (co zapewne robił Rimašauskas). Wiedząc, z kim dana firma prowadzi interesy, oszust może się pod nią podszyć i zasugerować kontrahentowi przelanie pieniędzy na inne niż zwykle konto. Bazując na wcześniejszej korespondencji, może podrobić styl pisania, stopkę, używane w e-mailach elementy graficzne, może też spreparować pasujące do szablonu umowy i faktury (tu litewski przedsiębiorca musiał się bardziej wysilić, ale z zadaniem poradził sobie znakomicie).
Polacy też atakują
Podobne ataki zdarzają się również na naszym rodzimym gruncie. Najgłośniejszym tego typu przypadkiem była niedawna utrata 4 mln złotych przez spółkę Cenzin, która należy do Polskiej Grupy Zbrojeniowej. Przebieg tego i kilku innych, znanych nam ataków opisaliśmy w artykule „Jak ukraść kilka milionów z polskiej firmy – przykłady udanych scenariuszy”. Jeszcze więcej szczegółów podajemy na naszych szkoleniach. Dużo obszerniej przedstawiamy każdą z sytuacji, omawiamy różne warianty ataków i uczymy, jak rozpoznać działania przestępców oraz poprawić firmowe procesy, by sprawniej stawić czoła oszustom. Można nas zaprosić na wykład – chętnie podzielimy się swoją wiedzą i doświadczeniem.
Komentarze
nie wiem czy określanie takich ludzi „przedsiębiorczymi” to dobry pomysł; później nam się przedsiębiorcy kojarzą z przestępcami
tylko nie wiem co w zamian, może: wyrachowany, przebiegły, podstępny, coś by się znalazło
Jest tu jakiś cwaniak ?
Od kiedy to oszust może być przedsiębiorczy? A później mamy, że przedsiębiorcy to oszuści.
Pomijając jego ewidentną winę i cwaniactwo Litwa z połykiem wydała swojego obywatela obcemu Państwu. Czy nie mogł być osoądzony i skazany na rodzinym podwórku. Pieniądze i tak pewnie w csłości odzyskają.
A dlaczego miałby być sądzony i siedzieć na Litwie? Powinno się być sądzonym i siedzieć tam, gdzie się popełniło przestępstwo.
jak Polak znieważy islam na saudyjskim forum byłbyś zwolennikiem ekstradycji do Arabii Saudyjskiej? jeśli nie, to dlaczego Stany Zjednoczone mają mieć porywania i torturowania obywateli innych państw?
Oczywiście, że tak. Byłbym za ekstradycją. Poza tym co ma wspólnego torturowanie i porywanie obywateli innych państw z ekstradycją? Amerykanie nie porywają bogu ducha winnych ludzi, tak samo jak nie torturują przypadkowych osób. Proponuję podzielić się inną metodą niż tortury przy wydobywaniu informacji. Amerykanie i nie tylko chętnie zapłacą i to spore pieniądze za skuteczne sposoby wydobywania informacji z terrorystów i przestępców.
> Amerykanie nie porywają bogu ducha winnych ludzi, tak samo jak nie torturują przypadkowych osób
Człowieku na jakim świecie ty żyjesz????
W rozsianych po świecie tajnych więzieniach brutalnie torturowali i to także przypadkowych ludzi. W Guantanamo do dziś torturują.
@ John Sharkrat
Słyszałeś o zegarku Casio F91W?
„przedsiębiorczy Litwin oszukał” – jaki? Chyba sie Wam cos pomylilo. Tak samo jak najmlodszy polski milioner pisali gdzies, a to byl po prostu najmlodszy polski oszust. Proponuje korekte.
Bravo! litewski robin hood wyrolorowal globalnych multibandziorow, mogl lepiej skitrac kase ale coz..
Jak to wyrolował multibandziorów? Grozi mu do 30 lat w amerykańskim więzieniu i większość kasy odzyskali.
PS.
Mama nadzieję że jakiś inny Robin też cię kiedyś w życiu wyroluje np. z samochodu. Ale z drugiej strony niektórzy rodzą się ze złodziejstwem we krwi, no ale czego się można spodziewać po potomkach chłopów pańszczyźnianych
Uooo Wielki Arystokrata sie znalazl. Przypominam ze to Szlachta Polska doprowadzila do zaborow.
bycie przebiegłym i nieuczciwym a bogatym i nieostrożnym to tu jednak zdarzenia niezależne. Krytyka jednego wcale nie oznacza pochwały drugiego.Takie sprawy otwieraja oczy na fakt ze nawet giganci z nieograniczonym budzetem nie potrafia wdrożyć skutecznych procedur a zyja z przetwarzania naszych informacji. Zatem ich deklaracje ochrony Twoich danych sa rowniez oszustwem chyba jednak na większa skale.
Ciekawe czy USA wydało by Litwie własnego obywatela w podobnej sprawie?
Umowa o ekstradycji jest
Pytanie jak to w praktyce wyglada
Taki sprytny zeby zrobic w konia wielkie korporacje, musial miec jakies dojscie do zrodla w srodku zeby chocby wiedziec jak te faktury wystawiac i gdzie wysylac, a mimo to:
1. dal sie zlapac jak dziecko
2. dal sie zlapac w kraju z podpisana umowa o ekstradycji
To juz nawet Polanski wie do jakich krajow jezdzic, a jakich unikac.
Majac tyle kasy moglby spokojnie zaszyc sie w jakims kraju 3go swiata najlepiej wrogo nastawionym do USA to by mu mogli skoczyc. Nie wiem czy ta sprawa nie ma drugiego dna, bo az ciezko uwierzyc by facet jednoczesnie byl taki sprytny i taki glupi.
Albo z tą odzyskaną w większości kasą to nieprawda i rzeczywiście zarobili Rosjanie albo ten przestępca jest wyjątkowym debilem.
Wyłudzić miliony dolarów ale po wszystkim nie upozorować własnej śmierci i nie przeprowadzić się do innego kraju z fałszywą tożsamością ?! I ta cała obrona,że rzekomo jest idiotą – tak jakby bycie ewentualnie pionkiem miało uratować go od kary…
Ktoś podpisany „hmmm” podsumował to tak trafnie,że nic więcej nie dodam.
Okey, przestępca przestępcą ale nie rozumiem na jakiej podstawie wywozi się obywatela jakiegoś kraju do innego i tam sądzi i osadza? Czy to nie jest po prostu zwyczajne porwanie? Nie byli to dobrzy ludzie ale zastanawiam się na jakiej podstawie obywatel Unii Europejskiej jest sądzony według prawa USA ? Czy Europa jest kolonią amerykańską ? Coś mi mówi że w drugą stronę to nie działa, nigdy nie słyszałem żeby obywatel USA był deportowany i osadzony tutaj.