A 3 milliárd forintos ajándékkártya-lopás

A digitális fizetőeszközök sokak számára a játékpénz hatását keltik. Rengetegen vannak, akik azért szeretik jobban a készpénzt, sokkal jobban be tudják osztani, amit a kezükben tartanak, mint valamit, ami csak egy számlakivonaton szerepel. A különböző kriptovaluták is hasonló hatással vannak emberekre, de nem kell ilyen messzire mennünk. Gondoljunk csak az ajándékkártyákra.

Az ember sok módon juthat ilyen vásárlási utalványokhoz. Nem olyan személytelen ajándék, mint egy borítéknyi ezres, ad egy kis szabadságot a megajándékozottnak, mégse kell túl sokat agyalni rajta. Sok esetben a vásárlás egyszerű: csak leakasztjuk a polcról az eleve feltöltött utalványt, vagy egy boltban a kasszánál x összeggel feltölthetünk egy kis plasztikkártyát, ami onnantól kezdve abban a boltban x összeget ér.

Pár cég kicsit még tovább vitte a koncepciót: a Microsoft például Xbox Live pontokat árult, amiket az ember játékokra, kiegészítőkre, zenékre, valamint a cég által árult szoftverre és hardverre költhetett. A pontok nem 1:1 arányban volt a valós pénzzel, amibe kerültek: 79 pont, amiért például egy zeneszámot lehetett venni, 99 centbe került. Ez nem volt véletlen, a Microsoft egyik korábbi kereskedelmi vezetője szerint azért csinálták így, hogy a vásárlónak nehezebb legyen fejben pénzre váltani a pontok értékét, így inkább játékpénzként gondoljanak rá, és könnyebben szórják.

A kiállító üzletek és cégek azért is jól járhatnak az ajándékkártyákkal, mert sokan elfelejtik beváltani őket, vagy elveszítik. Sőt, gyakran lejárati dátuma is van egy-egy kuponnak, így évente több milliárd dollárnyi ajándékpénz vész el kidobott borítékokban és fiókok mélyén.

A helyzeten az se segített, hogy ha valaki csak egy 79 pontos zenét akart venni, akkor is minimum 5 dollárnyi pontot kellett vennie, tehát a rendszer túlköltésre ösztönözte a vásárlókat.

Emiatt kiépült egy méretes szürke piac a pontok körül, ami a Microsoftnak nem nagyon tetszett, és 2013-ban átállt a pénzalapú ajándékkártyákra: egy 20 dolláros kártyát 20 dollárért lehet beváltani. A lépés sikeres volt, rengeteget kaszált rajta a cég. Olyannyira, hogy néha ingyen adnak kártyákat játékosoknak, hogy erősítsék a márkahűségüket. Ezt egyébként csak akkor kell marketinges kiadásként elszámolniuk, ha valaki be is váltja a kártyát – de ugye már említettük, hogy ez nem mindig történik meg –, és a kezelési költségük is alacsonyabb, mintha valaki sima bankkártyával vásárolna. Ezt a rendszert használta ki Volodimir Kvasuk, egy ukrán tesztelő.

Kvasuk Rivne-oblasztyban született, a szülei egyetemi tanárok voltak. Ő is ott tanult, ahol az apja és anyja tanítottak, méghozzá informatikát és közgazdaságtant. A Bloombergnek barátai azt mondták, hogy okos, de nem túl jól tanuló diák volt, pénzügyből közepest, kockázatkezelésből elégségest kapott. Sokat aknakeresőzött és World of Warcraftozott, bokszolt, motorozott.

2015-ben a nagynénje esküvője miatt az USA-ba utazott, és végül menedékjogért folyamodott, mert részt vett a 2014-es kijevi tüntetéseken. A nagynénjénél lakott Kaliforniában, és teljesen beszippantotta az amerikai álom. Szerzett egy szoftverelemzői állást, és elkezdett randizni egy szintén Kaliforniában élő ukrán nővel, Diana Leonharddal.

Jó munkaerőnek bizonyult, így 2016-ban ahhoz a céghez került, amit a Microsoft megbízott az online boltjuk fejlesztésére. Kvasuk Seattle-be költözött, ahol csak a lakbére 1300 dollár volt – 150 dollárral több, mint amennyit az apja egyetemi tanárként keresett Ukrajnában. Eközben egy Lee Wang nevű vállalkozóval közös startupot indítottak, ami „automatizált megoldást kínál minden marketinges problémára”. A cég a SearchDom.AI volt, és Kvasuk és Wang még reklámot is forgatott hozzá, ami a mai napig megtekinthető a YouTube-on.

Mikor a Bloomberg felhívta Wanget, a férfi azt mondta, hogy nem emlékszik Kvasukra, aztán az újságíróra csapta a telefont,.

A microsoftos főnöke kicsit beképzeltnek találta az ukrán tesztelőt, de beismerte, hogy jól beleillett a kompetitív környezetbe, ahol mindenki a következő nagy durranáson dolgozott. Kvasuknak az volt a feladata, hogy próbavásárlásokkal a webshopot tesztelje. Egy nap aztán talált valamit, amit egy lelkiismeretes tesztelő azonnal jelentett volna.

Észrevette, hogy ha a Microsoft által direkt a tesztelésre létrehozott felhasználóval vesz digitális ajándékkártyát, akkor a rendszer egy valós vásárlásokra is felhasználható 5*5-ös kódot (például YFy69-J3ZLW-YFD2t-an67a-qr9vB) küld neki. Gyakorlatilag akárhány ilyen kódot generálhatott a teszteléshez, vagyis lényegében egy pénzverde előtt ült. Használhatta arra, hogy eredeti Office-csomagot vesz (amit meg is tett), költhette laptopokra vagy más hardverre (erre is volt példa), de rájött, hogy úgy kereshet a legtöbbet, ha áron alul eladja a kódokat.

Egy fejlesztő szerint, aki szintén a projekten dolgozott, ez olyan volt, mintha a fiókvezető éjszakára nyitva hagyta volna a széfet egy vadnyugati bankban. Valaki először megpróbál 20 dollárt lenyúlni, és amint az sikerül, felbátorodik, és hívja néhány haverját, akikkel éjszaka teljesen kifosztják a széfet.

Kvasuk így is tett, persze virtuálisan. Először 10 és 100 dollár közötti értékben kért le ajándékkártyákat, aztán egyre bátrabb lett.

Két év alatt 152 ezer kódot generált le magának, 10,1 milló dollár (kb. 3 milliárd forint) összértékben.

2019-ben kapták el, és tavaly novemberben 9 év letöltendőt kapott.

Hogy keresett ennyi pénzt?

A tárgyalás során a vád azt mondta, hogy volt egy időszak, amikor Kvasuk annyi kódot árult, hogy egymaga befolyásolni tudta az Xbox-ajándékkártya viszonteladói piacát. Michael Dion, a vád egyik jogásza szerint „ez egy régimódi bűntett volt high-tech megoldásokkal”.

Nem tudni pontosan, hogy mikor kezdett el kódokkal seftelni, de akörül lehetett, hogy a Microsoft 2017-ben átvette teljes állásba évi 116 ezer dolláros fizetésért (34,6 millió forint, ez persze bruttóban értendő). A tesztelők több kamufelhasználó között váltogattak, és elméletben semmi hasznuk nem lehetett: ha leadtak egy rendelést – mondjuk – egy Xboxra, akkor végig kellett csinálniuk a megrendelés minden lépését, de a rendszer tudta, hogy nem kell kipostázni a végén a játékkonzolt. Ez a korlátozás azonban a felhasználóhoz volt kötve, nem a kódhoz, amivel vásárolt. A fejlesztőkben az fel sem merült, hogy egy tesztelő nekiáll kódokat generálni és átadni másoknak.

Mivel a felhasználói fiókok a tesztelésen kívül elvileg semmire sem voltak jók, nem vitték túlzásba a biztonsági óvintézkedéseket körülöttük. Volt például egy fiók, amihez az a jelszó tartozott, hogy VerySecret1 (NagyonTitkos1). Hogy ne akadjanak a nyomára, Kvasuk kitalálta a kollégái által használt kamufiókok belépési azonosítóit, és azokat használta a kódgyártásra. Az otthonából dolgozott, de japán és orosz szervereken át, hogy elfedje a nyomokat maga mögött.

Először 2000 dollárnyi kódot generált, majd 4200-nyit, amit még több követett. A kódokat először azzal tesztelte, hogy vett egy 165 dolláros Microsoft Office-csomagot – valószínűleg kellett neki az Excel, hogy kiépítse kódadatbázisát, ami kinyomtatva 2344 oldalas lenne.

2018-ban már nem győzte kézzel lehívogatni az ingyenes digitális ajándékkártyákat, ezért írt egy programot, amiben beállíthatta, hogy milyen értékben (30, 75, 100), milyen pénznemben és hány kódot szeretne, és a szoftver elintézte a többit. Bár ez hasznos volt a nagyüzemi kódbeszerzésre, de a vád számára is hasznos volt: a tárgyaláson azzal érveltek, hogy Kvasuk egyértelműen illegális céllal fejlesztette a programot, hogy automatizálja a sikkasztást.

Tehát volt egy rakás kódja, és abban bízott, hogy nem fog feltűnni senkinek, hiszen a Microsoftnál akkor már több százmillió dolláros biznisz volt a digitális kódokkal váló vásárlás. Kinek tűnne fel néhány tízezer plusz ajándékkártya? Kvasuk hitt az amerikai álomban (ami néha azzal jár, hogy az ember különböző kiskapukat kihasználva halmozza fel a vagyonát), amihez el kellett kezdenie árulni a kódokat.

Ehhez a Paxfult választotta, ami egy olyan oldal, amin az emberek ajándékkártyákat adnak-vesznek (általában nagy mennyiségben) kriptovalutáért cserébe. Grizzled Wolf néven 30, 75 és 100 dolláros kódokat árult 55 százalék kedvezménnyel. A leírásban az állt, hogy kereskedni szeretne, és 15 percen belül reagál a megkeresésekre.

„Elkezdünk üzletelni, és küldöm is a kódot. Ha online vagyok, azonnal küldöm”

– írta.

A partnerek jellemzően chaten egyeztetnek ezen az oldalon. Egy nap egy Makoo nevű felhasználó üzent Kvasuknak, hogy 75 eurós kártyákra van szüksége. Makoo elvileg egy kínai vállalkozó volt, a profilképén egy békejelet mutató, mosolygó lánnyal. 27 848 dollárnyi kódot rendelt Kvasuktól, amihez 300 kártyára volt szükség. A kódtolvaj négy másodpercen belül válaszolt is, hogy „OK”, és 1,98 bitcoint kért, ami akkoriban 17 240 dollárt ért. Az oldal úgy működött, hogy az átutalt kriptovalutát a Paxful őrzi addig, amíg a vásárló vissza nem jelez, hogy megkapta, amit vett. Kvasuk az Excelből átmásolta a 300 darab 5*5-ös kódot, amiket Makoo valószínűleg még drágábban eladott.

A biznisz futott, hosszú távú partnerekké váltak, Kvasuk egyre nagyobb értékben adott el kódokat Makoo-nak, aki egy másik Paxful-felhasználóval együtt 7 millió dollárért vett összesen ajándékkártyákat Kvasuktól. Valószínűleg egy bűnözői csoport pénzmosási műveleteibe sikerült belecsöppennie az ukrán tesztelőnek. De volt olyan vásárlója is, aki csak xboxos játékokon akart spórolni. Ilyen volt például Avi Rachlin, aki akkoriban még gimis volt, és Avsterbone néven azért vett kódokat, hogy eladja az osztálytársainak egy kis profitért.

„Ha 50 százalékkal olcsóbban vettem, akkor 25 százalékkal olcsóbban adtam tovább. Mindenki jól járt – kivéve, ahogy ma már tudjuk, a Microsoft”

– mondta Rachlin a Bloombergnek.

A Paxful segítette a nyomozók munkáját, és azóta megerősítette a pénzmosást megakadályozó fejlesztéseit.

Ha már pénzmosás: ugyan a bitcoin-tranzakciók teljesen anonim módon zajlanak, az azonosítóik lekövethetők a blockchainen. Ezt Kvasuk úgy próbálta meg kijátszani, hogy a keresete egy részét a ChipMixer segítségével átváltotta más kriptovalutákra. Így kicsit megzavarta a blockchainnyomokat, és a visszaváltott bitcoint átrakta a Coinbase-számlájára, amin hamar el is adta. Az amerikai ügyészség azóta hivatalosan is internetes pénzmosó eszköznek nyilvánította az oldalt.

Márciusban már 1,4 millió dollárt helyezett át a hagyományos bankszámlájára, áprilisban pedig még 935 ezret. A könyvelőjének azt mondta, az apjától kapta a bitcoint.

És mire költötte?

Bár a klasszikus, leginkább a munkásosztálynak eladott amerikai álom egy fehér kerítéses kertvárosi házról szól, Kvasuk az internetes keresési előzményei alapján inkább luxusházakra vágyott. Vett is egy 1,675 milliós házat a Washington-tó partján, valamint egy 163 ezer dolláros piros Tesla Model S-t.

„Hány éves vagy?”

– gondolta az ingatlanügynök, akinek a vásárláskor Kvasuk csak annyit mondott, hogy bitcoinnal kereskedve szerezte a vagyonát.

„A pénz nem boldogít” – szól a kétes valóságtartalmú állítás, és úgy tűnik, hogy az ifjú szélhámos esetében ez valóban így volt. A keresési előzményei alapján megpróbált leszokni az alkoholról, és azt kutatta, hogyan szerezhetne kanadai vízumot. A mellékállása – mivel illegális volt – már önmagában is sok stresszel járt, de egy idő után ezt még tetézte, hogy egyre több vevője szólt vissza, hogy egy-egy kód nem működött.

Rachlin először vissza akarta kapni a pénzét, majd miután megírta Kvasuknak, hogy többet nem üzletel vele, felhívta a Microsoft ügyfélszolgálatát, hogy kiderítse, mi lehet a baj. Azt a választ kapta, hogy a kódok lopottként lettek bejelentve. Grizzled Wolf szerencséjére bármikor csinálhatott új kódokat, így nem omlott össze az üzlete. Egy adag nem működő kód után még Makoo is kiakadt, és ő is írt a Microsoftnak. Erre Kvasuk azt mondta neki, hogy ha baja van, akkor neki szóljon, különben elkezdenek nyomozni utána, és otthagyja a bulit.

Azt azonban nem tudta, hogy a Microsoft átverésellenes különítménye (Fraud Investigation Strike Team – FIST, azaz ököl) már 2018 februárjában felfigyelt rá, mikor észrevették, hogy hirtelen indokolatlanul nagyot ugrott az ajándékkártyát használó online vásárlások száma. Nagyjából kétszer annyi ilyen tranzakciót mértek, mint általában. Ekkor még azt gondolták, hogy valaki kívülről károsítja meg őket, pedig a tolvaj náluk dolgozott.

Márciusban rájöttek, hogy egy alkalmazott lopja meg őket, és két tesztelésre használt felhasználóra szűkítették le a kört – ezek akkorra már nagyjából 8 millió dollárnyi kódot generáltak. Amikor letiltották őket, egy harmadik fiók kezdett el digitális utalványokat rendelni nagyüzemben. 24 órán belül 1,6 millió dolláros kárt okozott, de ezt is felfüggesztették.

Egy áprilisi jelentés szerint kikérdezték a tesztelőket, akik a fiókokat használták, de inkább tűntek sokkolt áldozatnak, mint gonosztevőnek. A tesztelők egy Fiddler nevű rendszert használtak arra, hogy a talált hibákat jelentsék, így bárki más, aki ezt a rendszert használta, fiókok feltörésével hozzáférhetett a kamu vásárláshoz használt fiókokhoz – tehát egy alkalmazott vagy egy alvállalkozó állt a lopás mögött.

A Microsoft komolyan veszi az alkalmazotti visszaéléseket, ezért közel 15 éve felvették a Scotland Yard egykori kiberbűnözési nyomozóját, Andrew Cooksont, aki azonnal Kvasukra gyanakodott.

A tesztelési folyamat alatt generált adatokból rájöttek, hogy Kvasuk saját tesztfiókja 2017-ben vett néhány digitális kártyát, ami természetesen tilos volt. Hamarosan egy olyan esethez is hozzá tudták kötni, amikor valaki három drága Nvidia GeForce videókártyát vett lopott kódokat felhasználva. A vevő (egy bizonyos Grigor Shikor) egy seattle-i apartmankomplexum 309-es lakását adta meg szállítási címként. Ilyen lakás nem létezett – viszont vajon ki lakott korábban az épületben? Kvasuk, a 101-es lakásban.

Több hibát is elkövetett: bár külföldi szerverekkel elrejtette a netes ügyleteit, de a linuxos gépén olyan böngésző volt, amiből a nyomozók hozzá tudták kötni a bűncselekményekhez. Ezenkívül találtak a gépén egy olyan Office-t, amit a SearchDomhoz (a marketinges startupjához) regisztráltak.

Májusban Cookson kihallgatta Kvasukot, A tesztelő bevallotta, hogy beváltott 600 illegálisan szerzett kódot, de csak filmeket vettek belőle a barátnőjével.

Állítása szerint kitűztek a tévéjük mellé egy listát tele kódokkal, és amikor a barátnőjével felhasználtak egyet, tollal kihúzták.

Azt elismerte, hogy kriptobányászatra használ nagy teljesítményű videókártyákat, de azt mondta, hogy nem emlékszik arra, hogy lopott kódok beváltásával rendelte volna azokat. Azt se tudta megmagyarázni, hogy hogyan lehet, hogy a korábbi lakhelyére rendelték a kártyákat. Négy héttel később kirúgták.

Ez azonban nem szegte kedvét, valószínűleg elég pénzt félre tudott tenni a lopott ajándékkártyákból. Barátnőjével továbbra is a luxusházukban éltek, utazgattak, buliztak, Hawaiira jártak nyaralni. Úgy tűnhetett, hogy ez a kis sikkasztás nem volt elég ahhoz, hogy derékba törje a karrierjét: 2018 végén felvették a Sinclair Broadcast Grouphoz, ahol mindenki jó véleménnyel volt róla, nyugis, barátságos fickónak gondolták, akivel jó együtt dolgozni.

Egészen 2019. július 16-ig, amikor is az FBI lerohanta Kvasuk tópari házát, ahol rengeteg nyomot találtak: kriptotárcák kulcsát, bankszámlaadatokkal teli laptopokat, lopott ajándékkártyakódokkal teli pendrive-okat, rengeteg készpénzt, és egy ukránul, kézzel írt listát, aminek az volt a címe, hogy „Hogy használom majd fel a következő 10 milliómat”. A listán szerepelt egy 4 milliós ház Mauin, egy jacht, egy egymilliós ház egy sífelvonó tetején, egy ház Kaliforniában, és egy ház a Mercer-szigeten (a sziget a Washington-tavon található, aminek partján luxusházat vett).

Megpróbálta kimagyarázni

2020-ban bíróság elé került: pénzmosással, személyazonosság-lopással, postai és számítógépes csalással és hamis adóbevallással vádolták. A pendrive-okon talált 5*5-ös kódok sem segítették az ügyét.

„Olyan volt, mintha egy bankrablás után több zsák lopott pénzt találnánk a vádlott hálószobájában”

– mondta Dion.

A Microsoftnak sikerült a legtöbb kódot letiltania, mielőtt valaki megpróbálta volna felhasználni, és az adóhivatal megtalálta az átmosott kriptopénz egy részét, de az államot képviselő jogászok szerint Kvasuk ügyesen rejtette el a nyomait, és lehet, hogy valahol még milliókat rejteget.

Kvasuknak és ügyvédjének nem volt könnyű dolga a bizonyítékokkal szemben, de azért megpróbálták kimagyarázni a dolgot. A védelem egyik magyarázata az volt, hogy az ügyfelük senkit nem akart megkárosítani, sőt: a Microsoftnak valójában jót tett, hogy sokan olcsón kaptak xboxos ajándékkártyát, mert így a platform népszerűsége nőtt, emiatt egyre többen költenek majd rá igazi pénzt. Kvasuk elvileg azt gondolta, hogy szétoszt néhány tízezer kódot, így tesztelve, hogy vajon ez dob-e a cég bevételein. Állítólag ez volt a nagy projektje, amihez Henry Ford és Thomas Edison munkásságából merített ihletet. A listáról csak annyit mondott, hogy az csak egy motivációs eszköz volt számára.

Szerinte egyébként nem követett el személyazonosság-lopást azzal, hogy a kollégái tesztfelhasználóit használta, hiszen azok nem valós személyek fiókjai, tehát nem volt kitől ellopni őket. Hasonlóan gondolkodott a lopott pénzről is: a digitális ajándékkártyák valójában nem egyenlők a valódi pénzzel, hiszen a Microsoftnak semmibe nem kerül generálni egy 5*5-ös kódot.

Dion erre úgy reagált, hogy abból a „Monopoly-pénzből” vette a tóparti házát, tehát valamilyen értéke mégis kell, hogy legyen. Az ügyvéd szerint valójában a Microsoft vette neki a házát.

Kvasuk azzal védekezett, hogy csak elragadta a hév, amikor rájött, hogy egyik napról a másikra milliomossá válhat. Végül az esküdtszéket nem hatották meg a kamu felhasználós és játékpénzes érvek, mind a 18 vádpontban bűnösnek találták. Kilenc év börtönbüntetését kapott, 8,3 millió dollár kártérítést kell fizetnie, szabadulása után pedig valószínűleg visszatoloncolják Ukrajnába.

A Bloomberg részletesen elemzi az esetet, a cikküket itt olvashatja el.