CIÊNCIA & TECNOLOGIA
Ex-funcionário roubou US$ 10 milhões da Microsoft usando cartões do Xbox
Usados para resgatar jogos e dinheiro virtual na loja da Microsoft, os cartões de presente do Xbox são itens conhecidos pela maioria dos jogadores. Não raramente, a empresa costuma distribui-los em eventos, com descontos em lançamentos ou, mais recentemente, créditos para aproveitar alguns meses do Game Pass de graça.
No entanto, os cartões também permitiram que um ex-funcionário da empresa aplicasse um golpe milionário. Contratado em 2016 por uma companhia terceirizada, o ucraniano Volodymyr Kvashuk se juntou oficialmente à Microsoft em 2017 como um engenheiro de software responsável por testar a segurança de sua loja digital.
O trabalho envolvia usar cartões de crédito configurados pela empresa para adquirir itens que iam de consoles até sistemas de som e desktops. Feito isso, o engenheiro deveria estudar qualquer erro encontrado e relatá-lo a seus superiores, que trabalhariam em formas de corrigi-lo. Não demorou muito para Kvashuk perceber que, enquanto compras de itens físicos eram confirmadas, mas os itens não eram enviados, o mesmo não acontecia com produtos digitais.
Em outras palavras, quando ele testava a aquisição de um cartão do Xbox, o sistema enviava a ele um código de 25 caracteres que poderia ser resgatado sem problemas dentro da loja do console. Em vez de relatar a questão a seus superiores, ele decidiu explorar a falha em benefício próprio.
Negócio milionário
Antes de realizar seus golpes, Kvashuk tomou algumas medidas de segurança básicas: além de só usar credenciais pertencentes a colegas, ele se assegurou de redirecionar seu tráfego de internet pelo Japão e pela Rússia. Em seus primeiros testes, ele realizou compras de valores relativamente baixos, como US$ 2 mil e US$ 4,2 mil — segundo a Bloomberg, um dos primeiros cartões que ele comprou estava relacionado a uma licença do Microsoft Office, no valor de US$ 165.
Em janeiro de 2018, o engenheiro passou a usar o programa PurchaseFlow.CS para acelerar e automatizar o processo. Com alguns cliques ele podia selecionar o valor do cartão (30, 75 ou 100), o tipo de moeda usada (dólares americanos, euros ou libras esterlinas) e a quantidade de compras que deviam ser feitas.
Os códigos eram vendidos em plataformas como o Paxful.com, na qual ele se identificava como “Grizzle Wolf”. Ele ofereceria grandes quantidades de cartões com descontos de 55%, que eram adquiridos por usuários que pagavam usando bitcoins — na época, a loja não exigia a verificação da identidade de seus vendedores, o que ajudava a manter Kvashuk no anonimato.
Para despistar qualquer possível investigação, o engenheiro usava o serviço ChipMixer.com para “lavar” suas criptomoedas e evitar que os registros do blockchain ligassem os valores obtidos às suas vendas. Feito isso, ele vendia as moedas virtuais e depositava o dinheiro obtido em sua conta pessoal — a contadores, ele atribuiu os valores a presentes que havia recebido de seu pai.
Descoberta da fraude e demissão
Em 2018, o Fraud Investigation Strike Team (FIST) da Microsoft percebeu um pico incomum no número de compras online realizadas códigos de cartões de presente — de uma hora para outra, o número de resgates dobrou. O time da empresa inicialmente pensou que isso era resultado das ações de um agente externo, mas logo descobriu que um trabalho interno estava acontecendo.
Alerta do que estava acontecendo, a companhia começou a cancelar diversos dos códigos que haviam sido gerados ilegalmente. Isso fez com que muitas das vendas feitas por Kvashuk começassem a apresentar erros, o que fazia com que compradores entrassem em contato com a empresa de Seattle — algo que enfureceu e desestabilizou o golpista.
Durante as investigações, duas contas usadas para adquirir US$ 8,6 milhões em códigos foram descobertas e banidas depois. Logo depois, o golpista acionou uma terceira conta, que roubou US$ 1,6 milhão num prazo de 26 horas antes de também ser bloqueada.
Após uma investigação na internet, a companhia descobriu que Kvshuk havia comprado cartões de forma ilegal em 2017, além de duas placas de vídeo GeForce entregues para um nome falso em seu endereço residencial. O funcionário foi questionado e afirmou que só usava os códigos para comprar filmes, e havia usado as GPUs para minerar criptomoedas, mas não soube explicar por que elas haviam sido enviadas a alguém identificado como “Grigor Shikor”.
Quatro semanas depois de ser questionado, o engenheiro foi demitido. Entre os erros cometidos por ele, que ajudaram a identificá-lo, estava o uso constante do mesmo computador com Linux e da mesma versão desatualizada do Firefox para cometer os golpes. Além disso, a licença do Office comprada no início de golpes estava registrada no nome da SearchDom, startup pertencente a Kvashuk.
Golpista está preso e aguarda deportação
O golpista foi preso em julho de 2019, e, em sua casa luxuosa, foram encontradas chaves de acesso para carteiras de criptomoedas, US$ 4 mil em dinheiro, dispositivos USB cheios de códigos de presente do Xbox e uma lista na qual o criminoso havia anotado o que pretendia fazer com seus próximos US$ 10 milhões.
Em sua defesa, Kvashuk afirmou que o dinheiro usado por ele “não era real” e que sua intenção era distribuir milhares de códigos do Xbox como uma forma de melhorar a imagem da companhia e incentivar novas compras. Além de ter sido condenado a pagar US$ 8,3 milhões em restituições, ele deve ficar na prisão até março de 2027 — depois de cumprir a pena, são grandes as chances de que ele seja deportado para a Ucrânia e nunca mais tenha permissão para voltar aos Estados Unidos.
Fonte: Bloomberg
