Dolandırıcılık Yönetimi ve Siber Suçlar , Yönetişim ve Risk Yönetimi , İçeriden Gelen Tehdit
Perakendecideki ‘Alışveriş Deneyimi’ Mühendisi ‘Kötü Amaçlı Yazılım Düzenlemeleri’yle Suçlandı
Mathew J. Schwartz (euroinfosec) •
6 Ocak 2023
Gerçeğin kurgudan daha tuhaf olabileceğine dair daha fazla işaret: Seattle polisi, bir yazılım programcısını 1999 yapımı kara komedi filmi “Office Space”teki çevrimiçi soygundan esinlenerek bir dolandırıcılık planı tasarlamakla suçladı.
Ayrıca bakınız: Kimlik Avının Anatomisi: Gelişmiş Kimlik Avı Saldırılarını Önlemek İçin En İyi Kimlik Doğrulama Uygulamaları
King’den Casey McNerthney, “O filmi bilmeyenler için, insanların işlerinden bıktıkları ve kötü niyetli bir yazılımı sisteme yükleyerek bir kuruşun kesirlerini alıp ayrı bir banka hesabına yatırdıkları yer burasıdır.” Washington’daki İlçe Savcılığı KIRO Newsradio’ya söyledi. “Ve polis burada da böyle olduğunu iddia ediyor.”
20 Aralık 2022’de polis, 28 yaşındaki Ermenildo “Ernie” Valdez Castro’yu Seattle merkezli çevrimiçi perakendeci Zulily’de “alışveriş deneyimi” ekibinde çalışırken çok sayıda dolandırıcılık planı gerçekleştirmekle suçladı. Kurumsal güvenlik ekibi, büyük ölçüde indirimli fiyatlarla sipariş edilen ürünlerin takip numaralarını takip ettikten ve şüphelinin evinin önünde birikmiş kutular bulduktan sonra 9 Haziran 2022’de şirketten kovuldu.
Filmde, kahraman ondalık basamağa bastıktan sonra istenmeyen 300.000 dolarlık karı geri almaya çalışır. Castro, eski işvereninden ve müşterilerinden neredeyse aynı miktarda çalmakla suçlanıyor. 29 Aralık’ta mahkemeye çıkarıldı ve 26 Ocak’ta tekrar mahkemeye çıkacak.
Kanıt: Castro’nun OneNote’unda ‘OfficeSpace Projesi’
Filmle karşılaştırma abartı gibi görünmesin diye, bir Seattle Polis Departmanı raporu bazı ikna edici paralellikler sunuyor. Polis, Zulily’nin siber güvenlik direktörü Steve Carney’nin, Castro’nun iş bilgisayarından kurtarılan ve “üretim trafiğinin Stripe’a yönlendirilmesine neden olacak” “OfficeSpace projesine” ve ince ayarlar da dahil olmak üzere “temizleme kanıtlarına” atıfta bulunan bir OneNote belgesini paylaştığını söyledi. günlükleri denetlemek ve “alarm günlüğünü devre dışı bırakmak” için.
Polis, 21 Haziran’da Castro’nun Washington, Tacoma’daki evini aradı ve aynı gün onu Seattle’da tutukladı. Seattle polis raporuna göre, iki dedektif tarafından sorguya çekildi ve hakları konusunda bilgilendirildi, ardından danışmanlık hakkından feragat etti ve doğrudan dedektiflerle konuştu.
Dedektifler, “Castro, planına filmden sonra Zulily’den çalmak adını verdiğini doğruladı” ve bu iddia edilen planın peşinde “Zulily’deki ödeme sürecine üç tür kötü amaçlı kod ekledi” diyor.
Polis şimdi onu suçladı:
- 1.000’den fazla öğeyi, 41.000 ABD Doları olan toplu satış fiyatını yalnızca birkaç yüz dolara indirerek – izinsiz olarak – düzenledikten sonra kendisine gönderiyor;
- 18 Şubat 2022’den sonraki aya kadar 110.000 $ çalmak, Zulily’nin web sitesi yazılımını, Zulily’ye ödenmesi gereken nakliye ücretlerini ödeme işlemcisi Stripe’taki üniversite tarafından verilen e-posta adresine kayıtlı kişisel bir hesaba yönlendirmek için yeniden yazdıktan sonra;
- Nisan’dan Haziran 2022’ye kadar müşterilerin nakliye masraflarını iki katına çıkarmak için web sitesi yazılımını yeniden yazarak yaklaşık 152.000 ABD doları elde etme.
Castro’nun Şubat 2022’de kod değişikliklerini önümüzdeki aya kadar tanıttığı iddia edildikten sonra, Zulily tutarsızlıkları tespit etti ve araştırması için Castro’nun da dahil olduğu bir ekip görevlendirdi.
Kurumsal Güvenlik Takipli Gönderiler
Castro polise, test amacıyla verilen siparişleri iptal etmeyi amaçlayan bir senaryoyu çalıştırmayı unuttuktan sonra evine gönderilen 1000 öğeyi bulduğunu söyledi.
Polis raporuna göre, dedektifler “teslim edilen eşyalarla ne yaptığı sorulduğunda, kovulduktan sonra birçok eşyayı attığını belirtti” dedi. “Eşyaları neden Zulily’ye asla iade etmediği sorulduğunda, onu kovduklarında fikrinin ‘F*** ’em’ olduğunu söyledi.”
Dedektifler, Castro’nun tüm ürünlerin yalnızca test amacıyla sipariş edildiğini iddia etmesine yanıt olarak, ona inceledikleri binlerce e-postadan elde edilen kanıtları gösterdiklerini ve Castro’nun bazı ürünleri çıktığı bir kadının isteği üzerine sipariş ettiğini öne sürdüklerini söylediler. doğrudan ona teslim edilmek üzere Tinder’da tanıştıktan sonraki bir ay boyunca.
Dedektifler, Castro’nun ürünleri “tavus kuşu” için sipariş ettiğini kabul ettiğini söyledi. Polis raporu argo.net’teki şu tanıma atıfta bulunuyor: “Tavus kuşu, bir kişinin birini etkilemek için gösteriş yapmasıdır. Gerçek bir tavus kuşunun gösterdiği renkli tüylerden gelir. bir eş çekmek.”
Ancak polis ekledi: “Castro, emirlerin Zulily dolandırıcılık ekibi tarafından işaretlendiği için asla teslim edilmediğini belirtti.”
İddia edilen suç “Ofis Alanı”na göre modellendiyse olay örgüsü birçok yönden farklılık gösterir. Yeni başlayanlar için, herhangi bir öneri yok – spoiler uyarısı – gerçek hayatta kimse ofisi yaktı. Geto Boys’un “Still” şarkısına uygun olarak bir faks makinesini çalıştırmakla da suçlanan olmadı. Ve en önemlisi, filmdeki hiçbir karakter bir suçla itham edilmedi.