Auf ein Leben in Luxus folgten bei einem Ex-Microsoft-Mitarbeiter neun Jahre Gefängnis. Das Gericht befand ihn in 18 Anklagepunkten schuldig.
Ein ehemaliger Microsoft-Ingenieur wurde am Montag von einem Bundesgericht in Seattle zu neun Jahren Gefängnis verurteilt. Zudem soll er 8,3 Millionen Dollar an Schadensersatz zahlen. Er hat nach Angaben des US-Justizministeriums 18 Bundesverbrechen, wie Überweisungsbetrug, Geldwäsche, Identitätsdiebstahl und die Abgabe falscher Steuererklärungen, verübt und seinen früheren Arbeitgeber in Millionenhöhe betrogen.
Der 26-jährige Volodymyr Kvashuk, ein ukrainischer Staatsbürger mit Wohnsitz in Renton, Washington, arbeitete von August 2016 bis zu seiner Entlassung im Juni 2018 zunächst als Auftragnehmer bei Microsoft, später dann als Mitarbeiter. Bei Microsoft war Kvashuk als Softwareentwickler Mitglied des Universal Store Teams (UST). Er schrieb Programmcodes, die den Microsoft-Online-Shop betrafen und testete die Codes, um sicherzustellen, dass sie wie beabsichtigt funktionierten.
Für alle UST-Mitglieder gab es Testkonten, die mit digitalen Anmeldeinformationen verknüpft waren, mit denen die Entwickler die Erfahrung eines Microsoft-Kunden beim Online-Einkauf simulieren konnten. Microsoft verwendete ein Programm namens Fiddler, das die genauen Schritte verfolgte, die unerwünschte Funktionen auf der Website verursachten. Einige Fiddler-Berichte enthielten UST-Benutzernamen- und Passwortinformationen. Exakt darauf hatte Kvashuk Zugriff. Zwar verhinderten Sicherheitsvorkehrungen, dass Produkte in den Online-Einkaufswagen tatsächlich geliefert und gekauft wurden. Jedoch traf man keine Sicherheitsvorkehrungen, um die Lieferung digitaler Geschenkkarten im Zusammenhang mit UST-Konten zu verhindern.
Infolgedessen nutzte Kvashuk seine – und die Testkonten anderer -, um digitale Geschenkkarten im Microsoft Online-Shop zu kaufen. Diese Geschenkkarten wurden als CSV oder „currency stored value“ bezeichnet. Während des Kaufs generierte Microsoft einen 25-stelligen alphanumerischen Code, der auf dem Bildschirm des Käufers angezeigt und an die E-Mail-Adresse dieser Person gesendet wurde. Mit diesem Code konnte der Käufer den Wert der Geschenkkarte einlösen. Von 2017 bis 2018 veruntreute Kvashuk so mehr als 10 Millionen US-Dollar.
Vom Haus am See direkt ins Gefängnis: Microsoft-Betrug zog neun Jahre Haft nach sich
Der Ukrainer benutzte einen kleinen Teil der digitalen Geschenkkarten, um physische Produkte zu kaufen. Den größten Teil der CSVs verkaufte Kvashuk über einen Online-Marktplatz weiter. Er verwendete seine Einnahmen infolge zur eigenen Bericherung. Sowohl kaufte er sich ein Haus am See in Renton für 1,6 Millionen US-Dollar, eine Tesla-Elektroauto Model S P100DL für 160.000 US-Dollar, als auch drei GeForce GTX 1070-Grafikkarten. Zudem investierte er und 2,5 Millionen US-Dollar in Fidelity Investments. Die bestellten Grafikkarten schickte Kvashuk unter dem Pseudonym „Greg Shikor“ an seine reale Wohnadresse.
Kvashuk begann zunächst damit, kleinere Beträge im Wert von insgesamt rund 12.000 US-Dollar auf sein eigenes Konto einzuzahlen. Als dann die Diebstähle zunahmen, wurde er vorsichtiger. Er verwendete Test-E-Mail-Konten, die mit Kollegen von ihm verknüpft waren. Kvashuk arbeitete daran, seine Spuren zu verwischen, indem er einen Bitcoin-Mixer nutzte, der die Quelle des Geldes verbergen sollte, das auf seinem Bankkonto landete. Innerhalb von sieben Monaten hat er rund 2,8 Millionen US-Dollar an Bitcoins auf seine Bank- und Anlagekonten überwiesen. Kvashuk reichte ferner gefälschte Steuerformulare ein und behauptete, die Bitcoin wären ein Geschenke seines Vaters gewesen. Er bekundete, nie die Absicht gehabt zu haben, Microsoft zu betrügen. Vielmehr arbeite er an einem „besonderen Projekt zum Nutzen des Unternehmens“.
Beschuldigter leugnet Tat – Beweise deuten dennoch auf ihn
Im Juni 2018 entließ Microsoft Kvashuk wegen dem Verdacht auf Veruntreuung. Für den Fall zuständig waren die Cyber Crime Unit des Internal Revenue Service Criminal Investigation und der US Secret Service. Am 16. Juli 2019 verhaftete man ihn. Ermittlungsbeamte durchsuchten sein Haus. Sie fanden belastende Aufzeichnungen, Notizen, Geschenkkartenbezeichnungen, Anmeldeinformationen für Benutzernamen und Passwörter für UST-Konten sowie Screenshots von Microsoft-Bestellbestätigungscodes. Google Records gab die Suchmaschinenhistorie von Kvashuk weiter, wie „Bargeld für Geschenkkarten“ und „Hide my a ** web“. Außerdem besuchte er Websites, auf denen er „Geschenkkarten gegen Bargeld online verkaufen“ konnte.
Ermittler fanden hier eine Reihe von Beweisen, die Kvashuk mit dem Verbrechen in Verbindung brachten. Demgemäß verwendete er manchmal dieselbe VPN-Verbindung – und damit dieselbe IP-Adresse -, um auf verschiedene Konten zuzugreifen, sodass die Ermittler Verbindungen zwischen seinen bekannten Konten und denen für spätere Diebstähle herstellen konnten, berichtet arstechnica.
Ryan L. Korner, zuständiger Spezialagent für IRS-Kriminaluntersuchungen, gab in einer Erklärung an
„Kvashuks kriminelle Handlungen beim Diebstahl von Microsoft und die anschließende Abgabe falscher Steuererklärungen sind der erste Bitcoin-Fall des Landes, der eine Steuerkomponente aufweist. Die heutige Verurteilung beweist, dass Sie kein Geld über das Internet stehlen können und glauben, dass Bitcoin Ihr kriminelles Verhalten verbergen wird.“
Staatsanwalt Brian Moran führte bei der Urteilsverkündung aus
„Von seinem Arbeitgeber zu stehlen, ist schlimm genug. Aber zu stehlen und den Anschein zu erwecken, dass Kollegen schuld sind, vergrößert den Schaden über Dollar und Cent hinaus.“
Tarnkappe.info
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.