写点什么

小小技术“障眼法”,思科、微软和联想被骗超 350 万美元

  • 2021 年 6 月 10 日
  • 本文字数:1820 字

    阅读完需:约 6 分钟

小小技术“障眼法”,思科、微软和联想被骗超350万美元

近日,一名技术诈骗犯通过欺骗思科微软与联想提供替换用设备套件的方式,牟利数百万美元,最终被判入狱服刑七年零八个月,并被责令支付 400 多万美元的赔偿金、没收 30 多万美元的财产。


利用售后漏洞诈骗数百万


据悉,31 岁的诈骗犯 Justin David May 盗用硬件序列号、虚假网站与在线身份、社会工程策略以及内部网络,在短短 12 个月内利用硬件转换策略骗取近 350 万美元。其中,微软共损失 139 台 Surface 笔记本电脑(价值约 36.4 万美元),联想美国分公司损失 193 台总值 14.3 万美元的替换硬盘,而 APC(前身为美国 Power Conversion 公司)则损失多台不间断电源装置。


May 本人承认犯有 42 项邮件欺诈罪、10 项洗钱罪、3 项以跨州形式运输欺诈所得罪以及 2 项逃税罪。


根据向宾夕法尼亚州联邦地方法院提交的法庭文件,在 2016 年 4 月针对思科公司的最大规模诈骗中,May 和他的同伙注册了与 cisco.com 用户 ID 极为相似、看上去合法可信的伪造网络域名、电子邮件地址以及序列号录入界面。


在收集到信息之后,他们将序列号提交至思科公司并谎称自己的套件出了问题,要求网络巨头向其发出备用设备。此次案件涉及多台价值约 21000 美元的思科 Catalyst 3850-48P-E 交换机和数台思科 ASR 9001 路由器,两类产品总值超过 10 万美元。在收货之后,欺诈分子立即带着备用设备逃脱,思科公司根本收不到所谓“需要更换的损坏设备”。


联邦调查局费城分部特工 Michael Driscoll 表示,May 和他的同伙破坏了以诚信为基础的消费者保修计划,他们从中获利并给多家企业及联邦政府造成重大损失。


同样的骗局也让微软和联想马失前蹄。法庭文件指出,May 特别擅长挑选那些无法通过远程连接或者软件更新实现修复的伪造故障,同时确保这些问题看似必须要更换设备才能解决。此外,May 犯罪团伙还会通过 P 图修改套件与序列号,用以蒙蔽技术支持人员。


在通过 UPS 或者 FedEx 发出替换用的硬件之后,受害者一方根本取不回所谓发生故障的设备。与此同时,May 一伙则转手将换新产品摆在 eBay 等多个二手网站上出售,快速赚取大量现金。他们还将部分微软硬件运往新加坡转售。


为何能成功


在这次诈骗案中,May 团队的欺诈手法并不算老道。May 会将一部分骗来的钱存进自己的个人账户,也兑付过一些硬通货。联邦调查局表示,May 曾用赃款买了一款 2017 款的宝马 Coupe 车型,他本人家中也搜出大量现金。


这场骗局之所以能成功,核心原因在于 May 团伙坚持不懈的申请和为受骗企业量身定制的索赔信息。May 团伙先后提交了几百次换货申请,成功率高得惊人。


以最大的受害者思科为例,May 个人提交了 267 项虚假保修索赔,而另一个位于德克萨斯州的同伙提交了另外 101 项虚假保修索赔。在这 368 次虚假保修索赔中,May 和他的同伙至少成功了 252 次。


就微软而言,May 和一位新加坡的同伙负责向微软提交了 227 项虚假保修索赔,其中 139 项虚假索赔成功。对于联想,May 个人提交了至少 216 项单独的虚假保修索赔,并且每次都声称其联想 ThinkPad 硬盘出现故障,这些虚假的保修索赔有 193 次成功。


“保修政策本来是希望提前更换存在故障的产品,尽量帮助消费者回避业务影响。但这项以诚信为基础的计划却遭到骗子的非法利用。”代理检察官 Jennifer Williams 表示,“保修欺诈犯罪在本质上会给提供大量就业岗位的企业造成巨大经济损失与财务压力,因此犯罪分子必须入狱服刑,接受因自身行为带来的后果。”


据悉,在过去很长一段时间里,联邦调查局一直在关注这名特拉华州的黑客。


早年间,中央情报局 (CIA) 制作了一个模拟器来帮助特工做战斗训练。游戏制作公司 Atomic 后来利用该系统制作了一个电子游戏。2010 年,在一个游戏博览会上,May 正在窃取该价值 600 万美元的游戏代码时被工作人员发现,随后在逃跑途中被制服。


由于游戏公司认为 May 并非这次盗窃事件的主要策划者,所以没有要求对其进行严厉制裁。被捕数月后,May 同意法官提出的审前缓刑,缓刑条款包括:必须在学校学习,并在 18 个月内远离 Xbox Live 游戏网站。


2013 年,澳大利亚黑客 Dylan Wheeler 团队的四名成员因盗窃价值超过 1 亿美元的 Xbox 游戏代码而被当地联邦检察官提起指控。团队成员都对犯罪事实供认不讳。在起诉书中,有一名来自特拉华州的身份不明的代号为“A”的人协助了这起盗窃案,Wheeler 表示那个人是 May 。当然,May 否认了这些指控,并表示不知道 Wheeler 为什么这么说,但他承认确实认识这些人。


相关链接:


https://www.theregister.com/2021/06/04/tech_scammer_doj/


2021 年 6 月 10 日 16:182514

评论

发布
暂无评论
发现更多内容

关于项目中 Repository 层的思考

💥 玩命不玩心💥

阿里P8传授的80K+星的MySQL笔记助我修行,不吃透感觉都对不起他

碌碌无为小码农

Java 架构 程序人生 编程语言 经验分享

LabVIEW条形码识别(实战篇—5)

不脱发的程序猿

图像识别 机器视觉 图像处理 LabVIEW 条形码识别

我所了解的JDBC

端端Java

Java【

策略枚举的用法一:状态流转

端端Java

后端 java 编程

跳槽一次能涨多少?今天见识到跳槽天花板。68个面试题PDF,20+个知识点直涨50%,

Java领域老程

Java spring 程序员 数据结构 面试

阿里内部最新教材:Spring+SpringBoot+SpringCloud全家桶第五版

端端Java

SP【ring #java

这份堪称完美的JVM十全笔记,吃透轻松搞定面试、调优、装逼

碌碌无为小码农

Java 面试 程序人生 编程语言 经验分享

架构实战营模块五作业

alan

架构实战营 「架构实战营」

「offer来了」1张思维导图,6大知识板块,带你梳理面试中CSS的知识点!

星期一研究室

css3 前端开发 面试题 面试‘ HTML5, CSS3

堪称瑰宝,阿里技专压箱底:Redis+MySQL核心架构手册

端端Java

Java’ redis' java 编程 基数树

零瑕疵!仅用了330页直接封神,我要吹爆这份RocketMQ笔记

碌碌无为小码农

Java 架构 程序人生 编程语言 经验分享

架构营模块九作业

GTiger

架构实战营

大画 Spark :: 网络(3)-回复消息机制OneWayMessage与RpcRequest对比

dclar

大数据 spark 源代码 Spark 源码

spring5.0.x 源码编译过程及踩坑记录

努力努力再努力

1月日更

Java基础:UUID

程序员架构进阶

Java uuid 1月日更 2022

技术管理养成:一个普通的在线文档做瀑布与敏捷的融合

dclar

团队管理 项目管理 敏捷开发 团队协作 CTO

严禁外传!字节跳动2022春招Java岗位架构师面试题(暂定版)发布

马小晴

Java 编程 程序员 计算机 java面试

LeetCode每日一题 No.1716 计算力扣银行的钱

DawnMagnet

算法 rust LeetCode 力扣

诧异!GitHub上竟有阿里专家用800页笔记,只讲MySQL调优而且火了

碌碌无为小码农

Java 面试 程序人生 编程语言 经验分享

架构训练营 - 模块 9 作业

焦龙

架构训练营

[架构实战营] 模块六作业

Geek_0ed632

「架构实战营」

为了面试某大厂,熬夜肝完这份Redis笔记后,我终于“硬”了一回

碌碌无为小码农

Java 面试 程序人生 编程语言 经验分享

毕业设计

dean

架构实战营

渗透测试思路总结

网络安全学海

黑客 信息安全 渗透测试 安全漏洞

阿里技术专家,紧跟潮流,解读 spring 微服务架构技术系统实践

Java领域老程

Java spring 程序员 SpringCloud 后端技术

盘点 2021|人只有跌入谷底,每一步都是往上走的。

月半雪( ・᷄д・᷅ )

生活 盘点2021 盘点 2021

ABAP 调用第三方 API,遇到乱码该怎么办?

Jerry Wang

Unicode abap 字符编码 1月月更 1 月月更

架构实战-毕业设计项目

无名

架构实战营 「架构实战营」

能被“阿里爸爸”吹爆的SpringBoot+Vue全栈发手册到底多绝绝子?

端端Java

Vue SP【ring java 编程

大数据集群节点磁盘负载不均衡怎么办?

明哥的IT随笔

大数据 hadoop CDH CDP

ShadowRealm 与微前端沙箱

ShadowRealm 与微前端沙箱

小小技术“障眼法”,思科、微软和联想被骗超350万美元-InfoQ