Ha truffato Google e Facebook per 121 milioni, ora rischia 30 anni di galera
Ha contribuito a truffare Google e Facebook soffiando alle due aziende più di 120 milioni di dollari con una sistema di phishing relativamente semplice da mettere in atto; ora però potrebbero toccargli 30 anni di carcere. La vicenda assurda ha per protagonista un uomo di cinquant'anni — il lituano Evaldas Rimasauskas — che settimana scorsa nel corso del processo negli Stati Uniti durante il quale è accusato di frode informatica nei confronti dei due giganti della Silicon Valley si è effettivamente dichiarato colpevole di aver commesso il reato.
In realtà i misfatti risalgono a diversi anni fa, ovvero a ottobre 2013. A partire da quel periodo e per due anni Rimasauskas ha ammesso di aver preso parte a uno schema nel quale, insieme a dei complici, si è finto un impiegato di Quanta Computer — un fornitore taiwanese col quale Facebook e Google avevano davvero dei contratti in essere. La truffa prevedeva che dei finti impiegati di Quanta Computer chiedessero alle due aziende pagamenti per prodotti e servizi mai forniti né erogati. I destinatari delle comunicazioni erano i reparti contabili delle multinazionali, che hanno autorizzato gli esborsi senza effettuare i dovuti controlli incrociati, ma semplicemente fidandosi dei contratti già in essere e, soprattutto, dei loro interlocutori.
Il problema è che con Quanta Computer i truffatori non avevano nulla a che fare. Per fingersi impiegati della società taiwanese è bastato loro comporre email verosimili nello stile del fornitore originale e inviarle da indirizzi contraffatti che dessero a intendere di provenire effettivamente dalla società impersonata. I conti bancari sui quali veniva chiesto di effettuare i versamenti — questa è la parte della truffa che Rimasauskas ha aiutato a mettere in piedi — erano invece localizzati in Lettonia e a Cipro.
La tecnica con la quale il gruppo si è guadagnato la fiducia degli interlocutori interni a Google e Facebook insomma univa ingegneria sociale ed email spoofing — un mix arcinoto sia alle forze dell'ordine, sia a chiunque abbia mai ricevuto un'email da un finto istituto di credito che chiede le credenziali di accesso al proprio conto; eppure il fattore psicologico non è mai da sottovalutare in questo tipo di attacchi, che sia negli Stati Uniti che in Europa sono in crescita. Piuttosto, a colpire in questo caso sono due aspetti: il primo è l'importo totale del maltolto, che ammonta a 23 milioni di dollari per l'attacco a Google avvenuto nel 2013 e a ben 98 milioni per quello rivolto a Facebook; il secondo è il fatto che a cadere in questi tranelli siano state aziende che come parte del proprio lavoro ogni giorno lottano per tenere i propri utenti al sicuro dalle minacce informatiche.
