.
Um homem de 18 anos de Wisconsin foi acusado de supostamente desempenhar um papel central no roubo de $ 600.000 de contas de clientes da DraftKings.
Joseph Garrison – que potencialmente enfrentará anos de prisão se for condenado e aparentemente se gabou para seus co-conspiradores de que “fraude é divertida” – se rendeu à polícia na manhã de quinta-feira na cidade de Nova York e compareceu perante um juiz no final da tarde.
Ele foi acusado de conspiração para cometer invasões de computador, acesso não autorizado a um computador protegido para promover fraude pretendida, acesso não autorizado a um computador protegido, fraude eletrônica e conspiração de fraude eletrônica e roubo de identidade agravado.
De acordo com a queixa criminal de seis acusações [PDF] que foi revelado esta semana, a suposta onda de crimes de Garrison começou com um ataque de preenchimento de credenciais contra DraftKings, que os promotores identificaram apenas como “o site de apostas”, em novembro de 2022.
O preenchimento de credenciais é onde você tem uma lista de combinações de nome de usuário e senha para um site ou aplicativo e joga esses detalhes de login em outros sites para ver se algum deles também funciona, aproveitando o fato de que as pessoas usam os mesmos nomes de usuário, e-mail endereços e senhas em vários serviços. É por isso que usar uma senha forte e única por site, com autenticação multifator se possível, é ideal para que, se um banco de dados do usuário for roubado, o impacto seja limitado.
Como nós relatado na época, o negócio de apostas esportivas com sede em Boston disse que as informações de login dos clientes afetados foram roubadas em outro lugar e aplicadas em suas contas do DraftKings, onde algumas senhas foram reutilizadas. Um clássico ataque de recheio.
Depois de detectar a fraude em novembro, “a DraftKings notificou os clientes em jurisdições relevantes e restaurou valores para um número limitado de usuários que podem ter tido fundos indevidamente retirados de suas contas”, disse um porta-voz Strong The One.
“A segurança das informações pessoais e de pagamento de nossos clientes é de suma importância para a DraftKings”, continuou o porta-voz. “Trabalhamos com a aplicação da lei para capturar o(s) suposto(s) malfeitor(es) e queremos agradecer ao Departamento de Justiça, incluindo o FBI e o Procurador-Geral do Distrito Sul de Nova York, por sua ação imediata e eficaz”.
Não está claro onde Garrison e seus colegas malfeitores obtiveram as credenciais da conta conforme alegado, mas elas são fáceis de descobrir. comprar em grandes quantidades na dark web depois de terem sido roubados de outros bancos de dados em violações de segurança anteriores.
Além do mais, os bandidos podem usar scripts e outros programas para ver rapidamente se combinações de endereço de e-mail e senha funcionam em outros sites. Com a ajuda dessa automação, os supostos fraudadores usaram com sucesso nomes e senhas roubados anteriormente para comprometer cerca de 60.000 contas pertencentes a usuários do DraftKings, de acordo com os promotores.
Garrison supostamente vendeu o acesso a essas contas, afirmam os federais, juntamente com instruções sobre como drenar o dinheiro das contas comprometidas. Em alguns casos, os bandidos retirariam todos os fundos de uma conta, transferindo-os para uma conta financeira recém-adicionada pertencente aos criminosos, disseram-nos.
Esse golpe supostamente rendeu a Garrison e seus clientes cerca de US$ 600.000 de cerca de 1.600 contas de vítimas, de acordo com documentos judiciais. Isso é superior aos $ 300.000 DraftKings, pelo menos inicialmente informados à mídia no ano passado, observamos.
‘Fraude é divertido’
Quando a polícia revistou a casa de Garrison em fevereiro, eles encontraram programas de computador usados para ataques de preenchimento de credenciais, bem como arquivos contendo quase 40 milhões de nomes de usuário e senhas no computador de Garrison, afirma-se.
Além disso, os federais afirmam ter encontradStrong The Ones de conversas incriminatórias entre Garrison e seus co-conspiradores sobre como invadir o site de apostas esportivas e como roubar fundos das contas das vítimas. Em uma série de bate-papos entre Garrison e um co-conspirador de 14 de setembro de 2022 e 16 de setembro de 2022, Garrison se gabou de sua proeza de preenchimento de credenciais, afirma-se.
“Eu parei de simular”, diz uma mensagem de 14 de setembro, referindo-se à troca de SIM, e “estou de volta ao cracking … estou obtendo sites que o número 1 nunca teve e merda … eu tenho todos os captcha ignorados.”
Então, dois dias depois, Garrison enviou uma mensagem aos mesmos co-conspiradores e disse: “fraude é divertida … estou viciado em ver dinheiro na minha conta … estou obcecado em contornar merdas”, afirmaram os federais.
Ao anunciar as acusações, o procurador americano Damian Williams disse Garrison pode muito bem aprender uma lição importante: “Você não deve apostar em uma fraude impune.” ®
.
