Περισσότεροι από 800.000 άνθρωποι στην Ευρώπη και τις ΗΠΑ φαίνεται να εξαπατήθηκαν να μοιράσουν στοιχεία καρτών και άλλα ευαίσθητα προσωπικά δεδομένα τους από ένα τεράστιο δίκτυο πλαστών διαδικτυακών καταστημάτων που προφανώς λειτουργούν από την Κίνα.
Μια διεθνής έρευνα από τις εφημερίδες Guardian, Die Zeit και Le Monde προσφέρει μια σπάνια ματιά στους μηχανισμούς του δικτύου που το Chartered Trading Standards Institute του Ηνωμένου Βασιλείου περιέγραψε ως μία από τις μεγαλύτερες απάτες του είδους, με 76.000 ψεύτικους ιστότοπους.
Μια συλλογή δεδομένων που εξετάστηκαν από δημοσιογράφους και εμπειρογνώμονες πληροφορικής υποδηλώνουν ότι η επιχείρηση είναι εξαιρετικά οργανωμένη, τεχνικά έμπειρη - και συνεχίζεται. Λειτουργώντας σε βιομηχανική κλίμακα, οι προγραμματιστές έχουν δημιουργήσει δεκάδες χιλιάδες πλαστά διαδικτυακά καταστήματα που προσφέρουν προϊόντα με έκπτωση από τις φίρμες Dior, Nike, Lacoste, Hugo Boss, Versace και Prada, καθώς και πολλές άλλες μάρκες υψηλής ποιότητας.
Δημοσιευμένοι σε πολλές γλώσσες, από τα αγγλικά έως τα γερμανικά, τα γαλλικά, τα ισπανικά, τα σουηδικά και τα ιταλικά, οι ιστότοποι φαίνεται να έχουν δημιουργηθεί για να παρασύρουν τους αγοραστές να αποχωριστούν χρήματα και ευαίσθητα προσωπικά δεδομένα. Ωστόσο, οι ιστότοποι δεν έχουν καμία σχέση με τις μάρκες που ισχυρίζονται ότι πωλούν και στις περισσότερες περιπτώσεις οι καταναλωτές που μίλησαν για την εμπειρία τους είπαν ότι δεν έλαβαν προϊόντα.
Τα πρώτα πλαστά καταστήματα στο δίκτυο φαίνεται να δημιουργήθηκαν το 2015. Πάνω από 1 εκατομμύριο «παραγγελίες» έχουν υποβληθεί σε επεξεργασία μόνο τα τελευταία τρία χρόνια, σύμφωνα με την ανάλυση δεδομένων. Δεν διεκπεραιώθηκαν όλες οι πληρωμές με επιτυχία, αλλά η ανάλυση δείχνει ότι ο όμιλος μπορεί να προσπάθησε να αποκομίσει έως και 50 εκατομμύρια ευρώ κατά τη διάρκεια της περιόδου. Πολλά καταστήματα έχουν εγκαταλειφθεί, αλλά το ένα τρίτο από αυτά –πάνω από 22.500– είναι ακόμα ενεργά.
Μέχρι στιγμής, υπολογίζεται ότι 800.000 άτομα, σχεδόν όλοι στην Ευρώπη και τις ΗΠΑ, έχουν κοινοποιήσει διευθύνσεις ηλεκτρονικού ταχυδρομείου, με 476.000 από αυτούς να έχουν δώσει στοιχεία χρεωστικής και πιστωτικής κάρτας, συμπεριλαμβανομένου του τριψήφιου αριθμού ασφαλείας τους. Όλοι παρέδωσαν επίσης τα ονόματά τους, τους αριθμούς τηλεφώνου, το email και τις ταχυδρομικές τους διευθύνσεις στο δίκτυο.
Η Katherine Hart, επικεφαλής αξιωματικός στο Chartered Trading Standards Institute, περιέγραψε την επιχείρηση ως «μία από τις μεγαλύτερες διαδικτυακές απάτες ψεύτικων καταστημάτων που έχω δει». Και πρόσθεσε: «Συχνά αυτοί οι άνθρωποι ανήκουν σε ομάδες σοβαρού και οργανωμένου εγκλήματος, επομένως συγκεντρώνουν δεδομένα και μπορεί να τα χρησιμοποιήσουν εναντίον ανθρώπων αργότερα, καθιστώντας τους καταναλωτές πιο επιρρεπείς σε απόπειρες phishing».
«Τα δεδομένα είναι το νέο νόμισμα», δήλωσε ο Jake Moore, παγκόσμιος σύμβουλος κυβερνοασφάλειας στην εταιρεία λογισμικού ESET. Προειδοποίησε ότι ανάλογα ευρήματα προσωπικών δεδομένων θα μπορούσαν επίσης να είναι πολύτιμα για τις ξένες υπηρεσίες πληροφοριών για σκοπούς παρακολούθησης. «Η μεγαλύτερη εικόνα είναι ότι πρέπει να υποθέσει κανείς ότι η κινεζική κυβέρνηση μπορεί να έχει πιθανή πρόσβαση στα δεδομένα», πρόσθεσε.
Η ύπαρξη του δικτύου ψεύτικων καταστημάτων αποκαλύφθηκε από την Security Research Labs (SR Labs), μια γερμανική εταιρεία συμβούλων κυβερνοασφάλειας, η οποία έλαβε πολλά gigabyte δεδομένων και τα μοιράστηκε με την εφημερίδα Die Zeit.
Μια βασική ομάδα προγραμματιστών φαίνεται πως δημιούργησε ένα σύστημα για ημιαυτόματη δημιουργία και εκκίνηση ιστοσελίδων, επιτρέποντας την ταχεία ανάπτυξή τους. Αυτός ο πυρήνας φαίνεται ότι λειτουργούσε ο ίδιος ορισμένα καταστήματα, αλλά επέτρεψε και σε άλλες ομάδες να χρησιμοποιήσουν το σύστημα. Τα αρχεία καταγραφής υποδηλώνουν ότι τουλάχιστον 210 χρήστες έχουν πρόσβαση στο σύστημα από το 2015.
Ο Guardian μίλησε σε 19 πελάτες από το Ηνωμένο Βασίλειο και τις ΗΠΑ. Τα στοιχεία τους δείχνουν ότι αυτοί οι ιστότοποι δεν δημιουργήθηκαν για να εμπορεύονται προϊόντα απομίμησης. Οι περισσότεροι δεν έλαβαν τίποτα ταχυδρομικά. Λίγοι έλαβαν, αλλά τα αντικείμενα δεν ήταν αυτά που είχαν παραγγείλει. Ένας Γερμανός αγοραστής πλήρωσε ένα μπλέιζερ και έλαβε φθηνά γυαλιά ηλίου.
Ένας Βρετανός πελάτης έλαβε ένα ψεύτικο δαχτυλίδι Cartier αντί για πουκάμισο και σε έναν άλλον εστάλη ένα μη επώνυμο μπλε φούτερ αντί του Paul Smith που είχαν πληρώσει. Περιέργως, πολλοί που προσπάθησαν να ψωνίσουν δεν έχασαν ποτέ χρήματα. Είτε η τράπεζά τους μπλόκαρε την πληρωμή, είτε το ίδιο το πλαστό κατάστημα δεν την επεξεργάστηκε.
Ωστόσο, όλοι οι ερωτηθέντες έχουν ένα κοινό χαρακτηριστικό: παρέδωσαν τα προσωπικά τους δεδομένα. Ο Simon Miller, διευθυντής πολιτικής και επικοινωνίας για το Stop Scams UK, δήλωσε: «Τα δεδομένα μπορεί να είναι πιο πολύτιμα από τις πωλήσεις. Αν μαζεύετε τα στοιχεία της κάρτας κάποιου, αυτά τα δεδομένα είναι ανεκτίμητα, τότε για μια εξαπάτηση τραπεζικού λογαριασμού.»
Το δίκτυο φαίνεται να προέρχεται από την επαρχία Φουτζιάν. Πολλές από τις διευθύνσεις IP μπορούν να ανιχνευθούν στην Κίνα, μερικές στις πόλεις Fujian Putian και Fuzhou. Τα έγγραφα μισθοδοσίας που βρέθηκαν στα δεδομένα υποδηλώνουν ότι άτομα προσλήφθηκαν ως προγραμματιστές και συγκομιστές δεδομένων και πληρώθηκαν μέσω κινεζικών τραπεζών.
Οι διαδικτυακές απάτες είναι ένα αυξανόμενο πρόβλημα. Υπήρξαν 77.000 περιπτώσεις απάτης στις αγορές – όπου τα αγαθά πληρώθηκαν αλλά δεν πραγματοποιήθηκαν ποτέ – στο Ηνωμένο Βασίλειο τους πρώτους έξι μήνες του 2023, αύξηση 43% σε σύγκριση με την ίδια περίοδο του 2022. Στις ΗΠΑ οι καταναλωτές έχασαν σχεδόν 8,8 δισεκατομμύρια δολάρια λόγω απάτης το 2022, σημειώνοντας αύξηση άνω του 30% σε σχέση με το προηγούμενο έτος. Η δεύτερη πιο συχνά αναφερόμενη απάτη σχετίζεται με απάτη μέσω διαδικτυακών αγορών.