Κινέζικο e-shop πίσω από διαδικτυακή απάτη «μαμούθ» με 800.000 θύματα -Έτσι εξαπατούν τους καταναλωτές

NEWSROOM
Μια πιστωτική κάρτα μπροστά σε λάπτοπ
Φωτογραφία: SHUTTERSTOCK

Περίπου 49 άτομα που λένε ότι εξαπατήθηκαν έχουν δώσει συνέντευξη για την έρευνα αυτή. Ο Guardian μίλησε με 19 από το Ηνωμένο Βασίλειο και τις ΗΠΑ.

Μια έρευνα αποκάλυψε ότι περισσότεροι από 800.000 άνθρωποι στην Ευρώπη και στις ΗΠΑ φαίνεται ότι έπεσαν θύματα ηλεκτρονικής απάτης και μοιράστηκαν τα στοιχεία της κάρτας τους και άλλα ευαίσθητα προσωπικά δεδομένα με ένα τεράστιο δίκτυο ψεύτικων ηλεκτρονικών καταστημάτων με έδρα την Κίνα.

Η διεθνής έρευνα των εφημερίδων Guardian, Die Zeit και Le Monde δίνει μια σπάνια εσωτερική ματιά στους μηχανισμούς αυτού που το βρετανικό Chartered Trading Standards Institute περιέγραψε ως μια από τις μεγαλύτερες απάτες του είδους της, με 76.000 ψεύτικες ιστοσελίδες που δημιουργήθηκαν.

Ένας θησαυρός δεδομένων που εξετάστηκε από δημοσιογράφους και εμπειρογνώμονες πληροφορικής δείχνει ότι η επιχείρηση είναι εξαιρετικά οργανωμένη, τεχνικά έξυπνη - και βρίσκεται σε εξέλιξη.

Με «fake» επώνυμες μάρκες το δίκτυο απάτης από την Κίνα

Λειτουργώντας σε βιομηχανική κλίμακα, οι προγραμματιστές δημιούργησαν δεκάδες χιλιάδες ψεύτικα διαδικτυακά καταστήματα που δήθεν προσφέρουν εκπτωτικά προϊόντα από τις εταιρείες Dior, Nike, Lacoste, Hugo Boss, Versace και Prada, καθώς και πολλές άλλες premium μάρκες.

Δημοσιευμένοι σε πολλές γλώσσες, από αγγλικά έως γερμανικά, γαλλικά, ισπανικά, σουηδικά και ιταλικά, οι ιστότοποι φαίνεται να έχουν δημιουργηθεί για να παρασύρουν τους αγοραστές να μοιραστούν χρήματα και ευαίσθητα προσωπικά δεδομένα. Ωστόσο, δεν έχουν καμία σχέση με τις μάρκες που ισχυρίζονται ότι πωλούν και στις περισσότερες περιπτώσεις οι καταναλωτές που μίλησαν για την εμπειρία τους δήλωσαν ότι στο τέλος δεν έλαβαν κανένα προϊόν. Κοινώς εξαπατήθηκαν.

Τα πρώτα ψεύτικα καταστήματα του δικτύου φαίνεται ότι δημιουργήθηκαν το 2015. Μόνο τα τελευταία τρία χρόνια έχουν διεκπεραιωθεί περισσότερες από 1 εκατ. «παραγγελίες», σύμφωνα με την ανάλυση των δεδομένων. Δεν διεκπεραιώθηκαν επιτυχώς όλες οι πληρωμές, αλλά η ανάλυση υποδηλώνει ότι η ομάδα μπορεί να προσπάθησε να πάρει έως και 50 εκατ. ευρώ κατά τη διάρκεια της περιόδου. Πολλά καταστήματα έχουν εγκαταλειφθεί, αλλά το ένα τρίτο από αυτά -περισσότερα από 22.500 -εξακολουθούν να λειτουργούν.

800.000 άνθρωποι εξαπατήθηκαν

Μέχρι στιγμής, εκτιμάται ότι 800.000 άνθρωποι, σχεδόν όλοι τους στην Ευρώπη και στις ΗΠΑ, έχουν μοιραστεί διευθύνσεις ηλεκτρονικού ταχυδρομείου, ενώ 476.000 από αυτούς έχουν μοιραστεί στοιχεία χρεωστικών και πιστωτικών καρτών, συμπεριλαμβανομένου του τριψήφιου αριθμού ασφαλείας τους. Όλοι τους παρέδωσαν επίσης τα ονόματα, τους αριθμούς τηλεφώνου, το ηλεκτρονικό ταχυδρομείο και τις ταχυδρομικές διευθύνσεις τους στο δίκτυο.

Η Katherine Hart, επικεφαλής αξιωματικός του Chartered Trading Standards Institute, περιέγραψε στην Guardian την επιχείρηση ως «μία από τις μεγαλύτερες διαδικτυακές απάτες με ψεύτικα καταστήματα που έχω δει». Η ίδια πρόσθεσε: «Συχνά αυτοί οι άνθρωποι είναι μέρος ομάδων σοβαρού και οργανωμένου εγκλήματος, οπότε συλλέγουν δεδομένα και μπορεί να τα χρησιμοποιήσουν εναντίον των ανθρώπων αργότερα, καθιστώντας τους καταναλωτές πιο ευάλωτους σε απόπειρες phishing».

«Τα δεδομένα είναι το νέο νόμισμα», δήλωσε ο Jake Moore, παγκόσμιος σύμβουλος κυβερνοασφάλειας στην εταιρεία λογισμικού ESET. Προειδοποίησε ότι τέτοιου είδους θησαυροί προσωπικών δεδομένων θα μπορούσαν επίσης να είναι πολύτιμοι για τις ξένες μυστικές υπηρεσίες για σκοπούς παρακολούθησης. «Η ευρύτερη εικόνα είναι ότι πρέπει να υποθέσουμε ότι η κινεζική κυβέρνηση μπορεί δυνητικά να έχει πρόσβαση σε αυτά τα δεδομένα», πρόσθεσε.

Η ύπαρξη του ψεύτικου δικτύου καταστημάτων αποκαλύφθηκε από την Security Research Labs (SR Labs), μια γερμανική συμβουλευτική εταιρεία κυβερνοασφάλειας, η οποία απέκτησε μεγάλο όγκο δεδομένων και τα μοιράστηκε με τη γερμανική Die Zeit.

Μια βασική ομάδα προγραμματιστών φαίνεται να έχει δημιουργήσει ένα σύστημα για την ημι-αυτόματη δημιουργία και εκκίνηση ιστότοπων, επιτρέποντας την ταχεία ανάπτυξη. Αυτός ο πυρήνας φαίνεται να έχει λειτουργήσει ορισμένα καταστήματα ο ίδιος, αλλά να έχει επιτρέψει σε άλλες ομάδες να χρησιμοποιούν το σύστημα. Τα αρχεία καταγραφής δείχνουν ότι τουλάχιστον 210 χρήστες έχουν πρόσβαση στο σύστημα από το 2015.

Μάστιγα η ηλεκτρονική απάτη -«Χρυσός» τα προσωπικά δεδομένα

Περίπου 49 άτομα που λένε ότι εξαπατήθηκαν έχουν δώσει συνέντευξη για την έρευνα αυτή. Ο Guardian μίλησε με 19 από το Ηνωμένο Βασίλειο και τις ΗΠΑ. Τα στοιχεία τους δείχνουν ότι οι εν λόγω ιστότοποι δεν είχαν δημιουργηθεί για να εμπορεύονται απομιμητικά προϊόντα. Οι περισσότεροι άνθρωποι δεν έλαβαν τίποτα με το ταχυδρομείο. Λίγοι έλαβαν, αλλά τα αντικείμενα δεν ήταν αυτά που είχαν παραγγελθεί. Ένας Γερμανός αγοραστής πλήρωσε για ένα σακάκι και έλαβε φτηνά γυαλιά ηλίου. Ένας Βρετανός πελάτης έλαβε ένα ψεύτικο δαχτυλίδι Cartier αντί για ένα πουκάμισο και σε έναν άλλον εστάλη ένα μη επώνυμο μπλε πουλόβερ αντί για το Paul Smith που είχε πληρώσει.

Παραδόξως, πολλοί που προσπάθησαν να ψωνίσουν δεν έχασαν ποτέ χρήματα. Είτε η τράπεζά τους μπλόκαρε την πληρωμή, είτε το ίδιο το ψεύτικο κατάστημα δεν την επεξεργάστηκε. Ωστόσο, όλοι οι ερωτηθέντες έχουν ένα κοινό στοιχείο: παρέδωσαν τα προσωπικά τους δεδομένα.

Ο Σάιμον Μίλερ, διευθυντής πολιτικής και επικοινωνίας της Stop Scams UK, δήλωσε: «Τα δεδομένα μπορεί να είναι πιο πολύτιμα από τις πωλήσεις. Αν μαζεύετε τα στοιχεία της κάρτας κάποιου, τα δεδομένα αυτά είναι ανεκτίμητα στη συνέχεια για μια κατάληψη τραπεζικού λογαριασμού».

Η SR Labs, η οποία συνεργάζεται με εταιρείες για την προστασία των συστημάτων τους από επιθέσεις στον κυβερνοχώρο, πιστεύει ότι η απάτη λειτουργεί σε δύο επίπεδα. Πρώτον, τη συλλογή πιστωτικών καρτών, κατά την οποία οι ψεύτικες πύλες πληρωμών συλλέγουν τα δεδομένα των πιστωτικών καρτών, αλλά δεν παίρνουν χρήματα. Δεύτερον, η ψεύτικη πώληση, όπου οι εγκληματίες παίρνουν χρήματα. Υπάρχουν ενδείξεις ότι το δίκτυο έπαιρνε πληρωμές που επεξεργάζονταν μέσω PayPal, Stripe και άλλων υπηρεσιών πληρωμών, και σε ορισμένες περιπτώσεις απευθείας από χρεωστικές ή πιστωτικές κάρτες.

Το δίκτυο χρησιμοποίησε ληγμένα domains για να φιλοξενήσει τα ψεύτικα καταστήματά του, κάτι που σύμφωνα με τους ειδικούς μπορεί να βοηθήσει στην αποφυγή εντοπισμού από τους ιδιοκτήτες ιστοτόπων ή εμπορικών σημάτων. Φαίνεται ότι διαθέτει μια βάση δεδομένων με 2,7 εκατομμύρια τέτοια ορφανά domains και διεξάγει δοκιμές για να ελέγξει ποια από αυτά είναι καλύτερα να χρησιμοποιηθούν.

Απώλειες 8,8 δισ. από απάτες στις ΗΠΑ το 2022

Στο εκτενές δημοσίευμα του Guardian αναφέρεται ότι οι διαδικτυακές απάτες αποτελούν ένα αυξανόμενο πρόβλημα. Υπήρξαν 77.000 περιπτώσεις απάτης αγοράς -όπου τα αγαθά πληρώνονται αλλά δεν παραλαμβάνονται ποτέ- στο Ηνωμένο Βασίλειο τους πρώτους έξι μήνες του 2023, μια αύξηση 43% σε σύγκριση με την ίδια περίοδο του 2022. Στις ΗΠΑ οι καταναλωτές έχασαν σχεδόν 8,8 δισεκατομμύρια δολάρια από απάτες το 2022, αύξηση άνω του 30% σε σχέση με το προηγούμενο έτος. Η δεύτερη πιο συχνά αναφερόμενη απάτη σχετίζεται με την απάτη στις ηλεκτρονικές αγορές.

Σύμφωνα με τον Matt Hepburn, εκπρόσωπο για θέματα απάτης της TSB, η απάτη αγοράς είναι «ο μεγαλύτερος παράγοντας» του διαδικτυακού οικονομικού εγκλήματος στο Ηνωμένο Βασίλειο. Ο ίδιος δήλωσε ότι οι εταιρείες τεχνολογίας θα πρέπει να κάνουν περισσότερα για την προστασία των καταναλωτών. «Οι μηχανές αναζήτησης και οι τεχνολογικές πλατφόρμες πρέπει να αποτρέπουν τους χρήστες τους από το να εκτίθενται σε ψεύτικους ιστότοπους και να αφαιρούν ταχέως το περιεχόμενο απάτης που τους αναφέρεται».

ΣΧΕΤΙΚΑ