Μια έρευνα αποκάλυψε ότι περισσότεροι από 800.000 άνθρωποι στην Ευρώπη και στις ΗΠΑ φαίνεται ότι έπεσαν θύματα ηλεκτρονικής απάτης και μοιράστηκαν τα στοιχεία της κάρτας τους και άλλα ευαίσθητα προσωπικά δεδομένα με ένα τεράστιο δίκτυο ψεύτικων ηλεκτρονικών καταστημάτων, με έδρα την Κίνα.
Η διεθνής έρευνα των εφημερίδων Guardian, Die Zeit και Le Monde ρίχνει «φως» στους μηχανισμούς του δικτύου αυτού, που το βρετανικό Chartered Trading Standards Institute περιέγραψε ως μια από τις μεγαλύτερες απάτες του είδους, με 76.000 ψεύτικες ιστοσελίδες e-shop που δημιουργήθηκαν.
Ένας θησαυρός δεδομένων που εξετάστηκαν από δημοσιογράφους και εμπειρογνώμονες πληροφορικής δείχνει ότι το δίκτυο αυτό είναι εξαιρετικά οργανωμένο, τεχνικά άρτιο, ενώ βρίσκεται σε εξέλιξη.
Με «fake» επώνυμες μάρκες το δίκτυο απάτης από την Κίνα
Οι προγραμματιστές του δικτύου απάτης δημιούργησαν δεκάδες χιλιάδες ψεύτικα διαδικτυακά καταστήματα που δήθεν προσφέρουν εκπτωτικά προϊόντα των εταιρειών Dior, Nike, Lacoste, Hugo Boss, Versace και Prada, καθώς και πολλές άλλες premium μάρκες.
Οι πολλές γλώσσες που χρησιμοποιούν οι ιστότοποι, από αγγλικά έως γερμανικά, γαλλικά, ισπανικά, σουηδικά και ιταλικά, φαίνεται να έχουν δημιουργηθεί για να παρασύρουν τους αγοραστές να μοιραστούν χρήματα και ευαίσθητα προσωπικά δεδομένα τους. Ωστόσο, δεν έχουν καμία σχέση με τις μάρκες που ισχυρίζονται ότι πωλούν, και στις περισσότερες περιπτώσεις οι καταναλωτές που μίλησαν για την εμπειρία τους δήλωσαν πως στο τέλος δεν έλαβαν κανένα προϊόν. Κοινώς, εξαπατήθηκαν.
Τα πρώτα ψεύτικα καταστήματα του δικτύου φαίνεται ότι δημιουργήθηκαν το 2015. Μόνο τα τελευταία τρία χρόνια έχουν διεκπεραιωθεί περισσότερες από 1 εκατ. «παραγγελίες», σύμφωνα με την ανάλυση των δεδομένων. Δεν διεκπεραιώθηκαν επιτυχώς όλες οι πληρωμές, αλλά η ανάλυση υποδηλώνει ότι η ομάδα μπορεί να προσπάθησε να πάρει έως και 50 εκατ. ευρώ κατά τη διάρκεια της περιόδου. Πολλά καταστήματα έχουν εγκαταλειφθεί, αλλά το ένα τρίτο από αυτά -περισσότερα από 22.500- εξακολουθούν να λειτουργούν.
800.000 άνθρωποι εξαπατήθηκαν
Μέχρι στιγμής, εκτιμάται ότι 800.000 άνθρωποι, σχεδόν όλοι τους στην Ευρώπη και στις ΗΠΑ, έχουν μοιραστεί διευθύνσεις ηλεκτρονικού ταχυδρομείου, ενώ 476.000 από αυτούς έχουν μοιραστεί στοιχεία χρεωστικών και πιστωτικών καρτών, συμπεριλαμβανομένου του τριψήφιου αριθμού ασφαλείας τους. Όλοι τους παρέδωσαν στο δίκτυο, επίσης, τα ονόματα, τους αριθμούς τηλεφώνου, το ηλεκτρονικό ταχυδρομείο και τις ταχυδρομικές διευθύνσεις τους.
Η Katherine Hart, επικεφαλής αξιωματικός του Chartered Trading Standards Institute, περιέγραψε στον Guardian την επιχείρηση ως «μία από τις μεγαλύτερες διαδικτυακές απάτες με ψεύτικα καταστήματα που έχω δει». Η ίδια πρόσθεσε: «Συχνά αυτοί οι άνθρωποι αποτελούν μέρος ομάδων οργανωμένου εγκλήματος, οπότε συλλέγουν δεδομένα και μπορεί να τα χρησιμοποιήσουν εναντίον των ανθρώπων αργότερα, καθιστώντας τους καταναλωτές πιο ευάλωτους σε απόπειρες phishing».
«Τα δεδομένα είναι το νέο νόμισμα», δήλωσε ο Jake Moore, παγκόσμιος σύμβουλος κυβερνοασφάλειας στην εταιρεία λογισμικού ESET. Προειδοποίησε ότι τέτοιου είδους θησαυροί προσωπικών δεδομένων θα μπορούσαν, επίσης, να είναι πολύτιμοι για τις ξένες μυστικές υπηρεσίες για σκοπούς παρακολούθησης. «Η ευρύτερη εικόνα είναι ότι πρέπει να υποθέσουμε πως η κινεζική κυβέρνηση μπορεί δυνητικά να έχει πρόσβαση σε αυτά τα δεδομένα», πρόσθεσε.
Η ύπαρξη του ψεύτικου δικτύου καταστημάτων αποκαλύφθηκε από τη Security Research Labs (SR Labs), μια γερμανική συμβουλευτική εταιρεία κυβερνοασφάλειας, η οποία απέκτησε μεγάλο όγκο δεδομένων και τα μοιράστηκε με τη γερμανική Die Zeit.
Μια βασική ομάδα προγραμματιστών φαίνεται να έχει κατασκευάσει ένα σύστημα για την ημι-αυτόματη δημιουργία και εκκίνηση ιστότοπων, επιτρέποντας την ταχεία ανάπτυξη. Αυτός ο πυρήνας φέρεται να έχει λειτουργήσει ορισμένα καταστήματα, αλλά και να έχει επιτρέψει σε άλλες ομάδες να χρησιμοποιούν το σύστημα. Τα αρχεία καταγραφής δείχνουν ότι τουλάχιστον 210 χρήστες έχουν πρόσβαση στο σύστημα από το 2015.
Μάστιγα η ηλεκτρονική απάτη -«Χρυσός» τα προσωπικά δεδομένα
Περίπου 49 άτομα που ισχυρίζονται ότι εξαπατήθηκαν έχουν δώσει συνέντευξη για την έρευνα αυτή. Ο Guardian μίλησε με 19 από το Ηνωμένο Βασίλειο και τις ΗΠΑ. Τα στοιχεία τους δείχνουν ότι οι εν λόγω ιστότοποι δεν είχαν δημιουργηθεί για να εμπορεύονται απομιμητικά προϊόντα. Οι περισσότεροι άνθρωποι δεν έλαβαν τίποτα με το ταχυδρομείο. Λίγοι έλαβαν, αλλά τα αντικείμενα δεν ήταν αυτά που είχαν παραγγείλει. Για παράδειγμα, ένας Γερμανός αγοραστής πλήρωσε για ένα σακάκι και έλαβε φθηνά γυαλιά ηλίου. Ένας Βρετανός πελάτης έλαβε ένα ψεύτικο δαχτυλίδι Cartier αντί για πουκάμισο, ενώ σε έναν άλλον εστάλη ένα μη επώνυμο μπλε πουλόβερ αντί για το Paul Smith που είχε πληρώσει.
Παραδόξως, πολλοί που προσπάθησαν να ψωνίσουν δεν έχασαν ποτέ χρήματα. Είτε η τράπεζά τους μπλόκαρε την πληρωμή, είτε το ίδιο το ψεύτικο κατάστημα δεν την επεξεργάστηκε. Ωστόσο, όλοι οι ερωτηθέντες έχουν ένα κοινό στοιχείο: μοιράστηκαν τα προσωπικά τους δεδομένα.
Ο Σάιμον Μίλερ, διευθυντής πολιτικής και επικοινωνίας της Stop Scams UK, δήλωσε: «Τα δεδομένα μπορεί να είναι πιο πολύτιμα συγκριτικά με τις πωλήσεις. Αν μαζεύετε τα στοιχεία της κάρτας κάποιου, τα δεδομένα αυτά είναι ανεκτίμητα στη συνέχεια για μια κατάσχεση τραπεζικού λογαριασμού».
Η SR Labs, η οποία συνεργάζεται με εταιρείες για την προστασία των συστημάτων τους από επιθέσεις στον κυβερνοχώρο, πιστεύει ότι η απάτη λειτουργεί σε δύο επίπεδα. Πρώτον, συλλέγοντας πιστωτικές κάρτες, των οποίων τα δεδομένα αποθηκεύουν οι ψεύτικες πύλες πληρωμών, χωρίς να παίρνουν χρήματα. Δεύτερον, πραγματοποιώντας ψεύτικες πωλήσεις, μέσω των οποίων οι εγκληματίες εισπράττουν χρήματα. Υπάρχουν ενδείξεις ότι το δίκτυο εισέπραττε χρήματα από πληρωμές που πραγματοποιούνταν μέσω PayPal, Stripe και άλλων υπηρεσιών πληρωμών, και σε ορισμένες περιπτώσεις απευθείας από χρεωστικές ή πιστωτικές κάρτες.
Το δίκτυο χρησιμοποίησε ληγμένα domains για τα ψεύτικα καταστήματά του, κάτι που, σύμφωνα με τους ειδικούς, συντελούσε στην αποφυγή εντοπισμού από τους ιδιοκτήτες ιστότοπων ή εμπορικών σημάτων. Φαίνεται ότι διαθέτει μια βάση δεδομένων με 2,7 εκατομμύρια τέτοια ορφανά domains και διεξάγει δοκιμές για να ελέγξει ποια από αυτά είναι προτιμότερο να χρησιμοποιηθούν.
Απώλειες 8,8 δισ. από απάτες στις ΗΠΑ το 2022
Στο εκτενές δημοσίευμα του Guardian αναφέρεται ότι οι διαδικτυακές απάτες αποτελούν ένα αυξανόμενο πρόβλημα. Υπήρξαν 77.000 περιπτώσεις απάτης αγοράς -όπου τα αγαθά πληρώνονται αλλά δεν παραλαμβάνονται ποτέ- στο Ηνωμένο Βασίλειο τους πρώτους έξι μήνες του 2023 - αύξηση 43% σε σύγκριση με την ίδια περίοδο του 2022. Στις ΗΠΑ οι καταναλωτές έχασαν σχεδόν 8,8 δισεκατομμύρια δολάρια από απάτες το 2022 - αύξηση άνω του 30% σε σχέση με το προηγούμενο έτος. Η δεύτερη πιο συχνά αναφερόμενη απάτη σχετίζεται με τις ηλεκτρονικές αγορές.
Σύμφωνα με τον Matt Hepburn, εκπρόσωπο για θέματα απάτης της TSB, η απάτη αγοράς είναι «ο μεγαλύτερος παράγοντας» του διαδικτυακού οικονομικού εγκλήματος στο Ηνωμένο Βασίλειο. Ο ίδιος δήλωσε ότι οι εταιρείες τεχνολογίας θα πρέπει να κάνουν περισσότερα για την προστασία των καταναλωτών. «Οι μηχανές αναζήτησης και οι τεχνολογικές πλατφόρμες πρέπει να αποτρέπουν τους χρήστες τους από το να εκτίθενται σε ψεύτικους ιστότοπους, αλλά και να αφαιρούν ταχέως το περιεχόμενο απάτης που τους αναφέρεται».