Περισσότεροι από 800.000 άνθρωποι στην Ευρώπη και τις ΗΠΑ φαίνεται να έχουν εξαπατηθεί δίνοντας στοιχεία καρτών
και άλλα ευαίσθητα προσωπικά δεδομένα σε ένα τεράστιο δίκτυο «μαϊμού» «επώνυμων» διαδικτυακών καταστημάτων που λειτουργούσαν από την Κίνα.
Μια διεθνής έρευνα από τους Guardian, Die Zeit και Le Monde παρουσιάζει τους μηχανισμούς αυτού που το Chartered Trading Standards Institute του Ηνωμένου Βασιλείου
περιέγραψε ως μία από τις μεγαλύτερες απάτες του είδους του, με τη δημιουργία συνολικά 76.000 ψεύτικων ιστοτόπων.
Λειτουργώντας σε βιομηχανική κλίμακα, οι προγραμματιστές έχουν δημιουργήσει δεκάδες χιλιάδες «μαϊμού» διαδικτυακά καταστήματα που προσφέρουν προϊόντα με έκπτωση δήθεν από τους μεγάλους οίκους Dior, Nike, Lacoste, Hugo Boss, Versace και Prada.
Ορισμένες από τις «μαϊμού» ιστοσελίδες «επώνυμων» προϊόντων
Ωστόσο, οι ιστότοποι δεν έχουν καμία σχέση με τις μάρκες που ισχυρίζονται ότι πωλούν και στις περισσότερες περιπτώσεις οι καταναλωτές που μίλησαν για την εμπειρία τους είπαν ότι δεν έλαβαν τα προϊόντα.
Τα πρώτα «μαϊμού» διαδικτυακά καταστήματα φαίνεται να δημιουργήθηκαν το 2015. Πάνω από 1 εκατομμύριο «παραγγελίες» έχουν υποβληθεί σε επεξεργασία μόνο τα τελευταία τρία χρόνια, σύμφωνα με την ανάλυση των δεδομένων.
Δεν διεκπεραιώθηκαν όλες οι πληρωμές με επιτυχία, αλλά η ανάλυση δείχνει ότι το δίκτυο προσπάθησε να πάρει έως και 50 εκατομμύρια ευρώ κατά τη διάρκεια αυτής της περιόδου.
Πολλά καταστήματα έχουν πάψει να λειτουργούν, αλλά το ένα τρίτο από αυτά –πάνω από 22.500– είναι ακόμα στο διαδίκτυο.
Τα θύματα των ιστοσελίδων ανά τον κόσμο με βάση τις μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου που ελήφθησαν από τους 22.500 ιστοτόπους – Πολλά εμφανίζονται και στην Ελλάδα
Μέχρι στιγμής, υπολογίζεται ότι 800.000 άτομα, σχεδόν όλοι στην Ευρώπη και τις ΗΠΑ, έχουν κοινές διευθύνσεις ηλεκτρονικού ταχυδρομείου, με 476.000
από αυτούς να έχουν κοινά στοιχεία χρεωστικής και πιστωτικής κάρτας, συμπεριλαμβανομένου του τριψήφιου αριθμού ασφαλείας τους.
Όλοι παρέδωσαν επίσης τα ονόματά τους, τους αριθμούς τηλεφώνου, το email και τις ταχυδρομικές τους διευθύνσεις στο δίκτυο.
Η Katherine Hart, επικεφαλής αξιωματικός στο Chartered Trading Standards Institute, περιέγραψε την επιχείρηση ως «μία από τις μεγαλύτερες διαδικτυακές απάτες ψεύτικων καταστημάτων που έχω δει». Και πρόσθεσε:
«Συχνά αυτοί οι άνθρωποι ανήκουν σε ομάδες οργανωμένου εγκλήματος, επομένως συγκεντρώνουν δεδομένα αγοραστών και μπορεί να τα χρησιμοποιήσουν εναντίον τους αργότερα, καθιστώντας τους καταναλωτές πιο επιρρεπείς σε απόπειρες phishing».
«Τα δεδομένα είναι το νέο νόμισμα», δήλωσε ο Jake Moore, παγκόσμιος σύμβουλος κυβερνοασφάλειας στην εταιρεία λογισμικού ESET.
Προειδοποίησε ότι τέτοιες συλλογές προσωπικών δεδομένων θα μπορούσαν επίσης να είναι πολύτιμες για τις ξένες υπηρεσίες πληροφοριών για σκοπούς παρακολούθησης.
«Η μεγαλύτερη εικόνα είναι ότι πρέπει να υποθέσει κανείς ότι η κινεζική κυβέρνηση μπορεί να έχει πιθανή πρόσβαση στα δεδομένα», πρόσθεσε.
Η ύπαρξη του δικτύου ψεύτικων καταστημάτων αποκαλύφθηκε από την Security Research Labs (SR Labs), μια γερμανική εταιρεία συμβούλων κυβερνοασφάλειας, η οποία έλαβε πολλά gigabyte δεδομένων και τα μοιράστηκε με την Die Zeit.
Δεν έλαβαν ποτέ τα προϊόντα που αγόρασαν
Πάνω από μια δεκαετία, το δίκτυο που λειτουργούσε από την επαρχία Fujian στην Κίνα χρησιμοποιούσε μια ενιαία πλατφόρμα λογισμικού για να δημιουργήσει δεκάδες χιλιάδες ψεύτικα ηλεκτρονικά καταστήματα.
Σε αυτά έβρισκε κανείς μάρκες όπως Paul Smith, Christian Dior, Rixo, Stella McCartney αλλά και καταστήματα λιανικής όπως το Clarks. Ωστόσο δεν πουλούσαν μόνο ρούχα αφού υπήρχαν και ψεύτικα καταστήματα με παιχνίδια, όπως το Playmobil, και τουλάχιστον ένα με φωτιστικά.
Ο Guardian μίλησε σε 19 εξαπατημένους αγοραστές στο Ηνωμένο Βασίλειο και τις ΗΠΑ. Τα στοιχεία δείχνουν ότι αυτοί οι ιστότοποι δεν δημιουργήθηκαν για να εμπορεύονται προϊόντα απομίμησης.
Οι περισσότεροι άνθρωποι δεν έλαβαν τίποτα ταχυδρομικά. Λίγοι το έκαναν, αλλά τα αντικείμενα δεν ήταν αυτά που είχαν παραγγείλει. Ένας Γερμανός αγοραστής πλήρωσε για ένα μπλέιζερ και έλαβε φθηνά γυαλιά ηλίου.
Ένας Βρετανός έλαβε ένα ψεύτικο δαχτυλίδι Cartier αντί για πουκάμισο και σε έναν άλλον εστάλη ένα μη επώνυμο μπλε τζάμπερ αντί του Paul Smith για το οποίο είχε πληρώσει.
Περιέργως, πολλοί που προσπάθησαν να ψωνίσουν δεν έχασαν τα χρήματά τους. Είτε η τράπεζά τους μπλόκαρε την πληρωμή, είτε το ίδιο το «μαϊμού» κατάστημα δεν την επεξεργάστηκε.
Ωστόσο, όλοι οι ερωτηθέντες έχουν ένα κοινό χαρακτηριστικό: παρέδωσαν τα προσωπικά τους δεδομένα.
Ο Simon Miller, διευθυντής πολιτικής και επικοινωνίας για το Stop Scams UK, δήλωσε: «Τα δεδομένα μπορεί να είναι πιο πολύτιμα από τις πωλήσεις. Αν πάρουν τα στοιχεία της κάρτας κάποιου, αυτά τα δεδομένα είναι ανεκτίμητα».
Η SR Labs, η οποία συνεργάζεται με εταιρείες για την προστασία των συστημάτων τους από κυβερνοεπιθέσεις, πιστεύει ότι η απάτη λειτουργεί σε δύο επίπεδα.
Πρώτον, συλλογή στοιχείων, κατά την οποία οι ψεύτικες πύλες πληρωμής συλλέγουν δεδομένα πιστωτικών καρτών, αλλά δεν λαμβάνουν χρήματα.
Δεύτερον, ψεύτικες πωλήσεις, όπου οι εγκληματίες παίρνουν χρήματα. Υπάρχουν ενδείξεις ότι το δίκτυο επεξεργαζόταν πληρωμές μέσω PayPal,
Stripe και άλλων υπηρεσιών πληρωμών, και σε ορισμένες περιπτώσεις απευθείας από χρεωστικές ή πιστωτικές κάρτες.