Chińska sieć odpowiada na największe oszustwo on-line

Wysokie zniżki na marki projektanckie zachęciły konsumentów do zamawiania, ale nie zostały wysłane żadne przesyłki. Kompozycja: Guardian Design/Getty Images

Międzynarodowe śledztwo wszczęte przez The Guardian, Die Zeit oraz La Monde ukazuje szczegóły mechanik jednego z największych oszustw w swoim rodzaju, według brytyjskiego Chartered Trading Standards Institute, z ponad 76 000 fałszywymi stronami.

Znalezione dane, zbadane przez dziennikarzy oraz ekspertów informatycznych, wskazuje na to, że ta operacja jest wysoce zorganizowana, wymagająca szerokiej wiedzy na temat technologii – i dalej jest kontynuowana.

Programiści stworzyli dziesiątki tysięcy fałszywych stron sklepów internetowych oferujących produkty Dior, Nike, Lacoste, Hugo Boss, Versace, Prady i wielu innych marek na przecenie.

Strony zostały opublikowane w różnych językach: od angielskiego, przez niemiecki, francuski, hiszpański, szwedzki, aż do włoskiego, co sugeruje, że ich celem było wyłudzenie pieniędzy oraz wrażliwych danych osobowych kupujących.

Te strony nie mają żadnego związku z markami, za które się podają i w większości przypadków klienci opisujący swoje doświadczenia nie otrzymali żadnych przedmiotów.

Fałszywa strona internetowa oferująca produkty Lacoste. Zdjęcie: web.

Początki fałszywych stron sklepowych wydają się datować do 2015 roku. Ponad milion „zamówień” zostało złożonych w przeciągu ostatnich trzech lat według analizy statystyk. Nie wszystkie płatności zostały pomyślnie zakończone, ale analiza sugeruje, że wyłudzone zostało ponad 50 milionów euro (216 milionów złotych) w tym czasie. Wiele z tych sklepów zostało opuszczonych, ale około jedna trzecia – ponad 22 i pół tysiąca - dalej operują.

W tym momencie około 800 tysięcy osób, prawie wszystkie z nich znajdujące się w Europie oraz Stanach Zjednoczonych, podzielili się z nimi swoimi adresami e-mail, z czego 476 tysięcy z nich również podało detale kart kredytowych i debetowych wraz z trzycyfrowym numerem bezpieczeństwa. Do tego wszyscy z nich podzielili się swoimi imionami, numerami telefonów, e-mailem oraz adresem pocztowym.

Notatka: bazując na unikalnych adresach e-mail zdobytych przez 22 500 stron, które są dalej aktywne w kwietniu 2023 roku. Tylko kraje z populacją ponad pół miliona są brane pod uwagę. Wykres Guardian, źródło: Security Research Labs. 

Katherine Hart, główny funkcjonariusz w Chartered Trading Standards Institute, opisała operację jako „jeden z największych oszustw związanych ze sklepami internetowymi, które widziałam”. Dodała: „Ci ludzie są często częścią poważnej i zorganizowanej grupy kryminalnej, która wykorzystuje zebrane dane i może je wykorzystać przeciwko tym osobom później, co naraża konsumentów na próby phishingu” (wyłudzania haseł).

„Dane to nowa waluta” - powiedział Jake Moore, światowy doradca cyberbezpieczeństwa w kompanio oprogramowania ESET. Ostrzegł, że tak zebrane dane mogą być też cenne dla pozakrajowych agencji inteligencji dla celów nadzorczych. „Biorąc to wszystko pod uwagę, trzeba uznać, że chiński rząd może mieć potencjalny dostęp do tych danych” - dodał.

Istnienie fałszywych stron sklepowych zostało ujawnione przez Security Research Labs (SR Labs), niemieckiej konsultacji cyberbezpieczeństwa, która zdobyła kilka gigabajtów danych i podzieliła się z nimi z Die Zeit.

Fałszywe sklepy oferowały popularne marki takie jak Hugo Boss, Versace oraz Clarks. Zdjęcie: web.

Wygląda na to, że główna grupa programistów zbudowała system, który współautomatycznie tworzy strony internetowe, co zezwoliło na ich szybki rozwój. Ten główny zespół operował niektóre ze sklepów, ale zezwolił pozostałym grupom na użycie systemu. Dane wskazują na to, że od 2015 roku przynajmniej 210 użytkowników wykorzystało ten system. 

Konsultant SR Labs Matthias Marx opisał model jako „podobny do franczyzy” Powiedział: „Główny zespół odpowiada za stworzenie oprogramowania, wdrożenie backendów i wspieranie operacji sieci. Franczyzobiorcy kierują codzienne operacje tych fałszywych sklepów”.

Kilka tygodni przed świętami Bożego Narodzenia, 54-letnia Melanie Brown z Shropsire w Anglii szukała nowej torebki. Wstawiła zdjęcie skórzanych torebek od jednego z jej ulubionych niemieckich projektantów Rundholz w wyszukiwarkę Google. Natychmiast wyskoczyła strona, która oferowała torebkę ze zniżką 50% od swojej zwykłej ceny 200 funtów (1023 złotych). Dodała ją do swojego koszyka.

„Wciągnęło mnie” - przyznała się. Po wyborze torebki znalazła inne ubrania od znanej marki Magnolia Pearl, którą uwielbia. Znalazła sukienki, bluzki, dżinsy i zapłaciła 1 200£ (6 142 złotych) za 15 ubrań. „Za takie pieniądze dostałam mnóstwo rzeczy, więc myślałam, że było warto” - powiedziała.

Ale Brown była ofiarą oszustwa. Przez prawie dekadę sieć operująca z prowincji Fujian w Chinach wykorzystała pojedynczą platformę oprogramowania, aby stworzyć tysiące fałszywych sklepów on-line.

Są tam ogromne i dobrze znane marki takie jak Paul Smith, domy haute couture jak Christian Dior, ale także bardziej niszowe imiona jak Rixo oraz Stella McCartney, czy też główni sprzedawcy jak buty Clarks. Sprzedawane są nie tylko ubrania - istnieją fałszywe sklepy sprzedające zabawki takie jak Playmobil i przynajmniej jeden sklep sprzedający oświetlenie.

Ponad 49 osób stwierdzających, że zostały oszukane zostało przepytanych w trakcie tego śledzctwa. The Guardian rozmawał z 19 Brytyjczykami oraz Amerykanami. Ich dowody sugerują, że te strony internetowe nie zajmowały się sprzedażą podrobionych produktów. Większość osób nie otrzymała żadnej przesyłki. Jeżeli coś do nich przyszło, nie był to przedmiot, który zamówili. Niemiecki klient zapłacił za marynarkę i otrzymał tanie okulary przeciwsłoneczne. Brytyjski konsument otrzymał podrobiony pierścionek Carter zamiast koszulki, a inna osoba dostała niebieski sweter bez nazwy marki zamiast oczekiwanego modelu od Paula Smitha, za który zapłaciła.

Dziwne jest to, że wiele osób, które próbowało zakupić te przedmioty nie straciło swoich pieniędzy. Ich bank zablokował płatność albo fałszywy sklep jej nie dokończył.

Jednak wszystkie osoby z wywiadów wpisały tam swoje dane osobowe.

Simon Miller, dyrektor Polisy i Komunikacji dla Stop Scams UK powiedział: „Dane mogą być ważniejsze niż sprzedaż, Jeżeli otrzymałeś szczegóły czyjejś karty to jest to niezbędna informacja w celu kradzieży konta bankowego”.

SR Labs, które współpracuje z korporacjami w celu ochrony ich systemów przed cyberatakami, wierzy, że to oszustwo operuje na dwóch poziomach. Po pierwsze, wyłudzanie danych kart kredytowych, w których fałszywe bramki płatnościowe zbierają dane, ale nie zabierają żadnych pieniędzy. Po drugie, nieprawdziwa sprzedaż, w której przestępcy zabierają pieniądze. Istnieją dowody na to, że ta sieć otrzymała płatności procesowane przez PayPal, Stripe i inne usługi płatnościowe, a niektóre pochodzą prosto od kart kredytowych czy też debetowych.

Sieć wykorzystała przeterminowane domeny do wstawienia fałszywych sklepów, co według ekspertów, ma na celu uniknięcie wykrycia przez właścicieli oryginalnych stron i marek. Odkryto bazę danych o ilości 2,7 miliona tych osieroconych domen i testy sprawdzające, które z nich są najlepsze do użycia.

W Niemczech, właścicielka fabryki szklanych koralików zaczęła otrzymywać prawie codzienne telefony od zezłoszczonych klientów pytających się o swoje ubrania z Lacoste. Odkryła, że jej stara strona, perlenzwoelfe.de została wykorzystana w celu oszustwa. Można było znaleźć jej informacje kontaktowe poprzed archiwum strony. Zgłosiła sprawę do policji. „Oficerzy powiedzieli mi, że nie mogą nic na to poradzić”.

Taką samą historią podzielił się Michael Rouah, który jest właścicielem Artoyz, sklepu internetowego i lokalnego w Paryżu, zajmującego się sprzedażą ręcznie wyrabianych zabawek. Cały katalog produktów został skopiowany. „Zmienili imię i wykorzystali inną domenę... Ukradli zdjęcia z naszej strony i zmienili ceny, oczywiście, na niższe”.

Został powiadomiony o tym oszustwie przez konsumentów: „Nie możemy zrobić zbyt wiele... Próbowaliśmy podjąć akcję z prawnikiem, ale to zabiera dużo czasu i pieniędzy” - powiedział.

Michael Rouah stwierdził, że cały katalog sklepu Artoyz został skopiowany. Zdjęcie: Magali Delporte/The Guardian.

Szlak prowadzi do prowincji Fujian jako miejsca, z którego wywodzi się ta sieć. Wiele adresów IP wskazuje na Chiny, niektóre z nich do miast Fujian takich jak Putian oraz Fuzhou.

Listy płatności znalezione w danych sugerują, że zatrudniono ludzi jako programistów oraz wyłudzaczy danych i wypłacano im pensję poprzez chińskie banki.

Znaleziono także trzy wzory umowy zatrudnienia, w których pracodawca jest określony jako Fuzhou Zhongqing Network Technology Co Ltd.

Oficjalnie zarejestrowana w Chinach, razem z unikalnym numerem identyfikacyjnym, firma podaje swój adres jako Fuzhou, stolica Fujian. Nie wiadomo jaki jest ich związek z siecią.

Umowy cechują się bardzo surowymi zasadami. Pracownik otrzymuje wynik za swoją pracę i otrzymuje wyższą pensję za wyższe wyniki. Są oceniani za to, czy nie grają w gry wideo, oglądają filmów albo śpią podczas pracy. Jeżeli są chorzy albo biorą dni wolne, ich pensja jest zmniejszana za stracone dni, chyba że wypracują za to nadgodziny.

Wśród danych znajduje się arkusz opisujący płatności pomiędzy styczniem a październikiem z 2022 roku, w którym 2 410 yuan (prawie 1343 złotych) zostało podzielone do przynajmniej czterech akcjonariuszy nieznanej firmy.

Firma Fuzhou Zhongqing reklamuje się obecnie dla deweloperów oraz kolekcjonerów danych poprzez chińskie strony rekrutacji. Pensja specjalisty co do kolekcji danych wynosi 4500-7000 yuan (od 2506 do 3899 złotych) miesięcznie i jest opisywana jako „pozakrajowa firma handlowa, która głównie produkuje buty sportowe, ubrania, markowe torebki i inne przedmioty”.

Firma Fuzhou Zhongqing nie odpowiedziała na prośbę o komentarz.

Action Fraud, brytyjskie centrum raportowania cyberprzestępstw powiedziało, że planuje pozbyć się fałszywych sklepów internetowych.

Internetowe oszustwa są coraz to większym problemem. W pierwszym półroczu 2023 roku w Wielkiej Brytanii nastąpiło 77 tysięcy przypadków oszustwa w sprawie płatności, w których zapłacono za zamówienie, ale nigdy nie zostaje ono zrealizowane, co jest wzrostem o 43% od tego samego czasu w 2022 roku. W Stanach Zjednoczonych konsumenci stracili prawie 8,8 miliarda dolarów w 2022 roku, co jest wzrostem o 30% od poprzedniego roku. Drugie najczęściej zgłaszane oszustwo jest powiązane z zakupami internetowymi.

Według Rzecznika Oszustw TSB Matta Hepburna, oszustwa związane z zakupem są największą częścią finansowych przestępstw w internecie w Wielkiej Brytanii. Powiedział, że firmy technologiczne powinny lepiej chronić konsumentów. „Wyszukiwarki i platformy technicznie muszą uważać, aby ich użytkownicy nie natknęli się na fałszywe strony i szybko usuwać te, które są zgłaszane”.

Hester Abrams, międzynarodowy menadżer zaangażowania w przemysłowej kolaboracji Stop Scams UK powiedział: „Konsumenci będą lepiej chronieni przed przestępcami wykorzystującymi luki w systemie tylko wtedy, gdy biznesy i rządy zaczną priorytetyzować zapobieganie oszustw. Śledztwa takie jak to pokazują jak wielki wpływ mielibyśmy wszyscy na przestępstwa z lepiej skoordynowanym wysiłkiem”.