Κυβερνοασφάλεια
Απάτη με 71 ψεύτικες ιστοσελίδες για κλοπή πληρωμών
Αποκάλυψη του δικτύου απάτης
Ένα εξελιγμένο δίκτυο 71 ψεύτικων ιστοσελίδων που προσποιούνται έναν μεγάλο Γερμανό λιανοπωλητή αποκαλύφθηκε, φανερώνοντας ένα περίπλοκο σχέδιο που στοχεύει στην κλοπή πληροφοριών πληρωμής και προσωπικών δεδομένων από ανυποψίαστους καταναλωτές. Αυτές οι ιστοσελίδες χρησιμοποιούν τεχνικές typosquatting, δηλαδή δημιουργούν διευθύνσεις που μοιάζουν πολύ με τις αυθεντικές διευθύνσεις του λιανοπωλητή, ενώ παράλληλα διεξάγουν παραπλανητικές διαδικτυακές διαφημιστικές καμπάνιες για να προσελκύσουν θύματα.
Η τεχνική του typosquatting και οι συνέπειές της
Η τεχνική του typosquatting είναι μια μορφή κυβερνοεπίθεσης όπου οι επιτιθέμενοι καταχωρούν ονόματα τομέων που είναι παρόμοια με αυτά των αυθεντικών ιστοσελίδων, ελπίζοντας να εκμεταλλευτούν τα τυπογραφικά λάθη των χρηστών. Στην προκειμένη περίπτωση, η απάτη έχει ενεργοποιηθεί τουλάχιστον από τον Φεβρουάριο του 2025 και στοχεύει κυρίως Ευρωπαίους καταναλωτές με ψεύτικες προσφορές εκπτώσεων για ηλεκτρονικά και οικιακά είδη.
Η δομή της απάτης
Η αρχιτεκτονική της απάτης διαφέρει από τις τυπικές επιθέσεις phishing καθώς αυτές οι ψεύτικες ιστοσελίδες δεν συλλέγουν απλώς δεδομένα—διαχειρίζονται ενεργά πληρωμές μέσω παραβιασμένων λογαριασμών εμπόρων. Τα θύματα που πιστεύουν ότι αγοράζουν προϊόντα όπως ηλεκτρικά σκούτερ με μεγάλες εκπτώσεις από έναν αξιόπιστο λιανοπωλητή, στην πραγματικότητα στέλνουν τα στοιχεία πληρωμής τους απευθείας στους απατεώνες, οι οποίοι καταγράφουν τις οικονομικές πληροφορίες χωρίς ποτέ να παραδίδουν κανένα προϊόν.
Η αυξανόμενη τάση της απάτης στο ηλεκτρονικό εμπόριο
Η απάτη αυτή αντιπροσωπεύει μια αυξανόμενη τάση στο ηλεκτρονικό εμπόριο που συνδυάζει την προσποίηση επωνυμίας με λειτουργικές δυνατότητες επεξεργασίας πληρωμών. Οι ερευνητές της Recorded Future Payment Fraud Intelligence εντόπισαν το δίκτυο αφού παρατήρησαν τον ιστότοπο lidlorg[.]com στις 19 Απριλίου 2025, έναν ιστότοπο σχεδιασμένο να προσποιείται την αλυσίδα λιανικής Lidl.
Η ανάλυση της Recorded Future
Μέσω περαιτέρω έρευνας, οι αναλυτές συνέδεσαν αυτή την αρχική ανακάλυψη με ένα ευρύτερο δίκτυο 71 τομέων που χρησιμοποιούν παρόμοιες τακτικές και κοινή υποδομή εμπόρων. «Αυτή η καμπάνια δείχνει μια ανησυχητική εξέλιξη στις απάτες αγορών», σημείωσε η ομάδα της Recorded Future στην ανάλυσή της. «Οι διαχειριστές έχουν δημιουργήσει ένα ολόκληρο οικοσύστημα ψεύτικων καταστημάτων, διαφημιστικών δικτύων και καναλιών επεξεργασίας πληρωμών για να μεγιστοποιήσουν την ικανότητά τους να εξαπατούν καταναλωτές και να συλλέγουν οικονομικά δεδομένα για μελλοντική απάτη.»
Η υποδομή των εμπόρων
Στον πυρήνα αυτής της επιχείρησης βρίσκεται μια εξελιγμένη υποδομή που συνδέει φαινομενικά διακριτές ιστοσελίδες μέσω δώδεκα κοινών λογαριασμών εμπόρων. Αυτοί οι λογαριασμοί, με ονόματα όπως AKRU KERAMIK GMBH, MYCOZYBABIES, και YSPCLOTHINGGSHOP, διαχειρίζονται τις πληρωμές των θυμάτων ενώ επιτρέπουν την κλοπή προσωπικών και οικονομικών πληροφοριών. Οι τομείς αυτοί παρουσιάζουν κοινά χαρακτηριστικά, λειτουργώντας κατά μέσο όρο για περίπου 65 ημέρες και επιτυγχάνοντας ανησυχητική βαθμολογία 88/100 στις μετρήσεις κινδύνου της DomainTools.
Η τεχνική υποδομή της απάτης
Η τεχνική υποδομή πίσω από αυτή την απάτη αποκαλύπτει σχολαστικό σχεδιασμό και συντονισμό. Οι επιτιθέμενοι εκμεταλλεύονται λογαριασμούς διαφημίσεων στο Facebook με ονόματα όπως “EU STORE” και “L Clearance” για να διανέμουν διαφημίσεις που φέρουν το λογότυπο του προσποιούμενου λιανοπωλητή μαζί με προσφορές που φαίνονται πολύ καλές για να είναι αληθινές.
Η επεξεργασία πληρωμών και η νομιμοποίηση συναλλαγών
Αυτές οι διαφημίσεις κατευθύνουν τα θύματα στο δίκτυο των ψεύτικων τομέων, οι οποίοι είναι σχεδιασμένοι να φαίνονται αυθεντικοί ενώ κρύβουν τον κακόβουλο σκοπό τους. Αυτό που καθιστά αυτό το δίκτυο απάτης ιδιαίτερα αξιοσημείωτο είναι η ικανότητά του στην επεξεργασία πληρωμών. Σε αντίθεση με τους παραδοσιακούς ιστότοπους phishing που απλώς συλλέγουν πληροφορίες, αυτοί οι τομείς ολοκληρώνουν τον κύκλο της απάτης επεξεργάζοντας πραγματικές συναλλαγές μέσω παραβιασμένων λογαριασμών εμπόρων.
Η νομιμοποίηση συναλλαγών και οι επιπτώσεις της
Οι λογαριασμοί εμπόρων που συνδέονται με τους τομείς δείχνουν σαφή σημάδια νομιμοποίησης συναλλαγών—την πρακτική της μεταμφίεσης υψηλού κινδύνου ή απατηλών συναλλαγών ως νόμιμες επιχειρηματικές. Για παράδειγμα, η PETHOUSEN LLC αναφέρει επισήμως το URL της ως pethousen[.]com, αλλά οι ερευνητές της Recorded Future την ανακάλυψαν να επεξεργάζεται πληρωμές για τομείς απάτης όπως biliability[.]com, dknyonlineuk[.]com, και outletmalleu[.]shop.
Συμπεράσματα και συμβουλές για καταναλωτές και χρηματοπιστωτικά ιδρύματα
Η έρευνα δεν έχει ακόμη καθορίσει εάν αυτό το δίκτυο λειτουργεί από έναν μοναδικό εξελιγμένο απειλητικό φορέα ή αν αποτελεί μια συνεργατική προσπάθεια μεταξύ πολλών εγκληματικών οντοτήτων που μοιράζονται πόρους. Η υποδομή των εμπόρων μπορεί να είναι μέρος μιας υπηρεσίας “cash-out” που ενοικιάζεται σε αγορές του σκοτεινού διαδικτύου, ή ολόκληρη η επιχείρηση μπορεί να ελέγχεται από μια ενιαία ομάδα που περιστρέφει συνδυασμούς τομέων και εμπόρων για να αποφύγει τον εντοπισμό.
Τα χρηματοπιστωτικά ιδρύματα συνιστάται να μπλοκάρουν συναλλαγές με τους αναγνωρισμένους λογαριασμούς εμπόρων και να παρακολουθούν οποιεσδήποτε κάρτες πελατών που έχουν προηγουμένως συναλλαχθεί με αυτούς για επιπλέον σημάδια απάτης. Οι αποκτώντες εμπόρων θα πρέπει να αναλύσουν παρόμοιες εγγραφές εμπόρων στα χαρτοφυλάκ
