SR Labs: Nhóm tội phạm Trung Quốc xử lý hơn 1 triệu đơn qua 75.000 cửa hàng lừa bán đồ hiệu giá rẻ

Bạn đã từng gặp qua một cửa hàng trực tuyến có các ưu đãi quá tốt đến mức khó tin hay chưa? Đó có thể là cửa hàng lừa đảo. Khi mua sắm trực tuyến bùng nổ trong đại dịch COVID-19, các cửa hàng và sản phẩm trực tuyến giả mạo cũng gia tăng.

SR Labs là công ty an ninh mạng có trụ sở tại Đức chuyên tư vấn cho khách hàng tại hơn 21 quốc gia. Mới đây, SR Labs đã công bố kết quả nghiên cứu kéo dài ba năm, cho thấy một nhóm tội phạm Trung Quốc có liên quan đến hơn 75.000 cửa hàng trực tuyến lừa đảo.

Báo cáo cho biết nhóm tội phạm mạng này có tên BogusBazaar, chủ yếu điều hành các cửa hàng web tuyên bố bán các mặt hàng như giày và quần áo của thương hiệu nổi tiếng với giá rẻ. Thay vào đó, các cửa hàng này thu thập thông tin thẻ tín dụng và thu tiền thanh toán cho hàng giả mạo.

SR Labs cho biết các cửa hàng web giả mạo này đã xử lý tổng khối lượng đơn hàng ước tính hơn 50 triệu USD từ tháng 3.2021 đến tháng 4.2024.

SR Labs cho biết: “Nhóm tội phạm mà chúng tôi gọi là BogusBazaar vận hành mạng lưới rộng lớn với hơn 75.000 tên miền chứa các cửa hàng web giả mạo. Đến tháng 4.2024, khoảng 22.500 tên miền vẫn còn hoạt động. Mạng lưới này đã xử lý hơn 1 triệu đơn đặt hàng kể từ năm 2021, với tổng khối lượng đơn hàng ước tính vượt quá 50 triệu USD”.

Người phát ngôn của SR Labs lưu ý rằng, vì mọi đơn đặt hàng có thể không kết thúc bằng việc thanh toán nên thiệt hại tài chính với nạn nhân có thể thấp hơn số liệu đưa ra. Thế nhưng, việc tiết lộ thông tin thẻ tín dụng cho những kẻ lừa đảo có thể sẽ "làm tăng thêm thiệt hại tổng thể".

SR Labs đã báo cáo nghiên cứu của họ trên trang Die Zeit (Đức), The Guardian (Anh) và Le Monde (Pháp). Một phần của mạng lưới tội phạm này đã được báo cáo trước đây bởi Yarix, công ty an ninh mạng khác có trụ sở tại Đức.

Các cửa hàng web giả mạo được thiết lập bán tự động bằng WordPress - Ảnh: SR Labs

SR Labs cho biết BogusBazaa có tính tổ chức cao, sử dụng mô hình điện toán đám mây, trong đó nhóm nòng cốt quản lý cơ sở hạ tầng của hệ thống, còn “mạng lưới nhượng quyền phi tập trung điều hành các cửa hàng web lừa đảo”.

“Một máy chủ BogusBazaar điển hình vận hành khoảng 200 cửa hàng trực tuyến. Thậm chí một số máy chủ lưu trữ hơn 500 cửa hàng. Mỗi máy chủ này thường được liên kết với hơn 100 địa chỉ IP. Hầu hết máy chủ được đặt ở Mỹ.

BogusBazaar chủ yếu sử dụng các tên miền đã hết hạn trước đó và ưa thích các tên miền có uy tín tốt trên Google. Cửa hàng lừa đảo được tạo ra một cách bán tự động với tên và logo được tùy chỉnh”, tích báo cáo của SR Labs.

Dữ liệu bổ sung được chia sẻ với Insider cho thấy nạn nhân ở Pháp đặt nhiều đơn hàng nhất trên các cửa hàng web giả mạo này, với gần 200.000. Người dùng ở Mỹ đã đặt hàng nhiều thứ hai (khoảng 168.000) với giá trị hơn 12,5 triệu USD.

SR Labs cho biết hầu hết trong số 850.000 nạn nhân của vụ lừa đảo này đến từ Mỹ và Tây Âu, hầu như không có nạn nhân nào được xác định ở Trung Quốc, nơi BogusBazaa đang hoạt động.

Trong hầu hết trường hợp, nạn nhân không nhận được bất kỳ mặt hàng nào. Đôi khi họ nhận được hàng giả rẻ tiền. Việc thanh toán được thực hiện thông qua PayPal, Stripe và các máy chủ xử lý thẻ tín dụng.

Công ty Experian nói rằng điều tốt nhất nên làm nếu bạn là nạn nhân của gian lận thẻ tín dụng là:

- Liên hệ với công ty cung cấp thẻ tín dụng của bạn để báo cáo vụ gian lận và yêu cầu hỗ trợ.

- Đặt một cảnh báo gian lận trên báo cáo tín dụng của bạn để cảnh báo các tổ chức tín dụng về nguy cơ tiềm ẩn của gian lận.

- Báo cáo vụ gian lận cho cảnh sát hoặc cơ quan thích hợp để họ tiến hành điều tra.

- Liên hệ với các cơ quan thông tin tín dụng lớn để thông báo về vụ gian lận và yêu cầu kiểm tra báo cáo tín dụng của bạn để đảm bảo rằng không có hoạt động gian lận nào khác đã xảy ra hoặc đang xảy ra trong tài khoản của mình.

Những bước này giúp bảo vệ bạn khỏi tổn thất tiềm ẩn, giúp các cơ quan có thẩm quyền tiến hành điều tra và ngăn chặn hoạt động gian lận tương lai.

SR Labs nêu cụ thể về cách BogusBazaa hoạt động như sau:

Cơ cấu tổ chức

BogusBazaa hoạt động bằng mô hình Cơ sở hạ tầng theo dịch vụ (Infrastructure-as-a-Service).

Nhóm cốt lõi:

Phụ trách quản lý cơ sở hạ tầng, gồm triển khai và vận hành các máy chủ, cung cấp nền tảng cho các cửa hàng web giả mạo hoạt động.

Phát triển phần mềm, triển khai các hệ thống hỗ trợ (backend) và tùy chỉnh các plugin WordPress để phục vụ cho hoạt động gian lận.

Chỉ điều hành một số ít cửa hàng web giả mạo để kiểm tra và vận hành hệ thống.

Mạng lưới các bên nhượng quyền (franchisees):

Hoạt động phi tập trung, tức là độc lập với nhau, nhưng đều sử dụng chung cơ sở hạ tầng do nhóm cốt lõi cung cấp.

Điều hành hoạt động hàng ngày của các cửa hàng web giả mạo.

Nghiên cứu cho thấy phần lớn các bên nhượng quyền này hoạt động từ Trung Quốc.

Thiết lập kỹ thuật: Tự động hóa và điều phối quy mô lớn

Nhóm tội phạm này vận hành riêng biệt các cửa hàng web, cổng thanh toán và ứng dụng quản lý trên các cơ sở hạ tầng khác nhau.

Giao diện người dùng (Frontend):

BogusBazaar chủ yếu sử dụng các tên miền đã hết hạn trước đó nhưng vẫn có uy tín tốt trên Google.

Cửa hàng lừa đảo được tạo bán tự động với tên và logo tùy chỉnh. Chúng có quy trình kiểm soát chất lượng để giảm thiểu các điểm bất thường giữa các cửa hàng.

Hiện các cửa hàng web này sử dụng plugin WooCommerce của WordPress. Các phiên bản trước đây của cửa hàng web giả mạo dùng ứng dụng mã nguồn mở Zen Cart và OpenCart.

Nhóm tội phạm có thể luân phiên sử dụng các trang thanh toán mà không cần thay đổi giao diện cửa hàng.

Phần nền (Backend):

Một máy chủ BogusBazaar điển hình vận hành khoảng 200 cửa hàng web. Một số ít máy chủ lưu trữ hơn 500 cửa hàng. Mỗi máy chủ này thường được liên kết với hơn 100 địa chỉ IP. Bên ngoài, các cửa hàng web được hiển thị thông qua Cloudflare (dịch vụ trung gian giúp tăng tốc độ truy cập và bảo mật). Hầu hết các máy chủ đặt ở Mỹ.

Theo thời gian, nhóm tội phạm đã tăng mức độ tự động hóa cơ sở hạ tầng. Hiện nay, khả năng điều phối mở rộng cho phép BogusBazaar nhanh chóng triển khai các cửa hàng web mới hoặc thay đổi trang thanh toán và tên miền để tránh bị gỡ bỏ.

Kết luận

Mạng lưới tội phạm đã phát triển trong nhiều năm thông qua hoạt động lừa đảo có quy mô thấp và có khả năng mở rộng cao. SR Labs thông báo: “Những hiểu biết sâu sắc của chúng tôi cho phép các nhà khai thác cơ sở hạ tầng mạng, nhà cung cấp thanh toán và công cụ tìm kiếm xác định trung tâm của hoạt động tội phạm để ngăn chặn hành vi lạm dụng quy mô lớn trong tương lai”.

SRLabs đã chia sẻ kết quả nghiên cứu với các bên liên quan, gồm cả cơ quan chức năng. Một số cửa hàng giả mạo hiện đã ngoại tuyến.

Sơn Vân