Environ 800 000 personnes, en Europe et aux États-Unis, ont partagé leur adresse e-mail, leur nom, leur numéro de téléphone et leur adresse postale, 476 000 ont partagé les détails de leur carte de débit et de crédit, y compris le numéro de sécurité à trois chiffres. La plupart des clients n’ont pas reçu les articles commandés, certains ont trouvé des lunettes de soleil jetables à la place d’un blazer de marque.
Des sacs Dior à 50%, des jeans, des hauts, des blazers à moitié prix. Les réductions attirent les clients, ils mettent les articles dans leur panier, puis saisissent leurs données, y compris le numéro de carte de crédit pour finaliser l’achat. Ils appuient sur confirmation et l’arnaque est faite. Plus de 800 000 personnes en Europe et aux États-Unis ont été piégées par des fausses boutiques en ligne. Une enquête internationale menée par The Guardian, Die Zeit et Le Monde a révélé une arnaque systématique qui semble provenir de la Chine. Selon Katherine Hart, responsable du Chartered Trading Standards Institute (une association britannique de commerce), cette opération est « l’une des plus grandes escroqueries de fausses boutiques en ligne jamais vues ». Elle a ajouté : « Ces personnes font souvent partie de groupes criminels sérieux et organisés, elles collectent donc des données et pourraient les utiliser ultérieurement contre les individus, rendant les consommateurs plus vulnérables aux tentatives de phishing ».
Les escrocs ont créé environ 76 000 sites web frauduleux, proposant des réductions sur des produits de marque, parmi lesquelles Lacoste, Dior, Nike, Hugo Boss, Prada et Versace. C’est l’appât, l’objectif est de faire en sorte que les clients partagent des informations sensibles et paient pour des produits qui n’arriveront jamais à destination. La véritable butin, ce sont les informations. Comme l’a expliqué Jake Moore, consultant mondial en sécurité informatique chez ESET : « Les données sont la nouvelle monnaie. Le paysage est plus vaste et nous ne pouvons pas exclure que le gouvernement chinois puisse avoir un accès potentiel à ces données », a-t-il ajouté.
Comment fonctionnent les fausses boutiques en ligne
Les premières fausses boutiques sont apparues en ligne en 2015, au cours des trois dernières années, selon l’enquête, elles auraient enregistré plus d’1 million de commandes. Les escrocs auraient pu gagner environ 50 millions de dollars. Les annonces ont été publiées en anglais, français, allemand, espagnol, suédois et italien. Les fausses boutiques ont été découvertes par Security Research Labs (SR Labs), une société de conseil allemande en sécurité informatique. Le réseau de fausses boutiques aurait pu commencer dans la province du Fujian. De nombreuses adresses IP, en effet, mènent aux villes de Putian et Fuzhou dans le Fujian.
Le modèle est similaire à celui des franchises, comme l’a expliqué Matthias Marx, consultant chez SR Labs. « L’équipe principale est responsable du développement des logiciels, de la mise en œuvre des infrastructures et du support du fonctionnement du réseau. Les affiliés gèrent les opérations quotidiennes des boutiques frauduleuses« .
Pourquoi partager ses données est-il si dangereux
Environ 800 000 personnes, en Europe et aux États-Unis, ont partagé leur adresse e-mail, leur nom, leur numéro de téléphone et leur adresse postale, 476 000 ont partagé les détails de leur carte de débit et de crédit, y compris le numéro de sécurité à trois chiffres. La plupart des clients n’ont pas reçu les articles commandés, certains ont trouvé des lunettes de soleil jetables à la place d’un blazer de marque. Plusieurs utilisateurs ont vu leur paiement bloqué par leur banque. Cependant, ils ont tous partagé leurs données pour finaliser la commande.
Simon Miller, directeur des politiques et des communications de Stop Scams UK, a déclaré : « Les données peuvent valoir plus que les ventes. Si vous récupérez les détails de la carte de quelqu’un, ces données ont une valeur inestimable pour ouvrir un compte bancaire ». Matt Hepburn, porte-parole de lutte contre la fraude de la TSB, a expliqué au Guardian que les fraudes aux achats sont « le principal moteur » des crimes financiers en ligne au Royaume-Unis, et que les consommateurs ne sont pas protégés. « Les entreprises technologiques doivent faire plus, les moteurs de recherche et les plateformes technologiques doivent empêcher leurs utilisateurs d’être exposés à des sites frauduleux et supprimer rapidement les contenus frauduleux qui sont signalés ».
Le schéma de l’arnaque
Selon SR Labs, les escrocs travaillent sur plusieurs niveaux. Ils collectent d’abord des données, comme des numéros de cartes de crédit, mais ne prélèvent pas d’argent. Ils le collectent plutôt à partir des commandes en ligne. Pour ne pas être retrouvés, ils utilisent des domaines expirés, il semble en effet qu’ils disposent d’une base de données de 2,7 millions de domaines orphelins.
L’enquête a également retracé la rémunération du personnel derrière l’arnaque. Il semble que les employés soient rémunérés par Fuzhou Zhongqing, une entreprise basée légalement à Fuzhou, qui fabrique des chaussures de sport. Le paiement fonctionne en fonction des scores de performance, les absences sont pénalisées, même en cas de maladie.