‘BogusBazaar’ adı verilen 75.000 sahte çevrimiçi mağazadan oluşan devasa bir ağ, ABD ve Avrupa’da 850.000’den fazla kişiyi alışveriş yapmaları için kandırdı ve suçluların kredi kartı bilgilerini çalmasına ve tahmini 50 milyon dolarlık sahte siparişleri işleme koymasına olanak sağladı.
Ek olarak, çalınan milyonlarca kredi kartı bilgisi karanlık web pazarlarında yeniden satılarak diğer tehdit aktörlerinin bunları satın almasına ve yetkisiz çevrimiçi satın alımlar gerçekleştirmesine olanak tanındı.
Alman siber güvenlik firması Security Research Labs GmbH (SRLabs) tarafından hazırlanan bir rapora göre, BogusBazaar ağı, operasyonun üç yıl önce başlatılmasından bu yana tahmini 50 milyon dolarlık sahte satın alma işlemini gerçekleştirmeye çalıştı.
Kurbanların çoğu Amerika Birleşik Devletleri ve Batı Avrupa’da yoğunlaşıyor. Aynı zamanda dolandırıcılık operasyonunun operasyonel üssü olduğu düşünülen Çin’den neredeyse hiç mağdur yok.
Kaynak: SLR
Sahte web mağazalarından oluşan devasa bir ağ
BogusBazaar, 2021’den bu yana 75.000’den fazla sahte web mağazası başlatan, ancak son zamanlarda 22.500’ün üzerinde aktif siteye düşen oldukça organize bir operasyondur.
Siber suçlular, Google nezdinde iyi bir üne sahip olan ve süresi dolmuş alan adlarında sahte mağazalar barındırıyor ve genellikle ayakkabı ve giyim ürünlerini çok düşük fiyatlarla satıyormuş gibi davranıyor.
Siteler yarı otomatik olarak oluşturuluyor ve özel adlar ve logolar içeriyor, dolayısıyla mağazanın kalitesini ve bununla birlikte algılanan meşruiyetini artırmaya yönelik bir miktar çaba var.
Kaynak: SLR
Bu sitelerdeki ödeme sayfaları ya kurbanların iletişim ve kredi kartı bilgilerini topluyor ya da insanların PayPal, Stripe ve asla alamayacakları var olmayan siparişler için kredi kartı ödemeleri yoluyla paralarını çalıyor.
SRLabs, siber suç grubunun, hizmet olarak altyapı modeli altında faaliyet gösteren özel rollere sahip farklı ekiplerden oluştuğunu söylüyor.
SRLabs raporunda şöyle yazıyor: “Grup bir ‘hizmet olarak altyapı’ modelini benimsemiştir: Altyapı yönetiminden çekirdek bir ekip sorumluyken, merkezi olmayan bir franchise sahipleri ağı sahte mağazalar işletiyor.”
“BogusBazaar çekirdek ekibi altyapıyı dağıtıyor ve yalnızca az sayıda sahte web mağazası işletiyor gibi görünüyor. Çekirdek ekip, yazılım geliştirmekten, arka uçları dağıtmaktan ve dolandırıcılık operasyonlarını destekleyen çeşitli WordPress eklentilerini özelleştirmekten sorumludur.”
Araştırmacılar, operasyonun arkasındaki yönetim ve geliştiricilerin para ve veri çalmak için özelleştirilmiş WooCommerce WordPress eklentileri oluşturduğunu söylüyor. Bu ekip, muhtemelen test amaçlı olarak yalnızca az sayıda sahte mağaza işletiyor.
BogusBazaar mağazalarının büyük çoğunluğu, mağazaların günlük operasyonlarını yönetmek için çekirdek ekip tarafından sağlanan araçları kullanan, kapsamlı, merkezi olmayan bir franchise ağı tarafından işletilmektedir.
Web mağazaları, ödeme ağ geçitleri ve yönetim uygulamaları ayrı bir altyapıda barındırılır.
Operasyonun Çin’den yönetildiğine inanılırken BogusBazaar sunucularının çoğu Amerika Birleşik Devletleri’nde bulunuyor. Bu sunucuların her biri 200 ila 500 arasında web mağazasını barındırır ve Cloudflare’in arkasına gizlenerek bir dereceye kadar anonimlik sunar.
SLR, BogusBazaar ile ilgili URL’lerin ve IoC’lerin tam listesini yetkililer ve diğer paydaşlarla paylaştı.
BleepingComputer ayrıca aktif alan adlarının listesini de inceledi ve mağazaların çoğu kapatılmış ve şu anda Cloudflare hataları gösteriyor olsa da birçoğu hala çalışıyor.
Web mağazası meşruluğunun onaylanması
Bir çevrimiçi mağazanın orijinal olduğunu doğrulamak için tüketicilerin iletişim bilgilerini kontrol etmeleri, iade politikasını incelemeleri, güven mühürlerini kontrol etmeleri, genel olarak web sitesi içeriğine göz atmaları ve sosyal medyadaki varlığını kontrol etmeleri önerilir.
Yukarıdakileri yaparak tüketiciler, web sayfalarının aceleyle mi yoksa yüksek profesyonel standartlarla mı oluşturulduğunu tespit edebilirler.
Ayrıca, BleepingComputer tarafından incelenen sahte web mağazalarının çoğu, orijinal fiyatın üzeri çizili olan ve %50’nin üzerinde indirimle sunulan yeni fiyatların yer aldığı bir ürün listesinden oluşan benzer bir şablon kullanıyor.
Ayrıca, çevrimiçi incelemeleri okuyun, yerel tüketici koruma kuruluşlarının duyurularını takip edin ve SRLabs’ın Alman pazarı için önerdiği buna benzer çevrimiçi kontrol araçlarını kullanın.