英國「衛報」、德國「時代週報」、法國「世界報」聯合展開的一項國際調查,揭露了英國特許貿易標準協會(CTSI)所稱「世上最大網路詐騙騙局之一」的運作機制,該騙局共建立七萬六千個假網站,受害人數八十萬且幾乎全在歐美,專家研判該騙局藏鏡人主要目的應不在錢財,反倒是信用卡詳細資訊和其他敏感個資,幕後主使者可能來自中國福建省。
假商店多達7.6萬個 80萬人受害
「衛報」八日獨家報導指出,騙局幕後主使者架設多達七.六萬個假貨網路商店兜售設計師品牌。奇怪的是,許多受騙且嘗試購物的人並沒有真的賠錢,有可能是銀行阻止了付款,也可能是這些假冒商店沒有處理該付款,但它們都拿到所有受騙者的個人資料。「衛報」估計多達八十萬人給了電子郵件地址,其中四十七.六萬人更交出記帳卡與信用卡資訊及其安全碼,遑論姓名、電話和郵寄地址。
刷完卡沒出貨也沒請款
此一騙局的運作是聘請程式設計師以工業規模運作該些網站,二○一五年起陸續創立數以萬計的多國語言版假貨網路商店,聲稱提供迪奧、耐吉、普拉達等眾多名牌折扣商品,引誘購物者交出金錢和敏感個資,光是過去三年就有多達逾萬筆交易進行,多數消費者刷卡後未收到商品;商店也未就每筆訂單向銀行請求支付,但專家估計騙走多達五百萬歐元,其中二.二五萬家商店還在營業。
個資恐落入中國政府手中
CTSI官員哈特表示,這「通常是嚴重且有組織的犯罪集團一環」,「他們正收集數據,日後可能將其用於攻擊民眾,並使消費者更易受網路釣魚影響。」世界知名電腦安全軟體公司「ESET」全球網路安全顧問摩爾進一步點出,「數據是新貨幣」,這類個人資料庫對於有意進行監視的外國情報機構可能很有價值,尤其「必須假設中國政府可能獲得這些數據」。
與企業合作保護其系統不受網路攻擊的「安全研究實驗室」(SR Labs)指出,該騙局是在兩個層面上進行。首先是信用卡收割,即取得資料但不拿錢;其次是假冒銷售,犯罪者拿走了錢。有證據表明,該網路透過PayPal、Stripe和其他支付服務處理付款,在某些情況下直接從金融卡或信用卡處理付款。
調查發現,該網路許多IP(網際網路協定)位址可以追溯到中國,似乎起源於福建省,其中一些可以追溯到莆田市和福州市。追查到的薪資文件顯示,網路工程師與資料收集者的雇主是「福州中慶(譯音,Fuzhou Zhongqing)網路科技有限公司」,目前還不清楚與網路騙局有何連結。該公司在中國向官方註冊,被描述為「主要生產運動鞋、時尚服裝、品牌箱包等系列的外貿公司」。該公司對此尚無回應。自由時報0508