‘BogusBazaar’ adı verilen 75.000 sahte çevrimiçi mağazadan oluşan devasa bir sahte e-ticaret ağı, ABD ve Avrupa’da yaklaşık 3 yılda 850.000’den fazla kişiyi alışveriş yapmaları için kandırarak suçluların kredi kartı bilgilerini çalmasına ve tahmini 50 milyon dolarlık sahte siparişi işleme koymasına olanak sağladı. Ek olarak, çalınan milyonlarca kredi kartı bilgisi dark web pazarlarında yeniden satılarak diğer tehdit aktörlerinin bunları satın almasına ve yetkisiz çevrimiçi alışverişler gerçekleştirmesine olanak sağladı.
Kurbanların çoğu Amerika Birleşik Devletleri ve Batı Avrupa’da yoğunlaşmış durumda. Aynı zamanda, dolandırıcılık operasyonunun operasyonel üssü olduğu düşünülen Çin’den neredeyse hiç mağdur yok. Alman siber güvenlik firması Security Research Labs’ın raporuna göre BogusBazaar, 2021’den bu yana 75.000’den fazla sahte web mağazası açan ve son zamanlarda 22.500’den fazla aktif sitede aktif olan oldukça organize bir e-ticaret dolandırıcılık operasyonu.
Siber suçlular, Google’da iyi bir üne sahip olan ve daha önce süresi dolmuş alan adlarında sahte mağazalar barındırıyor ve genellikle çok düşük fiyatlarla ayakkabı ve giyim ürünleri satıyormuş gibi davranıyor. Siteler yarı otomatik olarak oluşturuluyor ve özel isimler ve logolar içeriyor, bu nedenle kaliteyi ve bununla birlikte mağazanın algılanan meşruiyetini artırmak için özel bir çaba sarf ediliyor.
Bu sözümona e-ticaret sitelerinde yer alan ödeme sayfaları ya kurbanların iletişim ve kredi kartı bilgilerini toplamakta ya da asla alamayacakları siparişler için PayPal, Stripe ve kredi kartı ödemeleri yoluyla insanların paralarını çalmakta. SRLabs, siber suç grubunun organize olduğunu ve bir hizmet olarak altyapı modeli altında çalışan özel rollere sahip farklı ekipler içerdiğini söylüyor.
SRLabs raporu “Grup ‘hizmet olarak altyapı’ modelini benimsemiştir: Merkezi olmayan bir franchise ağı hileli mağazaları işletirken, çekirdek bir ekip altyapı yönetiminden sorumludur,” diyor ve ekliyor: “BogusBazaar çekirdek ekibi altyapıyı dağıtıyor ve yalnızca az sayıda sahte web mağazası işletiyor gibi görünüyor. Çekirdek ekip yazılım geliştirmekten, arka-yüzü konuşlandırmaktan ve dolandırıcılık operasyonlarını destekleyen çeşitli WordPress eklentilerini özelleştirmekten sorumludur.”
Araştırmacılar, sahte e-ticaret operasyonunun arkasındaki yönetim ekibi ve geliştiricilerin para ve veri çalmak için kullanılan özelleştirilmiş WooCommerce WordPress eklentileri oluşturduğunu söylüyor. Bu ekip, muhtemelen test amaçlı olarak yalnızca az sayıda sahte mağaza işletiyor. BogusBazaar mağazalarının büyük çoğunluğu ise mağazaların günlük operasyonlarını yönetmek için çekirdek ekip tarafından sağlanan araçları kullanan geniş, merkezi olmayan bir franchise ağı tarafından işletilmektedir.
Operasyonun Çin’den yönetildiği düşünülse de BogusBazaar sunucularının çoğu ABD’de yer alıyor. Bu sunucuların her biri 200 ila 500 arasında web mağazasına ev sahipliği yapıyor ve Cloudflare arkasında gizlenerek bir dereceye kadar anonimlik sunuyor. SLR, BogusBazaar ile ilgili URL’lerin ve IoC’lerin tam listesini yetkililer ve diğer paydaşlara ilettiğini açıklıyor.
Bir çevrimiçi mağazanın gerçek olduğunu teyit etmek için tüketicilerin öncelikle https uzantısına bakmaları, sonra mağaza iletişim bilgilerini kontrol etmeleri, iade politikasını incelemeleri, güven mühürlerini kontrol etmeleri, genel olarak web sitesi içeriğine göz atmaları ve sosyal medyadaki varlığını kontrol etmeleri öneriliyor.
