Personer med relation til Kina overtager systematisk og på en nærmest daglig basis eksisterende danske domænenavne, så snart de udløber. Og ofte dukker der, hvad der ligner en falsk webbutik op på domænet, kort tid efter det er blevet registreret på ny.
Det indikerer en kortlægning, som it-konsulent og ejer af enkeltmandsvirksomheden EIT Henrik Bjørner står bag. Den foreløbige kortlægning, som Henrik Bjørner har gjort tilgængelig på nettet, viser, at der siden 14. oktober 2014 er slettet 15.532 danske domænenavne. Ud af dem er 238 opkøbt af personer i Danmark, mens 354 er købt af i Kina.
Og baseret på søgeord er der sat webbutikker op på domænerne på 245 af de 354 registrerede sider med tilknytning til Kina.
Kortlægningen blev Henrik Bjørner inspireret til, fordi han i forbindelse med sit arbejde blandt andet holder øje med ledige domæner, der måtte være af interesse for kunder. Eksempelvis murermester.dk.
Men på det seneste, har han bemærket, at domæner over en bred kam bliver registreret nærmest omgående. Og at dette typisk sker via registranter, der oplyser Kina som bopælsland, og som ofte også opretter en web-butik med mærkevarer på domænet.
»Utroligt mange danske domæne-navne bliver simpelthen opkøbt af personer med tilknytning til Kina. Og der går ikke mange dage, fra domænet bliver ledigt, til der ligger en falsk webshop på det,« siger han.
Det er naturligvis svært at sige med 100 pct. sikkerhed, hvorvidt det faktisk er falske butikker uden at indtaste betalingsoplysninger, men Henrik Bjørner tvivler stærkt på, at der er tale om den ægte vare og reelle tilbud. Butikkerne, som Version2 også har kigget på, ligner da også den type, som blandt andet et domæne under en hjemmeværnsskole tidligere i år fik lagt op, og som it-sikkerhedsvirksomheden CSIS i den forbindelse var ude at advare imod.
Altså sider uden HTTPS-forbindelse med øjensynligt maskinoversat dansk, hvor kendte navne som Visa, PayPal og UPS er sat rundhåndet ind i en billedfil, uden at logoerne dog fører nogen steder, når der bliver klikket på dem. Derudover står der skæve priser ved flere varer. Eksempelvis 336.08 DKK. Og det er særdeles sparsomt med egentlig kontaktoplysninger.
Og ifølge hjemmesiden for e-mærket, som blandt andet Dansk Erhverv og Forbrugerrådet står bag, er det flere af de indikatorer, som viser, der kan være tale om en fup-butik.
Peter Kruse fra CSIS fortæller, at der gennem længere tid har været en stigning i gen-registrering af netop slettede domæner, hvor der dukker falske webbutikker op.
»Alt peger på Kina. Det ser ud, som om det primært er en 2-3 grupper, der står bag,« siger Peter Kruse.
Han fortæller, at fra tid til anden modtager kunderne i web-forretningerne faktisk en vare. Men hvis der faktisk kommer en vare frem, er der tale om et ulovligt kopiprodukt:
»Det er kopivare-butikker i Kina, man køber hos, og det er kopivarer man får tilsendt. Og det er ulovligt i Danmark.«
Peter Kruse forklarer endvidere, at pointen med at vælge eksisterende danske domænenavne er, at bagmændene kan lukrere på den eventuelle tillid hos forbrugerne og på den Google page-ranking, siderne måtte have i forvejen.
Ifølge Peter Kruse er det forventeligt at fremkomsten af fup-butikkerne griber om sig netop nu inden jul, hvor folk er på jagt efter julegaver på nettet, og hvor fup-webbutikkerne derfor forsøger at fange forbrugernes opmærksomhed i blandt andet søgeresultater på linje med reelle forretninger.
Webcrawler spotter butikker
Henrik Bjørner har udviklet et system, der automatisk indhenter lister over domæner, der bliver ledige. Disse informationer bliver efterfølgende sammenkørt med oplysninger fra den danske domæneadministrator DK Hostmaster. På den måde er det muligt at se, hvornår domænerne bliver gen-registreret, samt hvilket land registranten kommer fra.
De øjensynligt falske webbutikker identificerer Henrik Bjørnes system også automatisk. Det foregår med en webcrawler, der undersøger de ny-registrerede sider for, hvorvidt brandnavne som Nike og Armani optræder i sidernes titler, og om der er koblet betalingsfaciliteter på siden også.
»Der ligger en butiks-skabelon, som de lige lægger på. Og det er stort set hver nat, domæner bliver opkøbt på den måde,« siger Henrik Bjørner.
Hans webcrawler har også spottet flere domæner, som ser ud til at være blevet gen-registreret i Danmark og andre lande uden for Kina, men som også indeholder de falske webbutikker af samme type, som domænerne, hvor registranten oplyser Kina som bopælsland.
Udover web-butikker er der også oprettet kloner på flere af domænerne. Det vil sige en kopi af det tidligere indhold, der lå på siden, hentet ind via den historiske internetsøgemaskine, Wayback-machine.
»Jeg frygter, at vi inden længe vil se links på disse domæner, der fører brugerne hen til de falske web-butikker.«
På den måde kan brugerne får det indtryk, at personen der tidligere var forbundet med domænet på en eller anden måde anbefaler web-butikken, forklarer Henrik Bjørner.
Henrik Bjørnes system kører døgnet rundt og holder således også øje med, om der sker en udvikling i forhold til indhold eller andet på de registrerede domæner. Domænerne, som bliver registreret fra Kina, har nogle karakteristika, fortæller han. De indeholder ikke de danske bogstaver æøå, og så har de en Google Pagerank på mindst 1. Det er et pointsystem, der går fra 0-10, og som Google bruger til at vurdere, hvor højt domæner skal placeres i søgeresultater.
DK Hostmaster: Vi fører ikke tilsyn med domæne-anvendelse
Hos den danske domæneadministrator, DK Hostmaster, kalder vicedirektør Lise Fuhr det for bekymrende, når danske domæner bliver misbrugt.
»DK Hostmaster fører dog ikke tilsyn med, hvad et registreret .dk domænenavn anvendes til i praksis. Det er op til politiet eller de danske domstole at vurdere, om der foregår ulovlige aktiviteter på et givent .dk domænenavn,« skriver hun i en mail.
Desuden påpeger Lise Fuhr, at registranter - også i udlandet i forbindelse med domæneregistrering modtager et brev fra DK Hostmaster på den postadresse, der er opgivet i forbindelse med registreringen.
»I dag sender vi et fysisk brev til alle registranter af domænenavne i forbindelse med oprettelsen. Dette sker for at validere registrantens navn og adresse. Fra 1. marts 2015 vil vi desuden samkøre oplysningerne om navn og adresse for registranterne med oplysningerne i de danske CPR – og CVR-systemer. For de udenlandske registranter er en sådan samkøring dog ikke mulig, da vi ikke har adgang til lignende systemer i udlandet.«
Fakta
Henrik Bjørners system kører 24 gange i døgnet. Siden d. 14. oktober 2014 der slettet 15.532 danske domænenavne, ud af dem er 238 opkøbt af danske personer, mens 354 er købt af personer fra Kina. I skrivende stund har Henrk Bjørner placeret 245 af domænerne med tilknytning til Kina i kategorien 'shop' - altså det, der med al overvejende sandsynlighed dækker over en fup webbutik.
Kilde: eit.dk/fup og Henrik Bjørner
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
