Kinesiske fupbutikker vælter atter frem på danske domæner
Svindlere har travlt med at købe danske domæner og opsætte fup-butikker på dem. Det viser en kortlægning, som indehaver af web-konsulentfirmaet EIT Henrik Bjørner står bag, og som han har lagt ud på følgende hjemmeside.
Ifølge kortlægningen har personer, der lader til at have tilknytning til Kina, alene i maj måned i år registreret 94 danske domæner (i skrivende stund per 24. maj, red.)
Det er det højeste antal domæner, som personer med relation til Kina har registeret i løbet af en måned siden november 2014.
I den anledning omtalte Version2 også, at der var et boom i antallet af domæne-registreringer med relation til Kina.
På langt størstedelen af de nyregistrerede maj-domæner er der - ligesom det tidligere har været tilfældet - i løbet af kort tid efter registreringen dukket en af de såkaldte fup-webbutikker op. Det er hjemmesider, der skilter med billige mærkevarer.
Mange fupbutikker blev lukket
Henrik Bjørner peger på, at en del af forklaringen på, hvorfor der er kommet et boom i antallet af falske web-butikker her i maj, kan være, at anklagemyndigheden i februar i år beslaglagde 423 .dk-domæner, der var mistænkt for at huse fupbutikker.
»De (bagmændene, red.) har fået lukket en masse butikker, og så vil jeg tro, de skal have fyldt lagrene med fupbutikker op igen,« siger Henrik Bjørner.
Peter Kruse, partner i it-sikkerhedsfirmaet CSIS, kan nikke genkendende til, at der for tiden er godt gang i opsætningen af kinesiske fup-butikker på danske domæner.
Han advarer generelt folk mod at handle sådanne steder, selvom det faktisk sker, at folk får varer tilsendt uden direkte at få misbrugt deres betalingskortoplysninger.
»Mange gange ser vi faktisk, at folk får varerne, og der sker ikke misbrug. Men det bliver nogle varer, du måske ikke bliver så glad for. Du regner med at få nogle ægte varer, og så går dine Nike-sko fra i sømmene i løbet af et par dage,« siger Peter Kruse og tilføjer:
»Jeg har hørt om en, der bestilte, og så begyndte fødderne at klø. Det gav simpelthen eksem, formentlig fordi der er kemikalier i skidtet.«
Peter Kruse fortæller, at der også kan være ringe sikkerhed forbundet med håndteringen af betalingskortoplysninger på en fupbutik, hvor oplysningerne bliver sendt over internettet i klar tekst.
Det var også umiddelbart tilfældet i en test, Version2 lavede på et af maj-domænerne i den liste, Henrik Bjørner har sammensat.
Automatisk scanning
Bag listen ligger en hjemmestrikket algoritme, der automatisk holder øje med, hvilke domæner der bliver slettet hos den danske domæneadministrator DK-Hostmaster for så hurtigt at blive opkøbt igen af en ny ejer.
Et typisk mønster er, at der kort efter sådan et genkøb dukker en fupbutik op på hjemmesiden, som tidligere handlede om noget helt andet.
På Henrik Bjørners automatisk genererede liste er der således domæner som udrensningskursus.dk og pilegaard-smykker.dk, der nu ser ud til at have fået kinesiske ejere, der sælger sko via shop-skabeloner, som ligner hinanden til forveksling.
Peter Kruse fortæller, at svindlerne på den måde kan udnytte, at domænerne måske allerede har en eller anden værdi hos Google, så de er synlige i søgeresultater.
»En af fordelene ved at genbruge gamle domæner er, at de typisk rangerer et eller andet sted i Googles søgemaskine. Det udnytter de også.«
I alt kigger algoritmen bag listen på 34 parametre, hvor Henrik Bjørner gerne vil hemmeligholde hovedparten, så svindlerne ikke får for gode ideer til at omgå detekteringen.
»Jeg har analyseret fupbutikker på kryds og tværs, og der er en række kendetegn for dem,« siger Henrik Bjørner.
Nogle af parametrene vil han dog godt løfte sløret for.
Eksempelvis spotter algoritmen typiske fejloversættelser, som indikerer (dårlig) maskinoversættelse, samt mærkelige øre-decimaler på priser, så en sko eksempelvis koster 754,21 kr. Algoritmen fanger også, om der er brugt et punktum til decimal-adskillelse i stedet for et komma.
Alt sammen indikatorer for, at der er tale om en mere eller mindre standard-skabelon, der plejer at indikere fupbutik.
Ikke alle domænerne, som Henrik Bjørners system registrerer som svindel-butikker, er registrerede i Kina, men det gælder langt hovedparten af dem.
Der er eksempelvis også nogen, der umiddelbart ser ud til at have danske registranter, men hvor hjemmesiden stadig bærer de samme karakteristika, som de kinesisk-registrerede svindel-butikker.
I tilfældet med de dansk-registrerede domæner har Version2 tidligere kunnet fortælle, hvordan intetanende danskeres identitet er blevet misbrugt i forbindelse med registreringen.
DK-Hostmaster øgede sidste år validering i forbindelse med domæneregistrering, men i udgangspunktet kun for danskere, da valideringen foregår via de danske CVR- og CPR-systemer.
Og dermed går valideringstiltagene altså umiddelbart uden om de personer med tilknytning til Kina, der ifølge Henrik Bjørners liste står bag langt hovedparten af fupbutikkerne.
Åben høring
Hos Dansk Internet Forum (DIFO), der ejer DK-Hostmaster, er man dog klar over, der er et problem. Organisationen har således indkaldt til en åben høring, som har til formål at belyse, hvordan ulovlig e-handel og andre krænkelser på internettet via danske domæner kan bekæmpes.
Ifølge en meddelelse på DK-Hostmasters hjemmeside udtaler bestyrelsesformand i Difo, Henrik Udsen:
»Vi ønsker, at det danske .dk domæne skal være blandt de bedste og reneste i verden samtidig med, at vi ikke vil gå på kompromis med retssikkerheden for alle vores lovlige brugere. Derfor vil vi drøfte med det danske internetsamfund, hvordan vi håndterer misbrugere af vores domænenavne.«
I dag kræver suspension af et domænenavn typisk en afgørelse fra Klagenævnet for Domænenavne eller domstolene, mens Difo kun griber ind i situationer, hvor der eksempelvis foregår spredning af malware eller phishing via et domæne.
Noget af det, der vil blive vendt på høringen er, om Difo skal gribe ind direkte i flere tilfælde.
Administrerende direktør i DK-Hostmaster Jakob Truelsen udtaler ifølge meddelelsen:
»Vi har stor interesse i at høre, om det danske internetsamfunds holdning til disse emner har ændret sig. Særligt på baggrund af nogle af de sager, der har været på det seneste. Vi vil ligeledes gerne have input til, hvordan vi kan bidrage til at bekæmpe ulovlige aktiviteter på den danske del af internettet.«
Både Henrik Bjørner og Peter Kruse har tænkt sig at deltage i høringen, som finder sted 6. juni kl. 9-15 på Marriott Hotel, København.
Om høringstiltaget siger Peter Kruse:
»Det er vigtigt ikke bare at få sat fokus på de her fupbutikker, men i det hele tage få sat fokus på ondsindede domæner, som kan være alt fra phishing til falske banker.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
