L’indagine italiana: l’Operazione FashionMirror di Yarix
L'inchiesta condotta dalla divisione Digital Security di Var Group aveva già messo in mostra la galassia dei siti di fake shop
15/05/2024 di Enzo Boldi
La maxi-inchiesta che ha visto unire le forze tre importanti testate giornalistiche del Vecchio Continente (Die Zeit, Le Monde e The Guardian) è figlia del lavoro condotto della società tedesca di consulenza per la sicurezza informatica Security Research Labs. Ma a porre le basi per questa indagine approfondita è stata una realtà italiana che già nel gennaio del 2023 aveva pubblicato i risultati del suo lavoro: l’Operazione FashionMirror, condotta team di Cyber Threat Intelligence di Yarix, la divisione Digital Security di Var Group. Proprio da lì è iniziato tutto. Dalla scoperta di questa galassia di siti fake shop che avevano un’origine comune (la Cina) e che truffavano gli utenti online attraverso varie modalità: dal mancato invio dei prodotti (di marca) acquistati, all’invio di prodotti contraffatti, fino al furto dei dati di pagamento.
LEGGI ANCHE > L’enorme galassia dei siti fake shop
Dunque, tutto è partito lo scorso anno, quando è stata annunciata l’Operazione FashionMirror con la segnalazione alle autorità preposte al controllo della sicurezza della rete (la Polizia Postale). L’indagine, infatti, ha portato all’individuazione di oltre 13mila siti truffa, di cui oltre 1.200 erano associati a noti marchi italiani. Il tutto, ovviamente, in modo fraudolento.
«Le analisi del team di Threat Intelligence sul codice, i server e i servizi utilizzati nel backend dell’infrastruttura – come i gateway di pagamento o i servizi email usati dai threat actor – hanno permesso agli esperti di attribuire la rete di shop fraudolenti a un gruppo di origine cinese.
Per occultare la localizzazione del server, il threat actor sfruttava dei servizi CDN (Content Delivery Network), ovvero un network globale di data center collegati su reti differenti che facilitano la distribuzione dei contenuti web. In questo modo, non rivelava il reale hosting provider e le coordinate del server.
Grazie a questo stratagemma, il 90% dell’infrastruttura appariva collocata negli USA, Panama e Turchia; analisi più approfondite sulla posizione reale del server hanno permesso di rilevare delle tracce dell’infrastruttura criminale anche in Europa».
Si tratta, dunque, dello stesso sistema individuato da Security Research Labs. Dunque, è l’Operazione FashionMirror di Yarix aveva già fatto emergere, dal gennaio del 2023, l’esistenza di questo ecosistema di fake shop.
Operazione FashionMirror, l’indagine italiana sui fake shop
Per capire la profondità di questa rete fraudolenta, Giornalettismo ha ricevuto i dati aggiornati di questa indagine direttamente da Var Group, in modo tale da avere un quadro ancor più definito.
- Dati 2023: 112mila ordini in stato di “processing” o “completed” (transazioni in cui il pagamento è stato effettivamente effettuato con carta/PayPal, in diverse valute); 102 mila ordini erano in USD/EUR, per un fatturato totale di circa 7,5-8 milioni di euro. 14.900 ordini erano stati piazzati da persone residenti in Italia, per un valore totale di oltre 1 milione di euro.
- Dati 2024: grazie alle analisi effettuate è stato possibile contare 425.000 ordini effettuati, per un totale di 123.332.011€. Di questi, sono verosimilmente andati a buon fine acquisti per 92.782.298€. Preso il giro d’affari totale, 15.327.180€ erano relativi a ordini di utenti residenti in Italia. Di questi, sono verosimilmente andati a buon fine ordini per 3.429.706 €.
Numero impressionanti, con buona parte delle vittime tra i cittadini europei e americani.