Med ganske almindelige Google-søgninger og 15 minutters arbejdstid finder Sander Grønlund 36 danske domænenavne, der -uden at de ved det - bliver udnyttet til at sælge kopivarer.
Siderne, der blandt andet er oprettet af sportsklubber, skoler og små erhvervsdrivende, er blevet hacket og udnyttes nu af udenlandske snydepelse, der ser en mulighed for at få en bid af den travle, danske Black friday- og julehandel.
Enten ved at henvise intetanende julegavekøbere direkte til fupbutikker eller ved at have fået indlagt uønsket kode fra udefrakommende, der er reelle svindel-butikker.
"Det startede med, at jeg selv var på jagt efter en gave til et familiemedlem, der ønskede sig et par træningsbukser fra Adidas," fortæller Sander Grønlund, der er ejer af Grønlund Web, til Computerworld.
"Da der blev ved med at dukke ulovlige tilbud op, så gik jeg lidt mere struktureret til værks for at se, hvor stort omfanget er. Og det viste sig at være stort," sige han og fortsætter:
"Grunden til jeg mener, at dette fænomen stadig er ret vigtigt at få sat lys på, er, at der er to faresignaler: Danske hjemmesiders webservere bliver fortsat hacket i stor stil, og risikoen for at danskerne falder for de falske butikker, kan være en kostbar omgang for forbrugeren."
Hvordan fandt du butikkerne?
"Jeg søgte bare efter webbutikker, der solgte de Adidas-bukser, jeg var på jagt efter. Det væltede frem med resultater, og mange af dem kom fra domæner, der tilhørte skoler eller håndværkere. Jeg forsøgte også at ringe til to af butikkerne, en i USA og en i Norge, fordi jeg var nysgerrig. Men numrene eksisterede ikke. "
Men på Google bliver fup-siden præsenteret som en sportsbutik for kendte sportsbrands, og inde på sitet fremstår siden som en webshop. De reklamerer med enorme besparelser på kendte kollektioner, hvilket kan lokke godtroende brugere i fælden.
Denne observation kan Foreningen for Dansk Internet Handel (FDIH), der er en sammenslutning af de webhandlende i Danmark, godt nikke genkendende til.
"Fupbutikker er et stigende problem for vores medlemmer. Når handlen rykker ud på nettet, så rykker plattenslagerne desværre også med. Det er en nem måde at snyde folk på," fortæller Niels Ralund, der er administrerende direktør i FDIH.
Gør I noget konkret ved alle disse fupbutikker, der gør livet surt for jeres medlemmer, som er de legale internet-handlende?
"Ja, det gør vi løbende. Vi samarbejder med eksempelvis politiet, Nets, posten og hvem, der ellers kan være aktører. Det kan dog være svært at gøre noget ved fupbutikkerne, da de skal politianmeldes, og da de ofte opererer fra udlandet."
Læs også: It-chef fuppet på nettet: Pas på disse netbutikker
4.500 sider lukket
Det er da heller ikke kun FDIH og Sander Grønlund, der har bemærket problemet.
Faktisk er 4.500 fupbutikker netop blevet pillet af nettet i forbindelse med en kæmpestor Europol-aktion.
De falske produkter, der ofte er udstyret med logoer fra Nike, Adidas, Kenzo eller Rayban er blevet tilbudt via eksempelvis sociale medier til webbrugere i 27 lande, mest europæiske, men også andre lokationer som USA og Canada er berørt, fortæller den europæiske net-politistyrke i forbindelse med razziaen.
Det er heller ikke første gang, at Sander Grønlund har været irriteret over de mange fup-butikker. For to år siden var han også ude med kritik.
Den historie kan du læse her: Masser af uskyldige danske websider sender dig til en fupbutik
Han ser dog en ændring i den måde, der bliver forsøgt snydt på.
En af de ting som han bemærker, er, at hvor det tidligere primært var kinesere, der opkøbte de danske domænenavne og udnyttede dem, er det i 2016 europæiske og amerikanske stråmænd, der bliver brugt.
"Heriblandt amerikanere, englændere, nordmænd og hollændere," fortæller han.
Forskydningen fra Asien til mere nærtliggende lande kan skyldes, at DK Hostmaster har strammet reglerne for at købe domænenavne i Danmark.
"Det er selvfølgelig ikke muligt at gennemskue hvem, der står bag fupbutikkerne. Det kan bare være en stråmand fra Europa eller Danmark, der opkøber domænet og så en sælger, der kommer fra en helt anden del af verden, der drive butikken."
Læs også: Efter lukning af flere hundrede danske fup-websites: Sådan spotter du en fupbutik på nette
Løbeshop fik stjålet teksten
Det kan også være svært for brugerne at vurdere om der er tale om en fup-webside. Elementer som grafik eller tekst vil nemlig ofte være hugget fra de lovlige sider, hvilket en butik som Løbeshop.dk har oplevet.
"Vi har tidligere brugt en del tid på det problem i samarbejde med en skofabrikant. I den forbindelse var der fup-butikker, der havde kopieret vores tekster, handelsbetingelser og lignende fra websiden. Svindlerne solgte ofte kopi-sko. Det er ikke et problem lige nu, men det svinger op og ned, "siger Jonas Mørkøre Andersen, der er CEO i web-butikken Løbeshop.
"Vi fik også tilbagemeldinger fra politiet, der kunne fortælle, at de var lykkedes med at lukke nogle af disse sider ned i Kina."
Udnytter eksisterende websider
En anden, og meget benyttet måde at promovere sin fupbutik på, er ved at udnytte andres webside og status i Googles søgehierarki.
"Virksomheder, sportsklubber og skolers hjemmesider og ry bliver udnyttet af udenlandske snydepelse, der ser en mulighed for at få en bid af den travle, danske julehandel," siger Sander Grønlund efter jagten på fup-siderne.
Websiderne er stadig ejet af den oprindelige registrant, og fremstår også som de altid har gjort. Men her har de ubudne gæster så været på spil og indlagt koder på serveren, så en ellers stadig funktionel hjemmeside bliver brugt som reklamesøjle for fupbutikkerne.
Og det er faktisk ikke særlig svært at udnytte en eksisterende hjemmeside, fortæller en sikkerhedsekspert.
"Det grundlæggende problem er, at mange indehavere af websider ikke ved nok om sikkerheden," siger Peter Kruse, der er sikkerhedsekspert i firmaet CSIS.
"De får ikke opdateret deres CMS, hvilket betyder, at de er lette mål for hackere. Er der en sårbarhed, der ikke er lukket i et CMS, så er det meget enkelt for eksempelvis en fup-butik at lægge sit eget indhold op på den pågældende side," fortsætter han.
Der skal bare lægges lidt kode op. Den kan så enten henvise til en ekstern side eller være en underside, der tilbyder sko, solbriller, tasker eller andre produkter.
"Problemet kan løses ved, at firmaernes CMS opdateres løbende."
Er det nemt at implementere den ondsindede kode?
"Ja, det er pivnemt. I de kriminelle miljøer er der masser af skabeloner til de forskellige CM-systemer, der bare kan skydes afsted efter et sårbart system."
Ved at benytte denne fremgangsmåde kan fup-butikkerne også snylte på den ranking, som ofrets webbutik har på Google, fordi Google bare ser den ondsindede side som en del af den lovlige webside.
Hvordan bliver forbrugerne ellers ramt af disse fup-sider?
"Det kan være gennem spam på blog posts, via e-mail eller der kan reklameres via Google eller Facebook. Ofte sendes spam via eksempelvis Facebook-apps, som brugerne installerer og som ubemærket spamer denne form for reklamer afsted," lyder det fra sikkerhedsmanden.
Hvis du anvender et CMS, og er du i tvivl om, der er sårbarheder, som kan udnyttes, kan du gratis få testet og skannet dit system på Swept.eu.
Det er et EU-initiativ, der er udviklet for at beskytte mindre virksomheder og deres CMS mod dårlig sikkerhed.