Black Friday og detailsæson – pas på PayPal-svindel med "pengeanmodninger".

I betragtning af at vi nærmer os højsæsonen for detailhandel, vil du finde advarsler om cybersikkerhed med et "Black Friday"-tema overalt på internettet...

... inklusive selvfølgelig lige her på Naked Security!

Som almindelige læsere vil vide, er vi dog ikke særligt opsatte på online tips, der er specifikke for Black Friday, fordi cybersikkerhed betyder noget 365 og et kvarter om året.

Tag ikke cybersikkerhed alvorligt kun, når det er Thanksgiving, Hannukah, Kwanzaa, jul eller enhver anden gaveuddelingsferie, eller kun til nytårsudsalg, forårsudsalg, sommerudsalg eller enhver anden sæsonbestemt rabatmulighed.

Som vi sagde, da detailsæsonen startede tidligere på måneden i mange dele af verden:

Den bedste grund til at forbedre din cybersikkerhed i optakten til Black Friday er, at det betyder, at du vil forbedre din cybersikkerhed resten af ​​året og vil opmuntre dig til at blive ved med at forbedre dig gennem 2023 og frem.

Når det er sagt, handler denne artikel om et PayPal-mærket svindelnummer, der blev rapporteret til os tidligere på ugen af ​​en almindelig læser, der mente, at det ville være værd at advare andre om, især for dem med PayPal-konti, som måske er mere tilbøjelige til at bruge dem på denne årstid end nogen anden.

Det gode ved denne fidus er, at du skal spotte det for, hvad det er: opdigtet nonsens.

Det dårlige ved denne fidus er, at det er forbavsende nemt for kriminelle at oprette, og det undgår omhyggeligt at sende falske e-mails eller narre dig til at besøge falske websteder, fordi skurkene bruger en PayPal-tjeneste til at generere deres første kontakt via officielle PayPal-servere.

Her går.

Spoofing forklaret

A forfalsket e-mail er en, der insisterer på, at den er fra et velkendt firma eller domæne, typisk ved at indsætte en troværdig e-mailadresse i From: linje, og ved at inkludere logoer, taglines eller andre kontaktoplysninger kopieret fra det brand, den forsøger at efterligne.

Husk at navn og e-mailadresse vises i en e-mail ved siden af ​​ordet From er faktisk bare en del af selve beskeden, så afsenderen kan lægge næsten alt, hvad de kan lide, derinde, uanset hvor de egentlig har sendt beskeden fra.

A forfalsket hjemmeside er en, der kopierer udseendet og fornemmelsen af ​​den ægte vare, ofte blot ved at rippe det nøjagtige webindhold og billeder fra det originale websted for at få det til at se så pixel-perfekt ud som muligt.

Svindelwebsteder kan også forsøge at få domænenavnet, som du ser i adresselinjen til at se mindst vagt realistisk ud, for eksempel ved at placere det forfalskede mærke i venstre ende af webadressen, så du måske kan se noget som f.eks. paypal.com.bogus.example, i håbet om, at du ikke vil tjekke den højre ende af navnet, som faktisk bestemmer, hvem der ejer siden.

Andre svindlere forsøger at erhverve sig lignende navne, for eksempel ved at erstatte dem W (én W-for-Whisky-tegn) med VV (to V-for Victor-tegn), eller ved at bruge I (skriver et stort I-for-India-tegn) i stedet for l (et lille bogstav L-for-Lima).

Men spoofing-tricks af denne art kan ofte spottes ret nemt, for eksempel ved:

• Lær at undersøge de såkaldte headere på en e-mail-meddelelse, som viser hvilken server en besked faktisk kom fra, i stedet for den server som afsenderen hævdede at have sendt den fra.
• Opsætning af et e-mail-filter, der automatisk scanner for svindel i både overskrifterne og brødteksten i hver e-mail, som nogen forsøger at sende dig.
• Browsing via et netværk eller endpoint firewall der blokerer udgående webanmodninger til falske websteder og kasserer indgående websvar, der indeholder risikabelt indhold.
• Brug af en adgangskodemanager, der binder brugernavne og adgangskoder til bestemte websteder, og kan derfor ikke narre af falsk indhold eller lignende navne.

E-mailsvindlere går derfor ofte ud af deres måde at sikre, at deres første kontakt med potentielle ofre involverer beskeder, der virkelig kommer fra ægte websteder eller onlinetjenester, og som linker til servere, der virkelig drives af de samme legitime websteder...

...så længe svindlerne kan finde på en måde at bevare kontakten på efter den første besked, for at holde fidusen i gang.

Romantiske svindlere, der forsøger at lokke ofre ind i falske onlineforhold for at få penge til at tale sødt om dem, kender dette trick kun alt for godt. De starter typisk med at tage kontakt på en konventionel måde på en ægte datingside ved at bruge en andens billeder og online identitet. Der charmerer de deres ofre til at forlade den komparative sikkerhed på det lovlige websted og skifte til en uovervåget en-til-en instant messaging-tjeneste.

"Money request" fidusen

Sådan fungerer PayPal-svindel med "pengeanmodning":

• Svindleren opretter en PayPal-konto og bruger PayPals "pengeanmodningstjeneste". at sende dig en officiel PayPal-e-mail, hvor du bliver bedt om at sende nogle penge til dem. Venner kan bruge denne service som en uformel, men relativt sikker måde at dele udgifter på efter en aften i byen, bede om hjælp til at betale en regning eller endda få betalt for små opgaver såsom rengøring, havearbejde, dyrepasning og så videre.
• Svindleren får anmodningen til at ligne en eksisterende afgift for et ægte produkt eller en tjeneste, dog ikke en du faktisk har bestilt, og sandsynligvis til hvad der ligner en usandsynlig eller urimelig pris.
• Svindleren tilføjer et kontakttelefonnummer i beskeden, tilsyneladende tilbyder en nem måde at annullere betalingsanmodningen, hvis du tror, ​​det er svindel.

Så e-mailen stammer faktisk fra PayPal, hvilket giver den et udtryk af ægthed, og lokker dig til at reagere ved at ringe tilbage til skurkene i stedet for at svare på selve e-mailen.

Sådan her:

Da du er ganske udmærket klar over, at betalingsanmodningen aldrig blev godkendt af dig, kan du godt rapportere den til PayPal...

…men det er også fristende at ringe til den "virksomhed", der har sendt anmodningen igennem, for at fortælle dem, at de ikke skal slå dig igen i næste uge eller næste måned, når deres "optegnelser" viser, at "regningen" stadig ikke er blevet betalt.

Når alt kommer til alt er telefonopkaldet gratis (i Storbritannien, som i mange andre lande, angiver opkaldskoden -800- et gratis opkald), og hvis en du kender virkelig har forsøgt at købe noget online cybersikkerhedssoftware og oplade det til din skilling, hvorfor ikke prøve at komme til bunds og stoppe "betalingen" med at komme igennem?

Selvfølgelig er det hele en pakke løgne: Der er intet antivirusprogram; der var intet køb; og ingen betalte faktisk 550 £ til nogen for noget.

De skurke har simpelthen fundet en måde at misbruge PayPals gratis Pengeanmodning tjeneste til at generere e-mails, der virkelig kommer fra PayPal, som inkluderer rigtige PayPal-links, og som bruger meddelelsesfeltet i anmodningen for at give dig en officielt udseende måde at kontakte dem direkte på...

…ligesom en romantisk svindler, der smutter dig i armslængde på en datingside og derefter overbeviser dig om at skifte til at sende dem direkte, hvor datingplatformen ikke længere kan overvåge eller regulere dine interaktioner.

Hvad skal jeg gøre?

Den hurtigste og nemmeste ting at gøre, er selvfølgelig ingenting!

PayPal pengeanmodninger er præcis, hvad de siger: en måde for venner, familie, nogen, nogen, at invitere dig til at sende dem penge på en rimelig sikker måde.

De er ikke fakturaer; de er ikke betalingskrav; de er ikke kvitteringer; og det er de ikke relateret til noget eksisterende køb du gjorde eller ikke lavede via PayPal eller andre steder.

Hvis du simpelthen ikke gør noget, så bliver intet udbetalt, og ingen modtager noget, så fidusen mislykkes.

Vi anbefaler ikke desto mindre, at du rapporterer falske anmodninger af denne art til PayPal, hvilket vil hjælpe med at få lukket den fornærmende konto og sikre, at ingen andre enten betaler op af frygt eller ringer til det givne telefonnummer "for en sikkerheds skyld".

Hvad end du gør, send ingen pengeog bestemt ring ikke tilbage til de kriminelle, fordi deres sande mål er at etablere direkte kontakt, så de kan begynde at overtale dig til dig for at narre dig til at afsløre personlige oplysninger, der i sidste ende kan koste dig meget mere end £549.67.

Skal du fortælle myndighederne det?

Uanset om det er i Black Friday-sæsonen eller på et hvilket som helst andet tidspunkt af året, opfordrer vi dig til at overveje at rapportere svindel af denne art til den relevante tilsynsmyndighed eller efterforskningsorgan i dit land.

Det føles måske ikke som om du gør meget for at hjælpe, og du har sandsynligvis ikke tid til at rapportere hver og en, men hvis tilstrækkeligt mange mennesker giver nogle beviser til myndighederne, er der mindst en chance for, at de vil gøre noget ved det.

På den anden side, hvis ingen siger noget, så vil eller kan der ikke gøres noget.

Nedenfor har vi angivet links til rapportering af svindel for forskellige engelske lande:

  AU: Scamwatch (Australian Competition and Consumer Commission) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Canadian Anti-Fraud Center https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ: Consumer Protection (Ministry of Business, Innovation and Employment) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ UK: ActionFraud (National Fraud and Cyber ​​Crime Reporting Centre) https://www.actionfraud.police.uk/ USA: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Center https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---