Étant donné que nous entrons dans la haute saison de vente au détail, vous trouverez des avertissements de cybersécurité avec un thème "Black Friday" partout sur Internet…
… y compris, bien sûr, ici même sur Naked Security !
Comme les lecteurs réguliers le savent, cependant, nous ne sommes pas très intéressés par les conseils en ligne spécifiques au Black Friday, car la cybersécurité compte 365 jours et quart par an.
Ne prenez pas la cybersécurité au sérieux uniquement lorsque c'est Thanksgiving, Hannukah, Kwanzaa, Noël ou toute autre fête de cadeaux, ou uniquement pour les soldes du Nouvel An, les soldes de printemps, les soldes d'été ou toute autre opportunité de remise saisonnière.
Comme nous l'avons dit lorsque la saison de vente au détail a débuté plus tôt ce mois-ci dans de nombreuses régions du monde :
La meilleure raison d'améliorer votre cybersécurité à l'approche du Black Friday est que cela signifie que vous améliorerez votre cybersécurité pour le reste de l'année et vous encouragera à continuer à vous améliorer jusqu'en 2023 et au-delà.
Cela dit, cet article concerne une escroquerie de marque PayPal qui nous a été signalée plus tôt cette semaine par un lecteur régulier qui pensait qu'il valait la peine d'en avertir les autres, en particulier pour ceux qui ont des comptes PayPal qui pourraient être plus enclins à les utiliser à cette période de l'année que toute autre.
Le bon côté de cette arnaque est que vous devriez le repérer pour ce qu'il est : un non-sens inventé.
La mauvaise chose à propos de cette arnaque est qu'il est étonnamment facile à configurer pour les criminels et qu'il évite soigneusement d'envoyer des e-mails frauduleux ou de vous inciter à visiter de faux sites Web, car les escrocs utilisent un service PayPal pour générer leur premier contact via les serveurs officiels de PayPal.
Voici.
L'usurpation d'identité expliquée
A email spoofé est celui qui insiste sur le fait qu'il provient d'une entreprise ou d'un domaine bien connu, généralement en mettant une adresse e-mail crédible dans le From: ligne, et en incluant des logos, des slogans ou d'autres coordonnées copiés de la marque qu'il essaie d'imiter.
N'oubliez pas que le nom et l'adresse e-mail indiqués dans un e-mail à côté du mot From ne font en fait qu'une partie du message lui-même, de sorte que l'expéditeur peut y mettre presque tout ce qu'il veut, quel que soit l'endroit d'où il a réellement envoyé le message.
A site Web usurpé est celui qui copie l'aspect et la convivialité de la réalité, souvent simplement en arrachant le contenu Web exact et les images du site d'origine pour le rendre aussi parfait que possible.
Les sites d'escroquerie peuvent également essayer de rendre le nom de domaine que vous voyez dans la barre d'adresse au moins vaguement réaliste, par exemple en plaçant la marque usurpée à l'extrémité gauche de l'adresse Web, de sorte que vous puissiez voir quelque chose comme paypal.com.bogus.example, dans l'espoir que vous ne vérifierez pas l'extrémité droite du nom, qui détermine en fait à qui appartient le site.
D'autres escrocs tentent d'acquérir des noms similaires, par exemple en remplaçant W (un caractère W-for-Whisky) avec VV (deux caractères V-pour Victor), ou en utilisant I (écrire un caractère majuscule I-pour-Inde) à la place de l (un L-pour-Lima minuscule).
Mais les astuces d'usurpation d'identité de ce type peuvent souvent être repérées assez facilement, par exemple en :
- Apprendre à examiner les soi-disant en-têtes d'un message électronique, qui montre de quel serveur provient réellement un message, plutôt que le serveur à partir duquel l'expéditeur prétend l'avoir envoyé.
- Configuration d'un filtre de messagerie qui recherche automatiquement les escroqueries dans les en-têtes et le corps de chaque e-mail que quelqu'un essaie de vous envoyer.
- Navigation via un réseau ou un pare-feu de terminal qui bloque les requêtes Web sortantes vers de faux sites et rejette les réponses Web entrantes qui incluent du contenu à risque.
- Utilisation d'un gestionnaire de mots de passe qui lie les noms d'utilisateur et les mots de passe à des sites Web spécifiques, et ne peut donc pas être trompé par un faux contenu ou des noms similaires.
Les escrocs par e-mail font donc souvent tout leur possible pour s'assurer que leur premier contact avec des victimes potentielles implique des messages qui proviennent réellement de sites ou de services en ligne authentiques, et qui renvoient à des serveurs qui sont réellement gérés par ces mêmes sites légitimes…
… tant que les escrocs peuvent trouver un moyen de maintenir le contact après ce message initial, afin de maintenir l'arnaque.
Escrocs romantiques, qui essaient d'attirer les victimes dans de fausses relations en ligne afin de leur faire perdre de l'argent, ne connaissent que trop bien cette astuce. Ils commencent généralement par prendre contact de manière conventionnelle sur un véritable site de rencontre, en utilisant les photos et l'identité en ligne de quelqu'un d'autre. Là, ils persuadent leurs victimes de quitter la sécurité relative du site légitime et de passer à un service de messagerie instantanée non supervisé.
L'arnaque à la "demande d'argent"
Voici comment fonctionne l'escroquerie de « demande d'argent » de PayPal :
- L'escroc crée un compte PayPal et utilise le service "demande d'argent" de PayPal pour vous envoyer un e-mail PayPal officiel vous demandant de leur envoyer des fonds. Les amis peuvent utiliser ce service comme un moyen informel mais relativement sûr de partager les dépenses après une soirée, de demander de l'aide pour payer une facture ou même d'être payé pour de petites tâches telles que le nettoyage, le jardinage, la garde d'animaux, etc.
- L'escroc fait ressembler la demande à une charge existante pour un produit ou un service authentique, mais pas celui que vous avez réellement commandé, et probablement pour ce qui ressemble à un prix improbable ou déraisonnable.
- L'escroc ajoute un numéro de téléphone de contact dans le message, offrant apparemment un moyen simple d'annuler la demande de paiement si vous pensez qu'il s'agit d'une arnaque.
Ainsi, l'e-mail provient en fait de PayPal, ce qui lui donne un air d'authenticité, et vous incite à réagir en rappelant les escrocs, plutôt qu'en répondant à l'e-mail lui-même.
J'aime ça:
Etant donné que vous savez très bien que la demande de paiement n'a jamais été autorisée par vous, vous pouvez bien le signaler à PayPal…
… mais il est aussi tentant de téléphoner à « l'entreprise » qui a fait la demande pour lui dire de ne plus vous recontacter la semaine prochaine ou le mois prochain lorsque son « dossier » indique que la « facture » n'a toujours pas été payée.
Après tout, l'appel téléphonique est gratuit (au Royaume-Uni, comme dans de nombreux autres pays, le code de numérotation -800- indique un appel gratuit), et si quelqu'un que vous connaissez vraiment a essayé d'acheter un logiciel de cybersécurité en ligne et de le facturer à votre centime, pourquoi ne pas essayer d'aller au fond des choses et d'empêcher le « paiement » de passer ?
Bien sûr, ce n'est qu'un tas de mensonges : il n'y a pas de programme antivirus ; il n'y a pas eu d'achat ; et personne n'a payé 550 £ à qui que ce soit pour quoi que ce soit.
Les escrocs ont simplement trouvé un moyen d'abuser de la gratuité de PayPal Demande d'argent service pour générer des e-mails qui proviennent vraiment de PayPal, qui incluent de vrais liens PayPal, et qui utilisent le champ de message dans la demande pour vous donner un moyen officiel de les contacter directement…
… tout comme un escroc romantique qui vous drague à bout de bras sur un site de rencontres, puis vous convainc de passer directement à la messagerie, où la plateforme de rencontres ne peut plus superviser ou réguler vos interactions.
Que faire?
La chose la plus rapide et la plus facile à faire, bien sûr, n'est rien !
Les demandes d'argent PayPal sont exactement ce qu'elles disent : un moyen pour vos amis, votre famille, quelqu'un, n'importe qui, de vous inviter à leur envoyer de l'argent de manière raisonnablement sécurisée.
Ils ne sont pas des factures; ils ne sont pas des demandes de paiement; ils sont pas de reçus; et ils sont sans rapport avec un achat existant vous avez fait ou n'avez pas fait via PayPal ou n'importe où ailleurs.
Si simplement vous ne faites rien, alors rien n'est payé et personne ne reçoit rien, donc l'escroquerie échoue.
Nous vous recommandons néanmoins de signaler les fausses demandes de ce type à PayPal, ce qui aidera à fermer le compte incriminé et à garantir que personne d'autre ne paie par peur ou n'appelle le numéro de téléphone indiqué "au cas où".
Quoi que tu fasses, n'envoyez pas d'argent, et définitivement ne rappelle pas les criminels, car leur véritable objectif est d'établir un contact direct afin qu'ils puissent commencer à vous inciter à révéler des informations personnelles qui pourraient vous coûter bien plus que 549.67 £.
Faut-il prévenir les autorités ?
Que ce soit pendant la saison du Black Friday ou à tout autre moment de l'année, nous vous invitons à envisager de signaler les escroqueries de ce type au régulateur ou à l'organisme d'enquête compétent dans votre pays.
Vous n'avez peut-être pas l'impression de faire grand-chose pour aider, et vous n'avez probablement pas le temps de signaler chacun d'entre eux, mais si suffisamment de personnes fournissent des preuves aux autorités, il y a au moins une chance que ils feront quelque chose à ce sujet.
D'autre part, si personne ne dit rien, alors rien ne sera ou ne pourra être fait.
Ci-dessous, nous avons répertorié les liens de signalement d'escroquerie pour divers pays anglophones :
AU : Scamwatch (Commission australienne de la concurrence et de la consommation) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA : Centre antifraude du Canada https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ : Consumer Protection (Ministère des affaires, de l'innovation et de l'emploi) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ UK : ActionFraud (National Fraud and Cyber Crime Reporting Centre) https://www.actionfraud.police.uk/ États-Unis : ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA : Financial Intelligence Center https://www.fic.gov.za /Ressources/Pages/ScamsAwareness.aspx
- Black Friday
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- La perte de données
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- Sécurité nue
- NexBLOC
- PayPal
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- la confidentialité
- Arnaque
- VPN
- la sécurité d'un site web
- zéphyrnet
![S3 Ep 126 : Le prix de la fast fashion (et du fluage des fonctionnalités) [Audio + Texte]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-300x156.png "S3 Ep 126 : Le prix de la fast fashion (et du fluage des fonctionnalités) [Audio + Texte]")
![S3 Ep103 : Scammers in the Slammer (et autres histoires) [Audio + Texte] PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep103-cover-1200-360x188.png "S3 Ep103 : Les arnaqueurs du Slammer (et autres histoires) [Audio + Texte]")
