Black Friday dan musim ritel – hati-hati terhadap penipuan “permintaan uang” PayPal

Mengingat kita memasuki musim ritel puncak, Anda akan menemukan peringatan keamanan siber dengan tema "Black Friday" di seluruh internet…

…termasuk, tentu saja, di Naked Security ini!

Namun, seperti yang diketahui oleh pembaca biasa, kami tidak terlalu tertarik dengan tip online yang khusus untuk Black Friday, karena keamanan siber penting 365 seperempat hari dalam setahun.

Jangan menganggap serius keamanan dunia maya hanya saat Thanksgiving, Hannukah, Kwanzaa, Natal, atau hari libur pemberian hadiah lainnya, atau hanya untuk Obral Tahun Baru, Obral Musim Semi, obral Musim Panas, atau peluang diskon musiman lainnya.

Seperti yang kami katakan saat musim ritel dimulai awal bulan ini di banyak bagian dunia:

Alasan terbaik untuk meningkatkan keamanan siber Anda menjelang Black Friday adalah bahwa itu berarti Anda akan meningkatkan keamanan siber Anda untuk sisa tahun ini, dan akan mendorong Anda untuk terus meningkatkan hingga tahun 2023 dan seterusnya.

Karena itu, artikel ini adalah tentang penipuan bermerek PayPal yang dilaporkan kepada kami awal minggu ini oleh pembaca reguler yang menganggap perlu memperingatkan orang lain, terutama bagi mereka yang memiliki akun PayPal yang mungkin lebih cenderung menggunakannya di kali ini tahun daripada yang lain.

Hal yang baik tentang penipuan ini adalah bahwa Anda harus melihatnya apa adanya: omong kosong yang dibuat-buat.

Hal buruk tentang penipuan ini adalah sangat mudah bagi penjahat untuk mengaturnya, dan dengan hati-hati menghindari pengiriman email palsu atau menipu Anda untuk mengunjungi situs web palsu, karena penjahat menggunakan layanan PayPal untuk membuat kontak awal mereka melalui server resmi PayPal.

Ini dia.

Spoofing dijelaskan

A email palsu adalah salah satu yang menegaskan itu dari perusahaan atau domain terkenal, biasanya dengan memasukkan alamat email yang dapat dipercaya di From: line, dan dengan menyertakan logo, tagline, atau detail kontak lainnya yang disalin dari merek yang ingin ditiru.

Ingatlah bahwa nama dan alamat email ditampilkan di email di sebelah kata From sebenarnya hanyalah bagian dari pesan itu sendiri, sehingga pengirim dapat memasukkan hampir semua hal yang mereka sukai di sana, terlepas dari mana mereka sebenarnya mengirim pesan tersebut.

A situs palsu adalah salah satu yang menyalin tampilan dan nuansa dari hal yang nyata, seringkali hanya dengan merobek konten web dan gambar yang sama persis dari situs asli untuk membuatnya terlihat sesempurna mungkin.

Situs penipuan mungkin juga mencoba membuat nama domain yang Anda lihat di bilah alamat terlihat realistis secara samar-samar, misalnya dengan meletakkan merek palsu di ujung kiri alamat web, sehingga Anda mungkin melihat sesuatu seperti paypal.com.bogus.example, dengan harapan Anda tidak akan mencentang ujung kanan nama, yang sebenarnya menentukan siapa pemilik situs tersebut.

Penipu lain mencoba mendapatkan nama yang mirip, misalnya dengan mengganti W (satu karakter W-untuk-Whisky) dengan VV (dua karakter V-untuk Victor), atau dengan menggunakan I (menulis karakter I-untuk-India huruf besar) menggantikan l (huruf kecil L-untuk-Lima).

Namun trik spoofing semacam ini seringkali dapat ditemukan dengan cukup mudah, misalnya dengan:

• Mempelajari cara memeriksa apa yang disebut tajuk pesan email, yang menunjukkan dari server mana pesan sebenarnya berasal, bukan dari server yang diklaim pengirim sebagai asalnya.
• Menyiapkan filter email yang secara otomatis memindai penipuan di header dan isi setiap pesan email yang coba dikirim siapa pun kepada Anda.
• Menjelajah melalui jaringan atau firewall titik akhir yang memblokir permintaan web keluar ke situs palsu dan membuang balasan web masuk yang menyertakan konten berisiko.
• Menggunakan pengelola kata sandi yang mengikat nama pengguna dan kata sandi ke situs web tertentu, sehingga tidak dapat dikelabui oleh konten palsu atau nama yang mirip.

Oleh karena itu, penipu email sering berusaha keras untuk memastikan bahwa kontak pertama mereka dengan calon korban melibatkan pesan yang benar-benar berasal dari situs asli atau layanan online, dan tautan ke server yang benar-benar dijalankan oleh situs sah yang sama…

… selama scammers dapat menemukan cara untuk mempertahankan kontak setelah pesan awal itu, untuk menjaga agar scam tetap berjalan.

Penipu asmara, yang mencoba memikat korban ke dalam hubungan online palsu untuk membujuk mereka demi uang, ketahuilah trik ini dengan sangat baik. Mereka biasanya memulai dengan melakukan kontak dengan cara konvensional di situs kencan asli, menggunakan foto dan identitas online orang lain. Di sana, mereka memikat korbannya untuk meninggalkan keamanan komparatif dari situs yang sah dan beralih ke layanan pesan instan satu-ke-satu tanpa pengawasan.

Penipuan "permintaan uang".

Inilah cara kerja penipuan "permintaan uang" PayPal:

• Penipu membuat akun PayPal dan menggunakan layanan "permintaan uang" PayPal untuk mengirimi Anda email resmi PayPal yang meminta Anda mengirimkan sejumlah dana kepada mereka. Teman-teman dapat menggunakan layanan ini sebagai cara yang informal namun relatif aman untuk membagi pengeluaran setelah keluar malam, meminta bantuan untuk membayar tagihan, atau bahkan mendapatkan bayaran untuk tugas-tugas kecil seperti bersih-bersih, berkebun, mengasuh hewan peliharaan, dan sebagainya.
• Penipu membuat permintaan terlihat seperti biaya yang sudah ada untuk produk atau layanan asli, meskipun bukan yang benar-benar Anda pesan, dan mungkin untuk apa yang tampak seperti harga yang tidak masuk akal atau tidak masuk akal.
• Penipu menambahkan nomor telepon kontak ke dalam pesan, tampaknya menawarkan cara mudah untuk membatalkan permintaan pembayaran jika menurut Anda itu penipuan.

Jadi email itu benar-benar berasal dari PayPal, memberikan kesan keaslian, dan membujuk Anda untuk bereaksi dengan menelepon kembali para penjahat, daripada dengan membalas email itu sendiri.

Seperti ini:

Mengingat bahwa Anda sangat menyadari bahwa permintaan pembayaran tidak pernah diotorisasi oleh Anda, Anda dapat melaporkannya ke PayPal…

… tetapi juga menggoda untuk menelepon "bisnis" yang mengajukan permintaan untuk memberi tahu mereka agar tidak memukul Anda lagi minggu depan atau bulan depan ketika "catatan" mereka menunjukkan bahwa "tagihan" masih belum dibayar.

Lagi pula, panggilan telepon itu gratis (di Inggris, seperti di banyak negara lain, kode panggilan -800- menunjukkan panggilan bebas pulsa), dan jika seseorang yang Anda kenal benar-benar telah mencoba membeli beberapa perangkat lunak keamanan siber online dan menagihnya ke sepeser pun Anda, mengapa tidak mencoba untuk menyelesaikannya dan menghentikan "pembayaran" yang berhasil?

Tentu saja, itu semua adalah kebohongan: tidak ada program anti-virus; tidak ada pembelian; dan tidak ada yang benar-benar membayar £550 kepada siapa pun untuk apa pun.

Para penjahat hanya menemukan cara untuk menyalahgunakan gratis PayPal Permintaan Uang layanan untuk menghasilkan email yang benar-benar berasal dari PayPal, yang menyertakan tautan PayPal asli, dan yang menggunakan bidang pesan dalam permintaan untuk memberi Anda cara yang tampak resmi untuk menghubungi mereka secara langsung…

… seperti penipu asmara yang menggoda Anda dari jauh di situs kencan, dan kemudian meyakinkan Anda untuk beralih ke pengiriman pesan secara langsung, di mana platform kencan tidak lagi dapat mengawasi atau mengatur interaksi Anda.

Apa yang harus dilakukan?

Hal tercepat dan termudah untuk dilakukan, tentu saja, bukanlah apa-apa!

Permintaan uang PayPal persis seperti yang mereka katakan: cara bagi teman, keluarga, seseorang, siapa pun, untuk mengundang Anda mengirim uang kepada mereka dengan cara yang cukup aman.

Mereka bukan faktur; mereka bukan tuntutan pembayaran; mereka adalah bukan kuitansi; dan mereka tidak terkait dengan pembelian yang ada Anda lakukan atau tidak lakukan melalui PayPal atau di mana pun.

Jika Anda tidak melakukan apa-apa, maka tidak ada yang dibayarkan dan tidak ada yang menerima apa pun, sehingga penipuan gagal.

Kami tetap menyarankan agar Anda melaporkan permintaan palsu semacam ini ke PayPal, yang akan membantu menutup akun yang melanggar dan untuk memastikan bahwa tidak ada orang lain yang membayar karena takut atau menghubungi nomor telepon yang diberikan "untuk berjaga-jaga".

Apapun yang kamu lakukan, jangan kirim uang, dan pasti jangan panggil penjahat kembali, karena tujuan sebenarnya mereka adalah menjalin kontak langsung sehingga mereka dapat mulai meminta Anda untuk mengelabui Anda agar mengungkapkan informasi pribadi yang pada akhirnya dapat merugikan Anda lebih dari £549.67.

Haruskah Anda memberi tahu pihak berwenang?

Baik itu selama musim Black Friday atau di waktu lain dalam setahun, kami mendorong Anda untuk mempertimbangkan untuk melaporkan penipuan semacam ini kepada regulator atau badan penyelidik yang relevan di negara Anda.

Mungkin Anda merasa tidak berbuat banyak untuk membantu, dan Anda mungkin tidak punya waktu untuk melaporkan satu per satu, tetapi jika cukup banyak orang yang memberikan beberapa bukti kepada pihak berwenang, setidaknya ada kemungkinan bahwa mereka akan melakukan sesuatu tentang itu.

Di sisi lain, jika tidak ada yang mengatakan apa pun, maka tidak ada yang akan atau tidak dapat dilakukan.

Di bawah ini, kami mencantumkan tautan pelaporan penipuan untuk berbagai negara Anglophone:

  AU: Scamwatch (Komisi Konsumen dan Persaingan Australia) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Pusat Anti-Penipuan Kanada https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ: Perlindungan Konsumen (Kementerian Bisnis, Inovasi, dan Ketenagakerjaan) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Inggris: ActionFraud (Pusat Pelaporan Penipuan dan Kejahatan Dunia Maya Nasional) https://www.actionfraud.police.uk/ AS: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Center https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---