Black Friday en winkelseizoen - pas op voor PayPal-oplichting met "geldverzoeken".

Aangezien we het hoogseizoen in de detailhandel ingaan, vindt u overal op internet cyberbeveiligingswaarschuwingen met een "Black Friday"-thema...

... inclusief natuurlijk hier op Naked Security!

Zoals vaste lezers zullen weten, zijn we echter niet erg enthousiast over online tips die specifiek zijn voor Black Friday, omdat cyberbeveiliging 365 en een kwart dag per jaar belangrijk is.

Neem cyberbeveiliging niet alleen serieus als het Thanksgiving, Hannukah, Kwanzaa, Kerstmis of een andere feestdag is, of alleen voor de nieuwjaarsuitverkoop, de voorjaarsuitverkoop, de zomeruitverkoop of een andere seizoensgebonden kortingsmogelijkheid.

Zoals we al zeiden toen het retailseizoen eerder deze maand in veel delen van de wereld van start ging:

De beste reden om uw cyberbeveiliging in de aanloop naar Black Friday te verbeteren, is dat dit betekent dat u uw cyberbeveiliging de rest van het jaar verbetert en dat het u aanmoedigt om te blijven verbeteren tot 2023 en daarna.

Dit gezegd hebbende, gaat dit artikel over een PayPal-zwendel die eerder deze week aan ons werd gemeld door een vaste lezer die dacht dat het de moeite waard zou zijn om anderen ervoor te waarschuwen, vooral voor degenen met PayPal-rekeningen die er misschien meer geneigd zijn om ze te gebruiken op deze tijd van het jaar dan alle andere.

Het goede aan deze zwendel is dat je het moet zien voor wat het is: verzonnen onzin.

Het slechte aan deze zwendel is dat het voor criminelen verbazingwekkend eenvoudig is om op te zetten, en dat het zorgvuldig vermijdt om vervalste e-mails te verzenden of u te misleiden om valse websites te bezoeken, omdat de boeven een PayPal-service gebruiken om hun eerste contact via officiële PayPal-servers te genereren.

Hier gaat.

Spoofing uitgelegd

A vervalste e-mail is er een die volhoudt dat het van een bekend bedrijf of domein is, meestal door een geloofwaardig e-mailadres in de From: line, en door logo's, taglines of andere contactgegevens op te nemen die zijn gekopieerd van het merk dat het probeert na te bootsen.

Onthoud dat de naam en het e-mailadres in een e-mail naast het woord staan From zijn eigenlijk slechts een deel van het bericht zelf, dus de afzender kan er bijna alles in stoppen, ongeacht waar ze het bericht vandaan hebben gestuurd.

A vervalste website is er een die de look en feel van het echte werk kopieert, vaak simpelweg door de exacte webinhoud en afbeeldingen van de originele site te rippen om het er zo pixel-perfect mogelijk uit te laten zien.

Oplichtingssites kunnen ook proberen de domeinnaam die u in de adresbalk ziet er op zijn minst vaag realistisch uit te laten zien, bijvoorbeeld door het vervalste merk aan de linkerkant van het webadres te plaatsen, zodat u iets ziet als paypal.com.bogus.example, in de hoop dat u niet het rechteruiteinde van de naam controleert, die eigenlijk bepaalt wie de eigenaar van de site is.

Andere oplichters proberen lookalike namen te bemachtigen, bijvoorbeeld door te vervangen W (één W-voor-Whisky-teken) met VV (twee V-voor Victor-tekens), of door te gebruiken I (het schrijven van een I-voor-India-teken in hoofdletters) in plaats van l (een kleine letter L-voor-Lima).

Maar dit soort spoofing-trucs zijn vaak vrij gemakkelijk te herkennen, bijvoorbeeld door:

• Leren kijken naar de zogenaamde headers van een e-mailbericht, die laat zien van welke server een bericht daadwerkelijk afkomstig is, in plaats van de server waarvan de afzender beweerde dat ze het hadden verzonden.
• Een e-mailfilter instellen dat automatisch scant op oplichterij in zowel de headers als de body van elk e-mailbericht dat iemand u probeert te sturen.
• Browsen via een netwerk- of endpoint-firewall die uitgaande webverzoeken naar nepsites blokkeert en inkomende webantwoorden die riskante inhoud bevatten, verwijdert.
• Een wachtwoordbeheerder gebruiken die gebruikersnamen en wachtwoorden koppelt aan specifieke websites, en kunnen dus niet voor de gek gehouden worden door valse inhoud of gelijkaardige namen.

E-mailoplichters doen er daarom vaak alles aan om ervoor te zorgen dat hun eerste contact met potentiële slachtoffers berichten bevat die echt afkomstig zijn van echte sites of online diensten, en die linken naar servers die echt worden beheerd door diezelfde legitieme sites...

... zolang de oplichters maar een manier bedenken om contact te houden na dat eerste bericht, om de zwendel gaande te houden.

Romantiek oplichters, die slachtoffers proberen te lokken tot nep-onlinerelaties om hen geld uit te praten, kennen deze truc maar al te goed. Ze beginnen meestal door op een conventionele manier contact te leggen op een echte datingsite, waarbij ze de foto's en online identiteit van iemand anders gebruiken. Daar verleiden ze hun slachtoffers om de betrekkelijke veiligheid van de legitieme site te verlaten en over te schakelen naar een één-op-één instant messaging-service zonder toezicht.

De "geldverzoek" zwendel

Hier is hoe de PayPal "geldverzoek" zwendel werkt:

• De oplichter maakt een PayPal-account aan en maakt gebruik van de PayPal-service 'geldverzoek' om u een officiële PayPal-e-mail te sturen waarin u wordt gevraagd wat geld over te maken. Vrienden kunnen deze dienst gebruiken als een informele maar relatief veilige manier om de kosten te verdelen na een avondje uit, om hulp te vragen bij het betalen van een rekening, of zelfs om betaald te worden voor kleine taken zoals schoonmaken, tuinieren, dierenoppas, enzovoort.
• De oplichter laat het verzoek lijken op een bestaande afschrijving voor een echt product of een echte dienst, hoewel niet een die je daadwerkelijk hebt besteld, en waarschijnlijk voor wat lijkt op een onwaarschijnlijke of onredelijke prijs.
• De oplichter voegt een telefoonnummer toe aan het bericht, blijkbaar een gemakkelijke manier om het betalingsverzoek te annuleren als je denkt dat het oplichterij is.

Dus de e-mail is eigenlijk afkomstig van PayPal, waardoor het een sfeer van authenticiteit krijgt, en verleidt u om te reageren door de boeven terug te bellen, in plaats van door de e-mail zelf te beantwoorden.

Soortgelijk:

Aangezien u zich er terdege van bewust bent dat het betalingsverzoek nooit door u is geautoriseerd, kunt u dit best melden bij PayPal…

...maar het is ook verleidelijk om het 'bedrijf' dat het verzoek heeft ingediend te bellen om te zeggen dat ze je volgende week of volgende maand niet meer moeten bellen als uit hun 'gegevens' blijkt dat de 'rekening' nog steeds niet is betaald.

Het telefoongesprek is tenslotte gratis (in het VK, net als in veel andere landen, geeft het netnummer -800- een gratis gesprek aan), en als iemand die je kent echt heeft geprobeerd om online cyberbeveiligingssoftware te kopen en deze in rekening te brengen uw dubbeltje, waarom probeert u het niet tot op de bodem uit te zoeken en te voorkomen dat de "betaling" doorkomt?

Natuurlijk zijn het allemaal leugens: er is geen antivirusprogramma; er was geen aankoop; en niemand betaalde echt £ 550 aan iemand voor wat dan ook.

De boeven hebben eenvoudigweg een manier gevonden om PayPal's gratis te misbruiken Geld Verzoek service om e-mails te genereren die echt van PayPal komen, die echte PayPal-links bevatten en die het berichtveld in het verzoek gebruiken om u een officieel ogende manier te geven om rechtstreeks contact met hen op te nemen...

... net als een romantische oplichter die je op armlengte afstand bedriegt op een datingsite, en je vervolgens overtuigt om over te schakelen naar rechtstreekse berichtenuitwisseling, waar het datingplatform je interacties niet langer kan controleren of reguleren.

Wat te doen?

Het snelste en gemakkelijkste is natuurlijk niets!

PayPal-geldverzoeken zijn precies wat ze zeggen: een manier voor vrienden, familie, iemand, wie dan ook, om u uit te nodigen om hen op een redelijk veilige manier geld te sturen.

Ze zijn geen facturen; ze zijn geen betalingseisen; zij zijn geen bonnetjes; en zij zijn niet gerelateerd aan een bestaande aankoop je hebt wel of niet betaald via PayPal of ergens anders.

Als je simpelweg niets doet, wordt er niets uitbetaald en ontvangt niemand iets, dus de zwendel mislukt.

We raden u niettemin aan dit soort valse verzoeken aan PayPal te melden, wat zal helpen om de overtredende rekening te sluiten en om ervoor te zorgen dat niemand anders uit angst betaalt of het opgegeven telefoonnummer belt "voor het geval dat".

Wat je ook doet, stuur geen geld, en zeker bel de criminelen niet terug, omdat hun echte doel is om direct contact te leggen, zodat ze u kunnen overdragen om u te misleiden om persoonlijke informatie vrij te geven die u uiteindelijk veel meer dan £ 549.67 zou kunnen kosten.

Moet je het de autoriteiten vertellen?

Of het nu tijdens het Black Friday-seizoen is of op een andere tijd van het jaar, we raden u aan om dit soort oplichting te melden aan de relevante regelgevende instantie of onderzoeksinstantie in uw land.

Het voelt misschien niet alsof je veel doet om te helpen, en je hebt waarschijnlijk niet de tijd om ze allemaal te rapporteren, maar als voldoende mensen enig bewijs leveren aan de autoriteiten, is er een kleine kans dat ze zullen er iets aan doen.

Aan de andere kant, als niemand iets zegt, dan kan of kan er niets worden gedaan.

Hieronder hebben we links voor het melden van zwendel vermeld voor verschillende Engelstalige landen:

  AU: Scamwatch (Australian Competition and Consumer Commission) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Canadian Anti-Fraud Centre https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ: Consumentenbescherming (Ministerie van Bedrijfsleven, Innovatie en Werkgelegenheid) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ VK: ActionFraud (National Fraud and Cyber ​​Crime Reporting Centre) https://www.actionfraud.police.uk/ VS: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Centre https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---