Czarny piątek i sezon sprzedaży detalicznej — uważaj na oszustwa typu „prośba o pieniądze” w systemie PayPal

Biorąc pod uwagę, że wkraczamy w szczyt sezonu sprzedaży detalicznej, w całym Internecie znajdziesz ostrzeżenia dotyczące cyberbezpieczeństwa z motywem „Czarnego piątku”…

…w tym oczywiście tutaj, w Naked Security!

Jednak jak zwykli czytelnicy wiedzą, nie przepadamy za poradami internetowymi dotyczącymi Czarnego piątku, ponieważ cyberbezpieczeństwo ma znaczenie przez 365 i jedną czwartą dni w roku.

Nie traktuj cyberbezpieczeństwa poważnie tylko wtedy, gdy jest to Święto Dziękczynienia, Hannukah, Kwanzaa, Boże Narodzenie lub jakiekolwiek inne święto związane z prezentami, ani tylko podczas wyprzedaży noworocznej, wiosennej, letniej lub innej sezonowej wyprzedaży.

Jak powiedzieliśmy, gdy sezon sprzedaży detalicznej rozpoczął się na początku tego miesiąca w wielu częściach świata:

Najlepszym powodem do poprawy bezpieczeństwa cybernetycznego w okresie poprzedzającym Czarny piątek jest to, że oznacza to, że będziesz poprawiać swoje bezpieczeństwo cybernetyczne przez resztę roku i zachęci Cię to do dalszego doskonalenia do 2023 roku i później.

To powiedziawszy, ten artykuł dotyczy oszustwa związanego z marką PayPal, które zostało nam zgłoszone na początku tego tygodnia przez zwykłego czytelnika, który uznał, że warto ostrzec innych, zwłaszcza tych z kontami PayPal, którzy mogą być bardziej skłonni do korzystania z nich w o tej porze roku niż jakakolwiek inna.

Dobra rzecz w tym oszustwie jest to, że powinieneś dostrzec to, czym jest: wymyślonym nonsensem.

Źle w tym oszustwie polega na tym, że jest niezwykle łatwy w konfiguracji dla przestępców i starannie unika wysyłania sfałszowanych wiadomości e-mail lub nakłaniania do odwiedzenia fałszywych stron internetowych, ponieważ oszuści używają usługi PayPal do generowania pierwszego kontaktu za pośrednictwem oficjalnych serwerów PayPal.

Tutaj idzie.

Fałszowanie wyjaśnione

A sfałszowany e-mail to taka, która upiera się, że pochodzi od dobrze znanej firmy lub domeny, zwykle poprzez umieszczenie wiarygodnego adresu e-mail w From: linię i umieszczając logo, slogany lub inne dane kontaktowe skopiowane z marki, pod którą próbuje się podszywać.

Pamiętaj, że imię i nazwisko oraz adres e-mail widnieją w e-mailu obok słowa From są w rzeczywistości tylko częścią samej wiadomości, więc nadawca może umieścić w niej prawie wszystko, co mu się podoba, niezależnie od tego, skąd naprawdę wysłał wiadomość.

A sfałszowana strona internetowa to taki, który kopiuje wygląd i styl prawdziwej rzeczy, często po prostu zdzierając dokładną zawartość internetową i obrazy z oryginalnej witryny, aby wyglądały tak idealnie, jak to możliwe.

Witryny oszukańcze mogą również próbować sprawić, by nazwa domeny, którą widzisz na pasku adresu, wyglądała przynajmniej trochę realistycznie, na przykład umieszczając sfałszowaną markę po lewej stronie adresu internetowego, dzięki czemu możesz zobaczyć coś takiego paypal.com.bogus.example, w nadziei, że nie będziesz sprawdzać prawego końca nazwy, która faktycznie określa, kto jest właścicielem witryny.

Inni oszuści próbują zdobyć podobne nazwy, na przykład podmieniając je W (jeden znak W-jak-Whisky) z VV (dwa znaki V jak Victor) lub za pomocą I (pisanie wielką literą I-dla-Indii) zamiast l (mała litera L jak Lima).

Ale tego rodzaju sztuczki związane z podszywaniem się często można dość łatwo wykryć, na przykład przez:

• Nauka badania tzw. nagłówków wiadomości e-mail, który pokazuje, z którego serwera rzeczywiście pochodzi wiadomość, a nie z serwera, z którego nadawca twierdził, że ją wysłał.
• Konfigurowanie filtra wiadomości e-mail, który automatycznie skanuje w poszukiwaniu oszustw zarówno w nagłówkach, jak i treści każdej wiadomości e-mail, którą ktoś próbuje Ci wysłać.
• Przeglądanie przez zaporę sieciową lub punkt końcowy który blokuje wychodzące żądania internetowe do fałszywych witryn i odrzuca przychodzące odpowiedzi internetowe zawierające ryzykowne treści.
• Korzystanie z menedżera haseł, który wiąże nazwy użytkowników i hasła z określonymi stronami internetowymi, a zatem nie można dać się zwieść fałszywym treściom ani podobnym nazwom.

Z tego powodu oszuści e-mailowi ​​często dokładają wszelkich starań, aby ich pierwszy kontakt z potencjalnymi ofiarami obejmował wiadomości, które rzeczywiście pochodzą z autentycznych witryn lub usług online, oraz aby zawierały łącza do serwerów, które rzeczywiście są obsługiwane przez te same legalne witryny…

… tak długo, jak oszuści mogą wymyślić jakiś sposób na utrzymanie kontaktu po tej początkowej wiadomości, aby oszustwo trwało.

Oszuści romantyczni, którzy próbują zwabić ofiary do fałszywych relacji online, aby wyłudzić od nich pieniądze, znają tę sztuczkę aż za dobrze. Zazwyczaj zaczynają od nawiązania kontaktu w konwencjonalny sposób na prawdziwym portalu randkowym, wykorzystując cudze zdjęcia i tożsamość online. Tam oczarowują swoje ofiary, aby opuściły względne bezpieczeństwo legalnej strony i przełączyły się na nienadzorowaną usługę komunikatora jeden-do-jednego.

Oszustwo „prośba o pieniądze”.

Oto jak działa oszustwo PayPal „prośba o pieniądze”:

• Oszust tworzy konto PayPal i korzysta z usługi PayPal „żądanie pieniędzy”. aby wysłać Ci oficjalną wiadomość e-mail PayPal z prośbą o przesłanie im środków. Przyjaciele mogą korzystać z tej usługi jako nieformalnego, ale stosunkowo bezpiecznego sposobu podziału wydatków po wieczornym wyjściu, prosząc o pomoc w opłaceniu rachunku, a nawet otrzymując wynagrodzenie za drobne zadania, takie jak sprzątanie, prace w ogrodzie, opieka nad zwierzętami domowymi i tak dalej.
• Oszust sprawia, że ​​prośba wygląda na istniejącą opłatę za oryginalny produkt lub usługę, chociaż nie takiego, który faktycznie zamówiłeś, i prawdopodobnie za coś, co wygląda na mało prawdopodobną lub nierozsądną cenę.
• Oszust dodaje do wiadomości kontaktowy numer telefonu, najwyraźniej oferuje łatwy sposób anulowania żądania płatności, jeśli uważasz, że to oszustwo.

Tak więc wiadomość e-mail faktycznie pochodzi z systemu PayPal, co nadaje jej autentyczności i zachęca do zareagowania poprzez oddzwonienie do oszustów zamiast odpowiadania na samą wiadomość e-mail.

Jak to:

Biorąc pod uwagę, że doskonale wiesz, że prośba o płatność nigdy nie była przez Ciebie autoryzowana, możesz zgłosić to do PayPal…

… ale kuszące jest również zadzwonienie do „firmy”, która złożyła wniosek, i poinformowanie ich, aby nie uderzali cię ponownie w przyszłym tygodniu lub następnym miesiącu, kiedy ich „rejestry” pokazują, że „rachunek” nadal nie został zapłacony.

W końcu rozmowa telefoniczna jest bezpłatna (w Wielkiej Brytanii, podobnie jak w wielu innych krajach, numer kierunkowy -800- oznacza połączenie bezpłatne), a jeśli ktoś, kogo znasz, naprawdę próbował kupić oprogramowanie do cyberbezpieczeństwa online i obciążyć nim swoją dziesięciocentówkę, dlaczego nie spróbować dotrzeć do sedna i zatrzymać „płatność” przedostającą się?

Oczywiście to wszystko stek kłamstw: nie ma programu antywirusowego; nie było zakupu; i nikt tak naprawdę nie wypłacił nikomu 550 funtów za nic.

Oszuści po prostu znaleźli sposób na nadużycie bezpłatnego systemu PayPal Prośba o pieniądze usługa do generowania e-maili, które naprawdę pochodzą z PayPal, które zawierają prawdziwe linki PayPal i które wykorzystują pole wiadomości w prośbie, aby zapewnić oficjalny sposób bezpośredniego kontaktu z nimi…

… tak jak oszust romansujący, który obgaduje cię z dystansem na stronie randkowej, a następnie przekonuje cię do przełączenia się na bezpośrednie wysyłanie wiadomości, gdzie platforma randkowa nie może już nadzorować ani regulować twoich interakcji.

Co robić?

Oczywiście najszybszą i najłatwiejszą rzeczą do zrobienia jest nic!

Prośby o pieniądze PayPal są dokładnie tym, co mówią: sposobem dla przyjaciół, rodziny, kogoś, kogokolwiek, aby zaprosić Cię do wysłania im pieniędzy w dość bezpieczny sposób.

one nie są fakturami; one nie są żądaniami zapłaty; oni są nie rachunki; i oni są niezwiązane z żadnym istniejącym zakupem dokonałeś lub nie dokonałeś za pośrednictwem PayPal lub gdziekolwiek indziej.

Jeśli po prostu nic nie zrobisz, nic nie zostanie wypłacone i nikt nic nie otrzyma, więc oszustwo się nie powiedzie.

Niemniej jednak zalecamy zgłaszanie fałszywych próśb tego rodzaju do PayPal, co pomoże zamknąć konto naruszające prawo i upewnić się, że nikt inny nie zapłaci ze strachu ani nie zadzwoni pod podany numer telefonu „na wszelki wypadek”.

Cokolwiek robisz, nie wysyłaj pieniędzyi zdecydowanie nie wzywaj przestępców z powrotem, ponieważ ich prawdziwym celem jest nawiązanie bezpośredniego kontaktu, aby mogli zacząć nakłaniać Cię do ujawnienia danych osobowych, co ostatecznie może kosztować znacznie więcej niż 549.67 GBP.

Czy powinieneś powiedzieć władzom?

Niezależnie od tego, czy dzieje się to w czasie Czarnego Piątku, czy w jakimkolwiek innym czasie w roku, zachęcamy do rozważenia zgłaszania oszustw tego rodzaju do odpowiedniego organu regulacyjnego lub śledczego w Twoim kraju.

Może się wydawać, że nie robisz zbyt wiele, aby pomóc i prawdopodobnie nie masz czasu na zgłaszanie każdego z osobna, ale jeśli wystarczająco dużo osób dostarczy władzom jakieś dowody, istnieje najmniejsza szansa, że coś z tym zrobią.

Z drugiej strony, jeśli nikt nic nie powie, nic nie będzie ani nie można zrobić.

Poniżej wymieniliśmy łącza do zgłaszania oszustw dla różnych krajów anglojęzycznych:

  AU: Scamwatch (Australijska Komisja ds. Konkurencji i Konsumentów) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Kanadyjskie Centrum ds. Zwalczania Nadużyć Finansowych https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ: Ochrona konsumentów (Ministerstwo Biznesu, Innowacji i Zatrudnienia) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Wielka Brytania: ActionFraud (Krajowe Centrum Zgłaszania Oszustw i Cyberprzestępczości) https://www.actionfraud.police.uk/ Stany Zjednoczone: ReportFraud.ftc.gov (Federalna Komisja Handlu) https://reportfraud.ftc.gov/ ZA: Centrum analityki finansowej https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---