Black Friday e temporada de varejo – cuidado com os golpes de “solicitação de dinheiro” do PayPal

Dado que estamos entrando na alta temporada de varejo, você encontrará avisos de segurança cibernética com o tema “Black Friday” em toda a Internet…

…incluindo, é claro, aqui mesmo no Naked Security!

Como os leitores regulares devem saber, no entanto, não gostamos muito de dicas on-line específicas para a Black Friday, porque a segurança cibernética é importante 365 dias e um quarto por ano.

Não leve a segurança cibernética a sério apenas quando é Ação de Graças, Hannukah, Kwanzaa, Natal ou qualquer outro feriado para presentear, ou apenas para as vendas de ano novo, vendas de primavera, vendas de verão ou qualquer outra oportunidade de desconto sazonal.

Como dissemos quando a temporada de varejo começou no início deste mês em muitas partes do mundo:

A melhor razão para melhorar sua segurança cibernética antes da Black Friday é que isso significa que você estará melhorando sua segurança cibernética pelo resto do ano e o incentivará a continuar melhorando até 2023 e além.

Dito isto, este artigo é sobre um golpe da marca PayPal que nos foi relatado no início desta semana por um leitor regular que achou que valeria a pena alertar outras pessoas, especialmente para aqueles com contas do PayPal que podem estar mais inclinados a usá-los em nesta época do ano do que em qualquer outra.

O bom desse golpe é que você deve identificá-lo pelo que é: um absurdo inventado.

O ruim desse golpe é que é incrivelmente fácil para os criminosos configurarem e evita cuidadosamente o envio de e-mails falsificados ou induzi-lo a visitar sites falsos, porque os criminosos usam um serviço do PayPal para gerar seu contato inicial por meio dos servidores oficiais do PayPal.

Aqui vai.

Spoofing explicado

A email falsificado é aquele que insiste que é de uma empresa ou domínio conhecido, geralmente colocando um endereço de e-mail confiável no From: linha e incluindo logotipos, slogans ou outros detalhes de contato copiados da marca que está tentando representar.

Lembre-se de que o nome e o endereço de e-mail mostrados em um e-mail ao lado da palavra From são, na verdade, apenas parte da própria mensagem, então o remetente pode colocar quase tudo o que quiser lá, independentemente de onde realmente enviou a mensagem.

A site falsificado é aquele que copia a aparência da coisa real, muitas vezes simplesmente copiando o conteúdo da web e as imagens exatas do site original para torná-lo o mais perfeito possível.

Sites fraudulentos também podem tentar fazer com que o nome de domínio que você vê na barra de endereço pareça pelo menos vagamente realista, por exemplo, colocando a marca falsificada na extremidade esquerda do endereço da Web, para que você veja algo como paypal.com.bogus.example, na esperança de que você não verifique a extremidade direita do nome, que na verdade determina quem é o proprietário do site.

Outros golpistas tentam adquirir nomes parecidos, por exemplo, substituindo W (um caracter W-para-Whisky) com VV (dois personagens V-de Victor), ou usando I (escrevendo um caractere I-para-Índia maiúsculo) no lugar de l (um L-para-Lima minúsculo).

Mas truques de falsificação desse tipo geralmente podem ser detectados com bastante facilidade, por exemplo, por:

• Aprender a examinar os chamados cabeçalhos de uma mensagem de e-mail, que mostra de qual servidor uma mensagem realmente veio, em vez do servidor do qual o remetente alegou que a enviou.
• Configurando um filtro de e-mail que verifica automaticamente se há golpes nos cabeçalhos e no corpo de todas as mensagens de e-mail que alguém tentar enviar a você.
• Navegando por meio de um firewall de rede ou endpoint que bloqueia solicitações da web de saída para sites falsos e descarta respostas da web de entrada que incluem conteúdo arriscado.
• Usando um gerenciador de senhas que vincula nomes de usuários e senhas a sites específicose, portanto, não pode ser enganado por conteúdo falso ou nomes parecidos.

Os golpistas de e-mail, portanto, geralmente se esforçam para garantir que seu primeiro contato com as vítimas em potencial envolva mensagens que realmente vêm de sites ou serviços online genuínos e que se conectam a servidores que realmente são executados por esses mesmos sites legítimos…

…desde que os golpistas consigam encontrar uma maneira de manter contato após a mensagem inicial, a fim de manter o golpe em andamento.

Golpistas românticos, que tentam atrair as vítimas para relacionamentos online falsos a fim de convencê-las a perder dinheiro, conhecem esse truque muito bem. Eles geralmente começam fazendo contato de maneira convencional em um site de namoro genuíno, usando as fotos e a identidade online de outra pessoa. Lá, eles encantam suas vítimas para que deixem a relativa segurança do site legítimo e mudem para um serviço de mensagens instantâneas não supervisionado.

O golpe do “pedido de dinheiro”

Veja como funciona o esquema de “solicitação de dinheiro” do PayPal:

• O golpista cria uma conta no PayPal e usa o serviço de “solicitação de dinheiro” do PayPal para enviar a você um e-mail oficial do PayPal solicitando que você envie alguns fundos. Os amigos podem usar esse serviço como uma maneira informal, mas relativamente segura, de dividir as despesas após uma noitada, pedir ajuda para pagar uma conta ou até mesmo receber por pequenas tarefas como limpeza, jardinagem, babá de animais de estimação e assim por diante.
• O golpista faz com que a solicitação pareça uma cobrança existente de um produto ou serviço genuíno, embora não seja um que você realmente tenha encomendado, e provavelmente pelo que parece ser um preço improvável ou irracional.
• O scammer adiciona um número de telefone de contato na mensagem, aparentemente oferecendo uma maneira fácil de cancelar a solicitação de pagamento se você achar que é uma farsa.

Portanto, o e-mail realmente se origina do PayPal, dando a ele um ar de autenticidade, e induz você a reagir ligando para os bandidos, em vez de responder ao próprio e-mail.

Gosto disto:

Dado que você está ciente de que o pedido de pagamento nunca foi autorizado por você, você pode denunciá-lo ao PayPal…

…mas também é tentador telefonar para a “empresa” que fez o pedido para dizer a eles para não ligarem para você novamente na próxima semana ou no próximo mês, quando seus “registros” mostrarem que a “conta” ainda não foi paga.

Afinal, a ligação é gratuita (no Reino Unido, como em muitos outros países, o código de discagem -800- denota uma ligação gratuita) e se alguém que você conhece realmente tentou comprar algum software de segurança cibernética on-line e carregá-lo para seu centavo, por que não tentar chegar ao fundo disso e impedir que o “pagamento” seja feito?

Claro, é tudo um monte de mentiras: não há nenhum programa antivírus; não houve compra; e ninguém realmente pagou £ 550 a ninguém por nada.

Os bandidos simplesmente encontraram uma maneira de abusar dos serviços gratuitos do PayPal. Solicitação de dinheiro serviço para gerar e-mails que realmente vêm do PayPal, que incluem links reais do PayPal e que usam o campo de mensagem na solicitação para fornecer a você uma maneira oficial de contatá-los diretamente…

…assim como um golpista de romance conversando com você à distância em um site de namoro e, em seguida, convencendo você a mudar para mensagens diretas, onde a plataforma de namoro não pode mais supervisionar ou regular suas interações.

O que fazer?

A coisa mais rápida e fácil de fazer, claro, é nada!

As solicitações de dinheiro do PayPal são exatamente o que dizem: uma maneira de amigos, familiares, alguém, qualquer pessoa convidar você a enviar dinheiro de maneira razoavelmente segura.

Eles não são faturas; eles não são demandas de pagamento; eles estão não recibos; e eles são não relacionado a qualquer compra existente você fez ou não via PayPal ou qualquer outro lugar.

Se você simplesmente não fizer nada, nada será pago e ninguém receberá nada, então o golpe falhará.

No entanto, recomendamos que você denuncie solicitações falsas desse tipo ao PayPal, o que ajudará a fechar a conta ofensiva e garantir que ninguém mais pague por medo ou ligue para o número de telefone fornecido "por via das dúvidas".

O que quer que você faça, não envie dinheiroe definitivamente não chame os criminosos de volta, porque o verdadeiro objetivo deles é estabelecer contato direto para que eles possam começar a trabalhá-lo para induzi-lo a revelar informações pessoais que podem custar muito mais do que £ 549.67.

Você deve contar às autoridades?

Seja durante a temporada da Black Friday ou em qualquer outra época do ano, recomendamos que você denuncie golpes desse tipo ao órgão regulador ou investigador relevante em seu país.

Pode parecer que você não está fazendo muito para ajudar e provavelmente não tem tempo para denunciar todos e cada um, mas se um número suficiente de pessoas fornecer algumas evidências às autoridades, há pelo menos uma chance de que eles farão algo a respeito.

Por outro lado, se ninguém disser nada, nada será ou poderá ser feito.

Abaixo, listamos links de relatórios de golpes para vários países anglófonos:

  AU: Scamwatch (Australian Competition and Consumer Commission) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Canadian Anti-Fraud Center https://antifraudcentre-centre-centreantifraude.ca/index-eng. htm NZ: Defesa do Consumidor (Ministério de Negócios, Inovação e Emprego) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Reino Unido: ActionFraud (Centro Nacional de Relatórios de Fraudes e Crimes Cibernéticos) https://www.actionfraud.police.uk/ EUA: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Center https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---