Черная пятница и розничный сезон — следите за мошенничеством PayPal с «запросом денег»

Учитывая, что мы входим в пик розничного сезона, вы найдете предупреждения о кибербезопасности с темой «Черная пятница» по всему Интернету…

… в том числе, конечно же, прямо здесь, на Naked Security!

Однако, как известно постоянным читателям, нам не очень нравятся онлайн-советы, относящиеся к Черной пятнице, потому что кибербезопасность имеет значение 365 с четвертью дней в году.

Не относитесь серьезно к кибербезопасности только тогда, когда это День Благодарения, Ханука, Кванза, Рождество или любой другой праздник подарков, или только во время новогодних распродаж, весенних распродаж, летних распродаж или любых других сезонных скидок.

Как мы уже говорили, когда в начале этого месяца во многих частях мира начался розничный сезон:

Лучшая причина для улучшения вашей кибербезопасности в преддверии Черной пятницы заключается в том, что это означает, что вы будете улучшать свою кибербезопасность до конца года и побудите вас продолжать совершенствоваться до 2023 года и далее.

Тем не менее, эта статья посвящена мошенничеству с торговой маркой PayPal, о котором нам сообщил ранее на этой неделе постоянный читатель, который подумал, что стоит предупредить других, особенно тех, у кого есть учетные записи PayPal, которые могут быть более склонны использовать их в в это время года, чем в любое другое.

Хорошая вещь об этой афере заключается в том, что вы должны определить, что это такое: выдуманная чепуха.

Плохая сторона этого мошенничества заключается в том, что преступникам удивительно легко его настроить, и он тщательно избегает отправки поддельных электронных писем или обмана для посещения поддельных веб-сайтов, потому что мошенники используют службу PayPal для создания своего первоначального контакта через официальные серверы PayPal.

Вот оно.

Объяснение спуфинга

A поддельная электронная почта тот, кто настаивает на том, что это от известной компании или домена, обычно помещая правдоподобный адрес электронной почты в From: линии, а также путем включения логотипов, слоганов или других контактных данных, скопированных с бренда, который он пытается выдать за себя.

Помните, что имя и адрес электронной почты, указанные в письме рядом со словом From на самом деле являются лишь частью самого сообщения, поэтому отправитель может поместить туда почти все, что ему нравится, независимо от того, откуда он действительно отправил сообщение.

A поддельный веб-сайт это тот, который копирует внешний вид реальной вещи, часто просто копируя точный веб-контент и изображения с исходного сайта, чтобы он выглядел как можно более пиксельным.

Мошеннические сайты также могут попытаться сделать доменное имя, которое вы видите в адресной строке, хотя бы смутно реалистичным, например, помещая поддельный бренд в левый конец веб-адреса, чтобы вы могли увидеть что-то вроде paypal.com.bogus.example, в надежде, что вы не будете проверять правую часть имени, которая фактически определяет, кому принадлежит сайт.

Другие мошенники пытаются приобрести похожие имена, например, заменяя W (один символ W-for-Whisky) с VV (два символа V-для Виктора), или с помощью I (написание символа I-для-Индии в верхнем регистре) вместо l (строчная L-для-Лима).

Но обманные уловки такого рода часто можно довольно легко обнаружить, например, по:

• Узнав, как исследовать так называемые заголовки сообщения электронной почты, который показывает, с какого сервера на самом деле пришло сообщение, а не с сервера, с которого отправитель утверждал, что отправил его.
• Настройка фильтра электронной почты, который автоматически сканирует на предмет мошенничества как в заголовках, так и в теле каждого сообщения электронной почты, которое кто-либо пытается вам отправить.
• Просмотр через сеть или брандмауэр конечной точки который блокирует исходящие веб-запросы к поддельным сайтам и отбрасывает входящие веб-ответы, содержащие опасный контент.
• Использование менеджера паролей, который связывает имена пользователей и пароли с определенными веб-сайтами., поэтому их нельзя обмануть поддельным контентом или похожими именами.

Поэтому мошенники, использующие электронную почту, часто делают все возможное, чтобы их первый контакт с потенциальными жертвами включал сообщения, которые действительно приходят с подлинных сайтов или онлайн-сервисов, и которые ссылаются на серверы, которые действительно управляются теми же законными сайтами…

… до тех пор, пока мошенники могут придумать способ поддерживать контакт после этого первоначального сообщения, чтобы мошенничество продолжалось.

Романтические мошенники, которые пытаются заманить жертв в фальшивые онлайн-отношения, чтобы выманить у них деньги, слишком хорошо знают этот трюк. Обычно они начинают с того, что устанавливают контакт обычным способом на настоящем сайте знакомств, используя чужие фотографии и онлайн-идентификацию. Там они очаровывают своих жертв, заставляя их покинуть относительно безопасный законный сайт и переключиться на неконтролируемую службу обмена мгновенными сообщениями один на один.

Мошенничество с «запросом денег»

Вот как работает мошенничество PayPal с «запросом денег»:

• Мошенник создает учетную запись PayPal и использует услугу PayPal «запрос денег». чтобы отправить вам официальное электронное письмо PayPal с просьбой отправить им немного средств. Друзья могут использовать эту услугу как неформальный, но относительно безопасный способ разделить расходы после ночного отдыха, попросить помощи в оплате счета или даже получить оплату за небольшие задачи, такие как уборка, работа в саду, присмотр за домашними животными и так далее.
• Мошенник делает запрос похожим на существующую плату за подлинный продукт или услугу, хотя не тот, который вы на самом деле заказали, и, вероятно, по маловероятной или неразумной цене.
• Мошенник добавляет в сообщение контактный телефон, по-видимому, предлагает простой способ отменить платежный запрос, если вы думаете, что это мошенничество.

Таким образом, электронное письмо на самом деле исходит от PayPal, что придает ему вид подлинности и побуждает вас реагировать, перезванивая мошенникам, а не отвечая на само электронное письмо.

НРАВИТСЯ:

Учитывая, что вы прекрасно знаете, что платежный запрос никогда не был вами авторизован, вы вполне можете сообщить об этом в PayPal…

… но также заманчиво позвонить в «компанию», которая отправила запрос, и сказать им, чтобы они не звонили вам снова на следующей неделе или в следующем месяце, когда их «записи» показывают, что «счет» все еще не оплачен.

В конце концов, телефонный звонок бесплатный (в Великобритании, как и во многих других странах, телефонный код -800- означает бесплатный звонок), и если кто-то из ваших знакомых действительно пытался купить какое-либо программное обеспечение для кибербезопасности в Интернете и взимать плату с ваша копейка, почему бы не попытаться докопаться до сути и остановить прохождение «платежа»?

Конечно, все это вранье: антивируса нет; не было покупки; и на самом деле никто никому ни за что не выплатил 550 фунтов стерлингов.

Мошенники просто нашли способ злоупотребить бесплатными услугами PayPal. Запрос денег сервис для создания электронных писем, которые действительно приходят от PayPal, которые содержат настоящие ссылки PayPal и которые используют поле сообщения в запросе, чтобы дать вам официальный способ связаться с ними напрямую…

…так же, как мошенник-романтик, который на расстоянии вытянутой руки болтает с вами на сайте знакомств, а затем убеждает вас переключиться на обмен сообщениями напрямую, когда платформа знакомств больше не может контролировать или регулировать ваши взаимодействия.

Что делать?

Самое быстрое и простое, что можно сделать, это, конечно, ничего!

Денежные запросы PayPal - это именно то, что они говорят: способ для друзей, семьи, кого-то, кого угодно пригласить вас отправить им деньги достаточно безопасным способом.

Oни не счета-фактуры; Oни не являются платежными требованиями; они не квитанции; и они не связан с какой-либо существующей покупкой вы сделали или не сделали через PayPal или где-либо еще.

Если вы просто ничего не делаете, то ничего не выплачивается, и никто ничего не получает, поэтому мошенничество терпит неудачу.

Тем не менее, мы рекомендуем вам сообщать о фиктивных запросах такого рода в PayPal, что поможет закрыть счет-нарушитель и гарантировать, что никто другой не заплатит из-за страха или не позвонит по указанному номеру телефона «на всякий случай».

Что бы ты не делал, не отправляйте деньги, и определенно не перезванивать преступникам, потому что их истинная цель — установить прямой контакт, чтобы они могли начать работать с вами, чтобы обманом заставить вас раскрыть личную информацию, которая в конечном итоге может стоить вам намного больше, чем 549.67 фунтов стерлингов.

Должны ли вы сообщить властям?

Будь то во время сезона Черной пятницы или в любое другое время года, мы настоятельно рекомендуем вам подумать о том, чтобы сообщить о мошенничестве такого рода в соответствующий регулирующий или следственный орган в вашей стране.

Может показаться, что вы мало что делаете, чтобы помочь, и у вас, вероятно, нет времени, чтобы сообщить о каждом из них, но если достаточное количество людей предоставит какие-либо доказательства властям, есть хотя бы шанс, что они что-то с этим сделают.

С другой стороны, если никто ничего не говорит, то ничего не будет и не может быть сделано.

Ниже приведены ссылки для сообщения о мошенничестве в различных англоязычных странах:

  AU: Scamwatch (Австралийская комиссия по конкуренции и защите прав потребителей) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Канадский центр по борьбе с мошенничеством https://antifraudcentre-centreantifraude.ca/index-eng. htm Новая Зеландия: Защита потребителей (Министерство бизнеса, инноваций и занятости) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Великобритания: ActionFraud (Национальный центр отчетности по мошенничеству и киберпреступности) https://www.actionfraud.police.uk/ США: ReportFraud.ftc.gov (Федеральная торговая комиссия) https://reportfraud.ftc.gov/ ZA: Центр финансовой разведки https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---