Black Friday och detaljhandelssäsongen – se upp för "money request"-bedrägerier från PayPal

Med tanke på att vi går in i högsäsong för detaljhandeln kommer du att hitta cybersäkerhetsvarningar med ett "Black Friday"-tema över hela internet...

... inklusive, naturligtvis, just här på Naked Security!

Som vanliga läsare kommer att veta är vi dock inte särskilt förtjusta i onlinetips som är specifika för Black Friday, eftersom cybersäkerhet spelar roll 365 och en kvarts dag om året.

Ta inte cybersäkerhet på allvar bara när det är Thanksgiving, Hannukah, Kwanzaa, jul eller någon annan gåvohelg, eller bara för nyårsrean, vårrean, sommarrean eller andra säsongsbetonade rabattmöjligheter.

Som vi sa när detaljhandelssäsongen startade tidigare denna månad i många delar av världen:

Det bästa skälet till att förbättra din cybersäkerhet inför Black Friday är att det betyder att du kommer att förbättra din cybersäkerhet under resten av året och kommer att uppmuntra dig att fortsätta att förbättras genom 2023 och framåt.

Med det sagt handlar den här artikeln om en PayPal-märkt bluff som rapporterades till oss tidigare i veckan av en vanlig läsare som tyckte att det skulle vara värt att varna andra för, särskilt för de med PayPal-konton som kanske är mer benägna att använda dem på den här tiden på året än någon annan.

Det som är bra med denna bluff är att du ska upptäcka det för vad det är: påhittade nonsens.

Det dåliga med denna bluff är att det är förvånansvärt enkelt för brottslingar att ställa in, och det undviker noggrant att skicka falska e-postmeddelanden eller lura dig att besöka falska webbplatser, eftersom skurkarna använder en PayPal-tjänst för att generera sin första kontakt via officiella PayPal-servrar.

Här kommer.

Spoofing förklaras

A förfalskad e-post är en som insisterar på att den kommer från ett välkänt företag eller en välkänd domän, vanligtvis genom att ange en trovärdig e-postadress i From: linje, och genom att inkludera logotyper, taglines eller andra kontaktuppgifter kopierade från varumärket det försöker efterlikna.

Kom ihåg att namn och e-postadress visas i ett e-postmeddelande bredvid ordet From är faktiskt bara en del av själva meddelandet, så avsändaren kan lägga nästan vad som helst där, oavsett varifrån de verkligen skickat meddelandet.

A förfalskad webbplats är en som kopierar utseendet och känslan av den äkta varan, ofta helt enkelt genom att riva bort det exakta webbinnehållet och bilderna från den ursprungliga webbplatsen för att få det att se så pixelperfekt ut som möjligt.

Bedrägeriwebbplatser kan också försöka få domännamnet som du ser i adressfältet att se åtminstone vagt realistiskt ut, till exempel genom att placera det förfalskade varumärket i den vänstra änden av webbadressen, så att du kan se något i stil med paypal.com.bogus.example, i hopp om att du inte kontrollerar den högra änden av namnet, som faktiskt avgör vem som äger webbplatsen.

Andra bedragare försöker skaffa sig liknande namn, till exempel genom att ersätta dem W (ett W-för-Whisky-tecken) med VV (två V-för Victor-tecken), eller genom att använda I (skriver en versal I-for-India-tecken) i stället för l (en gemen L-for-Lima).

Men spoofingtrick av detta slag kan ofta upptäckas ganska lätt, till exempel genom:

• Att lära sig hur man undersöker de så kallade rubrikerna i ett e-postmeddelande, som visar vilken server ett meddelande faktiskt kom från, snarare än servern som avsändaren hävdade att de skickade det från.
• Konfigurera ett e-postfilter som automatiskt söker efter bluff i både rubrikerna och brödtexten i varje e-postmeddelande som någon försöker skicka till dig.
• Surfa via ett nätverk eller en slutpunktsbrandvägg som blockerar utgående webbförfrågningar till falska webbplatser och kasserar inkommande webbsvar som innehåller riskfyllt innehåll.
• Använda en lösenordshanterare som knyter användarnamn och lösenord till specifika webbplatser, och kan därför inte luras av falskt innehåll eller lookalike-namn.

E-postbedragare gör därför ofta allt för att se till att deras första kontakt med potentiella offer involverar meddelanden som verkligen kommer från äkta webbplatser eller onlinetjänster, och som länkar till servrar som verkligen drivs av samma legitima webbplatser...

...så länge bedragarna kan komma på något sätt att behålla kontakten efter det första meddelandet, för att hålla igång bluffen.

Romantiska bedragare, som försöker locka offer till falska onlinerelationer för att snåla dem på pengar, känner till detta trick alltför väl. De börjar vanligtvis med att ta kontakt på ett konventionellt sätt på en äkta dejtingsajt, med hjälp av någon annans foton och onlineidentitet. Där charmar de sina offer att lämna den jämförande säkerheten på den legitima webbplatsen och byta till en oövervakad en-till-en snabbmeddelandetjänst.

"Money request" bluffen

Så här fungerar PayPals "money request"-bedrägeri:

• Bedragaren skapar ett PayPal-konto och använder PayPals tjänst för "pengarförfrågan". för att skicka ett officiellt PayPal-e-postmeddelande som ber dig att skicka några pengar till dem. Vänner kan använda den här tjänsten som ett informellt men relativt säkert sätt att dela upp utgifterna efter en utekväll, be om hjälp med att betala en räkning eller till och med få betalt för små uppgifter som städning, trädgårdsskötsel, djurpassning och så vidare.
• Bedragaren får begäran att se ut som en befintlig avgift för en äkta produkt eller tjänst, men inte en du faktiskt beställt, och förmodligen för vad som ser ut som ett osannolikt eller orimligt pris.
• Bedragaren lägger till ett kontakttelefonnummer i meddelandet, uppenbarligen erbjuder ett enkelt sätt att avbryta betalningsbegäran om du tror att det är bluff.

Så e-postmeddelandet kommer faktiskt från PayPal, vilket ger det en känsla av äkthet, och lockar dig att reagera genom att ringa tillbaka skurkarna istället för att svara på själva e-postmeddelandet.

Så här:

Med tanke på att du är ganska väl medveten om att betalningsförfrågan aldrig godkändes av dig, kan du mycket väl rapportera den till PayPal...

…men det är också frestande att ringa "företaget" som skickade igenom förfrågan för att berätta för dem att inte slå dig igen nästa vecka eller nästa månad när deras "rekord" visar att "räkningen" fortfarande inte har betalats.

När allt kommer omkring är telefonsamtalet gratis (i Storbritannien, som i många andra länder, anger kopplingskoden -800- ett avgiftsfritt samtal), och om någon du känner verkligen har försökt köpa någon cybersäkerhetsprogramvara online och ladda den till din dime, varför inte försöka gå till botten med det och stoppa "betalningen" att komma igenom?

Naturligtvis är allt ett paket lögner: det finns inget antivirusprogram; det blev inget köp; och ingen betalade faktiskt ut £550 till någon för någonting.

Skurvarna har helt enkelt hittat ett sätt att missbruka PayPals gratis Pengar begäran tjänst för att generera e-postmeddelanden som verkligen kommer från PayPal, som innehåller riktiga PayPal-länkar, och som använder meddelandefältet i begäran för att ge dig ett officiellt sätt att kontakta dem direkt...

…precis som en romantisk bedragare som smattrar dig på armlängds avstånd på en dejtingsajt och sedan övertygar dig om att gå över till att skicka meddelanden till dem direkt, där dejtingplattformen inte längre kan övervaka eller reglera dina interaktioner.

Vad göra?

Det snabbaste och enklaste att göra är förstås ingenting!

PayPal-pengaförfrågningar är precis vad de säger: ett sätt för vänner, familj, någon, vem som helst, att bjuda in dig att skicka pengar till dem på ett någorlunda säkert sätt.

De är inte fakturor; de är inte betalningskrav; de är inte kvitton; och de är utan samband med något befintligt köp du gjorde eller inte gjorde via PayPal eller någon annanstans.

Om du helt enkelt inte gör någonting, så betalas ingenting ut och ingen får något, så bluffen misslyckas.

Vi rekommenderar ändå att du rapporterar falska förfrågningar av detta slag till PayPal, vilket kommer att hjälpa till att få det felande kontot avstängt och att säkerställa att ingen annan antingen betalar av rädsla eller ringer det angivna telefonnumret "för säkerhets skull".

Vad du än gör, skicka inga pengaroch definitivt ring inte tillbaka brottslingarna, eftersom deras sanna mål är att etablera direktkontakt så att de kan börja överlämna dig till dig för att lura dig att avslöja personlig information som i slutändan kan kosta dig mycket mer än £549.67.

Ska du berätta för myndigheterna?

Oavsett om det är under Black Friday-säsongen eller någon annan tid på året, uppmanar vi dig att överväga att rapportera bedrägerier av detta slag till relevant tillsynsmyndighet eller utredningsorgan i ditt land.

Det kanske inte känns som om du gör så mycket för att hjälpa, och du har förmodligen inte tid att rapportera var och en, men om tillräckligt många människor ger några bevis till myndigheterna, finns det minst en chans att de kommer att göra något åt ​​det.

Å andra sidan, om ingen säger något, då kan eller kan ingenting göras.

Nedan har vi listat länkar för bedrägerirapportering för olika engelsktalande länder:

  AU: Scamwatch (Australian Competition and Consumer Commission) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Canadian Anti-Fraud Center https://antifraudcentre-centreantifraude.ca/index-eng. htm NZ: Consumer Protection (Ministry of Business, Innovation and Employment) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Storbritannien: ActionFraud (National Fraud and Cyber ​​Crime Reporting Centre) https://www.actionfraud.police.uk/ USA: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Center https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---