Чорна п’ятниця та сезон роздрібних продажів – стережіться шахрайства PayPal із запитом грошей

Зважаючи на те, що ми вступаємо в пік сезону роздрібної торгівлі, ви знайдете попередження про кібербезпеку на тему «Чорної п’ятниці» по всьому Інтернету…

…включаючи, звичайно, прямо тут, на Naked Security!

Проте, як знають постійні читачі, ми не дуже зацікавлені в онлайн-порадах, які стосуються Чорної п’ятниці, оскільки кібербезпека має значення 365 з чвертю днів на рік.

Не сприймайте кібербезпеку серйозно лише тоді, коли День подяки, Ханука, Кванза, Різдво чи будь-яке інше свято дарування подарунків, або лише під час новорічних розпродажів, весняних розпродажів, літніх розпродажів чи будь-яких інших сезонних знижок.

Як ми вже говорили, коли на початку цього місяця в багатьох частинах світу розпочався роздрібний сезон:

Найкраща причина покращити свою кібербезпеку напередодні Чорної п’ятниці полягає в тому, що це означає, що ви покращуватимете свою кібербезпеку до кінця року та спонукатиме вас продовжувати покращуватись до 2023 року та далі.

Зважаючи на це, ця стаття стосується шахрайства під брендом PayPal, про яке нам повідомив на початку цього тижня постійний читач, який вважав, що варто було б попередити про це інших, особливо тих, хто має облікові записи PayPal, які, можливо, більш схильні використовувати їх у ця пора року, ніж будь-яка інша.

Хороша річ у цьому шахрайстві полягає в тому, що ви повинні визначити це таким, яким воно є: вигадана нісенітниця.

Погана річ у цьому шахрайстві полягає в тому, що його надзвичайно легко налаштувати для злочинців, і він ретельно уникає надсилання підроблених електронних листів або обманом для відвідування фіктивних веб-сайтів, оскільки шахраї використовують службу PayPal, щоб створити свій початковий контакт через офіційні сервери PayPal.

Ось іде.

Пояснення щодо спуфінгу

A підроблена електронна пошта це той, який наполягає на тому, що він походить від відомої компанії чи домену, зазвичай шляхом розміщення правдоподібної адреси електронної пошти в From: рядок, а також шляхом включення логотипів, слоганів або інших контактних даних, скопійованих із бренду, який він намагається імітувати.

Пам’ятайте, що ім’я та адреса електронної пошти відображаються в електронному листі поруч зі словом From насправді є лише частиною самого повідомлення, тож відправник може додати туди майже все, що йому подобається, незалежно від того, звідки він справді надіслав повідомлення.

A підроблений веб-сайт це той, який копіює зовнішній вигляд справжньої речі, часто просто вириваючи точний веб-вміст і зображення з оригінального сайту, щоб зробити його максимально ідеальним у пікселях.

Шахрайські сайти також можуть спробувати зробити доменне ім’я, яке ви бачите в адресному рядку, хоча б невиразно реалістичним, наприклад, розмістивши підроблений бренд у лівому кінці веб-адреси, щоб ви могли побачити щось на зразок paypal.com.bogus.example, в надії, що ви не перевірятимете правий кінець імені, який фактично визначає, хто є власником сайту.

Інші шахраї намагаються отримати схожі імена, наприклад, шляхом заміни W (один символ W для Whisky) з VV (два символи V замість Віктора) або за допомогою I (введення верхнього регістру символу I для Індії) замість l (малий регістр L-для Ліми).

Але подібні трюки спуфінгу часто можна помітити досить легко, наприклад:

• Навчившись досліджувати так звані заголовки електронного повідомлення, який показує, з якого сервера насправді надійшло повідомлення, а не сервер, з якого відправник стверджував, що він його надіслав.
• Налаштування фільтра електронної пошти, який автоматично сканує на наявність шахрайства як у заголовках, так і в тілі кожного повідомлення електронної пошти, яке хтось намагається надіслати вам.
• Перегляд через мережу або брандмауер кінцевої точки який блокує вихідні веб-запити на підроблені сайти та відхиляє вхідні веб-відповіді, які містять ризикований вміст.
• Використання менеджера паролів, який прив’язує імена користувачів і паролі до певних веб-сайтів, тому їх не можна обдурити фальшивим вмістом або схожими іменами.

Тому шахраї електронної пошти часто роблять усе можливе, щоб переконатися, що їхній перший контакт із потенційними жертвами містить повідомлення, які справді надходять із справжніх сайтів або онлайн-сервісів, і містять посилання на сервери, які справді керуються тими самими законними сайтами…

…поки шахраї можуть придумати якийсь спосіб підтримувати зв’язок після цього початкового повідомлення, щоб продовжувати шахрайство.

Шахраї романтики, які намагаються заманити жертв у фальшиві онлайн-стосунки, щоб витягнути з них гроші, дуже добре знають цей прийом. Як правило, вони починають із встановлення зв’язку звичайним способом на справжньому сайті знайомств, використовуючи чужі фотографії та онлайн-ідентифікацію. Там вони зачаровують своїх жертв, щоб вони залишили порівняно безпечний законний сайт і перейшли на неконтрольовану службу обміну миттєвими повідомленнями один на один.

Шахрайство з «запитом грошей».

Ось як працює афера PayPal із запитом грошей:

• Шахрай створює обліковий запис PayPal і використовує послугу «запит грошей» PayPal щоб надіслати вам офіційний електронний лист PayPal із проханням надіслати їм певні кошти. Друзі можуть використовувати цю послугу як неформальний, але відносно безпечний спосіб розподілити витрати після ночі, попросити допомоги в оплаті рахунку або навіть отримати гроші за дрібні завдання, такі як прибирання, садівництво, догляд за домашніми тваринами тощо.
• Шахрай робить запит схожим на існуючу плату за справжній продукт або послугу, хоча не той, який ви насправді замовили, і, ймовірно, за неправдоподібною або нерозумною ціною.
• Шахрай додає в повідомлення контактний номер телефону, мабуть, пропонує простий спосіб скасувати запит на платіж, якщо ви вважаєте, що це шахрайство.

Таким чином, електронний лист дійсно походить від PayPal, що надає йому вигляду автентичності та спонукає вас відреагувати, зателефонувавши шахраям, а не відповісти на сам електронний лист.

Подобається це:

Враховуючи те, що ви добре знаєте, що платіжний запит ніколи не був авторизований вами, ви цілком можете повідомити про це в PayPal...

…але також спокусливо зателефонувати «підприємству», який подав прохання сказати їм більше не бити вас наступного тижня або наступного місяця, коли їхні «записи» показують, що «рахунок» досі не оплачено.

Зрештою, телефонний дзвінок безкоштовний (у Великій Британії, як і в багатьох інших країнах, код набору номера -800- означає безкоштовний дзвінок), і якщо хтось із ваших знайомих справді намагався придбати якесь програмне забезпечення для кібербезпеки в Інтернеті та стягувати його з ваші копійки, чому б не спробувати докопатися до суті та зупинити «оплату»?

Звісно, ​​все це брехня: немає антивірусної програми; покупки не було; і ніхто насправді нікому ні за що не платив 550 фунтів стерлінгів.

Шахраї просто знайшли спосіб зловживати безкоштовними послугами PayPal Запит на гроші служба для створення електронних листів, які дійсно надходять від PayPal, містять справжні посилання PayPal і використовують поле повідомлення в запиті, щоб надати вам офіційний спосіб зв’язатися з ними напряму…

…так само, як романтичний шахрай, який веде вас на відстані витягнутої руки на сайті знайомств, а потім переконує вас перейти до прямого обміну повідомленнями, де платформа знайомств більше не може контролювати чи регулювати вашу взаємодію.

Що ж робити?

Найшвидше і найпростіше, звичайно, нічого!

Запити на гроші через PayPal — це саме те, що вони кажуть: спосіб для друзів, родини, когось, будь-кого запропонувати вам надіслати їм гроші досить безпечним способом.

Вони не є рахунками-фактурами; Вони не є платіжними вимогами; вони є не квитанції; і вони є не пов’язані з будь-якою наявною покупкою ви робили або не робили через PayPal чи деінде.

Якщо ви просто нічого не робите, тоді нічого не буде виплачено і ніхто нічого не отримає, тому шахрайство провалиться.

Тим не менш, ми рекомендуємо вам повідомляти про фальшиві запити такого роду в PayPal, що допоможе закрити обліковий запис-порушник і гарантувати, що ніхто інший не заплатить через страх і не зателефонує на вказаний номер телефону «про всяк випадок».

Що б ти не робив, не надсилайте гроші, і безумовно не передзвонюйте злочинцям, тому що їхня справжня мета — встановити прямий контакт, щоб вони могли почати працювати з вами, щоб обманом змусити вас розкрити особисту інформацію, що зрештою може коштувати вам набагато більше, ніж £549.67.

Чи варто повідомляти владі?

Незалежно від того, чи відбувається це під час сезону Чорної п’ятниці чи в будь-яку іншу пору року, ми закликаємо вас повідомити про подібне шахрайство відповідному регуляторному чи слідчому органу у вашій країні.

Може здаватись не так, ніби ви робите багато, щоб допомогти, і, ймовірно, у вас немає часу повідомляти про кожного, але якщо достатньо багато людей нададуть певні докази владі, є принаймні шанс, що вони щось з цим зроблять.

З іншого боку, якщо ніхто нічого не скаже, то нічого не буде і не можна зробити.

Нижче наведено посилання для звітів про шахрайство для різних англомовних країн:

  Австралія: Scamwatch (Австралійська комісія з питань конкуренції та захисту прав споживачів)
      https://www.scamwatch.gov.au/about-scamwatch/contact-us

  CA: Канадський центр боротьби з шахрайством
      https://antifraudcentre-centreantifraude.ca/index-eng.htm

  Нова Зеландія: захист прав споживачів (Міністерство бізнесу, інновацій та зайнятості)
      https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/

  Великобританія: ActionFraud (Національний центр звітності про шахрайство та кіберзлочинність)
      https://www.actionfraud.police.uk/

  США: ReportFraud.ftc.gov (Федеральна торгова комісія)
      https://reportfraud.ftc.gov/

  ZA: Центр фінансової розвідки
      https://www.fic.gov.za/Resources/Pages/ScamsAwareness.aspx

---