黑色星期五和零售季——提防 PayPal“收款”诈骗

鉴于我们即将进入零售旺季，您会在互联网上发现以“黑色星期五”为主题的网络安全警告……

......当然，包括在 Naked Security 上！

然而，正如普通读者所知，我们并不十分热衷于黑色星期五特有的在线提示，因为网络安全一年 365 天又四分之一天都很重要。

不要只在感恩节、光明节、宽扎节、圣诞节或任何其他送礼假期，或仅在新年销售、春季销售、夏季销售或任何其他季节性折扣机会时才认真对待网络安全。

正如我们在本月早些时候在世界许多地方开启零售季时所说的那样：

在黑色星期五之前改善网络安全的最佳理由是，这意味着您将在今年余下时间改善网络安全，并将鼓励您在 2023 年及以后继续改进。

话虽如此，这篇文章是关于本周早些时候一位普通读者向我们报告的一个 PayPal 品牌骗局，他认为值得警告其他人，尤其是那些拥有 PayPal 账户的人，他们可能更倾向于在一年中的这个时候比其他任何时候都多。

这个骗局的好处 是你应该认清它的本质：编造的废话。

这个骗局的坏处 是它对犯罪分子来说非常容易设置，并且它会小心避免发送欺骗性电子邮件或诱骗您访问虚假网站，因为骗子使用 PayPal 服务通过官方 PayPal 服务器生成他们的初始联系。

开始。

欺骗解释

A 欺骗性电子邮件 是一个坚持它来自知名公司或领域的人，通常是通过在 From: 行，并包括从其试图模仿的品牌复制的徽标、标语或其他联系方式。

请记住，电子邮件中显示在单词旁边的姓名和电子邮件地址 From 实际上只是消息本身的一部分，因此发件人几乎可以在其中放置他们喜欢的任何内容，而不管他们真正从何处发送消息。

A 仿冒网站 是一种复制真实事物的外观和感觉的网站，通常只是简单地从原始站点中提取确切的 Web 内容和图像，使其看起来尽可能完美。

诈骗网站还可能试图让您在地址栏中看到的域名看起来至少有点逼真，例如将仿冒品牌放在网址的左端，这样您可能会看到类似 paypal.com.bogus.example, 希望您不要检查名称的右端，这实际上决定了网站的所有者。

其他诈骗者试图获取相似的名字，例如通过替换 W （一个 W-for-Whisky 字符）与 VV （两个 V 代表 Victor 字符），或使用 I （写一个大写的 I-for-India 字符）代替 l （小写 L-for-Lima）。

但是这种欺骗技巧通常很容易被发现，例如：

• 学习如何检查电子邮件的所谓标头， 它显示消息实际来自哪个服务器，而不是发件人声称从中发送消息的服务器。
• 设置自动扫描欺诈的电子邮件过滤器 在任何人试图发送给您的每封电子邮件的标题和正文中。
• 通过网络或端点防火墙浏览 阻止对虚假网站的出站 Web 请求，并丢弃包含有风险内容的入站 Web 回复。
• 使用将用户名和密码绑定到特定网站的密码管理器，因此不会被虚假内容或相似名称所愚弄。

因此，电子邮件诈骗者经常不遗余力地确保他们与潜在受害者的第一次接触所涉及的消息确实来自真实网站或在线服务，并且链接到真正由这些合法网站运行的服务器……

……只要诈骗者在收到最初的消息后能想出某种方式来保持联系，就可以让骗局继续下去。

浪漫骗子, 他们试图引诱受害者进入虚假的在线关系，以便用甜言蜜语骗取他们的钱，他们对这个把戏再熟悉不过了。 他们通常首先在真正的约会网站上以传统方式联系，使用别人的照片和在线身份。 在那里，他们诱使受害者离开相对安全的合法站点，转而使用不受监督的一对一即时消息服务。

“汇款”骗局

以下是 PayPal“收款”骗局的运作方式：

• 诈骗者创建一个 PayPal 帐户并使用 PayPal 的“收款”服务 向您发送一封正式的 PayPal 电子邮件，要求您向他们发送一些资金。 朋友们可以使用这项服务作为一种非正式但相对安全的方式来分摊夜生活后的费用，寻求帮助支付账单，甚至可以为清洁、园艺、看护宠物等小任务获得报酬。
• 诈骗者使请求看起来像是对真实产品或服务的现有收费， 尽管不是您实际订购的，而且价格可能看起来不太可能或不合理。
• 诈骗者在消息中添加联系电话号码， 如果您认为这是骗局，显然提供了一种取消付款请求的简单方法。

因此，该电子邮件实际上确实来自 PayPal，给人一种真实的感觉，并诱使您通过给骗子回电话而不是回复电子邮件本身来做出反应。

喜欢此页 :

鉴于您非常清楚付款请求从未获得您的授权，您可以向 PayPal 报告……

…但是当他们的“记录”显示“账单”仍未支付时，也很容易打电话给提出请求的“企业”，告诉他们下周或下个月不要再找你了。

毕竟，电话是免费的（在英国和许多其他国家/地区，-800- 拨号代码表示免费电话），如果您认识的人真的试图购买一些在线网络安全软件并向其收费你的一毛钱，为什么不试着查个水落石出，阻止“付款”通过呢？

当然，这全是谎言：没有防病毒程序； 没有购买； 并且没有人实际为任何东西向任何人支付 550 英镑。

骗子只是找到了一种方法来滥用 PayPal 的免费服务 汇款请求 生成真正来自 PayPal 的电子邮件的服务，其中包括真正的 PayPal 链接，并使用请求中的消息字段为您提供一种看起来正式的方式来直接联系他们……

…就像一个浪漫的骗子在约会网站上与你保持一定距离，然后说服你转而直接向他们发送消息，约会平台无法再监督或规范你的互动。

怎么办呢？

最快最简单的，当然是什么都不做！

PayPal 收款请求正如他们所说：朋友、家人、某人、任何人邀请您以合理安全的方式向他们汇款的一种方式。

他们 不是发票; 他们 不是付款要求; 他们是 不是收据; 他们是 与任何现有购买无关 您通过 PayPal 或其他任何地方做过或没有做过。

如果你什么都不做，那么什么也得不到支付，也没有人收到任何东西，所以骗局就失败了。

尽管如此，我们还是建议您向 PayPal 报告此类虚假请求，这将有助于关闭违规帐户，并确保没有其他人因害怕付款或拨打给定的电话号码“以防万一”。

不管你做什么， 不要寄钱，当然 不要把罪犯叫回来，因为他们的真正目标是建立直接联系，这样他们就可以开始把你交给你，诱骗你透露个人信息，最终可能会让你付出超过 549.67 英镑的代价。

你应该告诉当局吗？

无论是在黑色星期五季节还是一年中的任何其他时间，我们都敦促您考虑向您所在国家/地区的相关监管机构或调查机构报告此类诈骗。

您可能感觉好像没有提供太多帮助，而且您可能没有时间报告每一个，但如果有足够多的人确实向当局提供了一些证据，那么至少有机会他们会为此做点什么。

另一方面，如果没有人说什么，那么什么也做不了。

下面，我们列出了各个英语国家的诈骗报告链接：

  AU：Scamwatch（澳大利亚竞争与消费者委员会）https://www.scamwatch.gov.au/about-scamwatch/contact-us CA：加拿大反欺诈中心 https://antifraudcentre-centreantifraude.ca/index-eng。 htm NZ：消费者保护（商业、创新和就业部）https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ 英国：ActionFraud（国家欺诈和网络犯罪报告中心） https://www.actionfraud.police.uk/ 美国：ReportFraud.ftc.gov（联邦贸易委员会）https://reportfraud.ftc.gov/ ZA：金融情报中心 https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx

---