Viernes negro y temporada minorista: tenga cuidado con las estafas de “solicitud de dinero” de PayPal – Naked Security

A medida que nos acerquemos a la temporada alta de venta al por menor, verá advertencias de seguridad cibernética con el tema del “Viernes Negro” en todo Internet…

… ¡incluyendo, por supuesto, aquí mismo en Naked Security!

Sin embargo, como sabrán los lectores habituales, no estamos demasiado interesados ​​en los consejos en línea específicos del Black Friday, ya que la ciberseguridad importa los 365 días y cuarto del año.

No se tome en serio la seguridad cibernética cuando sea el Día de Acción de Gracias, Hannukah, Kwanzaa, Navidad o cualquier otra festividad en la que se entreguen regalos, o solo para las Ventas de Año Nuevo, Primavera, Verano o cualquier otra oportunidad de descuento de temporada.

Como dijimos cuando comenzó la temporada minorista a principios de este mes en muchas partes del mundo:

La mejor razón para mejorar su ciberseguridad antes del Black Friday es que significa que mejorará su ciberseguridad durante el resto del año y lo alentará a seguir mejorando hasta 2023 y más allá.

Dicho esto, este artículo trata sobre una estafa de la marca PayPal que nos informó a principios de esta semana un lector habitual que pensó que valía la pena advertir a otros, especialmente a aquellos con una cuenta de PayPal, que pueden estar más inclinados a usarla en este momento. del año que en cualquier otro.

Lo bueno de esta estafa deberías verlo por lo que es: una mierda inventada.

Lo malo de esta estafa es muy fácil de configurar para los delincuentes y evita cuidadosamente enviar correos electrónicos falsificados o engañarlo para que visite sitios web falsos, ya que los estafadores usan el servicio de PayPal para crear su primer contacto a través de los servidores oficiales de PayPal.

Aquí está.

Suplantación de identidad explicada

A correo electrónico falsificado es uno que afirma ser de una empresa o un dominio conocido, normalmente poniendo una dirección de correo electrónico de confianza en From: e incluyendo logotipos, eslóganes u otros datos de contacto copiados de la marca que intenta imitar.

Tenga en cuenta que el nombre y la dirección de correo electrónico que se muestran en un correo electrónico junto a la palabra From en realidad es solo una parte del mensaje en sí, por lo que el remitente puede poner casi cualquier cosa que quiera allí, independientemente de dónde haya enviado el mensaje.

A sitio web falsificado es uno que replica la apariencia del sitio real, generalmente simplemente eliminando el contenido web exacto y las imágenes del sitio original para que se vea tan perfecto como sea posible.

Los sitios fraudulentos también pueden intentar hacer que el nombre de dominio que ve en la barra de direcciones parezca al menos vagamente auténtico, por ejemplo, colocando una marca falsificada en el extremo izquierdo de la dirección web, para que vea algo como paypal.com.bogus.examplecon la esperanza de que no marque el extremo derecho del nombre, que en realidad identifica quién es el propietario del sitio.

Otros estafadores intentan tomar nombres similares, por ejemplo, por sustitución. W (un personaje W-for-Whiskey) con VV (dos caracteres V de Víctor), o usando I (escribir I en mayúsculas para el carácter de la India) en lugar de l (una minúscula L-for-Five).

Pero los fraudes de este tipo suelen ser fáciles de detectar, por ejemplo, por:

  • Aprender a analizar los llamados encabezados de un mensaje de correo electrónico, que muestra de qué servidor se originó un mensaje, en lugar del servidor del que el remitente afirma que se originó.
  • Configurar un filtro de correo electrónico que busque automáticamente estafas tanto en los encabezados como en el cuerpo de cada mensaje de correo electrónico que alguien intente enviarle.
  • Navegación a través de una red o firewall de punto final que bloquea las solicitudes web salientes a sitios falsos y descarta las respuestas web entrantes que incluyen contenido de riesgo.
  • Usar un administrador de contraseñas que asocie nombres de usuario y contraseñas con sitios web específicosy así no dejarse engañar por contenidos falsos o nombres similares.

Por lo tanto, los estafadores de correo electrónico a menudo hacen todo lo posible para asegurarse de que su primer contacto con las víctimas potenciales incluya mensajes que en realidad provienen de sitios o servicios en línea genuinos, y que se vinculan a servidores que en realidad ejecutan esos mismos sitios legítimos…

…siempre y cuando los estafadores puedan encontrar alguna forma de mantener el contacto después de ese mensaje inicial, para mantener la estafa.

Los estafadores románticos, que intentan atraer a las víctimas a relaciones falsas en línea para que puedan hablar dulcemente de dinero, conocen este truco. Por lo general, comienzan contactando de manera convencional en un sitio de citas real, utilizando las fotos e identidades en línea de otras personas. Allí, guían a sus víctimas para que abandonen la seguridad comparativa del sitio legítimo y cambien a un servicio de mensajería instantánea uno a uno sin supervisión.

La estafa de la “solicitud de dinero”.

Así es como funciona la estafa de “solicitud de dinero” de PayPal:

  • El estafador crea una cuenta de PayPal y utiliza el servicio de “solicitud de dinero” de PayPal para enviarle un correo electrónico oficial de PayPal pidiéndole que les envíe algunos fondos. Los amigos pueden usar este servicio como una forma informal pero relativamente segura de dividir los costos después de una noche de fiesta, pedir ayuda para pagar las facturas o incluso recibir pagos por pequeñas tareas como limpieza, jardinería, cuidado de mascotas y más.
  • El estafador hace que la solicitud parezca una factura real por un producto o servicio real, incluso si en realidad no lo ordenó, y probablemente por un precio aparentemente improbable o irrazonable.
  • El estafador agrega un número de teléfono de contacto al mensaje, parece ofrecer una manera fácil de cancelar la solicitud de pago si cree que es una estafa.

Entonces, el correo electrónico en realidad proviene de PayPal, lo que le da un aire de autenticidad y lo invita a reaccionar llamando a los estafadores, en lugar de responder al correo electrónico en sí.

Como esto:

En este ejemplo, el producto que debería haber comprado es el nombre de un programa antivirus genuino para el consumidor, con el número 365 agregado al final para que parezca un producto basado en la nube solo en línea.

Sabiendo muy bien que la solicitud de pago no fue autorizada por usted, puede informarlo a PayPal…

…pero también es tentador llamar al “negocio” que presentó la solicitud para decirles que no vuelvan a molestarlo la próxima semana o el próximo mes cuando sus “registros” muestren que la “factura” todavía no es pagadera.

Después de todo, la llamada telefónica es gratuita (en el Reino Unido, como en muchos otros países, el código de marcación -800- indica una llamada gratuita), y si alguien que usted conoce realmente intentó comprar algún software de ciberseguridad en línea y cargarlo con su centavo, ¿por qué no tratar de llegar al fondo y evitar que la “tarifa” se escape?

Por supuesto, todo es un montón de mentiras: ningún programa antivirus; nada comprado; y nadie pagó 550 libras esterlinas a nadie por nada.

Los estafadores acaban de encontrar una manera de abusar de los regalos de PayPal Pedir dinero servicio para generar correos electrónicos que en realidad provienen de PayPal, que incluyen enlaces reales de PayPal, y usa el campo de mensaje en la solicitud para brindarte una forma oficial de contactarlos directamente…

…como un estafador romántico que coquetea contigo en un sitio de citas y luego te convence de cambiar a mensajes directos, donde la plataforma de citas ya no puede moderar ni controlar tus interacciones.

¿Qué hacer?

¡Lo más rápido y fácil de hacer, por supuesto, es nada!

Las solicitudes de dinero de PayPal son exactamente lo que dicen que son: una forma para que amigos, familiares, alguien, cualquier persona, lo invite a enviarles dinero de una manera razonablemente segura.

ellos no son facturas; ellos no son demandas de pago; Están no recibos; y estan sin relación con ninguna compra existente hizo o no hizo a través de PayPal o en cualquier otro lugar.

Si no hace nada, a nadie se le paga y nadie recibe nada, por lo que la estafa falla.

Sin embargo, le recomendamos que informe a PayPal de solicitudes falsas de este tipo, lo que ayudará a cerrar la cuenta infractora y a asegurarse de que nadie pague por miedo o llame al número de teléfono proporcionado “por si acaso”.

Hagas lo que hagas, no envíes dineroy definitivamente no llames a los criminalesporque su objetivo real es establecer un contacto directo para que puedan comenzar a engañarte para que reveles información personal que podría costarte más de £ 549,67.

¿Deberías decirle a las autoridades?

Ya sea durante el Black Friday o en cualquier otra época del año, le instamos a que considere denunciar este tipo de estafas ante el regulador o el organismo de investigación correspondiente de su país.

Es posible que sienta que no está haciendo mucho para ayudar, y probablemente no tenga tiempo para denunciar a todos, pero si suficientes personas brindan alguna evidencia a las autoridades, es probable que hagan algo al respecto.

Por otro lado, si nadie dice nada, no se puede ni se hará nada.

A continuación, hemos enumerado enlaces de informes de estafas para varios países anglófonos:

  AU: Scamwatch (Australian Competition and Consumer Commission)       
      https://www.scamwatch.gov.au/about-scamwatch/contact-us

  CA: Canadian Anti-Fraud Centre
      https://antifraudcentre-centreantifraude.ca/index-eng.htm

  NZ: Consumer Protection (Ministry of Business, Innovation and Employment)
      https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/

  UK: ActionFraud (National Fraud and Cyber Crime Reporting Centre)
      https://www.actionfraud.police.uk/

  US: ReportFraud.ftc.gov (Federal Trade Commission)
      https://reportfraud.ftc.gov/

  ZA: Financial Intelligence Centre
      https://www.fic.gov.za/Resources/Pages/ScamsAwareness.aspx

Leave a Reply

Your email address will not be published. Required fields are marked *