Dado que estamos entrando en la temporada alta de venta al por menor, encontrará advertencias de seguridad cibernética con un tema de «Black Friday» en todo Internet.
Sin embargo, como sabrán los lectores habituales, no nos gustan mucho los consejos en línea que son específicos del Black Friday, porque la ciberseguridad es importante los 365 días y cuarto del año.
No se tome en serio la seguridad cibernética solo cuando sea el Día de Acción de Gracias, Hannukah, Kwanzaa, Navidad o cualquier otra festividad de entrega de regalos, o solo para las Ofertas de Año Nuevo, las Ofertas de Primavera, las Ofertas de Verano o cualquier otra oportunidad de descuento de temporada.
Como dijimos cuando comenzó la temporada minorista a principios de este mes en muchas partes del mundo:
La mejor razón para mejorar su ciberseguridad en el período previo al Black Friday es que significa que mejorará su ciberseguridad durante el resto del año y lo alentará a seguir mejorando hasta 2023 y más allá.
Habiendo dicho eso, este artículo trata sobre una estafa de la marca PayPal que nos informó a principios de esta semana un lector habitual que pensó que valdría la pena advertir a otros, especialmente a aquellos con cuentas de PayPal que pueden estar más inclinados a usarlas en esta época del año que cualquier otra.
Lo bueno de esta estafa es que debes identificarla por lo que es: una tontería inventada.
Lo malo de esta estafa es que es sorprendentemente fácil de configurar para los delincuentes, y evita cuidadosamente enviar correos electrónicos falsificados o engañarlo para que visite sitios web falsos, porque los delincuentes usan un servicio de PayPal para generar su contacto inicial a través de los servidores oficiales de PayPal.
Aquí va.
Suplantación de identidad explicada
Un correo electrónico falsificado es aquel que insiste en que proviene de una empresa o dominio conocido, por lo general colocando una dirección de correo electrónico creíble en la From:línea e incluyendo logotipos, eslóganes u otros detalles de contacto copiados de la marca que intenta suplantar.
Recuerde que el nombre y la dirección de correo electrónico que se muestran en un correo electrónico junto a la palabra Fromen realidad son solo parte del mensaje en sí, por lo que el remitente puede incluir casi cualquier cosa que desee, independientemente de dónde envió realmente el mensaje.
Un sitio web falsificado es aquel que copia la apariencia del sitio real, a menudo simplemente extrayendo el contenido web exacto y las imágenes del sitio original para que se vea lo más perfecto posible.
Los sitios fraudulentos también pueden tratar de hacer que el nombre de dominio que ve en la barra de direcciones parezca al menos vagamente realista, por ejemplo, colocando la marca falsificada en el extremo izquierdo de la dirección web, para que pueda ver algo como paypal.com.bogus.example, en con la esperanza de que no revise el extremo derecho del nombre, que en realidad determina quién es el propietario del sitio.
Otros estafadores intentan adquirir nombres parecidos, por ejemplo, reemplazando W(un carácter W de whisky) con VV(dos caracteres V de Victor) o usando I(escribiendo un carácter I en mayúsculas de India) en lugar de l( una L minúscula de Lima).
Pero los trucos de suplantación de identidad de este tipo a menudo se pueden detectar con bastante facilidad, por ejemplo, mediante:
- Aprender a examinar los llamados encabezados de un mensaje de correo electrónico, que muestra de qué servidor proviene realmente un mensaje, en lugar del servidor desde el que el remitente afirma haberlo enviado.
- Configurar un filtro de correo electrónico que busque automáticamente fraudes tanto en los encabezados como en el cuerpo de cada mensaje de correo electrónico que alguien intente enviarle.
- Navegación a través de una red o firewall de punto final que bloquea las solicitudes web salientes a sitios falsos y descarta las respuestas web entrantes que incluyen contenido de riesgo.
- Usar un administrador de contraseñas que vincula los nombres de usuario y las contraseñas a sitios web específicos y, por lo tanto, no puede ser engañado por contenido falso o nombres parecidos.
Por lo tanto, los estafadores de correo electrónico a menudo hacen todo lo posible para asegurarse de que su primer contacto con las víctimas potenciales incluya mensajes que realmente provengan de sitios o servicios en línea genuinos, y que se vinculen a servidores que realmente son administrados por esos mismos sitios legítimos…
…siempre y cuando los estafadores puedan encontrar alguna forma de mantener el contacto después de ese mensaje inicial, para que la estafa continúe.
Los estafadores románticos , que intentan atraer a las víctimas a relaciones falsas en línea para convencerlas de que no les den dinero, conocen este truco muy bien. Por lo general, comienzan haciendo contacto de manera convencional en un sitio de citas genuino, utilizando las fotos y la identidad en línea de otra persona. Allí, encantan a sus víctimas para que dejen la seguridad comparativa del sitio legítimo y cambien a un servicio de mensajería instantánea uno a uno sin supervisión.
La estafa de la “solicitud de dinero”
Así es como funciona la estafa de «solicitud de dinero» de PayPal:
- El estafador crea una cuenta de PayPal y utiliza el servicio de «solicitud de dinero» de PayPal para enviarle un correo electrónico oficial de PayPal pidiéndole que le envíe algunos fondos. Los amigos pueden usar este servicio como una forma informal pero relativamente segura de dividir los gastos después de una noche de fiesta, pedir ayuda para pagar una factura o incluso recibir pagos por pequeñas tareas como limpieza, jardinería, cuidado de mascotas, etc.
- El estafador hace que la solicitud parezca un cargo existente por un producto o servicio genuino, aunque no es uno que haya pedido realmente, y probablemente por un precio que parece improbable o irrazonable.
- El estafador agrega un número de teléfono de contacto en el mensaje, aparentemente ofreciendo una manera fácil de cancelar la solicitud de pago si cree que es una estafa.
Entonces, el correo electrónico en realidad se origina en PayPal, lo que le da un aire de autenticidad, pero lo invita a reaccionar llamando a los ladrones, en lugar de responder al correo electrónico en sí.
Como esto:
En este ejemplo, el producto que se supone que compró es el nombre de un programa antivirus genuino para el consumidor, con el número 365 agregado al final para darle la apariencia de un producto basado en la nube solo en línea.
Dado que usted es muy consciente de que usted nunca autorizó la solicitud de pago, puede informarlo a PayPal…
…pero también es tentador llamar al “negocio” que presentó la solicitud para decirles que no vuelvan a llamarlo la próxima semana o el próximo mes cuando sus “registros” muestren que la “factura” todavía no ha sido pagada.
Después de todo, la llamada telefónica es gratuita (en el Reino Unido, como en muchos otros países, el código de marcación -800- denota una llamada gratuita), y si alguien que usted conoce realmente ha intentado comprar algún software de ciberseguridad en línea y cobrárselo a su moneda de diez centavos, ¿por qué no tratar de llegar al fondo y detener el «pago»?
Por supuesto, todo es un montón de mentiras: no hay ningún programa antivirus; no hubo compra; y nadie pagó 550 libras esterlinas a nadie por nada.
Los ladrones simplemente encontraron una manera de abusar del servicio gratuito de solicitud de dinero de PayPal para generar correos electrónicos que realmente provienen de PayPal, que incluyen enlaces reales de PayPal y que usan el campo de mensaje en la solicitud para brindarle una forma oficial de comunicarse con ellos. directamente…
…al igual que un estafador de romances que se burla de ti en un sitio de citas y luego te convence de que cambies a enviarles mensajes directamente, donde la plataforma de citas ya no puede supervisar ni regular tus interacciones.
¿Qué hacer?
¡Lo más rápido y fácil de hacer, por supuesto, es nada!
Las solicitudes de dinero de PayPal son exactamente lo que dicen: una forma para que amigos, familiares, alguien, cualquier persona, lo invite a enviarles dinero de una manera razonablemente segura.
No son facturas ; no son demandas de pago ; no son recibos ; y no están relacionados con ninguna compra existente que haya realizado o no a través de PayPal o en cualquier otro lugar.
Si simplemente no hace nada, no se paga nada y nadie recibe nada, por lo que la estafa falla.
No obstante, le recomendamos que informe a PayPal de solicitudes falsas de este tipo, lo que ayudará a cerrar la cuenta infractora y a garantizar que nadie más pague por miedo o llame al número de teléfono dado «por si acaso». (Puede visitar la página Reportar posible fraude de PayPal para obtener más información o reenviar correos electrónicos sospechosos a phishing@paypal.com).
Hagas lo que hagas, no envíes dinero y definitivamente no devuelvas la llamada a los delincuentes , porque su verdadero objetivo es establecer contacto directo para que puedan comenzar a trabajar contigo para engañarte para que reveles información personal que, en última instancia, podría costarte un mucho más de £ 549.67.
¿Deberías decirle a las autoridades?
Ya sea durante la temporada del Black Friday o en cualquier otra época del año, le instamos a que considere denunciar estafas de este tipo al organismo regulador o de investigación correspondiente de su país.
Puede parecer que no está haciendo mucho para ayudar, y probablemente no tenga tiempo para informar a todos y cada uno, pero si suficientes personas brindan alguna evidencia a las autoridades, existe al menos una posibilidad de que ellos harán algo al respecto.
Por otro lado, si nadie dice nada, entonces nada se hará ni se podrá hacer.
A continuación, hemos enumerado enlaces de informes de estafas para varios países anglófonos:
AU: Scamwatch (Comisión Australiana de Competencia y Consumidores) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Centro Canadiense Antifraude https://antifraudcentre-centreantifraude.ca/index-eng. htm Nueva Zelanda: Protección al Consumidor (Ministerio de Negocios, Innovación y Empleo) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ Reino Unido: ActionFraud (Centro Nacional de Informes de Fraudes y Delitos Cibernéticos) https://www.actionfraud.police.uk/ EE. UU.: ReportFraud.ftc.gov (Comisión Federal de Comercio) https://reportfraud.ftc.gov/ ZA: Centro de Inteligencia Financiera https://www.fic.gov.za /Resources/Pages/ScamsAwareness.aspx
Fuente:Sophos Security News
