Dado que estamos entrando en la temporada alta de venta al por menor, encontrará advertencias de seguridad cibernética con un tema de «Viernes Negro» en todo Internet…
…incluyendo, por supuesto, ¡aquí mismo en Naked Security!
Sin embargo, como sabrán los lectores habituales, no nos gustan mucho los consejos en línea que son específicos del Black Friday, porque la ciberseguridad es importante los 365 días y cuarto del año.
No se tome en serio la seguridad cibernética solo cuando sea el Día de Acción de Gracias, Hannukah, Kwanzaa, Navidad o cualquier otra festividad de entrega de regalos, o solo para las Ofertas de Año Nuevo, las Ofertas de Primavera, las Ofertas de Verano o cualquier otra oportunidad de descuento de temporada.
Como dijimos cuando comenzó la temporada minorista a principios de este mes en muchas partes del mundo:
La mejor razón para mejorar su ciberseguridad en el período previo al Black Friday es que significa que mejorará su ciberseguridad durante el resto del año y lo alentará a seguir mejorando hasta 2023 y más allá.
Habiendo dicho eso, este artículo trata sobre una estafa de la marca PayPal que nos informó a principios de esta semana un lector habitual que pensó que valdría la pena advertir a otros, especialmente a aquellos con cuentas de PayPal que pueden estar más inclinados a usarlas en esta época del año que cualquier otra.
Lo bueno de esta estafa es que deberías reconocerlo por lo que es: una tontería inventada.
Lo malo de esta estafa es que es asombrosamente fácil de configurar para los delincuentes, y evita cuidadosamente enviar correos electrónicos falsificados o engañarlo para que visite sitios web falsos, porque los delincuentes usan un servicio de PayPal para generar su contacto inicial a través de los servidores oficiales de PayPal.
Aquí va.
Suplantación de identidad explicada
A correo electrónico falsificado es uno que insiste en que es de una empresa o un dominio conocido, generalmente colocando una dirección de correo electrónico creíble en el From:
y al incluir logotipos, eslóganes u otros detalles de contacto copiados de la marca que intenta suplantar.
Recuerde que el nombre y la dirección de correo electrónico que se muestran en un correo electrónico junto a la palabra From
en realidad son solo parte del mensaje en sí, por lo que el remitente puede poner casi cualquier cosa que quiera allí, independientemente de dónde envió realmente el mensaje.
A sitio web falsificado es uno que copia la apariencia de la cosa real, a menudo simplemente extrayendo el contenido web exacto y las imágenes del sitio original para que se vea tan perfecto como sea posible.
Los sitios fraudulentos también pueden intentar hacer que el nombre de dominio que ve en la barra de direcciones parezca al menos vagamente realista, por ejemplo, colocando la marca falsificada en el extremo izquierdo de la dirección web, para que pueda ver algo como paypal.com.bogus.example
con la esperanza de que no verifique el extremo derecho del nombre, que en realidad determina quién es el propietario del sitio.
Otros estafadores intentan adquirir nombres parecidos, por ejemplo, reemplazando W
(un carácter W-for-Whisky) con VV
(dos caracteres V de Víctor), o usando I
(escribiendo un carácter I-para-India en mayúscula) en lugar de l
(una L minúscula de Lima).
Pero los trucos de suplantación de identidad de este tipo a menudo se pueden detectar con bastante facilidad, por ejemplo, mediante:
- Aprender a examinar los llamados encabezados de un mensaje de correo electrónico, que muestra de qué servidor proviene realmente un mensaje, en lugar del servidor desde el que el remitente afirmó haberlo enviado.
- Configurar un filtro de correo electrónico que busque automáticamente estafas tanto en los encabezados como en el cuerpo de cada mensaje de correo electrónico que alguien intente enviarte.
- Navegación a través de una red o firewall de punto final que bloquea las solicitudes web salientes a sitios falsos y descarta las respuestas web entrantes que incluyen contenido de riesgo.
- Usar un administrador de contraseñas que vincule nombres de usuario y contraseñas a sitios web específicosy por lo tanto no puede ser engañado por contenido falso o nombres parecidos.
Por lo tanto, los estafadores de correo electrónico a menudo hacen todo lo posible para asegurarse de que su primer contacto con las víctimas potenciales incluya mensajes que realmente provengan de sitios o servicios en línea genuinos, y que se vinculen a servidores que realmente son administrados por esos mismos sitios legítimos…
…siempre y cuando los estafadores puedan encontrar alguna forma de mantener el contacto después de ese mensaje inicial, para que la estafa continúe.
Estafadores románticos, que tratan de atraer a las víctimas a relaciones falsas en línea para convencerlas de que no les den dinero, conocen muy bien este truco. Por lo general, comienzan haciendo contacto de manera convencional en un sitio de citas genuino, utilizando las fotos y la identidad en línea de otra persona. Allí, encantan a sus víctimas para que dejen la seguridad comparativa del sitio legítimo y cambien a un servicio de mensajería instantánea uno a uno sin supervisión.
La estafa de la “solicitud de dinero”
Así es como funciona la estafa de «solicitud de dinero» de PayPal:
- El estafador crea una cuenta de PayPal y utiliza el servicio de «solicitud de dinero» de PayPal para enviarle un correo electrónico oficial de PayPal pidiéndole que les envíe algunos fondos. Los amigos pueden usar este servicio como una forma informal pero relativamente segura de dividir los gastos después de una noche de fiesta, pedir ayuda para pagar una factura o incluso recibir pagos por pequeñas tareas como limpieza, jardinería, cuidado de mascotas, etc.
- El estafador hace que la solicitud parezca un cargo existente por un producto o servicio genuino, aunque no uno que haya pedido realmente, y probablemente por lo que parece un precio poco probable o irrazonable.
- El estafador agrega un número de teléfono de contacto en el mensaje, aparentemente ofrece una manera fácil de cancelar la solicitud de pago si cree que es una estafa.
Entonces, el correo electrónico en realidad se origina en PayPal, lo que le da un aire de autenticidad y lo invita a reaccionar llamando a los ladrones, en lugar de responder al correo electrónico en sí.
Como esto:
Dado que usted es muy consciente de que usted nunca autorizó la solicitud de pago, puede informarlo a PayPal…
…pero también es tentador llamar al “negocio” que presentó la solicitud para decirles que no vuelvan a llamarlo la próxima semana o el próximo mes cuando sus “registros” muestren que la “factura” todavía no ha sido pagada.
Después de todo, la llamada telefónica es gratuita (en el Reino Unido, como en muchos otros países, el código de marcación -800- denota una llamada gratuita), y si alguien que usted conoce realmente ha intentado comprar algún software de ciberseguridad en línea y cobrárselo a su moneda de diez centavos, ¿por qué no tratar de llegar al fondo y detener el «pago»?
Por supuesto, todo es un montón de mentiras: no hay ningún programa antivirus; no hubo compra; y nadie pagó 550 libras esterlinas a nadie por nada.
Los ladrones simplemente han encontrado una manera de abusar de los servicios gratuitos de PayPal. Solicitud de dinero servicio para generar correos electrónicos que realmente provienen de PayPal, que incluyen enlaces reales de PayPal y que usan el campo de mensaje en la solicitud para brindarle una forma oficial de contactarlos directamente…
…al igual que un estafador de romances que se burla de ti en un sitio de citas y luego te convence de que cambies a enviarles mensajes directamente, donde la plataforma de citas ya no puede supervisar ni regular tus interacciones.
¿Qué hacer?
¡Lo más rápido y fácil de hacer, por supuesto, es nada!
Las solicitudes de dinero de PayPal son exactamente lo que dicen: una forma para que amigos, familiares, alguien, cualquier persona, lo invite a enviarles dinero de una manera razonablemente segura.
Ellos no son facturas; ellos no son demandas de pago; ellos son no recibos; y estan sin relación con ninguna compra existente hizo o no hizo a través de PayPal o en cualquier otro lugar.
Si simplemente no hace nada, no se paga nada y nadie recibe nada, por lo que la estafa falla.
No obstante, le recomendamos que informe a PayPal de solicitudes falsas de este tipo, lo que ayudará a cerrar la cuenta infractora y a garantizar que nadie más pague por miedo o llame al número de teléfono dado «por si acaso».
Hagas lo que hagas, no envíes dineroy definitivamente no llames a los criminalesporque su verdadero objetivo es establecer contacto directo para que puedan comenzar a trabajar contigo para engañarte y revelar información personal que, en última instancia, podría costarte mucho más que £ 549.67.
¿Deberías decírselo a las autoridades?
Ya sea durante la temporada del Black Friday o en cualquier otra época del año, le instamos a que considere denunciar estafas de este tipo al organismo regulador o de investigación correspondiente de su país.
Puede parecer que no está haciendo mucho para ayudar, y probablemente no tenga tiempo para informar a todos y cada uno, pero si suficientes personas brindan alguna evidencia a las autoridades, existe al menos una posibilidad de que ellos harán algo al respecto.
Por otro lado, si nadie dice nada, entonces nada se hará ni se podrá hacer.
A continuación, hemos enumerado enlaces de informes de estafas para varios países anglófonos:
AU: Scamwatch (Australian Competition and Consumer Commission) https://www.scamwatch.gov.au/about-scamwatch/contact-us CA: Canadian Anti-Fraud Centre https://antifraudcentre-centreantifraude.ca/index-eng.htm NZ: Consumer Protection (Ministry of Business, Innovation and Employment) https://www.consumerprotection.govt.nz/general-help/scamwatch/scammed-take-action/ UK: ActionFraud (National Fraud and Cyber Crime Reporting Centre) https://www.actionfraud.police.uk/ US: ReportFraud.ftc.gov (Federal Trade Commission) https://reportfraud.ftc.gov/ ZA: Financial Intelligence Centre https://www.fic.gov.za/Resources/Pages/ScamsAwareness.aspx