Система PayPal вже багато років є одним із найбільш популярних сервісів у галузі онлайн-платежів та доступна у всіх популярних Інтернет-магазинах, веб-сайтах аукціонів та інших комерційних майданчиках. Такі популярні бренди, як Microsoft, Google Play, PlayStation Store та Ikea, також пропонують варіант оплати своїх послуг через цю платіжну систему.
Цього року кількість зареєстрованих продавців на платформі сягнула 28 мільйонів. Однак така популярність має і негативний бік — підвищений інтерес до платформи серед кіберзлочинців. І якщо великі компанії, такі як Sony або Microsoft, можуть найняти кваліфікованих фахівців з кібербезпеки, то дрібні підприємці найчастіше не мають такої можливості та як результат є більш уразливими до різних форм шахрайства та кібератак.
Переплата за товар
Одним з найбільш поширених видів шахрайств з PayPal є схема з переплатою. Зокрема, кіберзлочинець, маскуючись під звичайного клієнта, надсилає платіж, який перевищує ціну товару або замовлення. Потім зловмисник повідомляє продавця про помилку і просить повернути різницю. Одразу після надсилання жертвою грошей, шахрай зв’язується зі службою підтримки сервісу і подає скаргу, наприклад, про пошкодження посилки або компрометацію його рахунку. Якщо злочинець отримає право на повне повернення коштів, жертва втратить не тільки товар, але і його вартість.
Як варіант, кіберзлочинці можуть використовувати скомпрометовані рахунки або кредитні картки. Коли реальний власник рахунку виявить несанкціоновану діяльність, він може повідомити про це. У такому випадку продавець так само втратить не тільки товар, але й не отримає оплату за нього.
Звісно, помилки іноді трапляються, але краще з особливою обережністю ставитися до випадків з переплатою. Найчастіше вона може бути явною ознакою шахрайства з PayPal, тому в деяких випадках постачальнику товарів або послуг вигідніше скасувати таке замовлення.
Зміна адреси доставки
Шахраї мають безліч схем обману, пов’язаних з доставкою — наприклад, зловмисник може спробувати переконати продавця скористатись обліковим записом шахрая в одній із служб доставки, оскільки він нібито має особливу знижку. Однак, якщо продавець погоджується, шахрай може легко перенаправити замовлення на іншу адресу та подати скаргу на те, що його замовлення не доставили. В такому випадку постачальник не має підтвердження, що покупець насправді отримав замовлення та, як наслідок, зазнає значного удару по гаманцю.
Інша поширена тактика передбачає те, що шахрай навмисно надає неправильну адресу доставки і відстежує посилку в Інтернеті. Коли транспортна компанія додає мітку про те, що доставка неможлива, шахрай зв’язується з компанією, надає правильну адресу та отримує товар. Оскільки посилка вже мала мітку про те, що доставку здійснити не можна, продавець знову зазнає збитків.
Щоб захистити себе від подібних шахрайств, краще завжди використовувати свій обліковий запис для оформлення доставки. Крім цього, можна зв’язатися зі службою доставки та заборонити покупцям перенаправляти замовлення.
Фішингові листи
Оскільки PayPal є дуже відомим та впізнаваним брендом, він часто використовуються при здійсненні фішинг-атак, жертвами яких регулярно стають саме продавці різних Інтернет-платформ. Один з подібних сценаріїв шахрайств з PayPal передбачає те, що жертва отримує електронний лист про те, що її обліковий запис нібито заблоковано. Це може викликати паніку, адже для когось цей акаунт є одним з основних джерел доходу.
В електронному листі можуть бути вказані різні причини блокування, наприклад, незвична активність в обліковому записі. Щоб це виправити, в листі пропонують виконати певні кроки, внаслідок яких, як правило, злочинці можуть отримати конфіденційні дані або повний контроль над обліковим записом жертви.
Якщо у вас виникають сумніви щодо легітимності електронних листів від будь-якої компанії, зверніться до неї, за допомогою даних, вказаних на офіційному веб-сайті. Спам-фільтри та надійні сучасні рішення з безпеки також допомагають уникнути інфікування фішинговими загрозами.
Як захиститися від шахрайств з PayPal?
Існує багато додаткових заходів, яких можна вжити для захисту свого облікового запису PayPal. Найбільш проста і базова порада — ніколи не заходити та не виконувати жодних дій у платіжних програмах, коли ви підключені до загальнодоступної мережі Wi-Fi. Кіберзлочинці часто використовують незахищені загальнодоступні мережі для здійснення атак та компрометації пристроїв.
Також не слід недооцінювати значення пароля, а краще складної ключової фрази. Крім того, що комбінації для входу мають бути складними, важливо, щоб вони були унікальними для кожного облікового запису. Щоб уникнути клопоту зі створенням та запам’ятовуванням десятків паролів, використовуйте менеджер паролів.
Однак, для захисту дійсно важливих облікових записів одного паролю недостатньо. Для додаткового рівня безпеки варто встановити двофакторну аутентифікацію. Наприклад, платформа PayPal пропонує користувачеві два варіанти: використання власної системи аутентифікації платіжної системи або підключення вашого облікового запису до стороннього додатку.
Джерело: ESET
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ
Онлайн-шопінг у соцмережах: як не бути ошуканим?
Як правильно вибрати ноутбук? ПОРАДИ
Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ
Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.
Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).
Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.
Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.
