Brottslingar försöker alltid lägga vantarna på dina surt förvärvade pengar, och deras senaste trick är enkelt – skicka en legitim faktura via PayPal för ett värdefullt föremål som du inte har köpt. Så hur fungerar denna bluff? Hur gör bedragare detta med en riktig PayPal-faktura?
PayPal-fakturering får bedragare i din inkorg
Traditionellt har bedragare och spammare varit relativt lätta att upptäcka. Om de inte flaggas upp av din e-postleverantörs skräppostfilter, finns det detaljer som ger dem bort, om du vet vad du ska leta efter.
Mejlen är ofta förfalskade– vilket betyder att e-postadressen i "från"-fältet inte är äkta, och de kommer ibland från lookalike-domäner. Språket tenderar att vara udda, och de kommer att lova dig kärlek, rikedomar bortom dina vildaste drömmar, eller möjligheten att hjälpa en tillfälligt fattig före detta statschef. I nästan alla fall kommer de att innehålla länkar som, om du klickar på dem, antingen installerar skadlig programvara på din dator eller försöker lura dig att ge bort dina bankkontouppgifter. De är falska och det är lätt att säga.
Fakturor från PayPal är annorlunda. PayPal är en pålitlig organisation, utan vilken e-handeln skulle stanna av. E-postmeddelanden från PayPal kommer alltid att nå din brevlåda oavsett din leverantör. Det är ingen spoofing inblandad och inga tvivelaktiga länkar. Det är legitimt, så det är svårt att säga att det är en bluff.
Och vem som helst kan skapa en faktura med PayPal. Så det är precis vad cyberkriminella gör.
Bedragare kan fakturera dig via PayPal
Efter att ha rensat dina skräppostfilter och utan uppenbara giveaways om att fakturan är en bluff, kan du få något liknande i din inkorg.
Du kontrollerar att utlänkarna är äkta och, känner dig lugn, klicka på en för att se den äkta PayPal-fakturan på den äkta PayPal-webbplatsen. Där kan du antingen betala eller annullera fakturan.
Den här fakturan är för Bitcoin och påstår sig vara från "Bitcoin Exchange", men vi har sett andra falska fakturor för presentkort och för debiteringar som gjorts av PayPal själv. För bedragare är alternativen oändliga, och det är fullt möjligt att vissa personer eller företag faktiskt klickar på Betala-knappen.
Hur fungerar PayPal-fakturor?
Om du regelbundet använder PayPal på din dator kan du ha inställt att du inte ens behöver logga in på ditt PayPal-konto – bara klicka på den stora blå knappen, och som magi försvinner det nödvändiga beloppet från ditt PayPal-saldo, för att aldrig ses igen.
PayPal tillhandahåller också en QR-kod för fakturor. Du kan inte bara faktureras via e-post när du är på språng, utan du kan också få direkt tillgång till fakturan på din smartphone. Rikta bara kameran mot den blå fyrkanten! Liten skrift på en 5-tumsskärm gör det ännu mer sannolikt att du klickar på knappen. Som PayPal-sloganen klargör är det enkelt: "Skanna. Betala. Gå."
På den här nivån är bluffen enkel: få folk att klicka på en knapp och få en stor summa pengar i gengäld.
Hur använder bedragare falska PayPal-fakturor?
Även om du inte betalar fakturan har bedragarna fler knep för att snärja dig. Mejlet innehåller även ett meddelande från säljaren, som indikerar att betalningen redan har tagits, och innehåller texten "Ring oss [sic] för eventuella tvister angående betalningen och utfärda en återbetalning på [telefon] siffra]".
Om du ignorerar den slumpmässiga versaler för tillfället, är det möjligt att du kan vara orolig nog att ringa numret, varpå en av två saker kan hända.
Bedragarna kan försöka få ut mer information från dig – antingen genom en bedräglig identitetsverifieringsprocess eller genom att be om dina bankuppgifter, till synes så att de kan göra en återbetalning.
De kan också försöka övertala dig att installera ett fjärradministrationsverktyg på din dator. Du kan säkert gissa vem du ger kontrollen till...
Eftersom både e-postmeddelandet och fakturan verkligen kommer från PayPal är det inte omöjligt att vissa människor kommer att bli lurade. Var inte en av dem.
Fall inte för PayPal-fakturabluffen
Utan några uppenbara ledtrådar om att fakturan inte är äkta, gör din efterforskning innan du betalar fakturan eller ringer numret.
Det första du bör fråga dig själv är om du köpt eller försökt köpa varan i fråga. Om svaret är nej – eftersom att spendera 499,99 USD på krypto via ditt PayPal-konto inte är något du kan tänka dig att göra – är det en bluff.
Du kan också undersöka eventuella kontaktuppgifter som finns i e-postmeddelandet och fakturan.
Med vår provfaktura är den förmodade säljarens e-postadress [email protected]. Värddomänen är för närvarande inaktiv, men en snabb titt på Internet Archive Wayback-maskin avslöjade att det tidigare var en WordPress-webbplats som var värd för slumpmässiga kinesiska kodsnuttar och annat skrapat skräp från tutorials. Kort sagt, det inger inte förtroende för att säljaren är äkta.
En annan ledtråd är telefonnumret. Med hjälp av ett gratis forskningsverktyg kunde vi försäkra oss om att det tilldelades samma dag som e-postmeddelandet skickades, och vi förväntar oss att det kommer att omtilldelas kort därefter.
Att bara söka efter ett nummer på Google kan avslöja att det ofta används av bedragare.
Hur fick PayPal-bedragare min e-postadress?
Kanske annonserar du din e-postadress på din Facebook, Twitter eller en personlig blogg, och den skrapas därifrån.
Det är mycket mer sannolikt att din e-postadress avslöjades vid ett dataintrång. Företag hackas hela tiden, med kundinformation som exfiltreras från deras system med alarmerande regelbundenhet. I den 2022 Samsung dataintrångbrottslingar lyckades till exempel stjäla kunders namn, kontaktinformation och demografisk information, födelsedatum och produkt registreringsinformation – som kan ha inkluderat kön, exakta geolokaliseringsdata, Samsung-kontoprofil-ID, användarnamn och Mer.
Enligt haibeenpwned, den person som lämnade provet e-postmeddelande till oss har fått sin e-postadress äventyrad i minst 10 olika dataintrång.
PayPal tillåter företag att massfaktura i partier på upp till 1 000 åt gången (av samma faktura) genom att ladda upp en CSV-fil. Det skulle vara lätt för de blivande bedragarna att lägga till ett namn (eller användarnamn) på alla fakturor, men det har de inte – vilket betyder att det är troligt att de inte har målets namn. Det enda kända intrånget som avslöjade deras personliga e-post, men inte namn eller användarnamn, var Patreon-hacket 2015.
Hur man skyddar sig mot bedrägliga PayPal-fakturor
PayPal ger en enkel och sunt förnuftsguide till e-postbedrägerier; dock är faktureringskonceptet inte listat ännu.
Här är vårt råd:
- Klicka inte vidare till fakturor från länkar i ett e-postmeddelande – även om de är äkta länkar. Du kan kontrollera PayPal-fakturor genom att helt enkelt logga in på tjänsten på en annan flik eller webbläsare.
- Betala inte en faktura om du inte är 100 procent säker på vad den är till för.
- Ring, mejla eller kontakta inte "säljaren".
- Håll din huvudsakliga e-postadress privat.
- Använda sig av e-postalias eller en e-postskyddstjänst att ge olika e-postadresser till olika företag.
- Kontrollera haveibeenpwned regelbundet för att se om dina personuppgifter har avslöjats. Om en e-postadress har äventyrats, avaktivera den.
PayPal-faktureringsbedrägerier är irriterande och farliga
Att öppna ett e-postmeddelande för att hitta en äkta PayPal-faktura för något du inte köpt är i bästa fall irriterande, och i värsta fall kan det leda till att du förlorar pengar. Var försiktig med dina sociala medier, dina e-postkonton och din internetsäkerhet, så att du kan beröva brottslingar den information de behöver för att rikta in dig på ett effektivt sätt.
