Frissítés 2023. október 26-án: A PayPal hivatalos közleményt adott ki a „ne fizess, ne telefonálj” típusú hackertámadás kapcsán, továbbá hasznos tanácsokat osztott meg arról, hogyan ismerhetjük fel, háríthatjuk el és kezelhetjük az ilyen fenyegetéseket.
A kibertámadások új hulláma: PayPal felhasználók veszélyben
Az utóbbi időben több online szolgáltató felhasználói is szembesültek különféle támadásokkal: Gmail-felhasználók képes alapú támadásokra kaptak figyelmeztetést, TikTokon VIP frissítési ajánlatnak álcázott fenyegetések jelentek meg, míg a LastPass arra intette ügyfeleit, hogy ne változtassák meg mesterjelszavukat egy „feltörtél” típusú e-mail miatt.
Most pedig a KnowBe4 biztonsági szakértői hívták fel a figyelmet egy újabb veszélyre: a kiberbűnözők valódi PayPal e-mail címről küldenek hamis számlákat. A PayPal erre reagálva kiadta a „ne fizess, ne telefonálj” figyelmeztetést – ez az egyik legfontosabb tanács, amit érdemes megfogadni.
Mi az a PayPal számla-támadás?
A KnowBe4 szakértői szerint az új támadás lényege, hogy a csalók létrehoznak egy valódi PayPal fiókot, majd onnan küldenek ki hamis számlákat. Ezek az e-mailek valódi PayPal címről érkeznek, így első ránézésre hitelesnek tűnnek. A levélben egy nagy összegű vásárlásról szóló számla található, amelyet az áldozat nem kezdeményezett.
A levél tartalmaz egy telefonszámot is, amelyen állítólag vitatni lehet a tranzakciót. Azonban ha valaki felhívja ezt a számot, nem a PayPal ügyfélszolgálatával beszél, hanem csalókkal, akik célja az áldozat bankkártya adatainak megszerzése vagy akár pénz kicsalása „számla visszatérítés” vagy „fiók helyreállítás” ürügyén.
A TOAD támadás – telefonos átverés ismét
Ezt a módszert TOAD-nak (Telephone-Oriented Attack Delivery) nevezik. A támadás során PDF formátumú számlát vagy más hivatalosnak tűnő dokumentumot küldenek ki, amely sürgősséget és anyagi veszteség miatti félelmet keltve próbálja rávenni az áldozatot arra, hogy felhívja a csalók által megadott telefonszámot.
Ez nem új jelenség: már korábban is figyelmeztettek rá szakértők és maga a PayPal is. Ennek ellenére úgy tűnik, hogy ez a csalási forma ismét terjed.
Hogyan ismerhetjük fel és hogyan védekezhetünk?
- Ne fizessünk és ne hívjunk vissza: Ha váratlan vagy gyanús számlát kapunk bármilyen szolgáltatótól – legyen az PayPal vagy más –, soha ne fizessünk és ne hívjuk fel az e-mailben megadott telefonszámot.
- Ellenőrizzük közvetlenül fiókunkat: Mindig közvetlenül a PayPal weboldalán vagy alkalmazásában nézzük meg tranzakcióinkat, soha ne kattintsunk e-mailben vagy dokumentumban található linkekre.
- Legyünk óvatosak csatolmányokkal és linkekkel: Ne nyissunk meg gyanús mellékleteket és ne kattintsunk ismeretlen linkekre.
- Jelszócsere és kétfaktoros hitelesítés: Ha esetleg már megadtuk személyes adatainkat vagy jelszavunkat, azonnal változtassuk meg PayPal jelszavunkat – és mindenhol máshol is, ahol ugyanazt használjuk (ami nem ajánlott). Használjunk erős, egyedi jelszavakat és kapcsoljuk be a kétlépcsős azonosítást vagy passkey-t.
- Lépjünk kapcsolatba hivatalosan: Gyanús esetben forduljunk közvetlenül a PayPal ügyfélszolgálatához az alkalmazáson vagy hivatalos weboldalon keresztül.
A PayPal válasza és további lépések
A PayPal elkötelezett amellett, hogy megvédje ügyfeleit: manuális vizsgálatokkal és fejlett technológiával igyekszik kiszűrni a csaló fiókokat és kockázatos tranzakciókat. Emellett együttműködik fogyasztóvédelmi szervezetekkel (pl. Better Business Bureau, Federal Trade Commission) és kampányokat indít (például Smarter Than Scams), hogy növelje a tudatosságot az aktuális csalási trendekkel kapcsolatban.
A vállalat szóvivője hangsúlyozta: „Nem tűrjük el a csalárd tevékenységeket platformunkon. Csapataink fáradhatatlanul dolgoznak ügyfeleink védelméért. Tudomásunk van erről a phishing támadásról és arra kérjük mindenkit, hogy legyen óvatos online, különösen váratlan üzenetek esetén.”
Mire figyeljünk még?
Bár ez a támadás most éppen a PayPalt célozza meg, hasonló módszerekkel más ismert márkákat is megtámadhatnak. Ezért mindig legyünk éberek minden olyan e-maillel szemben, amely pénzügyi tranzakciókra kérdez rá vagy számlát küld – még akkor is, ha látszólag megbízható forrásból érkezik.
Záró gondolatok
A digitális világban egyre kifinomultabb csalási technikák jelennek meg nap mint nap. A legjobb védekezés mindig az óvatosság és az információs tudatosság. Soha ne hagyjuk magunkat sürgetni vagy megfélemlíteni – ha gyanús levelet kapunk, inkább kérjünk segítséget szakértőtől vagy közvetlenül az adott szolgáltató ügyfélszolgálatától.
Legyen mindig naprakész jelszókezelésed és használj kétfaktoros hitelesítést! Így sokkal kisebb eséllyel válhatsz áldozattá egy ilyen csalás során.