In den letzten Tagen habe ich über PayPal mehrere Geldspenden für genau 1 US-Dollar erhalten. Einige Stunden nach Eingang der Spende erhalte ich auch eine Benachrichtigung von PayPal, dass „eine Zahlungsumkehr untersucht wird“, da „kürzlich ein nicht autorisierter Kontoaktivitätsanspruch gegen die Transaktion eingereicht wurde“.
Ich habe Ich muss glauben, dass dies ein Betrüger bei der Arbeit ist, aber ich kann nicht herausfinden, welchen Angriffsvektor sie versuchen. Alle E-Mails, die ich erhalten habe, sind legitim. Ich habe in keiner der E-Mails auf Links geklickt, und die manuelle Anmeldung bei PayPal über deren https-Adresse zeigt diese Transaktionen tatsächlich in meinem Verlauf an.
Testet jemand die von ihm gestohlenen Kreditkartennummern aus? Prüfen sie mein Konto irgendwie, um festzustellen, ob Geld verfügbar ist?
Mein PayPal-Konto ist nicht an mein Bankkonto gebunden, aber ich habe eine damit verbundene Kreditkarte keine seltsamen ausgehenden Transaktionen gesehen; Es kommt immer ein einziger Dollar herein und wird dann rückgängig gemacht.
Hat das noch jemand gesehen? Was kann / soll ich tun?
Update 1 : Einige zusätzliche Informationen, falls sich jemand darüber wundert.
- Ich habe heute Morgen mein Passwort geändert, nur für den Fall.
- Auf meiner Website befindet sich eine PayPal-Spendenschaltfläche. Hier hat möglicherweise jeder, der dies tut, meine Informationen erhalten.
Update 2 : Ich habe PayPal tatsächlich kontaktiert, nachdem ich diese E-Mails erhalten hatte, und sie waren sich einig, dass die Dinge faul aussahen. Sie empfahlen, mein Passwort zu ändern (was ich, wie bereits erwähnt, tat). und sie haben die fragwürdigen Transaktionen sofort abgeschlossen. Seit ich diese Maßnahme ergriffen habe, habe ich jedoch zwei oder drei weitere dieser „Spenden“ erhalten (obwohl ich noch nicht gesehen habe, dass sie umstritten sind). Ich sollte beachten, dass die Person, die die Spende einreicht, letztendlich diejenige ist, die die PayPal-Gebühr zahlt (daher habe ich weniger als 1 USD für eine Spende von 1 USD). Dies ist eine sehr seltsame Situation, um es gelinde auszudrücken …
Kommentare
- IIRC Sie müssen eine Gebühr an Paypal zahlen, wenn Sie Geld über ihre erhalten System. Vor einiger Zeit gab es einen ziemlich großen öffentlichen Versuch, etwas Geld einer rechten Partei in Deutschland zu verschwenden, indem man ihnen über Paypal viele winzige Geldbeträge spendete. Die Partei musste die oben genannte Gebühr zahlen, die die erhaltene Spende überwog. Ich bin mir nicht sicher, ob das noch funktioniert. Ich könnte mir vorstellen, dass dies ein Szenario ist. Hat Paypal Ihnen etwas für den Erhalt dieser Gelder in Rechnung gestellt?
- Es ist möglich, dass Paypal ein Erpressungs-Betrugsschema entdeckt hat.
- Haben Sie sich nach Erhalt der E-Mails an den Paypal-Support gewandt?
- Ich habe tatsächlich erreicht. Siehe mein zweites Update oben.
Antwort
Is Jemand, der Kreditkartennummern testet, die er „gestohlen“ hat?
Ja. Sie werden als Kanarienvogel verwendet, um gestohlene Kreditkarten zu testen. Sie haben Ihre Website zufällig gefunden und sehen, dass Sie bereit sind, Zahlungen zu akzeptieren. Sie senden Ihnen eine Token-Zahlung in Höhe von 1 US-Dollar, um zu prüfen, ob die Karte funktioniert. (Früher verwendeten sie iTunes, um einen Song im Wert von 1 US-Dollar zu kaufen. )
Wenn sie sehen, dass die Karte funktioniert, kaufen sie so viele Einweg-Visa-Geschenkkarten wie möglich. Dies bringt ein paar hundert bis ein paar tausend Dollar auf die Karte. (Früher kauften sie Waren direkt, aber für Händler ist es einfacher, den Versand eines Flachbildfernsehers zu stoppen, als ein Stapel Geschenkkarten.)
Der Karteninhaber oder der FI bemerkt die Gebühren und beginnt, alles rückgängig zu machen Das Geld wurde jedoch bereits in Form von Geschenkkarten gewaschen.
Somit gelingt es dem Betrüger, gestohlenes Guthaben erfolgreich in eine Handvoll nicht auffindbarer Einweg-Geschenkkarten umzuwandeln. Diese können entweder zum persönlichen Vorteil verwendet werden oder für einen etwas geringeren Betrag weiterverkauft, um tatsächliches Geld zu erhalten.
Kommentare
- Kann ich irgendetwas tun, um diese Art zu verhindern?
- Versuchen Sie, die Mindestspende, die Sie ‚ akzeptieren, auf etwa 3 US-Dollar zu erhöhen. Sie scheinen immer nach dem absolut niedrigsten Dollarbetrag schießen zu wollen, den sie können durchkommen, was in der Regel 1 US-Dollar ist. Abgesehen davon können Sie nicht viel tun, was ‚ das Spenden an Sie nicht zu einem umständlicheren Prozess machen würde (was dem Chan schaden wird) ces von legitimen Besuchern, die sich die Mühe machen wollen).
- Danke. Ich ‚ habe ein neues Spendensystem implementiert, bei dem Benutzer entweder 5 USD oder 10 USD wählen können. Wir ‚ werden sehen, wie das in Zukunft funktioniert.
- Selbst nachdem ich meine Website angepasst habe, um eine Spende von mindestens 5 US-Dollar durchzusetzen, erhalte ich immer noch falsche Spenden, die letztendlich angefochten werden. Ich ‚ ziehe mein Spendensystem vorerst herunter.:-(
Antwort
Können Sie sehen, ob es neben dem ein Muster des Angriffs gibt? Menge – z. B. Tageszeit, Geolokalisierung usw. – Ich denke an Geoblock dieser Art. Eine andere Methode, die ich denke, besteht darin, eine Reihe von Captcha-ähnlichen Sicherheitsfunktionen zu platzieren, bevor der Spendenknopf angezeigt wird Angreifer.
Ich versuche auch, ein Blog einzurichten, und stelle eine ähnliche Frage zu Was wäre der effizienteste Weg, um Zahlungen oder Spenden zu verarbeiten Eine gemeinnützige Website?
Vielen Dank und alles Gute.
Kommentare
- Dies ist nicht der Fall Beantworten Sie die Frage