Under de senaste dagarna har jag fått flera monetära donationer via PayPal för exakt 1 US dollar. Flera timmar efter att donationen mottagits får jag också ett meddelande från PayPal om att de ”utreder en återbetalning av betalning”, eftersom ”ett obehörigt kontoaktivitetsanspråk nyligen lämnades in” mot transaktionen.
Jag har fick tro att det här är en bedragare på jobbet, men jag kan inte räkna ut vilken attackvektor de försöker. Alla e-postmeddelanden jag har fått är legitima; Jag har inte klickat på några länkar i någon av e-postmeddelandena och manuell inloggning på PayPal via deras https-adress visar verkligen dessa transaktioner i min historik.
Är det någon som testar kreditkortsnummer de har stulit? Prövar de mitt konto på något sätt för att se om det finns pengar tillgängliga att få?
Mitt PayPal-konto är inte knutet till mitt bankkonto, men jag har ett kreditkort kopplat till det. Jag har sett inga konstiga utgående transaktioner; det är alltid en enda dollar som kommer in och sedan vänds.
Har någon annan sett detta? Vad kan / ska jag göra?
Uppdatering 1 : Ytterligare information om någon undrar över det.
- Jag ändrade mitt lösenord i morse, för alla fall.
- Min webbplats har en PayPal-donationsknapp på den, vilket möjligen är den som gör detta fick min information.
Uppdatering 2 : Jag kontaktade faktiskt PayPal efter att ha fått dessa e-postmeddelanden, och de var överens om att det såg fiskigt ut. De rekommenderade att jag ändrade mitt lösenord (vilket jag gjorde tidigare) , och de stängde genast ut de tvivelaktiga transaktionerna. Sedan jag vidtagit den åtgärden har jag emellertid ”fått 2 eller 3 fler av dessa” donationer ”(även om jag ännu inte har sett dem ifrågasatta). Jag bör notera att den person som lämnar in donationen i slutändan är den som betalar PayPal-avgiften (så jag slutar med mindre än $ 1 för en $ 1-donation). Detta är minst sagt en väldigt konstig situation …
Kommentarer
- IIRC du måste betala en avgift till PayPal när du tar emot medel genom sina systemet. För ett tag sedan gjordes ett ganska stort offentligt försök att slösa bort pengar från ett högerparti i Tyskland genom att donera massor av små mängder kontanter till dem via Paypal. Partiet var tvungen att betala den ovannämnda avgiften som uppväger den mottagna donationen. Inte säker på om det här fungerar dock längre. Jag kan föreställa mig att detta är ett scenario. Klagde Paypal dig något för att ha mottagit dessa medel?
- Det är möjligt att någon utpressningsschema upptäcktes av Paypal.
- Har du nått Paypal-support efter att ha fått deras mail?
- Jag sträckte verkligen ut. Se min andra uppdatering ovan.
Svar
Är den här testar ut kreditkortsnummer de ”har stulit?
Ja. Du används som kanarie för att testa stulna kreditkort. De hittade din webbplats slumpmässigt och ser att du är villig att acceptera betalningar. De skickar dig en token på $ 1 för att se om kortet fungerar. (De brukade använda iTunes för att göra detta, där de skulle köpa en $ 1-låt. )
När de ser att kortet fungerar, köper de så många Visa-presentkort som de kan. Detta samlar några hundra till några tusen dollar på kortet. (De köpte varor direkt, men det är lättare för köpmän att sluta sända en platt-TV än det är en stapel presentkort.)
Kortinnehavaren eller FI märker avgifterna och börjar vända allt , men pengarna har redan tvättats i form av presentkort.
Således lyckas bedragaren framgångsrikt konvertera stulna krediter till en näve av spårbara, disponibla presentkort. Dessa kan antingen användas för personlig vinning eller säljs på nytt för ett lite mindre belopp för att ge faktiska kontanter.
Kommentarer
- Finns det något jag kan göra för att förhindra denna typ av beteende?
- Försök att höja den minsta donationen du ' accepterar till $ 3 eller så. De verkar alltid vilja skjuta för det absolut lägsta dollarbeloppet de kan komma undan med, vilket i allmänhet är $ 1. Bortsett från det, inte mycket du kan göra som inte ' t gör att du donerar en mer besvärlig process (som kommer att skada chan av legitima besökare som vill bry sig om det).
- Tack. Jag ' har implementerat ett nytt donationssystem där användarna antingen kan välja $ 5 eller $ 10. Vi ' ser hur det fungerar framöver.
- Även efter att jag har justerat min webbplats för att genomdriva en donation på minst $ 5 får jag fortfarande falska donationer som i slutändan ifrågasätts. Jag ' drar ner mitt donationssystem för tillfället.:-(
Svar
Kan du se om det finns ett mönster för attacken förutom mängd? t.ex. tid på dygnet, geolokalisering, etc? Jag tänker på Geoblock av den sorten. En annan metod som jag tänker är att sätta en serie captcha som säkerhet innan jag avslöjar donationsknappen. min uppfattning är att detta borde sakta ner angripare.
Jag försöker också skapa en blogg och ställer en liknande fråga på Vad skulle vara det mest effektiva sättet att behandla betalningar eller donationer på en webbplats som inte är vinstdrivande?
Tack och all lycka till.
Kommentarer
- Detta fungerar inte svara på frågan