Хочу рассказать об одном актуальном способе кидалова с помощью PayPal, с которым мне пришлось столкнуться лично.
Как это было
Есть у меня подруга, которая живёт в Украине. К ней обратился «покупатель из США», желая приобрести одну из её картин, но при этом сообщил, что может оплатить только через PayPal.
Так как в Украине невозможно принимать оплаты на PayPal, подруга попросила меня получить деньги для неё на мой личный PayPal (у меня словацкий эккаунт, так что я могу принимать на него деньги), и потом как-то передать деньги ей.
Я согласился помочь и сообщил подруге свой PayPal логин для получения денег.
После этого «покупатель» написал подруге, что при попытке перевести деньги на этот эккаунт — PayPal якобы запрашивает у него код подтверждения, который был послан мне в SMS, и прислал такое фото:
Я и в самом деле получил SMS с кодом от PayPal, но никому отсылать его не стал, потому что в таком случае «покупатель» злоумышленник получил бы контроль над моим PayPal эккаунтом и мог бы перевести или снять деньги с привязанных к эккаунту платёжных карточек.
Как это работает
- Злоумышленник получает PayPal логин жертвы — якобы чтобы перевести на него деньги
- Злоумышленник открывает PayPal, выбирает «Я забыл пароль» (а совсем не форму перевода денег!) и вводит логин, который он получил
- PayPal посылает код для восстановления пароля в SMS на привязанный к эккаунту телефон, и просит злоумышленника ввести полученный код
- Злоумышленник сообщает жертве, что нужно предоставить ему полученный код и посылает жертве фейковый скриншот где PayPal якобы требует этот код для подтверждения перевода денег: «We sent a verification code to the recipients mobile to verify the authenticity of the payment. Please enter the code below…»
- Если жертва сообщает код злоумышленнику — тот использует его для сброса и установки нового пароля, после чего эккаунт переходит под контроль злоумышленника.
Мораль
Не предоставляйте никакие коды, полученные от банков и других сервисов — никому. Подобные трюки, наверное, можно провернуть и с другими сервисами.