Kriminelle versuchen immer, an Ihr hart verdientes Geld zu kommen, und ihr neuester Trick ist ganz einfach: Senden Sie eine legitime Rechnung über PayPal für einen hochwertigen Artikel, den Sie nicht gekauft haben. Wie funktioniert dieser Betrug? Wie machen Betrüger das mit einer echten PayPal-Rechnung?
PayPal-Rechnungsstellung bringt Betrüger in Ihren Posteingang
Traditionell waren Betrüger und Spammer relativ leicht zu erkennen. Wenn sie von den Spamfiltern Ihres E-Mail-Anbieters nicht erkannt werden, gibt es Details, die sie verraten, wenn Sie wissen, wonach Sie suchen müssen.
Die E-Mails sind oft gespooft– was bedeutet, dass die E-Mail-Adresse im „Von“-Feld nicht echt ist und sie manchmal von Lookalike-Domains stammen. Die Sprache neigt dazu, seltsam zu sein, und sie versprechen Ihnen Liebe, Reichtümer jenseits Ihrer kühnsten Träume oder die Gelegenheit, einem vorübergehend verarmten ehemaligen Staatsoberhaupt zu helfen. In fast allen Fällen enthalten sie Links, die, wenn sie angeklickt werden, entweder Malware auf Ihrem Computer installieren oder versuchen, Sie dazu zu bringen, Ihre Bankkontodaten preiszugeben. Sie sind gefälscht, und es ist leicht zu sagen.
Rechnungen von PayPal sind anders. PayPal ist eine vertrauenswürdige Organisation, ohne die der E-Commerce zum Erliegen kommen würde. E-Mails von PayPal erreichen unabhängig von Ihrem Provider immer Ihr Postfach. Es gibt kein Spoofing und keine zwielichtigen Links. Es ist legitim, und daher ist es schwer zu sagen, dass es sich um einen Betrug handelt.
Und jeder kann mit PayPal eine Rechnung erstellen. Das ist also genau das, was Cyberkriminelle tun.
Betrüger können Ihnen eine Rechnung über PayPal stellen
Nachdem Sie Ihre Spam-Filter geleert haben und keine offensichtlichen Werbegeschenke, dass die Rechnung ein Betrug ist, könnten Sie so etwas in Ihrem Posteingang finden.
Sie überprüfen, ob die Links echt sind, und klicken beruhigt auf einen, um die echte PayPal-Rechnung auf der echten PayPal-Website anzuzeigen. Dort können Sie die Rechnung entweder bezahlen oder stornieren.
Diese Rechnung ist für Bitcoin und soll von „Bitcoin Exchange“ stammen, aber wir haben andere falsche Rechnungen für Geschenkkarten und für von PayPal selbst erhobene Gebühren gesehen. Für Betrüger sind die Möglichkeiten endlos, und es ist durchaus möglich, dass einige Personen oder Unternehmen tatsächlich auf die Schaltfläche „Bezahlen“ klicken.
Wie funktionieren PayPal-Rechnungen?
Wenn Sie PayPal regelmäßig auf Ihrem PC verwenden, haben Sie möglicherweise eingestellt, dass Sie sich nicht einmal bei Ihrem PayPal-Konto anmelden müssen – nur Klicken Sie auf die große blaue Schaltfläche, und wie von Zauberhand verschwindet der erforderliche Betrag von Ihrem PayPal-Guthaben, ohne dass Sie ihn sehen können nochmal.
PayPal stellt auch hilfreicherweise einen QR-Code für Rechnungen zur Verfügung. Sie können nicht nur unterwegs per E-Mail abgerechnet werden, sondern auch direkt auf Ihrem Smartphone auf die Rechnung zugreifen. Richten Sie einfach Ihre Kamera auf das blaue Quadrat! Winzige Schrift auf einem 5-Zoll-Bildschirm macht es noch wahrscheinlicher, dass Sie auf die Schaltfläche klicken. Wie der Slogan von PayPal deutlich macht, ist es einfach: „Scannen. Zahlen. Gehen."
Auf dieser Ebene ist der Betrug einfach: Bringen Sie die Leute dazu, auf eine Schaltfläche zu klicken, und erhalten Sie dafür einen großen Geldbetrag.
Wie verwenden Betrüger gefälschte PayPal-Rechnungen?
Selbst wenn Sie die Rechnung nicht bezahlen, haben die Betrüger noch mehr Tricks, um Sie zu täuschen. Die E-Mail enthält auch eine Nachricht des Verkäufers, die darauf hinweist, dass die Zahlung bereits eingegangen ist, und enthält den Text: „Rufen Sie uns [sic] bei Streitigkeiten bezüglich der Zahlung an und veranlassen Sie eine Rückerstattung unter [Telefon Nummer]".
Wenn Sie die zufällige Großschreibung für den Moment ignorieren, ist es möglich, dass Sie besorgt genug sind, um die Nummer anzurufen, woraufhin eines von zwei Dingen passieren kann.
Die Betrüger versuchen möglicherweise, weitere Informationen aus Ihnen herauszubekommen – entweder durch einen betrügerischen Identitätsüberprüfungsprozess oder indem sie nach Ihren Bankdaten fragen, angeblich um eine Rückerstattung zu veranlassen.
Sie versuchen möglicherweise auch, Sie davon zu überzeugen, ein Remoteverwaltungstool auf Ihrem Computer zu installieren. Sie können wahrscheinlich erraten, wem Sie die Kontrolle übergeben ...
Da sowohl die E-Mail als auch die Rechnung echt von PayPal stammen, ist es nicht ausgeschlossen, dass sich einige Leute täuschen lassen. Sei keiner von ihnen.
Fallen Sie nicht auf den PayPal-Rechnungsbetrug herein
Ohne offensichtliche Hinweise darauf, dass die Rechnung nicht echt ist, recherchieren Sie, bevor Sie die Rechnung bezahlen oder die Nummer anrufen.
Als Erstes sollten Sie sich fragen, ob Sie den betreffenden Artikel gekauft oder versucht haben, ihn zu kaufen. Wenn die Antwort nein lautet – weil Sie nicht in Betracht ziehen würden, 499,99 $ für Krypto über Ihr PayPal-Konto auszugeben – dann handelt es sich um Betrug.
Sie können auch nach Kontaktdaten suchen, die in der E-Mail und der Rechnung enthalten sind.
Bei unserer Musterrechnung lautet die vermeintliche E-Mail-Adresse des Verkäufers [email protected]. Die Hosting-Domain ist derzeit inaktiv, aber ein kurzer Blick ins Internetarchiv Wayback-Maschine enthüllte, dass es sich zuvor um eine WordPress-Site handelte, auf der zufällige chinesische Codeschnipsel und andere abgekratzte Trümmer aus Tutorials gehostet wurden. Kurz gesagt, es schafft kein Vertrauen, dass der Verkäufer echt ist.
Ein weiterer Hinweis ist die Telefonnummer. Mithilfe eines kostenlosen Recherchetools konnten wir feststellen, dass es am selben Tag zugewiesen wurde, an dem die E-Mail gesendet wurde, und wir erwarten, dass es kurz danach neu zugewiesen wird.
Die einfache Suche nach einer Nummer bei Google kann zeigen, dass sie oft von Betrügern verwendet wird.
Wie kamen PayPal-Betrüger an meine E-Mail-Adresse?
Vielleicht haben Sie Ihre E-Mail-Adresse auf Facebook, Twitter oder einem persönlichen Blog beworben, und sie wurde von dort abgekratzt.
Es ist viel wahrscheinlicher, dass Ihre E-Mail-Adresse bei einer Datenschutzverletzung offengelegt wurde. Unternehmen werden ständig gehackt, wobei Kundeninformationen mit alarmierender Regelmäßigkeit aus ihren Systemen exfiltriert werden. Im 2022 Samsung-DatenverletzungSo gelang es Kriminellen beispielsweise, Kundennamen, Kontakt- und demografische Informationen, Geburtsdaten und Produkte zu stehlen Registrierungsinformationen – die möglicherweise Geschlecht, genaue Geolokalisierungsdaten, Profil-ID des Samsung-Kontos, Benutzername und mehr.
Entsprechend wurde pwned, die E-Mail-Adresse der Person, die uns die Beispiel-E-Mail zur Verfügung gestellt hat, wurde bei mindestens 10 verschiedenen Datenschutzverletzungen kompromittiert.
PayPal ermöglicht es Unternehmen, Rechnungen in Stapeln von bis zu 1.000 auf einmal (derselben Rechnung) zu erstellen, indem sie eine CSV-Datei hochladen. Es wäre für die Möchtegern-Betrüger einfach, allen Rechnungen einen Namen (oder Benutzernamen) hinzuzufügen, aber das haben sie nicht – was bedeutet, dass sie wahrscheinlich nicht den Namen des Ziels haben. Der einzige bekannte Verstoß, der ihre persönliche E-Mail-Adresse, aber keinen Namen oder Benutzernamen preisgab, war der Patreon-Hack von 2015.
So schützen Sie sich vor betrügerischen PayPal-Rechnungen
PayPal bietet einen einfachen und vernünftigen Leitfaden für E-Mail-Betrug; Die Rechnungsstellung ist jedoch noch nicht aufgeführt.
Hier ist unser Rat:
- Klicken Sie sich nicht über Links in einer E-Mail zu Rechnungen durch – selbst wenn es sich um echte Links handelt. Sie können PayPal-Rechnungen einfach prüfen, indem Sie sich auf einer anderen Registerkarte oder in einem anderen Browser beim Dienst anmelden.
- Zahlen Sie keine Rechnung, wenn Sie sich nicht zu 100 Prozent sicher sind, wofür sie bestimmt ist.
- Rufen Sie den "Verkäufer" nicht an, senden Sie ihm keine E-Mail oder kontaktieren Sie ihn nicht anderweitig.
- Halten Sie Ihre Haupt-E-Mail-Adresse geheim.
- Verwenden E-Mail-Aliasing oder ein E-Mail-Schutzdienst verschiedene E-Mail-Adressen an verschiedene Unternehmen zu vergeben.
- Überprüfen Sie haveibeenpwned regelmäßig, ob Ihre persönlichen Daten offengelegt wurden. Wenn eine E-Mail-Adresse kompromittiert ist, deaktivieren Sie sie.
PayPal-Rechnungsbetrug ist irritierend und gefährlich
Das Öffnen einer E-Mail, um eine echte PayPal-Rechnung für etwas zu finden, das Sie nicht gekauft haben, ist bestenfalls ärgerlich und kann im schlimmsten Fall dazu führen, dass Sie Geld verlieren. Achten Sie auf Ihre sozialen Medien, Ihre E-Mail-Konten und Ihre Internetsicherheit, damit Sie Kriminellen die Details entziehen können, die sie benötigen, um Sie effektiv anzugreifen.