Fraudes a través de PayPal: qué deben saber los comerciantes

Desde sobrepago hasta estafas en el envío, ¿cuáles son algunas de las amenazas más comunes que utilizan el nombre de PayPal y que aquellos que comercializan bienes o servicios deben tener en cuenta?



Con un volumen de pago total de 247 mil millones de dólares, PayPal sigue siendo uno de los proveedores de pagos en línea más populares entre las principales marcas y entre una variedad de pequeñas empresas y proveedores de productos y/o servicios. De hecho, el gigante de las transacciones cuenta con 28 millones de comerciantes registrados en su plataforma.

Sin embargo, a diferencia de las grandes empresas como Sony o Microsoft, los proveedores más pequeños, especialmente aquellos que venden artículos como una actividad secundaria, no pueden darse el lujo de tener todo un ejército de profesionales de la ciberseguridad a su disposición. Como resultado, los proveedores más pequeños son mucho más susceptibles a los posibles ataques y diversas formas de fraude que los cibercriminales pueden lanzar.

Sobrepago

Una de las estafas más populares con la que deberán lidiar quienes comercialicen productos o servicios son las estafas de sobrepago. En este escenario, el delincuente, que se hace pasar por un cliente habitual, enviará un pago a través de PayPal por una suma mayor que la del precio del producto. Luego, notificarán al vendedor que cometieron un error y enviaron más dinero del que se les cobró y le pedirán al comerciante que les devuelva la diferencia. Una vez que eso haya sucedido, el estafador se pondrá en contacto con PayPal y presentará un reclamo citando varias razones, como que el producto entregado era de calidad inferior o que su cuenta se ha visto comprometida y no compraron nada. En caso de que ocurra lo último, el vendedor puede perder tanto el dinero como los bienes si el estafador es elegible para un reembolso completo.

Alternativamente, es muy posible que el ciberdelincuente haya utilizado una cuenta de PayPal o una tarjeta de crédito comprometida. Si el titular de la cuenta/tarjeta se da cuenta de que ha habido actividad no autorizada en sus cuentas, lo reportará y el vendedor perderá el producto que envió y el pago de este, además de incurrir en los gastos de envío.

Los errores ocurren de vez en cuando, pero en el caso de sobrepagos, es mejor pecar de cauteloso. La mayoría de las veces, el sobrepago puede ser una clara señal de fraude, por lo que la mejor opción es cancelar la compra.

¿Es – o no es – enviado?

Los estafadores suelen recurrir a distintas tácticas que podemos enmarcar dentro de lo que son las estafas de entrega de paquetes, las cuales tienen un objetivo común: hacer mella en su billetera. Por ejemplo, un estafador puede intentar convencer al vendedor de que use la cuenta para envíos del estafador porque puede obtener un descuento u ofrecer un precio mejor que utilizando uno de los servicios de entrega habituales. Sin embargo, si un vendedor está de acuerdo con eso, el delincuente puede fácilmente solicitar al servicio de envío que desvíe la entrega a otra dirección; esto les permite presentar un reclamo y afirmar que la mercancía nunca se entregó. El vendedor no tiene comprobante de entrega y eso significa que fue víctima de un triple golpe a su billetera: están fuera del alcance del producto, pagaron las tarifas de envío y tienen que compensar la falta de entrega, todo esto pese a que el producto se envió.

Otra táctica común es el cambio de dirección. El estafador da intencionalmente la dirección de envío incorrecta y pacientemente monitorea el seguimiento del envío a través de Internet. Una vez que la empresa de envío agrega un comentario en el cual indica que el paquete no se pudo entregar, el estafador se comunica con el vendedor e indica su dirección “correcta”, para finalmente recibir el producto. Dado que no hay prueba de la entrega, se desarrolla el mismo escenario y el vendedor es víctima de un triple golpe.

Para protegerse de este tipo de estafas, es mejor atenerse a su cuenta de envío y evitar transferir dinero a alguien que no conoce. También debe enviar siempre el producto a la dirección que el comprador indicó en la página “Detalles de la transacción”. Además, puede ponerse en contacto con su empresa de envío y prohibir al comprador que cambie la ruta de las entregas.

El viejo y conocido Phishing

Dado que PayPal es una de las marcas más elegidas por los criminales para suplantar su identidad en las estafas de phishing, es muy posible que un vendedor se convierta en el blanco de una. Un escenario común que puede ocurrir es que el proveedor reciba un correo electrónico informándole que su cuenta de PayPal ha sido suspendida, lo que puede hacer que entre en pánico si la cuenta es una de sus principales fuentes de ingresos. El correo electrónico puede hacer alusión a varias razones por las cuales ha sido suspendida la cuenta, incluido que ha habido una actividad inusual en la cuenta. El correo electrónico puede parecer legítimo, ya que cuentan con la información necesaria para hacerse pasar por algo real. Para que el vendedor vuelva a poner en funcionamiento su cuenta, el falso correo indica que deberá completar los pasos descritos. Generalmente, esta suele ser una táctica que tiene como objetivo robar datos confidenciales y/o las credenciales de la cuenta de PayPal. Por lo tanto, si el comerciante cae, el estafador tendrá en sus manos la dirección de correo electrónico, las contraseñas y tal vez incluso más. Alternativamente, el correo electrónico puede incluir un enlace que descargará malware en el dispositivo de la víctima.

Siempre es mejor examinar cualquier correo electrónico no solicitado que reciba, especialmente aquellos que parecen ser consultas de servicio al cliente. Si tiene dudas, siempre debe contactar a la empresa directamente a través de los formularios de contacto oficiales en su sitio web. Más vale prevenir que lamentar. El uso de un filtro anti spam y una solución de seguridad actualizada y de buena reputación también debería protegerle de la mayoría de los correos de phishing.

Conclusión

Si bien esta puede no ser una lista completa de las diversas estafas con las que puede toparse en PayPal quien utilice el servicio a la hora de comercializar sus productos o servicios, son algunas de las más comunes y le dará una idea general de lo que se debe tener en cuenta. Lo más importante es permanecer alerta y sospechar si ocurre algo fuera de lo común. El mejor consejo sería verificar siempre cualquier cosa y estar muy atento ante cualquier acción que le parezca sospechosa o al menos extraña, ya sea una solicitud especial o un correo electrónico no solicitado.

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más