ESET alerta para fraudes que afetam vendedores que utilizam o sistema de pagamentos PayPal

Próximo artigo

As regras de confinamento devido à pandemia levaram a um acelerar do crescimento do comércio eletrónico, que já se encontrava numa trajetória ascendente desde o final dos anos 90: em 2020, as vendas globais em plataformas de e-commerce atingiram cerca de 4,28 milhões de milhões de dólares – o que representa quase 18% do total do comercial mundial.

Contudo, este crescimento das transações trouxe também consigo um aumento das fraudes e, apesar da perceção em contrário, muitos destes cibercrimes têm como alvo os comerciantes, e não os consumidores.

Um dos vetores de ataque é o sistema de pagamentos PayPal, provavelmente o mais usado em sites de comércio eletrónico de pequena e média dimensão, e responsável por um volume de transações anual de cerca de 250 mil milhões de dólares. No final de 2020, o PayPal tinha registados um total de 28 milhões de comerciantes que utilizam a sua plataforma para receber e realizar pagamentos.

Em comparação com grandes empresas, os comerciantes mais pequenos não têm o luxo de contar com um departamento de cibersegurança e profissionais sempre atentos a eventuais tentativas de cibercrime. O resultado é que estas empresas de menor dimensão são muito mais suscetíveis a várias formas de ciberataques.

Os especialistas de segurança informática da ESET compilaram algumas das formas como os criminosos tentam extorquir dinheiro aos comerciantes através do PayPal, e como poderão as lojas precaver-se e evitar serem burladas.

1. Sobrepagamento

Uma das fraudes mais populares que os vendedores que usam o PayPal enfrentam é a do sobrepagamento. Neste cenário, o criminoso que se faz passar por um cliente normal, envia através do PayPal um pagamento que é – propositadamente – superior ao da encomenda. Irá então notificar o vendedor de que cometeu um erro e pedirá que lhe seja creditada a diferença entre o valor pago a mais e o preço real do que encomendou.

Uma vez feito o reembolso, o criminoso irá contactar o PayPal e fazer uma reclamação alegando uma diversidade de motivos, desde que o produto recebido é de inferior qualidade ao anunciado ou de que a sua conta foi comprometida e que na verdade não pretendia comprar nada. Neste último caso, o vendedor poderá perder não apenas o dinheiro como o produto enviado, caso o PayPal considere que o “comprador” tem direito a um reembolso total da sua compra – e o PayPal tem a tendência a dar o benefício da dúvida aos compradores!

Uma alternativa a este esquema fraudulento, é que o criminoso poderá ter mesmo usado uma conta PayPal comprometida, através do roubo prévio de credenciais de acesso e/ou dos dados de cartão de crédito. Assim, se o legítimo proprietário da conta notar que houve uma utilização não autorizada e a reportar, o vendedor irá perder o dinheiro, o produto e ainda os custos de envio da encomenda.

Claro que erros acontecem sempre, mas no caso dos sobrepagamentos, o melhor é o vendedor ter cautelas redobradas, uma vez que este pode ser um sinal de tentativa de fraude. O melhor mesmo é fazer logo o reembolso total, cancelar a encomenda e não a chegar a enviar.

2. A encomenda que não chegou

Existem vários esquemas fraudulentos que envolvem as entregas propriamente ditas, mas o objetivo é sempre o mesmo: burlar a loja online. Por exemplo, o comprador mal-intencionado pode indicar um endereço de entrega errado, ao mesmo tempo que fica atento ao número de seguimento da encomenda. Assim que vê a etiqueta de “não entregue”, o comprador contacta a transportadora com o “endereço correto” e recebe o produto.

Isto permite-lhe abrir uma reclamação junto da PayPal e alegar que não recebeu o produto. Como o vendedor também não tem a prova de entrega, vai sofrer um prejuízo a triplicar: ficará sem o produto, sem o dinheiro e com custos de entrega.

Para evitar este tipo de esquema, a loja online deve assegurar-se de que o endereço de entrega indicado coincide com o da ficha de cliente e, consequentemente, da fatura da transação. Adicionalmente, poderá também avisar antecipadamente a empresa de transportes no sentido de não permitir o reencaminhamento de encomendas e que qualquer encomenda não entregue deverá ser devolvida à loja.

3. Phishing “à moda antiga”

Uma vez que o PayPal é uma das marcas mais usadas em esquemas de phishing, é muito possível que uma loja online se torne um alvo de burla. Um cenário comum é o vendedor receber um email indicando que a sua conta PayPal foi suspensa, o que pode levar a uma situação de pânico, dado o PayPal constituir, na prática, uma fonte de subsistência.

O email (falso, naturalmente) poderá indicar diversas razões para a “suspensão” da conta, mas acabará sempre por solicitar que o vendedor faça o login com as suas credenciais – usando para isso o link incluído no email, naturalmente! – e que o levará a um site que, só na aparência, é o PayPal.

Uma situação de pânico e a pressa em resolver o (inexistente) problema poderá levar o vendedor a precipitar-se e colocar efetivamente os seus dados no site fraudulento e, a partir daí, o atacante terá acesso à sua conta.

Além dos cuidados comuns a ter perante mensagens deste género, o melhor conselho que podemos dar é o de ativar e configurar a proteção da sua conta através de autenticação de dois fatores. Dessa forma, mesmo no pior cenário possível em que o vendedor deu efetivamente os dados de acesso da sua conta, o cibercriminoso não lhe conseguirá aceder, porque será sempre solicitada uma camada adicional de segurança à qual só o titular legítimo da conta tem acesso.

Conclusão

Muito embora não tenhamos passado em revista todos os esquemas fraudulentos possíveis que uma loja online que use PayPal possa encontrar, estes três cenários são os mais comuns e responsáveis por uma parte substancial dos cibercrimes.

O mais importante, como em qualquer situação que envolva cibercrime, é mantermo-nos vigilantes e usar sempre uma boa dose de desconfiança perante toda e qualquer situação que nos parece fora do normal.

O melhor conselho consiste em verificarmos sempre tudo o que possa levantar suspeitas, seja ele um “pedido especial” por parte de um cliente ou emails não solicitados e suspeitos.