Inden dette indlæg går i gang for alvor, så kommer der lige en lille opfordring. Hvis nogle fra Ebay, Paypal, DBA eller andre dele af Ebay koncernen læser dette indlæg, så er du/I selvfølgelig velkommen til at kontakte os. MEEEEEN det bliver på vores præmisser. Dvs ingen latterlige standard svar, ingen snakken udenom, ingen viderestilling eller kontakt ham her mails eller andet gøjl i den retning! Det er slut med at spilde mere tid på det her fra vores side, og derfor skal en evt kontakt være konstruktiv!
Før vi starter selve indlægget, så er der lige et par udtryk og udsagn, som vi skal have på plads!
1: Phising. En god forklaring på Phishing kan læses på wikipedia... Klik HER
2: Paypal seller protection kan læses HER & på dansk HER
3: Paypal gebyre ses HER
4: Når Paypal udsender en mail, så kan den indeholder links til deres side, men gør det som udgangspunkt ikke. Tidligere indeholdt mails aldrig et link, da det var måden, hvorpå man forsøgte at forebygge Phishing.
Dette indlæg er skrevet ene og alene fra webshop ejerens synsvinkel, men har du en Paypal konto selv privat, så er det måske værd, at læse lidt med. For du kan dermed forebygge evt svindel med din Paypal bruger!
Paypal tilbyder idag to typer betalinger. Enten betaling fra Paypal bruger til Paypal bruger eller betaling via en Paypal gateway. Betaling via gateway foregår på samme måde, som betaling på en gateway fra f.eks Dibs, PBS eller Epay. Eneste forskel er, at Paypal varetager transaktionen, og gebyret kan være mindre, hvis du omsætter for nok.
Vi har efter brug af Paypal over lang tid fundet 3 huller i systemet. Huller som vi har gjort Paypal opmærksomme på, men som indtil nu, ik har medført ændringer i deres system. Dvs selvom hullerne har været kendt i næsten et år, så har Paypal valgt at ignorere dem!!!
Et af hullerne er så nyt og endnu ik udbredt, at det i dette indlæg ik vil blive omtalt af sikkerhedsgrunde. Der er ingen grund til, at øge problemet mere end højest nødvendigt, når det endnu er meget lille. Men det er sikkert kun et spørgsmål om tid!
De 2 andre huller vil blive uddybet inkl dybdegående forklaringer/beskrivelser af hele svindel processen!
Det første hul, omhandler indestående på din Paypal konto. Har du mange penge stående, så skal du være meget opmærksom. Man kan nemlig i Paypals system tilføje en ny bankkonto, uden at denne bliver valideret. Og her vil Paypal sikkert påstå, at dette ik er muligt, men benytter man en proxyserver samt et simpelt hacker program, så kan man omgå Paypals sikkerheds tjek. Vi har ik været udsat for dette, men kender til 3 andre firmaer, som har tabt en del penge på den konto. Paypal benægter at det er muligt, men sket er altså sket!
Og hvilke konserkvenser kan det så have? Ja har du et indestående på f.eks 5000 kr, og en svindler får adgang til din konto, så kan denne blive tømt, og det er dig, som står med bevisbyrden! Og det er sandt, selvom du er udsat for tyveri!!!
Så hermed videre sendes en opfordring om, aldrig at have større beløb stående på din Paypal bruger! Hæv dem dagligt eller så ofte som muligt, selvom det evt må medføre ekstra udgifter til bogføring!
Det andet hul er straks meget værre! Det handler nemlig om kreditkort svindel, og det foregår i stor stil!
Rigtig mange Paypal brugere har nemlig et kreditkort gemt på deres bruger. Man kan ik aflæse korte info, og dermed misbruge kreditkortet, men har man adgang til Paypal kontoen, så kan et kæmpe misbrug foregå den vej.
Så har du gemt dine kreditkort info på din Paypal bruger, for at gøre det nemmere at betale, eller for at spare lidt tid, når du handler på Ebay eller online, så SLET DET NU! Du udsætter dig selv for en KÆMPE risiko!!!
Men hvordan foregår den svindel så?
Jo det hele starter med en uskyldig email, også kendt som Phishing (se punkt 1). Du modtager i din indbakke en mail fra nogen, som udgiver sig for at være Paypal. De beder dig bekræfte nogle bruger data ved at trykke på et link, så du viderestilles til "Paypals" website (se punkt 4). Trykker du på linket, og logger ind på din Paypal bruger, så har du lige foræret svindlerne alle dine login info. Det gælder både mail og kodeordet!
Og så er der pludselig fri spil, hvis du ligeledes har gemt dine kreditkort info på din bruger.
Men svindlerne er ik dumme!!! For de har nemlig gennemskuet Paypals manglende sikkerhed!
Personen eller firmaet, som udsender Phishing mail sidder typisk i Asien eller Afrika, og kan derfor sjældent spores, og kan de spores, så er det nærmest umuligt at retsforfølge dem. Dvs. de er i en branche, hvor der er store og nemme penge at score, og risikoen er minimal!
Når personen eller firmaet har en masse Paypal login data, så videresælges disse enten til personer i USA eller Europa. I Europa er især Rotherdam en by, man skal være ualmindelig meget opmærksom på som shopejer. Også Tyskland er fyldt med svindlere, og det er især i dem østlige del af det tidligere DDR, samt i områderne, som grænser op mod Holland (relationen i forhold til Rotherdam). UK og Spanien er ligeledes lande, som er hårdt plaget at svindel. Fælles for alle landene er, at straffen for at blive taget er minimal, og politiet bruger meget få ressourcer på svindlen.
Når du opretter din Paypal bruger, så indtaster du en masse data. Fornavn, Efternavn, Gade, Postnr, By, Land, Mail og Tlfnr. Disse data giver en bruger med begrænset betalingsmuligheder. Og vil du have fjernet begrænsningerne, så skal du indsende dokumentation på, at du er den person, som har oprettet brugeren. Det sker typisk via billeder af kørekort eller pas, samt fødselsattest eller andre papire fra det offentlige.
Når din bruger er valideret, så er der ingen begrænsninger, og du tror sikkert alt er fryd og gammen, MEEEEEEEEEEEEEEEN...
Ved du godt, at med få klik, og lidt skriverier, så kan alle dine bruger data ændres? Også selvom de er valideret? Nej det vidste du sikkert ik!!! Og det er her, at Paypals system begynder at falde fra hinanden...
Når svindlerne i f.eks Holland har købt dine login data, så begynder de at shoppe løs over hele Europa. Men før de gør dette, så ændre de lige din bruger. Lad os lave et eksempel.
Hans Hansen
Hanse Hansenvej 00
0000 HansHansenBy
Danmark
+45 00112233
Hanshansen@hanshansen.dkkk
Hans Hansen har en bruger med et tilknyttet Visacard. Han shopper en gang i mellem på Ebay og andre webshops i Europa, men tjekker ik sin Paypal bruger ofte. Faktisk benyttes den kun, når der skal bruges penge.
Svindlerne har via Phishing fået adgang til Hans Hansens bruger. Det første de gør, er at ændre alle data. Så selvom Hans Hansen har indset kopier af sit pas, samt papire fra Skat, så tager det 5 min, og så ser brugerens info således ud:
Boudwin Boudwin
Boudwin Boudwingracht 00
0000 Boudwincity
Danmark
+31 1122334455
Boudwinboudwin@boudwinboudwin.nlll
Så langt så godt. Men kan du se en fejl? For der er nemlig en lille detalje, som afsløre svindleren... Kig godt efter ;D
Selvom alle data i Paypal brugeren er valideret, så kan de altså på 5 minutter ændres, uden at dette kræver en ny validering! Og selvom næsten alle data ændres, så kan et kreditkort, som er tilknyttet de første data stadigvæk bruges!
Nu er svindlerne så klar til at gå på indkøb. De kan ik handle i webshops, som kun tager imod kreditkort, nej det skal være shops, som enten tager imod Paypal betalinger eller som benytter en Paypal gateway. Meeeeen kig dig rundt omkring i EU, og du vil opdage, at hovedparten af webshops accepterer Paypal betalinger! Så det er faktisk MEGA nemt at shoppe!
Boudwin leder nu efter nemt omsættelige varer, og falder over vores smykke og solbrille webshop! Eftertragtede brands, som nemt kan sælges og dermed omveksles til kontanter.
En normal kunde vil typisk købe 1-3 par solbriller. En sjælden gang i mellem bliver det til 3-5 par! Men da Boudwin kun har begrænset tid at benytte den stjålne Paypal bruger, så bestiller han måske 5-10 par solbriller. Ordren ser altså totalt suspekt ud (det skal sige, at de det seneste ½ år, er blevet meget bedre til at skjule svindel ordrene, og får dem mere og mere til at ligne normale bestillinger.)
Når betalings processen er gennemført, så modtager vi, som webshop en bekræftigelsesmail fra Paypal. I denne mail står alle data på Paypal brugeren, som har handlet hos os. For at benytte Paypal Sellers Protection (se punkt 2), så SKAL vi sende varerne til den person og adresse, som står i mailen fra Paypal.
Vi klikker nu på mailen, og i midten af mailen kommer følgende data frem:
Boudwin Boudwin
Boudwin Boudwingracht 00
0000 Boudwincity
Danmark
+31 1122334455
Boudwinboudwin@boudwinboudwin.nlll
Vi tjekker op, at disse data matcher med de info, som der er indtastet i vores webshop ved bestillingen. Og vi opdager nu, at der er en fejl, nemlig den lille detalje, som du skulle kigge efter da alle brugerens data var ændret.
Personen, gaden, byen, tlfnr og mail passer på en person i Holland, MEN DER STÅR DANMARK!!! For alle bruger data, kan nemlig ændres med undtagelse af landet! Så kig efter landet i den mail du modtager fra Paypal!
Men i farten tænker vi, at det sikkert er fordi, at Boudwin glemte at ændre landet, da han betalte. Så vi går straks igang med at pakke de 10 par solbriller, som der er bestilt... Få timer senere er pakken sendt, og det er her, at dine problemer som webshop ejer opstår!
For vi har nu været udsat for kreditkort svindel, og det er måske sket uden, at nogen har lagt mærke til det. Forestil dig, hvor svært det er at opdage, hvis Boudwin hed Bent Bentsen og boede i DK.
Få dage senere modtager Boudwin glad sin pakke, og nu kommer der så en ny bestilling! Endnu engang på 10 par solbriller! Data er de samme, og endnu en pakke sendes afsted!
Sådan kan en bruger benyttes indtil kortets limit nås eller kortet spærres. Husk at limit er 15.000-20.000 kr (afhænger af bank) pr måned ved køb i udlandet. Så der er altså tale om store beløb.
14 dage efter at Boudwin har langt den første ordre, kommer der en chargeback fra Paypal om uautoriseret brug af kreditkort. I mailen står der, at Hans Hansen (ja de hollændere er ik dumme! De ændre nemlig alle data tilbage, når de har udnyttet en konto totalt) ik har bestilt noget i vores shop, og at han derfor ønsker at få sine penge retur. Og så begynder flere måneders tovtrækkeri...
For Paypal har jo lover en sellers protection (se punkt 2), hvis man sender varerne til den mail, som er oplyst i bekræftigelsesmailen fra dem. Og det har vi jo gjort. Der stod jo Boudwin Boudwin mm.
I starten fik vi ret, når vi havde indsendt forsendelses info samt underskriften fra modtagelsen fra UPS. Meeen en dag, så ændrede Paypal pludselig mening. Nu gjalt deres sellers protection ik længere, og hele afgørelsen blev langt over til Visa/Mastercard... Dvs man har benyttet et betalingssystem, hvor man er lovet en sellers protection mod, at følge nogle simple retningslinier. Når disse er fulgt, så føler man sig sikker. Men sådan er det altså ikke!!!
Og hvorfor er det så, at Paypal ændre politik pludselig? Forklaringen er simpel. Fra Boudwin lagde sin første ordre til den første chargebackmail tikker ind fra Paypal, er der sket en masse. For Boudwin og alle hans venner, har jo MASSER Paypal login info! Så de to ordre fra Boudwin er blevet til 30 ordre fra Hans Schlagger, Jürgen Butt, Chamama Bindu, Biounomi Shagginggi osv. Alle samme med bopæl i Rotherdam i Holland. Alle sammen har betalt med Paypal, og alle ordre er forløbet præcist, som den med Boudwin.
Så når Paypal har betalt en shop xx antal gange via deres sellers protection, så kan de hurtigt se, at det her er virkelig bad business. For der er jo kun 3 mulige tabere, hvis webshoppen skal holdes skadesfri.
Den første er Paypal selv, som afholder tabet pga en garanteret sellers protection.
Den anden taber er kortholders bank, som må tage tabet pga Verified eller SecureCode på Paypal.
Den tredje og sidste taber er kortholder/den rigtige Paypal konto indehaver. Men da der er tale om kreditkort, så holdes kortholder i de fleste situationer skadesfri, hvis det kan påbevises, at vedkommende aldrig har foretaget transaktionen. Og Hollandsk IP adresse og Hollandske leverings info er et stærkt bevis på misbrug.
Så tabet skal altså enten tages af Paypal eller kortholders bank. Hvem der tager tabet, det har vi aldrig kunne få svar på. Men et gæt er, at Paypal tager tabet, fordi de lover den der sellers protection!
Og der skal derfor ik den store lommeregner frem, hvis man skal se på, hvor store beløb der kan være tale om. F.eks 25 ordre af 4000 kr = 100.000 kr i tab pga sellers protection!!!
Når Visa/Mastercard skal træffe afgørelserne, så er der altså ingen rød tråd i dem. Nogle vinder man, mens man taber andre... Og det er selvom, at 2 sager kan være totalt identiske. Der er bare ingen rød tråd!
Så selvom du går rundt og tror, at du er sikret via Paypals sellers protection (se punkt 2), så tager du altså fejl. Du er kun beskyttet, hvis du ik er udsat for et større fraud angreb! Og om du bliver angrebet eller ej, det afgøre du altså ik selv. Lykkes det først en paypal svindler at købe varer, så kan du se frem til 4-6 måneders falske ordre. De stopper ik, og bliver ved og ved, også selvom du annullere ordre og betalinger.
Det er med andre ord et mareridt, at blive ramt at sådan et angreb.
Ovenstående eksempel er overdrevet en smule, så du som læser nemmere kan se problematikken. Forestil dig så, at svindlerne er med på tiden trend, og forstår at opføre sig, som en normal forbruger. Så er ordren i normal størrelse, dog kommer der bare mange på en gang i forskellige navne. Men som shop ejer, så tror man jo bare, at det skyldes et link eller noget reklame på et forum eller en blog, og at dette giver ekstra salg.
Du har jo ingen jordisk chance for, at gennemskue, om alle odre er svindel eller ej... Og siger man normalt nej tak til en ordre?
Det kan nævnes at især de Hollandske svindlere er glade for Yahoo.com mails. Dvs de benytter Yahoo mails, når de bestiller. Men de er desværre begyndt at gå over til Hotmail og Gmail også!
Jeg har lavet et andet blogindlæg, som handler om svindel ordre. Det er værd at læse, da det kan være til stor hjælp, hvis du skal spotte svindel ordre. Læs det her
Kommentarer og spørgsmål er velkomne, dog frabedes spørgsmål til det 3. hul i Paypal systemet, da vi ingen kommentar har til dette på nuværende tidspunkt!
Det skal lige nævnes, at alle nævnte navne og personlige information er fiktive. De er blot brugt, som eksempler på at illustrere, hvordan svindel foregår!
For god ordens skyld skal det nævnes, at vi KUN har lidt et tab på små 400 euro... Vi har haft omkring 30 svindel ordre i en periode på 2 måneder, før vi fik gennemskuet problemet. Og vores held var, at vi benytter UPS (www.ups.com) Deres tracking og levering er så veludviklet, at både Paypal og Visa/Mastercard afgjorde alle undtaget 2 sager til vores fordel. Havde de været sendt med Deutsche Post (PostDanmark ville det have været for dig), så havde vi tabt noget der ligner 70-80% af sagerne hos Visa/Mastercard. Det er i hvertfald det, som vi har fået oplyst... Så WATCH OUT!
PS stavefejl forekommer, så håber du kan overleve med disse ;D