Callback phishing útočí na uživatele aplikace Shop od Shopify: falešné účtenky lákají k podvodnému volání

Útočníci aktivně zneužívají aplikaci Shop od Shopify, která slouží ke sledování objednávek. Do historie nákupů uživatelů vkládají falešné účtenky, které mají za cíl vylákat důvěřivé k tzv. callback phishing útoku. Když uživatel zavolá na podvodné číslo uvedené na účtence, vydávají se podvodníci za pracovníky zákaznické podpory a snaží se získat citlivé údaje nebo přimět oběť k instalaci softwaru pro vzdálený přístup . Kampaň zneužívá jména známých značek jako Norton, McAfee, Apple a PayPal, přičemž se objevují falešné účtenky za nákup iPhonů, dárkových karet Apple a falešná předplatná bezpečnostního softwaru . Podle bezpečnostních expertů z Gen Digital a samotného Shopify neexistují žádné důkazy o tom, že by došlo k narušení samotné aplikace Shop nebo platformy Shopify – podvodníci pouze zneužívají legitimní funkce systému pro sledování objednávek .

Jak podvod funguje

Základem celé léčky je důvěra, kterou uživatelé do aplikace Shop vkládají. Ta automaticky agreguje účtenky a sledování zásilek z různých obchodů do jednoho přehledného rozhraní . Podvodníci vytvoří falešné objednávky a vloží je do historie nákupů, kde se zobrazí vedle legitimních nákupů. Jelikož Shop automaticky stahuje objednávky z propojených e-mailových účtů (Gmail, Outlook a další), působí falešná účtenka díky známému a důvěryhodnému prostředí velmi věrohodně .

Zneužívané značky a sociální inženýrství

Hlášené falešné účtenky zneužívají jména značek jako Norton, McAfee, Apple (včetně iPhonů a dárkových karet) a obsahují platební údaje ve stylu PayPal . Výběr značky je promyšlený: falešná účtenka na předplatné za 300+ dolarů nebo na drahý produkt Apple v uživateli vyvolá paniku a nutkavou potřebu ihned volat na uvedené číslo, aby platbu reklamoval .

Callback phishing jako hlavní hrozba

Klíčovým prvkem je telefonní číslo, které je uvedeno v detailech objednávky, v poli pro dodací adresu nebo v popisu produktu, často s výzvou, aby uživatel zavolal na „podporu“ v případě, že platbu neautorizoval . Když oběť zavolá, podvodník se vydá za operátora podpory a pokusí se:

• Získat čísla kreditních karet a osobní údaje pod záminkou vrácení peněz.
• Získat přihlašovací údaje k účtům.
• Přimět oběť k instalaci softwaru pro vzdálený přístup, který útočníkovi umožní plnou kontrolu nad zařízením .

Ve většině hlášených případů se na finančních účtech uživatele žádná reálná platba neobjeví – celá hrozba spočívá pouze v telefonátu .

Reakce Shopify

V reakci na tuto kampaň Shopify sdělilo BleepingComputer, že identifikovalo zneužívání platformy a zavedlo nové mechanismy, které „výrazně omezily tuto aktivitu a zlepšily naši schopnost ji v budoucnu detekovat“ . Konkrétní technická opatření nebyla zveřejněna. Společnost zároveň odkazuje uživatele na své oficiální bezpečnostní pokyny, jak rozpoznat phishing, vishing a smishing. Ty radí například ověřovat e-mailové domény (oficiální je @shopify.com) a nikdy nevolat na podezřelá čísla .

Oficiální kanály pro hlášení

Shopify vyzývá uživatele, aby podezřelé e-maily přeposílali na adresu phishing@shopify.com. Gen Digital, jehož značka Norton je v kampani zneužívána, doporučuje hlásit podezřelé e-maily související s Nortonem na spam@norton.com .

Co dělat, když narazíte na podezřelou účtenku

Pokud v aplikaci Shop uvidíte neočekávanou objednávku nebo účtenku, v žádném případě nekontaktujte uvedené telefonní číslo. Místo toho postupujte podle těchto kroků:

1. Nevolejte na žádné telefonní číslo uvedené v objednávce. Legitimní společnosti do digitálních účtenek neuvádějí telefonní čísla, na která byste měli volat kvůli reklamaci platby .

2. Ověřte si platbu přímo u své banky nebo vydavatele karty. Přihlaste se do svého internetového bankovnictví prostřednictvím oficiální aplikace nebo webu – neklikejte na odkazy v notifikaci – a zjistěte, zda k nějaké platbě skutečně došlo .

3. Neklikejte na žádné odkazy a nestahujte žádné soubory z podezřelé objednávky .

4. Dočasně odpojte synchronizaci e-mailu z aplikace Shop v Nastavení > Integrace e-mailu, abyste zabránili automatickému nahrávání dalších falešných objednávek .

5. Nahlaste podvod. Přepošlete notifikaci nebo e-mail na adresu phishing@shopify.com. Pokud je v ní zneužita značka Norton, přepošlete ji také na spam@norton.com .

6. Pokud jste na uvedené číslo již volali, okamžitě kontaktujte svou banku a požádejte o zablokování účtu, spusťte kontrolu na malware, změňte si heslo k Shopify a zapněte dvoufaktorové ověřování .

7. Označte objednávku v aplikaci Shop jako podezřelou, pokud je tato možnost k dispozici. Pomůžete tím platformě identifikovat a blokovat podobné podvodné objednávky .

Klíčové závěry

Callback phishing zaměřený na aplikaci Shop od Shopify představuje výrazný posun v technikách phishingu: útočníci opouštějí e-mail a vkládají falešné účtenky přímo do důvěryhodné aplikace, kterou uživatelé používají ke správě svých skutečných nákupů. Kampaň zneužívá důvěru v platformu, nikoli technickou zranitelnost infrastruktury Shopify. Nejúčinnější obranou je jednoduché pravidlo: nikdy nevolejte na telefonní číslo uvedené na účtence, veškeré údajné platby si ověřujte oficiální cestou a podezřelou aktivitu nahlaste provozovatelům dotčených platforem.