Callback-Phishing-Betrug zielt auf Shopifys Shop-App ab: Gefälschte Quittungen täuschen Nutzer – und was Sie jetzt tun können

Wie die Betrugsmasche funktioniert

Das Herzstück der Täuschung ist das Vertrauen, das Nutzer der Shop-App entgegenbringen. Die App sammelt Bestellverfolgungen und Belege von vielen Online-Shops an einem Ort . Betrüger erstellen gefälschte Bestellungen und schleusen sie in die Bestellhistorie eines Nutzers ein – sie erscheinen direkt neben legitimen Käufen. Da die Shop-App Bestellungen automatisch aus verknüpften E-Mail-Konten (Gmail, Outlook u. a.) übernimmt, wirkt der gefälschte Beleg durch den vertrauten Kontext besonders echt .

Nachgeahmte Marken und Social Engineering

Bisherige Meldungen zeigen gefälschte Belege, die Marken wie Norton, McAfee, Apple (iPhones und Apple-Geschenkkarten) nachahmen und PayPal-ähnliche Zahlungsbelege enthalten . Die Wahl der Marke ist gezieltes Social Engineering: Ein gefälschter Beleg über ein 300 Euro teures Sicherheitsabonnement oder einen teuren Apple-Artikel löst Dringlichkeit und Panik aus – der Nutzer soll sofort die angegebene Nummer anrufen, um die Belastung anzufechten .

Der eigentliche Phishing-Angriff: Der Rückruf

Das entscheidende Element ist eine Telefonnummer, die in den Bestelldetails, dem Lieferadressfeld oder der Produktbeschreibung versteckt ist, oft mit der Aufforderung, den „Support“ zu kontaktieren, falls die Belastung nicht autorisiert sei . Ruft das Opfer an, meldet sich der Betrüger als Mitarbeiter des Kundendienstes und versucht dann:

• Kreditkartendaten und persönliche Informationen unter dem Vorwand einer Rückerstattung zu stehlen.
• Zugangsdaten für Konten zu erlangen.
• Das Opfer zur Installation einer Fernzugriffssoftware zu bewegen, die dem Angreifer die volle Kontrolle über das Gerät gibt .

In den meisten gemeldeten Fällen taucht auf den Konten der Betroffenen nie eine tatsächliche Belastung auf – die gesamte Gefahr geht allein vom Anruf aus .

Reaktion von Shopify

Als Reaktion auf die Kampagne teilte Shopify BleepingComputer mit, man habe die Täter identifiziert und neue Kontrollen eingeführt, die „diese Aktivität deutlich reduziert und die Fähigkeit verbessert haben, sie künftig zu erkennen“ . Die genauen technischen Maßnahmen wurden nicht im Detail genannt. Das Unternehmen verweist auf seine offiziellen Sicherheitshinweise zum Erkennen von Phishing, Vishing und Smishing – dazu gehört, E-Mail-Domains wie @shopify.com zu prüfen und niemals verdächtige Nummern anzurufen .

Offizielle Meldewege

Shopify bittet Nutzer, verdächtige E-Mails an phishing@shopify.com weiterzuleiten. Gen Digital, dessen Marke Norton in der Betrugsmasche nachgeahmt wird, empfiehlt, verdächtige Norton-E-Mails an spam@norton.com zu melden .

Was tun bei einem verdächtigen Beleg?

Wenn Sie in Ihrer Shop-App auf eine unerwartete Bestellung oder Quittung stoßen, sollten Sie keinesfalls die darin genannten Kontaktdaten nutzen. Gehen Sie stattdessen wie folgt vor:

1. Rufen Sie keine im Beleg angegebene Telefonnummer an. Seriöse Unternehmen bitten Sie nicht, zu einer solchen Nummer zu greifen, wenn eine unberechtigte Belastung vorliegt .

2. Prüfen Sie die Belastungen direkt bei Ihrer Bank oder Ihrem Kartenanbieter. Loggen Sie sich in Ihre Finanzkonten über die offiziellen Apps oder Websites ein – und nicht über Links aus der Benachrichtigung –, um zu sehen, ob überhaupt eine Belastung erfolgt ist .

3. Klicken Sie auf keine Links und laden Sie keine Dateien aus der verdächtigen Bestellung herunter .

4. Trennen Sie die E-Mail-Synchronisation in der Shop-App vorübergehend: Einstellungen > E-Mail-Integration. So verhindern Sie, dass weitere falsche Bestellungen automatisch eingespielt werden .

5. Melden Sie den Betrug. Leiten Sie die Benachrichtigung oder E-Mail an phishing@shopify.com weiter – und falls die Marke Norton nachgeahmt wird, auch an spam@norton.com .

6. Haben Sie bereits angerufen? Kontaktieren Sie sofort Ihre Bank, um Ihre Konten einzufrieren, führen Sie einen Malware-Scan auf Ihrem Gerät durch, ändern Sie Ihr Shopify-Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung .

7. Markieren Sie die Bestellung in der Shop-App als verdächtig, falls diese Funktion verfügbar ist. Das kann Shopify helfen, ähnliche betrügerische Bestellungen zu erkennen und zu blockieren .

Wichtige Erkenntnisse

Der Callback-Phishing-Angriff auf Shopifys Shop-App ist eine bemerkenswerte Weiterentwicklung von Phishing-Techniken: Angreifer verlassen die E-Mail und platzieren gefälschte Belege direkt in einer vertrauenswürdigen App, in der Nutzer ihre echten Einkäufe verwalten. Die Kampagne nutzt das Vertrauen der Nutzer in die Plattform aus – nicht eine technische Sicherheitslücke in der Infrastruktur von Shopify. Der wirksamste Schutz ist einfach: Rufen Sie niemals eine Telefonnummer an, die in einem Beleg steht, prüfen Sie angebliche Belastungen ausschließlich über offizielle Kanäle und melden Sie verdächtige Aktivitäten den betroffenen Plattformen.