Arnaque au phishing par rappel : des faux reçus dans l'app Shop de Shopify piègent les utilisateurs

Des cybercriminels exploitent activement l'application de suivi des commandes Shop de Shopify en y insérant de faux reçus d'achat dans l'historique des commandes des utilisateurs pour lancer une campagne de phishing par rappel. Lorsque les utilisateurs composent le numéro de support frauduleux indiqué sur le reçu, des escrocs se faisant passer pour des agents du service client tentent de leur soutirer des informations sensibles ou de les inciter à installer un logiciel d'accès à distance . La campagne usurpe l'identité de marques connues telles que Norton, McAfee, Apple et PayPal, avec des signalements de faux reçus pour des achats d'iPhone, des cartes cadeaux Apple et de fausses souscriptions de sécurité . Il est crucial de noter que les chercheurs en cybersécurité de Gen Digital et de Shopify n'ont trouvé aucune preuve que l'application Shop ou la plateforme Shopify elle-même aient été compromises : les escrocs abusent simplement d'une fonctionnalité légitime du système de suivi des commandes .

Comment fonctionne l'arnaque

Le cœur de la tromperie réside dans la confiance que les utilisateurs placent dans l'application Shop, qui agrège le suivi des commandes et les reçus de plusieurs détaillants en une seule interface . Les escrocs créent de fausses commandes et les injectent dans l'historique des commandes d'un utilisateur, où elles apparaissent aux côtés d'achats légitimes. Comme l'application Shop importe automatiquement les commandes à partir des comptes de messagerie connectés (Gmail, Outlook, etc.), le faux reçu gagne en crédibilité en apparaissant dans un contexte familier et de confiance .

Marques usurpées et ingénierie sociale

Les faux reçus signalés usurpent l'identité de marques telles que Norton, McAfee, Apple (iPhones et cartes cadeaux Apple) et incluent des demandes de paiement imitant PayPal . Le choix de la marque est un acte d'ingénierie sociale délibéré : un faux reçu pour un abonnement de sécurité de plus de 300 € ou un produit Apple coûteux crée un sentiment d'urgence et de panique, poussant l'utilisateur à appeler le numéro indiqué pour contester le débit .

La charge utile du phishing par rappel

L'élément clé est un numéro de téléphone intégré dans les détails de la commande, le champ de l'adresse de livraison ou la description du produit, souvent accompagné d'un message invitant l'utilisateur à appeler le « support » si le débit n'était pas autorisé . Lorsque la victime appelle, l'escroc répond en se faisant passer pour un agent du support et tente de :

• Voler les numéros de carte de crédit et les informations personnelles sous prétexte d'émettre un remboursement.
• Obtenir les identifiants de connexion du compte.
• Piéger l'utilisateur pour qu'il installe un logiciel d'accès à distance qui donne à l'attaquant le contrôle total de l'appareil .

Dans la plupart des cas signalés, aucun débit réel n'apparaît jamais sur les comptes financiers de l'utilisateur : l'intégralité de la menace réside dans l'appel téléphonique .

La réponse de Shopify

En réponse à cette campagne, Shopify a déclaré à BleepingComputer avoir identifié des acteurs malveillants abusant de la plateforme et avoir déployé de nouveaux contrôles qui ont « considérablement réduit cette activité et amélioré [leur] capacité à la détecter à l'avenir » . Les mesures techniques spécifiques n'ont pas été détaillées, mais l'entreprise oriente également les utilisateurs vers ses conseils de sécurité officiels pour identifier les tentatives de phishing, vishing et smishing, notamment en vérifiant les domaines d'expédition des courriels officiels de Shopify (comme @shopify.com) et en ne composant jamais de numéros suspects .

Canaux de signalement officiels

Shopify encourage les utilisateurs à transférer les courriels suspects à l'adresse phishing@shopify.com. Gen Digital, dont la marque Norton est usurpée dans cette arnaque, recommande également de signaler les courriels suspects liés à Norton à l'adresse spam@norton.com .

Que faire si vous voyez un reçu suspect

Si vous rencontrez une commande ou un reçu inattendu dans votre application Shop, n'interagissez pas avec les coordonnées qui y figurent. Suivez plutôt ces étapes :

1. N'appelez aucun numéro de téléphone fourni dans la commande. Les entreprises légitimes n'incluent pas de numéros de support dans les reçus numériques pour que vous les appeliez en cas de litige .

2. Vérifiez les débits directement auprès de votre banque ou de l'émetteur de votre carte. Connectez-vous à vos comptes financiers via leur application ou site web officiel – et non via des liens dans la notification – pour confirmer si un débit réel existe .

3. Ne cliquez sur aucun lien et ne téléchargez aucun fichier provenant de la commande suspecte .

4. Déconnectez temporairement la synchronisation des e-mails de l'application Shop en allant dans Paramètres > Intégration des e-mails pour empêcher d'autres fausses commandes d'apparaître automatiquement .

5. Signalez l'arnaque. Transférez la notification ou l'e-mail à phishing@shopify.com, et si elle usurpe l'identité de Norton, envoyez-la également à spam@norton.com .

6. Si vous avez déjà appelé le numéro, contactez immédiatement votre banque pour bloquer vos comptes, exécutez une analyse anti-malware sur votre appareil, changez votre mot de passe Shopify et activez l'authentification à deux facteurs .

7. Marquez la commande comme suspecte dans l'application Shop lorsque l'option est disponible. Cela peut aider la plateforme à identifier et bloquer des commandes frauduleuses similaires .

Points clés à retenir

L'arnaque au phishing par rappel ciblant l'application Shop de Shopify représente une évolution notable des techniques de phishing : les attaquants ne se contentent plus des e-mails et placent désormais des reçus frauduleux directement dans une application de confiance où les utilisateurs gèrent leurs achats réels. La campagne exploite la confiance des utilisateurs dans la plateforme plutôt qu'une vulnérabilité technique de l'infrastructure de Shopify. La défense la plus efficace est simple : n'appelez jamais un numéro de téléphone intégré dans un reçu, vérifiez tout débit présumé par les canaux officiels et signalez toute activité suspecte aux plateformes concernées.