Waspada Penipuan Phishing di Aplikasi Shop: Resi Palsu Mengintai Pengguna

Bagaimana Modus Penipuan Ini Bekerja

Inti dari penipuan ini adalah penyalahgunaan kepercayaan pengguna terhadap aplikasi Shop. Aplikasi ini mengumpulkan pelacakan pesanan dan resi dari berbagai toko online ke dalam satu antarmuka . Pelaku membuat pesanan palsu dan menyisipkannya ke riwayat pesanan pengguna, sehingga tampak seperti pesanan asli. Karena aplikasi Shop secara otomatis mengisi pesanan dari akun email yang terhubung (Gmail, Outlook, dll.), resi palsu ini menjadi lebih meyakinkan karena berada dalam konteks yang tepercaya .

Merek yang Dipalsukan dan Rekayasa Sosial

Resi palsu yang dilaporkan mengatasnamakan Norton, McAfee, Apple (iPhone dan kartu hadiah Apple), serta klaim pembayaran ala PayPal . Pemilihan merek ini adalah rekayasa sosial yang disengaja: resi palsu untuk langganan keamanan senilai lebih dari $300 atau produk Apple mahal menciptakan rasa urgensi dan kepanikan, mendorong pengguna untuk segera menelepon nomor yang tercantum .

Ancaman Callback Phishing

Elemen kuncinya adalah nomor telepon yang disematkan di detail pesanan, kolom alamat pengiriman, atau deskripsi produk, seringkali disertai pesan yang meminta pengguna menghubungi "dukungan" jika tagihan tidak sah . Saat korban menelepon, penipu akan menjawab sebagai agen dukungan dan berusaha:

• Mencuri nomor kartu kredit dan informasi pribadi dengan dalih melakukan pengembalian dana.
• Mendapatkan kredensial login akun.
• Mengelabui korban agar menginstal perangkat lunak akses jarak jauh yang memberikan kendali penuh perangkat kepada penyerang .

Dalam sebagian besar kasus yang dilaporkan, tidak ada tagihan nyata yang muncul di rekening keuangan korban. Seluruh ancaman hanya terletak pada panggilan telepon tersebut .

Tanggapan Shopify

Menanggapi kampanye ini, Shopify mengatakan kepada BleepingComputer bahwa mereka telah mengidentifikasi pelaku kejahatan yang menyalahgunakan platform dan menerapkan kontrol baru yang "secara signifikan mengurangi aktivitas ini dan meningkatkan kemampuan kami untuk mendeteksinya di masa mendatang" . Langkah teknis spesifik tidak dijelaskan secara rinci. Shopify juga mengarahkan pengguna ke panduan keamanan resmi mereka tentang cara mengidentifikasi upaya phishing, vishing, dan smishing, termasuk memverifikasi domain email resmi Shopify (seperti @shopify.com) dan tidak pernah menelepon nomor mencurigakan .

Saluran Pelaporan Resmi

Shopify mendorong pengguna untuk meneruskan email mencurigakan ke phishing@shopify.com. Gen Digital, yang merek Norton-nya dipalsukan dalam penipuan ini, juga merekomendasikan pelaporan email mencurigakan terkait Norton ke spam@norton.com .

Langkah yang Harus Dilakukan Jika Melihat Resi Mencurigakan

Jika Anda menemukan pesanan atau resi yang tidak terduga di aplikasi Shop, jangan menghubungi informasi kontak yang tercantum. Ikuti langkah-langkah berikut:

1. Jangan menelepon nomor telepon apa pun yang tertera di pesanan. Perusahaan resmi tidak akan menyertakan nomor dukungan di dalam resi digital untuk Anda hubungi terkait tagihan yang disengketakan .

2. Verifikasi tagihan langsung ke bank atau penerbit kartu Anda. Masuk ke akun keuangan Anda melalui aplikasi atau situs web resmi—bukan melalui tautan di notifikasi—untuk memastikan apakah benar ada tagihan .

3. Jangan mengeklik tautan atau mengunduh file dari pesanan mencurigakan tersebut .

4. Putuskan sementara sinkronisasi email dari aplikasi Shop melalui Pengaturan > Integrasi Email untuk mencegah pesanan palsu lainnya masuk secara otomatis .

5. Laporkan penipuan. Teruskan notifikasi atau email tersebut ke phishing@shopify.com, dan jika mengatasnamakan Norton, kirimkan juga ke spam@norton.com .

6. Jika Anda sudah menelepon nomor tersebut, segera hubungi bank Anda untuk membekukan akun, jalankan pemindaian malware pada perangkat Anda, ubah kata sandi Shopify, dan aktifkan autentikasi dua langkah .

7. Tandai pesanan sebagai mencurigakan di aplikasi Shop (jika tersedia), yang dapat membantu platform mengidentifikasi dan memblokir pesanan penipuan serupa .

Kesimpulan Penting

Penipuan callback phishing yang menargetkan aplikasi Shop milik Shopify ini merupakan evolusi signifikan dalam teknik phishing: penyerang tidak lagi hanya mengandalkan email, tetapi menyusupkan resi palsu langsung ke dalam aplikasi tepercaya yang biasa digunakan pengguna untuk mengelola pembelian nyata. Kampanye ini mengeksploitasi kepercayaan pengguna pada platform, bukan celah teknis pada infrastruktur Shopify. Pertahanan paling efektif tetap sederhana: jangan pernah menelepon nomor telepon yang tercantum dalam resi, verifikasi tagihan melalui saluran resmi, dan laporkan aktivitas mencurigakan ke platform terkait.