Attenzione ai finti ricevuti nell’app Shop di Shopify: come riconoscere la truffa e difendersi

Come funziona la truffa

Il punto di forza dell'inganno è la fiducia che gli utenti ripongono nell'app Shop, che raccoglie in un'unica interfaccia gli ordini e le ricevute di diversi negozi online . I truffatori creano ordini contraffatti e li inseriscono nella cronologia dell'utente, facendoli apparire insieme agli acquisti legittimi. Poiché l'app Shop popola automaticamente gli ordini dalle email collegate (Gmail, Outlook e altri), la ricevuta falsa acquista credibilità apparendo in un contesto familiare e affidabile .

Marchi imitati e ingegneria sociale

Le ricevute false riportano marchi come Norton, McAfee, Apple (iPhone e carte regalo) e includono riferimenti a pagamenti in stile PayPal . La scelta dei marchi è un'abile mossa di ingegneria sociale: una ricevuta per un abbonamento da oltre 300 € o per un costoso prodotto Apple genera urgenza e panico, spingendo l'utente a chiamare il numero indicato per contestare l'addebito .

Il vero obiettivo: la chiamata truffa

L'elemento chiave è un numero di telefono inserito nei dettagli dell'ordine, nel campo dell'indirizzo di spedizione o nella descrizione del prodotto, spesso accompagnato da un messaggio che invita a chiamare il "supporto" se l'addebito non fosse autorizzato . Quando la vittima chiama, il truffatore risponde fingendosi un operatore del servizio clienti e tenta di:

• Rubare i numeri di carta di credito e dati personali con la scusa di emettere un rimborso.
• Ottenere le credenziali di accesso agli account.
• Indurre la vittima a installare software di controllo remoto, cedendo di fatto il pieno controllo del dispositivo all'aggressore .

Nella maggior parte dei casi segnalati, nessun addebito effettivo compare mai sui conti finanziari della vittima: l'intera minaccia si consuma con la telefonata .

La risposta di Shopify

Shopify ha dichiarato a BleepingComputer di aver identificato i soggetti malintenzionati che abusavano della piattaforma e di aver implementato nuovi controlli che hanno "ridotto significativamente questa attività e migliorato la nostra capacità di rilevarla in futuro" . L'azienda non ha fornito dettagli tecnici specifici, ma invita gli utenti a consultare le sue linee guida ufficiali sulla sicurezza per riconoscere tentativi di phishing, vishing e smishing, che includono la verifica dei domini email ufficiali (come @shopify.com) e il consiglio di non chiamare mai numeri sospetti .

Canali ufficiali per le segnalazioni

Shopify invita a inoltrare le email sospette all'indirizzo phishing@shopify.com. Anche Gen Digital, proprietaria del marchio Norton preso di mira, consiglia di segnalare email sospette relative a Norton all'indirizzo spam@norton.com .

Cosa fare se vedi una ricevuta sospetta

Se trovi un ordine o una ricevuta inaspettata nella tua app Shop, non interagire con i dati di contatto forniti. Segui invece questi passaggi:

1. Non chiamare alcun numero di telefono indicato nell'ordine. Le aziende legittime non includono numeri di supporto nelle ricevute digitali per contestare addebiti .

2. Verifica gli addebiti direttamente con la tua banca o con l'emittente della carta. Accedi ai tuoi conti finanziari attraverso l'app o il sito ufficiale, non tramite link nella notifica, per accertare se ci sia un addebito reale .

3. Non cliccare su link e non scaricare file dall'ordine sospetto .

4. Disconnetti temporaneamente la sincronizzazione email dall'app Shop andando su Impostazioni > Integrazione email, per evitare che altri ordini falsi vengano importati automaticamente .

5. Segnala la truffa. Inoltra la notifica o l'email a phishing@shopify.com; se imita Norton, inviala anche a spam@norton.com .

6. Se hai già chiamato il numero, contatta immediatamente la tua banca per congelare i conti, esegui una scansione malware sul dispositivo, cambia la password di Shopify e attiva l'autenticazione a due fattori .

7. Segna l'ordine come sospetto nell'app Shop, dove disponibile: questo può aiutare la piattaforma a identificare e bloccare ordini fraudolenti simili .

Punti chiave

Questa campagna di callback phishing rappresenta un'evoluzione significativa delle tecniche di phishing: gli attaccanti non si limitano più all'email, ma inseriscono ricevute fraudolente direttamente in un'applicazione fidata in cui gli utenti gestiscono i loro acquisti reali. Lo sfruttamento si basa sulla fiducia degli utenti nella piattaforma, non su una vulnerabilità tecnica di Shopify. La difesa più efficace è semplice: non chiamare mai un numero di telefono presente in una ricevuta, verifica eventuali addebiti sospetti attraverso i canali ufficiali e segnala l'attività sospetta alle piattaforme coinvolte.