Shopify 주문 추적 앱 'Shop' 노린 콜백 피싱 주의보

사칭 브랜드와 사회공학적 공격

보고된 가짜 영수증은 Norton, McAfee, Apple(아이폰 및 Apple 기프트 카드) 등을 사칭하며, PayPal 스타일의 결제 청구 내역도 포함됩니다 . 브랜드 선택은 의도적인 사회공학적 공격입니다. 300달러가 넘는 보안 구독 상품이나 고가의 Apple 제품에 대한 가짜 영수증은 사용자에게 긴박감과 당황심을 불러일으켜, 해당 요금에 이의를 제기하기 위해 영수증에 적힌 번호로 전화를 걸게 만듭니다 .

콜백 피싱의 실제 페이로드

가짜 영수증의 주문 상세 정보, 배송지 주소 필드, 또는 제품 설명에 전화번호가 포함되어 있으며, 종종 "승인되지 않은 요금이면 지원팀에 전화하세요"라는 메시지가 함께 표시됩니다 . 피해자가 전화를 걸면 사기범이 지원 상담원으로 응대하며 다음과 같은 행동을 시도합니다:

• 환불을 해준다는 명목으로 신용카드 번호와 개인정보를 요구
• 계정 로그인 자격 증명 탈취 시도
• 원격 접속 소프트웨어를 설치하도록 속여 공격자에게 기기 제어권을 넘기도록 유도

보고된 대부분의 사례에서 사용자의 금융 계좌에 실제로 금액이 청구된 적은 없습니다. 위협은 전적으로 전화 통화 자체에 있습니다 .

Shopify의 대응

Shopify는 BleepingComputer에 플랫폼을 악용하는 악성 행위자를 식별했으며, "이러한 활동을 크게 줄이고 향후 탐지 능력을 개선할 수 있는 새로운 통제 조치를 배포했다"고 밝혔습니다 . 구체적인 기술적 조치는 공개되지 않았지만, 회사는 사용자에게 피싱, 비싱, 스미싱 시도를 식별하는 공식 보안 가이드를 참조하고, @shopify.com과 같은 공식 Shopify 도메인의 이메일인지 확인하며, 수상한 번호로 절대 전화하지 말 것을 권고합니다 .

공식 신고 채널

Shopify는 의심스러운 이메일을 phishing@shopify.com으로 전달하도록 권장합니다. 이 사기에서 사칭당하는 Norton 브랜드의 경우, Gen Digital도 Norton 관련 의심스러운 이메일을 spam@norton.com으로 신고할 것을 권장합니다 .

수상한 영수증 발견 시 대처 방법

Shop 앱에서 예상치 못한 주문이나 영수증을 발견하면, 기재된 연락처 정보를 절대 사용하지 마세요. 대신 다음 단계를 따르십시오:

1. 주문서에 적힌 전화번호로 절대 전화하지 마십시오. 합법적인 기업은 디지털 영수증에 요금 이의 제기를 위한 지원 번호를 포함시키지 않습니다 .

2. 실제 요금 발생 여부를 은행이나 카드사에 직접 확인하십시오. 알림 내 링크가 아닌, 공식 앱이나 웹사이트를 통해 금융 계좌에 로그인하세요 .

3. 수상한 주문의 링크를 클릭하거나 파일을 다운로드하지 마십시오 .

4. 임시로 Shop 앱의 이메일 동기화를 해제하십시오. 설정(Settings) > 이메일 통합(Email Integration)에서 추가 가짜 주문이 자동으로 표시되는 것을 방지할 수 있습니다 .

5. 사기를 신고하십시오. 알림이나 이메일을 phishing@shopify.com으로 전달하고, Norton을 사칭한 경우 spam@norton.com으로도 함께 보내십시오 .

6. 이미 전화를 걸었다면 즉시 은행에 연락해 계좌를 동결하고, 기기에서 멀웨어 검사를 실행하며, Shopify 비밀번호를 변경하고 2단계 인증을 활성화하십시오 .

7. Shop 앱에서 해당 주문을 '의심스러움'으로 표시하십시오. 이 기능이 제공되는 경우, 플랫폼이 유사한 사기 주문을 식별하고 차단하는 데 도움이 될 수 있습니다 .

핵심 요약

Shopify의 Shop 앱을 겨냥한 콜백 피싱 사기는 피싱 기술의 주목할 만한 진화를 보여줍니다. 공격자는 이메일을 넘어 사용자가 실제 구매를 관리하는 신뢰할 수 있는 앱 내부에 직접 가짜 영수증을 심고 있습니다. 이 캠페인은 Shopify 인프라의 기술적 취약점이 아닌, 플랫폼에 대한 사용자 신뢰를 악용합니다. 가장 효과적인 방어는 간단합니다: 영수증에 포함된 전화번호로 절대 전화하지 말고, 의심되는 요금은 공식 경로를 통해 확인한 후 해당 플랫폼에 신고하는 것입니다.