Penipuan Pancingan Panggilan Balik Sasari Aplikasi Shop Shopify: Resit Palsu Perangkap Pengguna

Yang penting, penyelidik keselamatan siber di Gen Digital dan Shopify tidak menemui sebarang bukti bahawa aplikasi Shop atau platform Shopify sendiri telah digodam. Scammer seolah-olah menyalahgunakan ciri sah sistem penjejakan pesanan .

Bagaimana Penipuan Ini Berfungsi

Inti penipuan ini terletak pada kepercayaan pengguna terhadap aplikasi Shop, yang mengumpulkan penjejakan pesanan dan resit daripada pelbagai peruncit ke dalam satu antara muka . Scammer mencipta pesanan palsu dan menyuntikkannya ke dalam sejarah pesanan pengguna, menjadikannya kelihatan seperti pembelian yang sah.

Oleh kerana aplikasi Shop mengisi secara automatik pesanan daripada akaun e-mel yang disambungkan (Gmail, Outlook dan lain-lain), resit palsu ini kelihatan lebih meyakinkan kerana berada dalam konteks yang dipercayai pengguna .

Jenama Yang Disamar dan Kejuruteraan Sosial

Resit palsu yang dilaporkan menyamar sebagai jenama seperti Norton, McAfee, Apple (iPhone dan kad hadiah Apple) dan termasuk tuntutan pembayaran ala PayPal . Pemilihan jenama ini adalah sebahagian daripada kejuruteraan sosial yang dirancang: resit palsu untuk langganan keselamatan bernilai lebih AS$300 atau produk Apple yang mahal akan menimbulkan rasa panik dan mendesak, mendorong pengguna untuk menghubungi nombor yang tertera bagi mempertikaikan caj tersebut .

Muatan Pancingan Panggilan Balik

Elemen utama adalah nombor telefon yang disematkan dalam butiran pesanan, ruang alamat penghantaran atau penerangan produk. Selalunya disertakan mesej yang mengarahkan pengguna menghubungi "sokongan" jika caj tersebut tidak dibenarkan .

Apabila mangsa menghubungi nombor tersebut, scammer akan menjawab sebagai ejen sokongan dan cuba:

• Mencuri nombor kad kredit dan maklumat peribadi dengan alasan ingin membuat bayaran balik.
• Mendapatkan bukti kelayakan log masuk akaun.
• Memperdaya pengguna memasang perisian akses jauh yang memberikan kawalan penuh peranti kepada penyerang .

Dalam kebanyakan kes yang dilaporkan, tiada sebarang caj sebenar yang pernah muncul pada akaun kewangan pengguna. Ancaman sebenar hanyalah panggilan telefon itu sendiri .

Tindakan Balas Shopify

Sebagai respons terhadap kempen ini, Shopify memberitahu BleepingComputer bahawa mereka telah mengenal pasti pihak tidak bertanggungjawab yang menyalahgunakan platform dan telah melaksanakan kawalan baharu yang "berjaya mengurangkan aktiviti ini dengan ketara dan meningkatkan keupayaan kami untuk mengesannya pada masa hadapan" .

Langkah teknikal spesifik tidak didedahkan, tetapi syarikat itu mengarahkan pengguna kepada panduan keselamatan rasmi mereka untuk mengenal pasti percubaan pancingan data (phishing), pancingan suara (vishing) dan pancingan mesej teks (smishing). Ini termasuk mengesahkan domain e-mel daripada alamat rasmi Shopify seperti @shopify.com dan tidak sekali-kali menghubungi nombor yang mencurigakan .

Saluran Pelaporan Rasmi

Shopify menggalakkan pengguna memajukan e-mel yang mencurigakan kepada phishing@shopify.com. Gen Digital, yang jenama Nortonnya disamar dalam penipuan ini, juga mengesyorkan melaporkan e-mel berkaitan Norton yang mencurigakan kepada spam@norton.com .

Langkah Yang Perlu Diambil Jika Anda Nampak Resit Mencurigakan

Jika anda terjumpa pesanan atau resit yang tidak dijangka dalam aplikasi Shop anda, jangan berinteraksi dengan maklumat hubungan yang diberikan. Sebaliknya, ikuti langkah berikut:

1. Jangan hubungi mana-mana nombor telefon yang diberikan dalam pesanan. Syarikat yang sah tidak menyertakan nombor sokongan dalam resit digital untuk anda menghubungi bagi mempertikaikan caj .

2. Sahkan caj terus dengan bank atau penerbit kad anda. Log masuk ke akaun kewangan anda melalui aplikasi atau laman web rasmi mereka — bukan melalui pautan dalam pemberitahuan — untuk mengesahkan sama ada sebarang caj sebenar wujud .

3. Jangan klik sebarang pautan atau muat turun sebarang fail daripada pesanan yang mencurigakan .

4. Putuskan sambungan e-mel daripada aplikasi Shop buat sementara waktu dengan pergi ke Tetapan > Integrasi E-mel untuk mengelakkan pesanan palsu tambahan daripada diisi secara automatik .

5. Laporkan penipuan. Majukan pemberitahuan atau e-mel kepada phishing@shopify.com, dan jika ia menyamar sebagai Norton, hantar juga kepada spam@norton.com .

6. Jika anda sudah menghubungi nombor tersebut, hubungi bank anda dengan segera untuk membekukan akaun, jalankan imbasan perisian hasad pada peranti anda, tukar kata laluan Shopify anda dan dayakan pengesahan dua langkah .

7. Tandakan pesanan sebagai mencurigakan dalam aplikasi Shop jika ada pilihan, yang boleh membantu platform mengenal pasti dan menyekat pesanan palsu yang serupa .

Rumusan

Penipuan pancingan panggilan balik yang menyasarkan aplikasi Shop Shopify ini menunjukkan evolusi ketara dalam teknik pancingan data: penyerang kini bergerak melangkaui e-mel dan meletakkan resit palsu terus di dalam aplikasi yang dipercayai pengguna untuk mengurus pembelian sebenar mereka.

Kempen ini mengeksploitasi kepercayaan pengguna terhadap platform dan bukannya sebarang kelemahan teknikal dalam infrastruktur Shopify. Pertahanan yang paling berkesan adalah mudah: jangan sekali-kali menghubungi nombor telefon yang disematkan dalam resit, sahkan sebarang caj yang didakwa melalui saluran rasmi, dan laporkan aktiviti mencurigakan kepada platform yang terjejas.