Pas op: neppe aankoopbewijzen in Shopify's Shop-app zijn een nieuwe phishingval

Cybercriminelen maken actief misbruik van de Shop order-tracker-app van Shopify. Ze plaatsen neppe aankoopbewijzen in de bestelgeschiedenis van gebruikers om hen naar een 'callback-phishing'-val te lokken. Wanneer een gebruiker het frauduleuze servicenummer belt, doen de criminelen zich voor als klantenservicemedewerkers. Ze proberen dan gevoelige informatie te stelen of het slachtoffer ertoe te bewegen software voor externe toegang te installeren .

De campagne doet zich voor als gerenommeerde merken zoals Norton, McAfee, Apple en PayPal. Er zijn meldingen van nepposten voor de aankoop van iPhones en Apple-cadeaubonnen, naast neppe beveiligingsabonnementen .

Het is belangrijk om te weten dat cybersecurityonderzoekers van Gen Digital en Shopify geen enkel bewijs hebben gevonden dat de Shop-app of het Shopify-platform zelf is gekraakt. De oplichters maken misbruik van een legitieme functie van het ordertrackingsysteem .

Hoe de oplichting werkt

De kern van het bedrog is het vertrouwen dat gebruikers hebben in de Shop-app. De app verzamelt ordertracking en bonnen van meerdere webwinkels in één interface .

Oplichters maken neppe bestellingen aan en plaatsen die in de bestelgeschiedenis van een gebruiker, waar ze tussen echte aankopen verschijnen. Omdat de Shop-app automatisch bestellingen uit gekoppelde e-mailaccounts (Gmail, Outlook e.d.) importeert, krijgt de neppe bon een vals gevoel van echtheid .

Nagebootste merken en social engineering

De neppe bonnen doen zich voor als Norton, McAfee, Apple (iPhones en Apple-cadeaubonnen) en PayPal . De keuze van het merk is doelbewuste psychologie: een neprekening voor een duur abonnement van 300 euro of een peperduur Apple-product veroorzaakt paniek en urgentie. De gebruiker wordt ertoe aangezet het nummer te bellen om de betaling aan te vechten .

De callback-phishingtechniek

Het belangrijkste onderdeel is een telefoonnummer dat in de ordertracking, het verzendadres of de productomschrijving staat. Er staat vaak een bericht bij dat de gebruiker 'support' moet bellen als de betaling niet is geautoriseerd .

Wanneer het slachtoffer belt, doet de oplichter zich voor als een medewerker van de klantenservice en probeert:

• Creditcardnummers en persoonlijke gegevens te stalen onder het voorwendsel van een terugbetaling.
• Inloggegevens van accounts te bemachtigen.
• Het slachtoffer te overhalen software voor externe toegang te installeren, waarmee de oplichter de volledige controle over het apparaat krijgt .

In de meeste gemelde gevallen wordt er nooit daadwerkelijk geld van de rekening van de gebruiker afgeschreven. De enige dreiging is het telefoontje .

Wat heeft Shopify gedaan?

Shopify heeft tegen BleepingComputer gezegd dat het kwaadwillenden heeft geïdentificeerd die het platform misbruikten. Het bedrijf heeft nieuwe maatregelen genomen die 'deze activiteit aanzienlijk hebben verminderd en het vermogen om dit in de toekomst te detecteren hebben verbeterd' .

Welke technische maatregelen precies zijn genomen, is niet bekendgemaakt. Wel verwijst Shopify gebruikers naar de officiële richtlijnen voor het herkennen van phishing, vishing en smishing. Daarin staat onder meer dat je altijd moet controleren of een e-mail afkomstig is van een officieel Shopify-domein, zoals @shopify.com, en dat je nooit verdachte telefoonnummers moet bellen .

Officiële meldpunten

Shopify moedigt gebruikers aan om verdachte e-mails door te sturen naar phishing@shopify.com. Gen Digital, het bedrijf achter Norton, raadt aan om Norton-gerelateerde verdachte e-mails te sturen naar spam@norton.com .

Wat moet je doen bij een verdachte bon?

Zie je een onverwachte bestelling in de Shop-app, bel dan nooit het telefoonnummer dat erin staat. Volg in plaats daarvan deze stappen:

1. Bel geen enkel telefoonnummer in de bestelling. Legitieme bedrijven zetten geen servicenummers in digitale bonnen waar je naartoe moet bellen om een betaling aan te vechten .

2. Controleer de betaling direct bij je bank of creditcardmaatschappij. Log in via de officiële app of website van je bank, niet via een link in de melding. Zo weet je of er daadwerkelijk geld is afgeschreven .

3. Klik op geen enkele link en download geen bestanden uit de verdachte bestelling .

4. Koppel je e-mail tijdelijk los van de Shop-app. Ga naar Instellingen > E-mailintegratie om te voorkomen dat er nog meer neppe bestellingen worden binnengehaald .

5. Meld de fraude. Stuur de melding of e-mail door naar phishing@shopify.com. Als de bon namaak van Norton is, stuur hem dan ook naar spam@norton.com .

6. Heb je het nummer al gebeld? Neem dan onmiddellijk contact op met je bank om je rekeningen te blokkeren, voer een malwarescan uit op je apparaat, wijzig je Shopify-wachtwoord en schakel tweestapsverificatie in .

7. Markeer de bestelling als verdacht in de Shop-app, als die optie beschikbaar is. Dit helpt het platform om soortgelijke frauduleuze bestellingen te herkennen en te blokkeren .

Belangrijkste conclusie

Deze callback-phishingcampagne laat een opvallende evolutie zien: aanvallers stappen over van e-mail naar een vertrouwde app waarin gebruikers hun echte aankopen beheren. De campagne maakt misbruik van het vertrouwen in het platform, niet van een technische kwetsbaarheid in de infrastructuur van Shopify. De beste verdediging is simpel: bel nooit een telefoonnummer dat in een bon staat, controleer elke vermeende afschrijving via de officiële kanalen en meld verdachte activiteiten bij de betrokken platforms.