Callback-phishing-angrep utnytter Shopifys Shop-app

Trusselaktører utnytter aktivt Shopifys ordre-sporingsapp Shop ved å legge inn falske kjøpskvitteringer i brukernes ordrehistorikk for å presse frem et såkalt callback-phishing-angrep. Når brukere ringer det uredelige supportnummeret som står på kvitteringen, utgir svindlerne seg for å være kundeservicemedarbeidere og forsøker å stjele sensitiv informasjon eller lure ofrene til å installere fjernstyringsprogramvare . Kampanjen etterligner kjente merkevarer som Norton, McAfee, Apple og PayPal. Det har blitt rapportert om falske kvitteringer for iPhone-kjøp og Apple-gavekort, samt falske sikkerhetsabonnementer . Det er viktig å understreke at sikkerhetsforskerne hos Gen Digital og Shopify ikke har funnet noen bevis for at selve Shop-appen eller Shopifys plattform er blitt hacket – svindlerne misbruker tilsynelatende en legitim funksjon i ordresporingssystemet .

Slik fungerer svindelen

Svindelen baserer seg på tilliten brukerne har til Shop-appen, som samler ordresporing og kvitteringer fra flere butikker i ett enkelt grensesnitt . Svindlerne oppretter falske ordrer og injiserer dem i brukerens ordrehistorikk, slik at de vises side om side med reelle kjøp. Siden Shop-appen automatisk henter inn ordrer fra tilkoblede e-postkontoer (Gmail, Outlook med flere), fremstår den falske kvitteringen som troverdig .

Etterlignede merkevarer og sosial manipulasjon

Rapporterte falske kvitteringer etterligner merker som Norton, McAfee, Apple (iPhones og Apple-gavekort) og inkluderer PayPal-lignende betalingskrav . Valget av merkevare er bevisst sosial manipulering: en falsk kvittering for et dyrt sikkerhetsabonnement eller et kostbart Apple-produkt skaper hastverk og panikk, noe som får brukeren til å ringe nummeret som er oppgitt for å bestride belastningen .

Callback-phishing som den virkelige trusselen

Nøkkelelementet er et telefonnummer som er gjemt i ordredetaljene, leveringsadressefeltet eller produktbeskrivelsen – ofte med en melding som oppfordrer brukeren til å ringe «support» hvis belastningen ikke var autorisert . Når offeret ringer, svarer svindleren som en supportagent og forsøker å:

• Stjele kredittkortnumre og personlig informasjon under påskudd av å utstede en refusjon.
• Få tak i påloggingsinformasjon.
• Lure brukeren til å installere fjernstyringsprogramvare som gir angriperen full kontroll over enheten .

I de fleste rapporterte tilfeller dukker det aldri opp noen faktisk belastning på brukerens bankkonto – hele trusselen er selve oppringningen .

Shopifys respons

Som svar på kampanjen opplyste Shopify til BleepingComputer at de hadde identifisert ondsinnede aktører som misbrukte plattformen, og at de hadde innført nye kontrollmekanismer som «har redusert denne aktiviteten betydelig og forbedret vår evne til å oppdage den fremover» . De konkrete tekniske tiltakene ble ikke detaljert, men selskapet henviser også brukere til sine offisielle sikkerhetsråd om hvordan man identifiserer phishing, vishing og smishing. Disse rådene inkluderer å verifisere e-postdomener fra offisielle Shopify-adresser som @shopify.com og å aldri ringe mistenkelige numre .

Offisielle rapporteringskanaler

Shopify oppfordrer brukere til å videresende mistenkelige e-poster til phishing@shopify.com. Gen Digital, hvis Norton-merke etterlignes i svindelen, anbefaler også å rapportere mistenkelige Norton-relaterte e-poster til spam@norton.com .

Hva du bør gjøre hvis du ser en mistenkelig kvittering

Hvis du oppdager en uventet ordre eller kvittering i Shop-appen, bør du ikke ta kontakt via den oppførte kontaktinformasjonen. Følg i stedet disse stegene:

1. Ikke ring noe telefonnummer som står i ordren. Seriøse selskaper oppgir ikke supportnumre i digitale kvitteringer for at du skal ringe om bestridte belastninger .

2. Verifiser belastninger direkte med banken eller kortutstederen din. Logg inn på dine finansielle kontoer via deres offisielle app eller nettside – ikke via lenker i varslingen – for å bekrefte om det faktisk finnes en reell belastning .

3. Ikke klikk på noen lenker eller last ned noen filer fra den mistenkelige ordren .

4. Koble midlertidig fra e-postsynkroniseringen i Shop-appen ved å gå til Innstillinger > E-postintegrering for å hindre at flere falske ordrer dukker opp automatisk .

5. Rapporter svindelen. Videresend varselet eller e-posten til phishing@shopify.com. Hvis den etterligner Norton, send den også til spam@norton.com .

6. Hvis du allerede har ringt nummeret, kontakt banken din umiddelbart for å fryse kontoene dine, kjør en skanning mot skadelig programvare på enheten, endre Shopify-passordet ditt og aktiver tofaktorautentisering .

7. Marker ordren som mistenkelig i Shop-appen der det er mulig, noe som kan hjelpe plattformen med å identifisere og blokkere lignende uredelige ordrer .

Hovedpunkter

Callback-phishing-angrepet som retter seg mot Shopifys Shop-app, representerer en markant utvikling innen phishing-teknikker: Angriperne beveger seg bort fra e-post og plasserer i stedet uredelige kvitteringer direkte inne i en pålitelig app der brukere håndterer sine reelle kjøp. Kampanjen utnytter brukernes tillit til plattformen, snarere enn noen teknisk sårbarhet i Shopifys infrastruktur. Det mest effektive forsvaret er enkelt: aldri ring et telefonnummer som er innebygd i en kvittering, verifiser eventuelle påståtte belastninger via offisielle kanaler, og rapporter mistenkelig aktivitet til de berørte plattformene.