Nowe oszustwo w aplikacji Shop od Shopify: fałszywe paragony i telefon do „pomocy technicznej”

Jak działa to oszustwo?

Sedno oszustwa tkwi w zaufaniu, jakim użytkownicy darzą aplikację Shop, która agreguje informacje o zamówieniach i paragonach z wielu sklepów w jednym interfejsie . Oszuści tworzą fikcyjne zamówienia i wstawiają je do historii zakupów użytkownika, tak aby wyglądały jak autentyczne transakcje. Ponieważ aplikacja Shop automatycznie pobiera zamówienia z podłączonych kont e-mail (Gmail, Outlook itp.), fałszywy paragon zyskuje na wiarygodności, pojawiając się w znanym i zaufanym kontekście .

Podszywanie się pod marki i inżynieria społeczna

Zgłaszane fałszywe paragony podszywają się pod takie marki jak Norton, McAfee, Apple (iPhone'y i karty podarunkowe Apple) i zawierają fałszywe płatności PayPal . Wybór marki jest celowy: fałszywy paragon za abonament wart ponad 300 dolarów lub drogi produkt Apple wzbudza panikę i skłania do natychmiastowego dzwonienia na podany numer w celu wyjaśnienia sprawy .

Callback phishing – właściwy ładunek

Kluczowym elementem jest numer telefonu umieszczony w szczegółach zamówienia, polu adresu dostawy lub opisie produktu, często z komunikatem nakazującym skontaktować się z „pomocą techniczną”, jeśli opłata była nieuzasadniona . Gdy ofiara dzwoni, oszust przedstawia się jako konsultant i próbuje:

• Wyłudzić numery kart kredytowych i dane osobowe pod pretekstem zwrotu pieniędzy.
• Uzyskać dane logowania do kont.
• Nakłonić ofiarę do zainstalowania oprogramowania zdalnego dostępu, które daje przestępcy pełną kontrolę nad urządzeniem .

W większości zgłoszonych przypadków na koncie ofiary nigdy nie pojawia się żadne rzeczywiste obciążenie – całe zagrożenie sprowadza się do wykonania telefonu .

Reakcja Shopify

W odpowiedzi na kampanię Shopify poinformowało BleepingComputer, że zidentyfikowało przestępców nadużywających platformy i wdrożyło nowe mechanizmy kontroli, które „znacznie ograniczyły tę aktywność i poprawiły naszą zdolność do jej wykrywania w przyszłości” . Nie ujawniono konkretnych rozwiązań technicznych. Firma zaleca również zapoznanie się z oficjalnymi wytycznymi dotyczącymi rozpoznawania phishingu, vishingu i smishingu, które obejmują weryfikację domen nadawców e-mail (np. @shopify.com) i nigdy niedzwonienie pod podejrzane numery .

Oficjalne kanały zgłaszania

Shopify zachęca do przesyłania podejrzanych e-maili na adres phishing@shopify.com. Firma Gen Digital, której marka Norton jest podszywana w ramach tej kampanii, zaleca również zgłaszanie podejrzanych wiadomości dotyczących Norton na adres spam@norton.com .

Co zrobić, jeśli zobaczysz podejrzany paragon?

Jeśli w aplikacji Shop pojawi się nieoczekiwane zamówienie lub paragon, nie kontaktuj się z podanymi w nim danymi. Postępuj zgodnie z poniższymi krokami:

1. Nie dzwoń pod żaden numer podany w zamówieniu. Legalne firmy nie umieszczają w paragonach numerów telefonów, pod które należy dzwonić w sprawie spornych opłat .

2. Zweryfikuj opłatę bezpośrednio w swoim banku lub u wystawcy karty. Zaloguj się do swojego konta finansowego za pośrednictwem oficjalnej aplikacji lub strony internetowej, a nie przez linki w powiadomieniu .

3. Nie klikaj w żadne linki ani nie pobieraj żadnych plików z podejrzanego zamówienia .

4. Tymczasowo odłącz synchronizację e-mail z aplikacją Shop (Ustawienia > Integracja e-mail), aby zapobiec automatycznemu pojawianiu się kolejnych fałszywych zamówień .

5. Zgłoś oszustwo. Prześlij powiadomienie lub e-mail na adres phishing@shopify.com, a jeśli podszywa się pod Norton, także na spam@norton.com .

6. Jeśli już zadzwoniłeś/aś pod podany numer, niezwłocznie skontaktuj się ze swoim bankiem, aby zamrozić konta, przeskanuj urządzenie w poszukiwaniu złośliwego oprogramowania, zmień hasło do Shopify i włącz uwierzytelnianie dwuskładnikowe .

7. Oznacz zamówienie jako podejrzane w aplikacji Shop, jeśli taka opcja jest dostępna – pomoże to platformie zidentyfikować i zablokować podobne fałszywe zamówienia .

Kluczowe wnioski

Atak callback phishing na aplikację Shop od Shopify to znacząca ewolucja technik phishingowych: przestępcy wykraczają poza e-mail i umieszczają fałszywe paragony bezpośrednio w zaufanej aplikacji, w której użytkownicy śledzą swoje rzeczywiste zakupy. Kampania wykorzystuje zaufanie do platformy, a nie jakąkolwiek lukę techniczną w infrastrukturze Shopify. Najskuteczniejszą obroną jest prosta zasada: nigdy nie dzwonić pod numer podany w paragonie, weryfikować każdą rzekomą opłatę oficjalnymi kanałami i zgłaszać podejrzane działania odpowiednim platformom.