Golpe de Phishing com Falsos Comprovantes no App Shop do Shopify

Criminosos estão explorando o aplicativo Shop, da Shopify, para aplicar um golpe de phishing. Eles inserem recibos de compra falsos no histórico de pedidos dos usuários, imitando marcas como Norton, McAfee, Apple e PayPal . O objetivo é fazer com que a vítima ligue para um número de telefone falso de "suporte", onde um golpista tenta roubar informações pessoais ou instalar um software de acesso remoto .

Importante: A Shopify e a empresa de segurança Gen Digital afirmam que não houve invasão do aplicativo Shop ou da plataforma Shopify. Os golpistas estão abusando de uma funcionalidade legítima do sistema .

Como o Golpe Funciona

O golpe se aproveita da confiança que os usuários depositam no aplicativo Shop, que centraliza o rastreio de pedidos e recibos de várias lojas . Os golpistas criam pedidos falsos e os inserem no histórico do usuário. Como o aplicativo puxa automaticamente os pedidos de contas de e-mail conectadas (Gmail, Outlook, etc.), o recibo falso ganha credibilidade ao aparecer em um contexto familiar e confiável .

Marcas Falsificadas e Engenharia Social

Os recibos falsos detectados imitam marcas como Norton, McAfee, Apple (com vendas de iPhones e cartões-presente) e incluem alegações de pagamento no estilo PayPal . A escolha da marca é uma engenharia social cuidadosa: um recibo falso de uma assinatura de segurança de R$ 1.500 ou de um iPhone caro cria urgência e pânico, levando o usuário a ligar para o número listado para contestar a cobrança .

O Golpe do "Callback Phishing"

O elemento principal é um número de telefone inserido nos detalhes do pedido, no campo de endereço de entrega ou na descrição do produto. Muitas vezes, há uma mensagem instruindo o usuário a ligar para o "suporte" se a cobrança não foi autorizada . Quando a vítima liga, o golpista, que se passa por um atendente, tenta:

• Roubar números de cartão de crédito e dados pessoais, sob o pretexto de emitir um reembolso.
• Obter credenciais de login.
• Convencer a vítima a instalar um software de acesso remoto que dá ao atacante controle total do dispositivo .

Na maioria dos casos, nenhum valor é debitado da conta da vítima. O único perigo real está na ligação .

A Resposta da Shopify

Em resposta ao golpe, a Shopify informou ao BleepingComputer que identificou os criminosos e implementou novos controles que "reduziram significativamente esta atividade e melhoraram nossa capacidade de detectá-la no futuro" . A empresa não detalhou as medidas técnicas, mas orienta os usuários a consultarem seu guia oficial de segurança para identificar tentativas de phishing e a nunca ligar para números suspeitos .

Canais Oficiais de Denúncia

A Shopify incentiva os usuários a encaminhar e-mails suspeitos para phishing@shopify.com. A Gen Digital, dona da Norton, também recomenda denunciar e-mails suspeitos relacionados à Norton para spam@norton.com .

O Que Fazer ao Ver um Recibo Suspeito

Se você encontrar um pedido inesperado no seu aplicativo Shop, não ligue para o número listado. Siga estes passos:

1. Não ligue para o número no recibo. Empresas legítimas não colocam números de suporte em recibos digitais para você contestar cobranças .

2. Verifique a cobrança diretamente com seu banco ou administradora do cartão. Acesse suas contas financeiras pelos canais oficiais (app ou site do banco), e não por links na notificação. Confirme se a cobrança realmente existe .

3. Não clique em links nem baixe arquivos do pedido suspeito .

4. Desconecte temporariamente o e-mail do aplicativo Shop em Ajustes > Integração de E-mail para evitar que novos pedidos falsos apareçam .

5. Denuncie o golpe. Encaminhe a notificação ou o e-mail para phishing@shopify.com. Se o golpe imitar a Norton, envie também para spam@norton.com .

6. Se você já ligou para o número, entre em contato com seu banco imediatamente para congelar suas contas, execute uma varredura de malware no seu dispositivo, troque a senha da Shopify e ative a autenticação de dois fatores .

7. Marque o pedido como suspeito no aplicativo Shop, se disponível. Isso ajuda a plataforma a identificar e bloquear pedidos fraudulentos semelhantes .

Conclusão

Este golpe de callback phishing que visa o aplicativo Shop da Shopify representa uma evolução nas técnicas de phishing: os criminosos não se limitam mais a e-mails; eles colocam recibos fraudulentos diretamente dentro de um aplicativo confiável, onde os usuários gerenciam suas compras reais. A campanha explora a confiança do usuário na plataforma, e não uma vulnerabilidade técnica na infraestrutura da Shopify. A defesa mais eficaz é simples: nunca ligue para um número de telefone que apareça em um recibo, verifique qualquer cobrança suspeita pelos canais oficiais e denuncie a atividade às plataformas afetadas.