Фишинг с поддельными квитанциями в приложении Shop от Shopify: как распознать и защититься

Новая угроза: поддельные квитанции в приложении Shop

Злоумышленники активно используют приложение Shop от Shopify для отслеживания заказов — они вставляют в историю покупок пользователей фальшивые квитанции, чтобы запустить фишинговую атаку с обратным звонком (callback phishing). Когда жертва звонит по указанному в квитанции номеру, мошенники, притворяясь сотрудниками службы поддержки, пытаются выведать конфиденциальные данные или убедить установить программу удалённого доступа .

Атака маскируется под известные бренды: Norton, McAfee, Apple и PayPal. В подделках фигурируют покупки iPhone, подарочных карт Apple и подписки на антивирусы . Важно: эксперты по кибербезопасности из Gen Digital и сама Shopify не нашли доказательств взлома Shop или платформы Shopify — мошенники просто злоупотребляют легитимной функцией системы отслеживания заказов .

Как работает схема

В основе обмана — доверие пользователей к приложению Shop, которое собирает данные о заказах из разных магазинов в одном интерфейсе . Мошенники создают фиктивные заказы и добавляют их в историю пользователя рядом с настоящими покупками. Поскольку Shop автоматически подгружает заказы из подключённых почтовых ящиков (Gmail, Outlook и других), поддельная квитанция выглядит достоверной — она появляется в знакомом и проверенном контексте .

Какие бренды подделывают и зачем

Сообщается о подделках под Norton, McAfee, Apple (iPhone и подарочные карты) и PayPal . Выбор бренда — продуманная социальная инженерия: квитанция о списании $300+ за подписку на антивирус или о покупке дорогого iPhone вызывает панику и желание немедленно позвонить, чтобы оспорить операцию .

Что происходит, когда вы звоните

Ключевой элемент — номер телефона, вписанный в детали заказа, поле адреса доставки или описание товара, с призывом позвонить в «поддержку», если списание было ошибочным . Когда жертва звонит, мошенник, представляясь сотрудником поддержки, пытается:

• Выведать данные кредитной карты и личную информацию под предлогом возврата денег.
• Получить логины и пароли от аккаунтов.
• Убедить установить программу удалённого управления, которая даёт полный контроль над устройством .

Важно: в большинстве зарегистрированных случаев никакого реального списания на счетах не было — вся угроза сводится именно к звонку .

Что предприняла Shopify

В ответ на кампанию Shopify сообщила BleepingComputer, что выявила злоумышленников, злоупотребляющих платформой, и внедрила новые средства контроля, которые «значительно сократили эту активность и улучшили способность выявлять её в будущем» . Конкретные технические меры не раскрываются. Компания также рекомендует пользователям ознакомиться с официальной инструкцией по выявлению фишинга, вишинга и смишинга, которая включает проверку доменов отправителей (официальные адреса @shopify.com) и совет никогда не звонить по подозрительным номерам .

Куда сообщать

Shopify просит пересылать подозрительные письма на адрес phishing@shopify.com. Gen Digital, владелец бренда Norton, также рекомендует сообщать о подозрительных письмах на spam@norton.com .

Что делать, если вы увидели подозрительную квитанцию

Если в приложении Shop появился неожиданный заказ или квитанция, не вступайте в контакт с указанными в ней данными. Действуйте так:

1. Не звоните по номеру из квитанции. Легальные компании не просят звонить по номеру в цифровом чеке для оспаривания списаний .

2. Проверьте списания напрямую в банке. Зайдите в приложение или на сайт вашего банка (не нажимая на ссылки в уведомлении) и убедитесь, что списания не было .

3. Не нажимайте на ссылки и не скачивайте файлы из подозрительного заказа .

4. Временно отключите синхронизацию почты с Shop (Настройки > Интеграция с почтой), чтобы предотвратить появление новых поддельных заказов .

5. Сообщите о мошенничестве. Перешлите уведомление на phishing@shopify.com, а если подделывался Norton — также на spam@norton.com .

6. Если вы уже звонили, немедленно свяжитесь с банком, чтобы заморозить счета, проверьте устройство на вирусы, смените пароль в Shopify и включите двухфакторную аутентификацию .

7. Пометьте заказ как подозрительный в приложении Shop (где это возможно) — это поможет платформе блокировать похожие мошеннические заказы .

Главные выводы

Фишинговая кампания с поддельными квитанциями в приложении Shop — значительная эволюция фишинговых техник: злоумышленники перешли от электронной почты к размещению поддельных чеков прямо в доверенном приложении, которым пользователи управляют реальными покупками. Атака основана на доверии к платформе, а не на уязвимостях в инфраструктуре Shopify. Самая эффективная защита проста: никогда не звоните по номеру, указанному в квитанции, проверяйте любые подозрительные списания через официальные каналы и сообщайте о мошенничестве.