Nätfiskebedrägeri riktat mot Shopifys Shop-app: Falska kvitton lurar användare – så skyddar du dig

Så fungerar bedrägeriet

Det centrala i bedrägeriet är att utnyttja den tillit användare känner för Shop-appen, som samlar orderbekräftelser och kvitton från flera butiker på en enda plats . Bedragarna skapar falska beställningar som läggs in i användarens orderhistorik. Eftersom appen automatiskt hämtar beställningar från användarens e-post (Gmail, Outlook med flera) ser det falska kvittot lika legitimt ut som vanliga köp .

Varumärken som används och social manipulation

De kvitton som rapporterats fejkar Norton, McAfee, Apple (iPhone och Apple-presentkort) och PayPal-betalningar . Valet av varumärke är en medveten psykologisk taktik: ett falskt kvitto på en säkerhetsprenumeration för över 300 dollar eller en dyr Apple-produkt skapar brådska och panik, vilket får användaren att ringa numret för att bestrida köpet .

Själva callback-phishing-attacken

Det viktigaste i bedrägeriet är ett telefonnummer som göms i orderdetaljerna, leveransadressfältet eller produktbeskrivningen, ofta med en uppmaning att ringa ”support” om köpet inte är godkänt . När offret ringer svarar bedragaren som en supportagent och försöker:

• Stjäla kreditkortsnummer och personlig information genom att låtsas utfärda en återbetalning.
• Komma över inloggningsuppgifter.
• Lura offret att installera fjärrstyrningsprogram som ger bedragaren full kontroll över enheten .

I de flesta rapporterade fallen syns ingen faktisk debitering på offrets bankkonto – hela hotet är telefonsamtalet .

Shopifys åtgärder

Shopify har svarat på attacken och meddelat BleepingComputer att man identifierat bedragare som missbrukat plattformen och infört nya kontroller som ”avsevärt minskat denna aktivitet och förbättrat vår förmåga att upptäcka den framöver” . Exakta tekniska detaljer har inte lämnats, men företaget hänvisar till sin officiella säkerhetsguide för att identifiera phishing, vishing och smishing, vilket bland annat innebär att kontrollera att e-post kommer från officiella Shopify-domäner som @shopify.com och att aldrig ringa misstänkta nummer .

Officiella kanaler för rapportering

Shopify uppmanar användare att vidarebefordra misstänkta e-postmeddelanden till phishing@shopify.com. Även Gen Digital, vars varumärke Norton används i bedrägeriet, rekommenderar att misstänkta Norton-relaterade e-postmeddelanden skickas till spam@norton.com .

Så här gör du om du ser ett misstänkt kvitto

Om du hittar ett oväntat kvitto eller en beställning i Shop-appen ska du INTE kontakta något av de nummer som anges. Gör istället så här:

1. Ring aldrig något telefonnummer som står i ordern. Seriösa företag lägger inte ut supportnummer på digitala kvitton för att du ska ringa och bestrida köp .

2. Kontrollera eventuella debiteringar direkt med din bank eller kortutgivare. Logga in på dina finansiella konton via deras officiella app eller webbplats – inte via länkar i notisen – för att se om någon verklig debitering finns .

3. Klicka inte på några länkar och ladda inte ner några filer från den misstänkta ordern .

4. Koppla bort e-postsynkroniseringen från Shop-appen tillfälligt via Inställningar > E-postintegrering för att förhindra att fler falska beställningar dyker upp automatiskt .

5. Anmäl bedrägeriet. Skicka notisen eller e-postmeddelandet till phishing@shopify.com. Om den fejkar Norton, skicka även till spam@norton.com .

6. Om du redan har ringt numret – kontakta omedelbart din bank för att spärra dina konton, kör en genomsökning efter skadlig programvara på din enhet, byt lösenord till ditt Shopify-konto och aktivera tvåfaktorsautentisering .

7. Markera ordern som misstänkt i Shop-appen där det är möjligt – det kan hjälpa plattformen att identifiera och blockera liknande bedrägliga beställningar .

Sammanfattning

Callback-phishing-attacken mot Shopifys Shop-app representerar en tydlig utveckling inom nätfiske: angripare går från att använda e-post till att placera bedrägliga kvitton direkt i en betrodd app där användare hanterar sina verkliga köp. Attacken utnyttjar användarnas förtroende för plattformen snarare än någon teknisk sårbarhet i Shopifys infrastruktur. Det mest effektiva skyddet är enkelt: ring aldrig ett telefonnummer som står på ett kvitto, kontrollera eventuella debiteringar via officiella kanaler och rapportera misstänkt aktivitet till de berörda plattformarna.