Шахраї використовують додаток Shopify Shop для фішингу: як підроблені квитанції ошують користувачів та що робити

Зловмисники активно використовують додаток Shopify для відстеження замовлень Shop, додаючи в історію покупок користувачів підроблені квитанції. Це робиться для того, щоб запустити кампанію callback-фішингу: коли жертва телефонує за підробленим номером підтримки, шахраї, які видають себе за співробітників служби підтримки, намагаються викрасти конфіденційну інформацію або змусити встановити програму для віддаленого доступу . Кампанія імітує відомі бренди, зокрема Norton, McAfee, Apple та PayPal. Повідомляється про фальшиві квитанції на купівлю iPhone, подарункових карток Apple, а також підроблені підписки на антивіруси . Важливо: дослідники з Gen Digital та сама компанія Shopify не виявили жодних доказів злому додатку Shop чи платформи Shopify. Схоже, шахраї зловживають легітимною функцією системи відстеження замовлень .

Як працює шахрайство

В основі обману лежить довіра користувачів до додатку Shop, який збирає інформацію про відстеження замовлень та квитанції з різних магазинів в одному інтерфейсі . Шахраї створюють підроблені замовлення та додають їх в історію покупок користувача, де вони з'являються поряд зі справжніми покупками. Оскільки додаток Shop автоматично підтягує замовлення з підключених облікових записів електронної пошти (Gmail, Outlook та інші), підроблена квитанція виглядає переконливо у звичному та надійному контексті .

Які бренди імітують та як працює соціальна інженерія

За повідомленнями, підроблені квитанції імітують такі бренди, як Norton, McAfee, Apple (iPhone та подарункові картки Apple), а також включають платіжні вимоги в стилі PayPal . Вибір бренду — це продумана соціальна інженерія: фальшива квитанція на дорогу підписку на безпеку вартістю понад $300 або на дорогий продукт Apple створює паніку та відчуття терміновості, змушуючи користувача зателефонувати за вказаним номером, щоб оскаржити платіж .

Суть callback-фішингу

Ключовим елементом є номер телефону, вбудований у деталі замовлення, поле адреси доставки або опис товару. Часто додається повідомлення із закликом зателефонувати до «підтримки», якщо платіж був несанкціонованим . Коли жертва телефонує, шахрай відповідає як агент підтримки та намагається:

• Викрасти номери кредитних карток та особисту інформацію під виглядом оформлення повернення коштів.
• Отримати дані для входу в облікові записи.
• Обманом змусити встановити програму для віддаленого доступу, яка надасть зловмиснику повний контроль над пристроєм .

У більшості зареєстрованих випадків жодного фактичного списання коштів з рахунків користувачів не відбувається — вся небезпека криється у дзвінку .

Реакція Shopify

У відповідь на цю кампанію Shopify повідомив BleepingComputer, що виявив зловмисників, які зловживають платформою, і впровадив нові засоби контролю, які «значно зменшили цю активність та покращили нашу здатність виявляти її в майбутньому» . Конкретні технічні заходи не розголошуються, але компанія також рекомендує користувачам ознайомитися з офіційними вказівками щодо безпеки для виявлення фішингу, вішингу та смішингу. Ці вказівки включають перевірку доменів електронної пошти (офіційні адреси Shopify мають формат @shopify.com) та заклик ніколи не телефонувати на підозрілі номери .

Офіційні канали для повідомлень про шахрайство

Shopify закликає користувачів пересилати підозрілі електронні листи на адресу phishing@shopify.com. Компанія Gen Digital, чий бренд Norton використовується в шахрайстві, також рекомендує повідомляти про підозрілі листи, пов'язані з Norton, на адресу spam@norton.com .

Що робити, якщо ви побачили підозрілу квитанцію

Якщо у додатку Shop ви натрапили на несподіване замовлення або квитанцію, не варто зв'язуватися за вказаними контактними даними. Натомість виконайте такі дії:

1. Не телефонуйте на жоден номер, вказаний у замовленні. Легітимні компанії не додають номери підтримки у цифрові квитанції, щоб ви могли зателефонувати щодо спірних платежів .

2. Перевірте платежі безпосередньо у своєму банку або емітенті картки. Увійдіть у свої фінансові облікові записи через офіційний додаток або вебсайт — не переходьте за посиланнями зі сповіщення, — щоб підтвердити наявність реального списання .

3. Не натискайте на жодні посилання та не завантажуйте файли з підозрілого замовлення .

4. Тимчасово відключіть синхронізацію електронної пошти з додатком Shop, перейшовши в Налаштування > Інтеграція з поштою, щоб запобігти автоматичному додаванню нових фальшивих замовлень .

5. Повідомте про шахрайство. Перешліть сповіщення або електронного листа на адресу phishing@shopify.com, а якщо в ньому імітується Norton, також надішліть його на spam@norton.com .

6. Якщо ви вже зателефонували за цим номером, негайно зверніться до свого банку, щоб заблокувати рахунки, запустіть перевірку на наявність шкідливого ПЗ на своєму пристрої, змініть пароль від Shopify та увімкніть двофакторну автентифікацію .

7. Позначте замовлення як підозріле в додатку Shop (якщо така функція доступна), це допоможе платформі виявляти та блокувати подібні шахрайські замовлення в майбутньому .

Ключові висновки

Кампанія callback-фішингу, спрямована на додаток Shopify Shop, є помітною еволюцією фішингових технік: зловмисники виходять за межі електронної пошти та розміщують підроблені квитанції безпосередньо в довіреному додатку, яким користувачі керують своїми реальними покупками. Ця кампанія експлуатує довіру користувачів до платформи, а не технічну вразливість в інфраструктурі Shopify. Найефективніший захист простий: ніколи не телефонуйте на номер, вбудований у квитанцію, перевіряйте будь-які підозрілі платежі через офіційні канали та повідомляйте про підозрілу активність на відповідні платформи.