Cảnh Báo: Ứng Dụng Shop (Shopify) Bị Lợi Dụng Để Phát Tán Hóa Đơn Giả, Đánh Cắp Thông Tin Người Dùng

Các tác nhân đe dọa đang tích cực khai thác ứng dụng theo dõi đơn hàng Shop của Shopify bằng cách chèn các hóa đơn mua hàng giả mạo vào lịch sử đơn hàng của người dùng để thực hiện chiến dịch lừa đảo qua cuộc gọi (callback phishing). Khi người dùng gọi đến số hỗ trợ giả mạo được liệt kê trên hóa đơn, những kẻ lừa đảo đóng vai nhân viên hỗ trợ sẽ cố gắng đánh cắp thông tin nhạy cảm hoặc lừa nạn nhân cài đặt phần mềm truy cập từ xa . Chiến dịch này giả mạo các thương hiệu nổi tiếng bao gồm Norton, McAfee, Apple và PayPal, với các báo cáo về hóa đơn giả cho việc mua iPhone và thẻ quà tặng Apple cùng với các đăng ký bảo mật giả mạo . Điều quan trọng là, các nhà nghiên cứu an ninh mạng tại Gen Digital và Shopify không tìm thấy bằng chứng nào cho thấy ứng dụng Shop hoặc nền tảng Shopify đã bị xâm phạm — những kẻ lừa đảo dường như đang lạm dụng một tính năng hợp pháp của hệ thống theo dõi đơn hàng .

Cách Thức Hoạt Động Của Chiêu Trò Lừa Đảo

Cốt lõi của sự lừa dối nằm ở niềm tin mà người dùng dành cho ứng dụng Shop, nơi tổng hợp theo dõi đơn hàng và hóa đơn từ nhiều nhà bán lẻ khác nhau vào một giao diện duy nhất . Những kẻ lừa đảo tạo ra các đơn hàng giả mạo và chèn chúng vào lịch sử đơn hàng của người dùng, khiến chúng xuất hiện cùng với các giao dịch mua hợp pháp. Vì ứng dụng Shop tự động điền đơn hàng từ các tài khoản email đã kết nối (Gmail, Outlook và các dịch vụ khác), hóa đơn giả mạo có được độ tin cậy khi xuất hiện trong một bối cảnh quen thuộc và đáng tin cậy .

Các Thương Hiệu Bị Giả Mạo và Kỹ Thuật Xã Hội

Các hóa đơn giả mạo được báo cáo đã giả mạo các thương hiệu như Norton, McAfee, Apple (iPhone và thẻ quà tặng Apple), và bao gồm các khiếu nại thanh toán kiểu PayPal . Việc lựa chọn thương hiệu là một kỹ thuật xã hội có chủ đích: một hóa đơn giả cho gói đăng ký bảo mật trị giá hơn 300 đô la hoặc một sản phẩm Apple đắt tiền tạo ra sự khẩn cấp và hoảng loạn, thúc đẩy người dùng gọi đến số điện thoại được liệt kê để khiếu nại khoản phí .

'Tải trọng' Lừa Đảo Qua Cuộc Gọi

Yếu tố then chốt là một số điện thoại được nhúng trong chi tiết đơn hàng, trường địa chỉ giao hàng hoặc mô tả sản phẩm, thường kèm theo thông báo hướng dẫn người dùng gọi cho bộ phận "hỗ trợ" nếu khoản phí không được ủy quyền . Khi nạn nhân gọi, kẻ lừa đảo trả lời với tư cách là nhân viên hỗ trợ và cố gắng:

• Đánh cắp số thẻ tín dụng và thông tin cá nhân với lý do thực hiện hoàn tiền.
• Lấy thông tin đăng nhập tài khoản.
• Lừa người dùng cài đặt phần mềm truy cập từ xa, cho phép kẻ tấn công toàn quyền kiểm soát thiết bị .

Trong hầu hết các trường hợp được báo cáo, không có khoản phí thực tế nào xuất hiện trên tài khoản tài chính của người dùng — toàn bộ mối đe dọa nằm ở cuộc gọi .

Phản Ứng Của Shopify

Để đối phó với chiến dịch này, Shopify đã thông báo với BleepingComputer rằng họ đã xác định được các đối tượng xấu lạm dụng nền tảng và triển khai các biện pháp kiểm soát mới đã "giảm đáng kể hoạt động này và cải thiện khả năng phát hiện của chúng tôi trong tương lai" . Các biện pháp kỹ thuật cụ thể không được tiết lộ, nhưng công ty cũng hướng dẫn người dùng đến các hướng dẫn bảo mật chính thức của mình về cách xác định các âm mưu lừa đảo phishing, vishing và smishing, bao gồm việc xác minh tên miền email từ các địa chỉ chính thức của Shopify như @shopify.com và không bao giờ gọi đến các số điện thoại đáng ngờ .

Các Kênh Báo Cáo Chính Thức

Shopify khuyến khích người dùng chuyển tiếp các email đáng ngờ tới phishing@shopify.com. Gen Digital, công ty sở hữu thương hiệu Norton bị giả mạo trong chiêu trò này, cũng khuyến nghị báo cáo các email đáng ngờ liên quan đến Norton tới spam@norton.com .

Các Bước Cần Thực Hiện Nếu Bạn Thấy Hóa Đơn Đáng Ngờ

Nếu bạn thấy một đơn hàng hoặc hóa đơn bất ngờ trong ứng dụng Shop, không được tương tác với thông tin liên hệ được liệt kê. Thay vào đó, hãy làm theo các bước sau:

1. Không gọi vào bất kỳ số điện thoại nào được cung cấp trong đơn hàng. Các công ty hợp pháp không đưa số điện thoại hỗ trợ vào hóa đơn kỹ thuật số để bạn gọi khiếu nại về các khoản phí tranh chấp .

2. Xác minh các khoản phí trực tiếp với ngân hàng hoặc tổ chức phát hành thẻ của bạn. Đăng nhập vào tài khoản tài chính của bạn thông qua ứng dụng hoặc trang web chính thức — không phải qua các liên kết trong thông báo — để xác nhận xem có bất kỳ khoản phí thực tế nào không .

3. Không nhấp vào bất kỳ liên kết nào hoặc tải xuống bất kỳ tệp nào từ đơn hàng đáng ngờ .

4. Tạm thời ngắt kết nối đồng bộ email khỏi ứng dụng Shop bằng cách vào Cài đặt > Tích hợp Email để ngăn các đơn hàng giả khác tự động xuất hiện .

5. Báo cáo hành vi lừa đảo. Chuyển tiếp thông báo hoặc email tới phishing@shopify.com, và nếu nó giả mạo Norton, cũng gửi tới spam@norton.com .

6. Nếu bạn đã gọi vào số đó, hãy liên hệ ngay với ngân hàng của bạn để đóng băng tài khoản, chạy quét phần mềm độc hại trên thiết bị của bạn, thay đổi mật khẩu Shopify và bật xác thực hai yếu tố .

7. Đánh dấu đơn hàng là đáng ngờ trong ứng dụng Shop nếu có tùy chọn, điều này có thể giúp nền tảng xác định và chặn các đơn hàng gian lận tương tự .

Những Điểm Chính Cần Nhớ

Chiến dịch lừa đảo qua cuộc gọi nhắm vào ứng dụng Shop của Shopify đánh dấu một bước tiến đáng chú ý trong các kỹ thuật lừa đảo: những kẻ tấn công đang vượt ra khỏi email để đặt các hóa đơn gian lận trực tiếp vào bên trong một ứng dụng đáng tin cậy, nơi người dùng quản lý các giao dịch mua thực tế của họ. Chiến dịch khai thác lòng tin của người dùng vào nền tảng chứ không phải bất kỳ lỗ hổng kỹ thuật nào trong cơ sở hạ tầng của Shopify. Biện pháp phòng vệ hiệu quả nhất rất đơn giản: không bao giờ gọi vào số điện thoại được nhúng trong hóa đơn, xác minh mọi khoản phí bị cáo buộc thông qua các kênh chính thức và báo cáo hoạt động đáng ngờ cho các nền tảng bị ảnh hưởng.