Shopify Shop 应用“回拨钓鱼”骗局：假收据如何欺骗用户？

冒充品牌与社会工程学

报告的虚假收据冒充了诺顿、迈克菲、苹果（iPhone 和苹果礼品卡）等品牌，并包含类似贝宝的支付声明 。选择这些品牌是经过精心设计的社会工程学策略：一张价值 300 美元以上的安全订阅服务或昂贵苹果产品的虚假收据会引发用户的紧迫感和恐慌，促使用户拨打所列号码进行“争议” 。

回拨钓鱼的有效载荷

关键元素是嵌入在订单详情、收货地址字段或产品描述中的电话号码，通常附有一条消息指示用户在未经授权的情况下致电“支持” 。当受害者拨打电话时，冒充客服人员的诈骗分子会试图：

• 以退款为借口，窃取信用卡号码和个人信息。
• 获取账户登录凭据。
• 诱骗用户安装远程控制软件，从而将设备的完全控制权交给攻击者 。

在大多数已报告的案例中，用户的金融账户上从未出现实际扣款——整个威胁仅在于拨打那个电话 。

Shopify 的应对措施

针对此活动，Shopify 向 BleepingComputer 表示，已发现恶意行为者滥用其平台，并部署了新的控制措施，“显著减少了此类活动，并提高了我们未来检测的能力” 。具体的技术措施未予披露，但该公司也引导用户阅读其官方安全指南，以识别网络钓鱼、语音钓鱼和短信钓鱼的企图，包括验证来自官方 Shopify 域名（如 @shopify.com）的电子邮件，以及切勿拨打可疑号码 。

官方举报渠道

Shopify 鼓励用户将可疑邮件转发至 phishing@shopify.com。其品牌被冒充的 Gen Digital（Norton）也建议将与 Norton 相关的可疑邮件报告至 spam@norton.com 。

如果在 Shop 应用中看到可疑收据该怎么办？

如果在 Shop 应用中看到意外订单或收据，切勿联系上面列出的信息。请遵循以下步骤：

1. 不要拨打收据中提供的任何电话号码。 合法公司不会在数字收据中附上支持号码，让您致电声称的争议款项 。

2. 直接与您的银行或发卡机构核实扣款。 通过其官方应用或网站登录您的金融账户——而非通过通知中的链接——以确认是否存在实际扣款 。

3. 不要点击任何链接或下载任何文件 来自可疑订单 。

4. 暂时断开 Shop 应用与邮箱的同步（设置 > 邮箱集成），以防止更多虚假订单自动填充 。

5. 举报该骗局。 将通知或邮件转发至 phishing@shopify.com；如果涉及 Norton，也请发送至 spam@norton.com 。

6. 如果您已经拨打了该号码，请立即联系您的银行冻结账户，运行设备恶意软件扫描，更改您的 Shopify 密码，并启用双重身份验证 。

7. 在 Shop 应用中标记该订单为可疑（如可用），这有助于平台识别并阻止类似的欺诈性订单 。

要点总结

针对 Shopify Shop 应用的“回拨钓鱼”骗局代表了钓鱼技术的显著演变：攻击者正从电子邮件转向直接将欺诈性收据放置在用户管理真实购物的受信任应用中。该活动利用了用户对平台的信任，而非 Shopify 基础设施的任何技术漏洞。最有效的防御很简单：切勿拨打收据中嵌入的电话号码，通过官方渠道核实任何声称的扣款，并向受影响平台举报可疑活动。