Shopify Shop App 假收據詐騙來襲：假冒 Norton、Apple 呃你打電話，專家教你點避開

最近網絡安全界發現一個新嘅釣魚詐騙手法，目標係 Shopify 旗下嘅 Shop App。呢個 App 本身用嚟追蹤訂單，用戶喺唔同 Shopify 商店買嘢之後，可以喺一個 App 度睇晒所有訂單狀態同收據。但騙徒就用呢個功能，喺用戶嘅訂單紀錄入面植入假收據，扮成 Norton、McAfee、Apple 同 PayPal 呢啲大品牌，引你打去假嘅客服電話，再呃你嘅信用卡資料或叫你安裝遙控軟件 。

重點係：Shop App 同 Shopify 平台本身冇被入侵，網絡安全公司 Gen Digital 話冇發現任何證據顯示 Shop App 或 Shopify 被黑客入侵。騙徒只係濫用咗 App 嘅一個正常功能 。

詐騙係點運作？

騙局嘅關鍵在於用戶對 Shop App 嘅信任。呢個 App 會幫你整理晒唔同商店嘅訂單同收據，用戶好自然會覺得 App 入面見到嘅嘢都係真嘅 。騙徒就係利用呢點，製造假訂單，然後放入你嘅訂單紀錄度，令佢哋同你真係買過嘅嘢一齊出現。因為 Shop App 會自動從你連結嘅電郵（Gmail、Outlook 等）提取訂單資料，假收據咁樣出現喺一個你信得過嘅 App 入面，就顯得好真 。

假冒嘅品牌同社交工程手法

報導見到嘅假收據，有扮成 Norton、McAfee 嘅保安續期費，有扮成 Apple 嘅 iPhone 同 Apple Gift Card，仲有扮成 PayPal 嘅付款通知 。揀呢啲品牌唔係亂嚟，全部係精心設計嘅社交工程：一個成 $300 美金嘅保安續期費，或者一部貴價 iPhone，係人都會即刻好緊張，自然就會打收據上面嘅電話去取消 。

回撥釣魚嘅真身

假收據嘅訂單詳情、送貨地址欄或者產品描述入面，會有一個電話號碼，旁邊仲有個訊息叫你如果冇授權呢筆交易就打去「客服」 。當你打過去，騙徒就會扮成客服人員，然後試圖：

• 話幫你退款，但叫你比信用卡號碼同個人資料。
• 呃你嘅登入密碼。
• 叫你安裝遙控軟件，等佢哋可以完全控制你部電腦或手機 。

喺大部分報告嘅個案入面，戶口實際上根本冇扣過錢，成個騙局嘅目標就係引你打電話 。

Shopify 點回應？

Shopify 話俾 BleepingComputer 聽，佢哋已經發現有人濫用平台，並且推出咗新嘅措施，呢啲措施「大大減低咗呢類活動，並增強咗未來偵測嘅能力」 。不過具體係咩技術措施就冇公開。Shopify 亦呼籲用戶參考官方嘅保安指引，識別釣魚信息，例如檢查電郵地址係咪來自 @shopify.com 等官方域名，同埋千祈唔好打可疑嘅電話號碼 。

官方舉報渠道

• 如果收到可疑電郵，可以轉發去 phishing@shopify.com。
• 如果係扮成 Norton 嘅，可以同時轉發去 spam@norton.com 。

見到可疑收據應該點做？

如果喺 Shop App 見到唔認識嘅訂單或收據，千祈唔好按照上面嘅資料去做任何嘢。應該跟以下步驟：

1. 唔好打收據上面任何電話號碼。正當公司唔會喺數碼收據入面叫你打電話去取消訂單 。
2. 直接去銀行或信用卡 App 度核對。登入你嘅銀行戶口，睇下有冇真係扣咗錢。唔好經通知入面嘅連結去登入 。
3. 唔好㩒任何連結或下載任何檔案 。
4. 暫時斷開 Shop App 同電郵嘅連結。去設定 > 電郵整合，暫時關閉自動匯入，防止更多假訂單自動出現 。
5. 舉報。將可疑電郵或通知轉發去 phishing@shopify.com；如果係扮成 Norton，都轉發去 spam@norton.com 。
6. 如果已經打過電話，立即通知銀行凍結戶口，運行防毒軟件掃描裝置，更改 Shopify 密碼，並開啟雙重驗證 。
7. 喺 Shop App 入面標記該訂單為可疑（如果 App 有呢個功能），可以幫助平台識別同封鎖類似嘅騙局 。

重點總結

呢次針對 Shopify Shop App 嘅回撥釣魚詐騙，代表釣魚技術嘅一個演變：騙徒唔再只係用電郵，而係將假收據直接放入一個你信得過嘅應用程式入面。整個騙局係利用你對平台嘅信任，而唔係利用 Shopify 系統嘅技術漏洞。最有效嘅防禦方法好簡單：咪打收據上嘅電話號碼，有任何懷疑就直接用官方渠道去核對。