Shopify Shop 應用程式回撥釣魚騙局：假冒訂單收據引誘使用者上當

網路攻擊者正積極利用 Shopify 旗下的訂單追蹤應用程式「Shop」，透過在使用者的訂單紀錄中植入假收據，來推動一場「回撥釣魚」（callback phishing）攻擊。當使用者撥打收據上的詐騙客服號碼時，假扮成客服人員的駭客會試圖竊取敏感資訊，或誘騙使用者安裝遠端存取軟體 。此攻擊冒充的品牌包括 Norton、McAfee、Apple 與 PayPal，已知的假收據包含 iPhone 訂單、Apple 禮物卡，以及偽造的安全軟體訂閱 。關鍵的是，資安公司 Gen Digital 與 Shopify 均未發現 Shop 應用程式或 Shopify 平台本身遭到入侵的證據——攻擊者似乎是在濫用訂單追蹤系統的一項合法功能 。

騙局如何運作

這起詐騙的核心在於利用使用者對 Shop 應用程式的信任。該應用程式會將來自不同零售商的訂單追蹤與收據整合到單一介面中 。駭客創造偽造的訂單，並將其注入使用者的訂單紀錄，使其與真實的購買紀錄並列。由於 Shop 應用程式會自動從連結的電子郵件帳戶（Gmail、Outlook 等）匯入訂單，這張假收據便因為出現在一個熟悉且可信賴的環境中，而獲得了更高的可信度 。

被冒充的品牌與社交工程

通報的假收據冒充的品牌包括 Norton、McAfee、Apple（iPhone 與 Apple 禮物卡），以及包含 PayPal 付款聲明的內容 。選擇這些品牌是經過設計的社會工程：一張超過 300 美元的安全軟體訂閱收據，或是一筆高價的 Apple 產品訂單，會製造急迫感與恐慌，促使使用者快速撥打單據上的電話來要求退款 。

回撥釣魚的惡意載荷

關鍵要素在於收據的訂單詳細資料、收件地址欄位或商品描述中嵌入的電話號碼，通常會附帶訊息指示使用者，如果這筆款項未經授權，請撥打「客服」電話 。當受害者撥打時，駭客會以客服人員身分接聽，並試圖：

• 以「處理退款」為由，騙取信用卡號與個人資訊。
• 取得帳戶登入憑證。
• 誘導使用者安裝遠端存取軟體，從而使攻擊者能完全控制使用者的裝置 。

在大多數通報案例中，使用者的銀行帳戶實際上並未出現任何扣款——整個威脅的核心就在於那通電話 。

Shopify 的回應

針對此次攻擊，Shopify 向 BleepingComputer 表示，他們已識別出濫用平台的不法分子，並部署了新的控制機制，這些機制「已顯著減少此類活動，並提升了我們未來偵測它的能力」。具體的技術措施未被詳細說明，但該公司也引導使用者參考其官方安全指南，以識別網路釣魚（phishing）、語音釣魚（vishing）及簡訊釣魚（smishing）攻擊，其中包括確認來自 @shopify.com 等官方 Shopify 域名的電子郵件，以及絕不撥打可疑電話 。

官方通報管道

Shopify 鼓勵使用者將可疑電子郵件轉寄至 phishing@shopify.com。Gen Digital（其 Norton 品牌被此騙局冒充）也建議，若收到與 Norton 相關的可疑郵件，可通報至 spam@norton.com 。

看到可疑收據時的應對步驟

若在 Shop 應用程式中看到未曾購買的訂單或收據，切勿與單據上的聯絡資訊互動。請依以下步驟處理：

1. 切勿撥打訂單中提供的任何電話號碼。 合法的公司不會在數位收據中附上客服號碼，要你打來處理有疑問的款項 。

2. 直接向你的銀行或發卡機構查證款項。 透過銀行的官方應用程式或網站登入你的金融帳戶（不要使用通知中的連結），來確認是否有實際的扣款紀錄 。

3. 不要點擊任何連結或下載檔案，特別是來自該可疑訂單的 。

4. 暫時中斷 Shop 應用程式與郵件的同步。 前往「設定」>「郵件整合」關閉此功能，以防止更多假訂單自動匯入 。

5. 通報此詐騙。 將該通知或電子郵件轉寄至 phishing@shopify.com；若它冒充 Norton，也請同時寄送至 spam@norton.com 。

6. 如果你已經撥打了電話， 請立即聯絡銀行凍結你的帳戶，在裝置上執行惡意軟體掃描，變更你的 Shopify 密碼，並啟用雙重驗證 。

7. 在 Shop 應用程式中將該訂單標記為可疑（若可用），這有助於平台識別並封鎖類似的詐騙訂單 。

重點提醒

針對 Shopify Shop 應用程式的回撥釣魚攻擊，代表了網路釣魚技術的一次顯著演進：攻擊者已不再僅限於電子郵件，而是直接將假收據置入使用者管理真實購買紀錄的信任應用程式中。此攻擊是在利用使用者對平台的信賴，而非 Shopify 基礎設施的技術漏洞。最有效的防禦很簡單：絕不撥打嵌入在收據中的電話號碼，透過官方管道查證任何有疑問的款項，並向受影響的平台通報可疑活動。