Atores de ameaça estão explorando cada vez mais o Shop, aplicativo de rastreamento de pedidos da Shopify, para incluir recibos de compra falsos no histórico de usuários e enganá-los a fornecer dados sensíveis ou instalar software de acesso remoto.
O assistente de compras digital Shop funciona como uma plataforma centralizada para que os usuários acompanhem pedidos de diferentes varejistas online, acessem recibos e atualizações de envio e descubram e comprem produtos de comerciantes que usam a Shopify.
O aplicativo é bastante popular na América do Norte, onde as opções de suporte e compra são mais amplas.
Ele tem 50 milhões de downloads no Google Play e 7 milhões de avaliações na App Store da Apple.
Segundo a empresa de cibersegurança Gen Digital, golpistas estão inserindo pedidos falsos que aparecem ao lado de compras legítimas, se passando por marcas como Norton, McAfee, Apple e PayPal.
O threat actor também incluiu um número de telefone nos recibos digitais, para o qual os usuários podem ligar e contestar compras.
No entanto, do outro lado da linha está um golpista se passando por atendente de suporte.
Usando táticas de engenharia social, o fraudador tenta convencer a vítima a revelar credenciais de conta, dados do cartão de pagamento e códigos temporários de autenticação, os OTPs.
Em alguns casos, os pesquisadores dizem que as vítimas são induzidas a instalar software que concede acesso remoto ao dispositivo.
Os pesquisadores da Gen Digital observam que inserir os recibos falsos no app Shop é um método mais eficaz do que usar e-mail para entregar notificações fraudulentas de compra, uma técnica mais comum conhecida como callback phishing.
O Shop é um aplicativo legítimo de compras, e os usuários naturalmente confiam nele.
Por isso, pedidos que aparecem ali têm muito mais chance de provocar respostas de usuários desavisados.
No entanto, os pesquisadores afirmam que muitos dos recibos falsos contêm erros gramaticais, o que é um sinal de alerta evidente.
Ainda assim, os usuários podem não perceber as falhas ao ver uma fatura de valor alto.
Apesar da onda observada de notas fiscais fraudulentas, ainda não está claro como elas são inseridas no app Shop.
Os pesquisadores dizem que o Shop pode preencher pedidos a partir de várias fontes, incluindo análise de e-mails, associação de contas e fluxos de trabalho de pedidos, mas nenhuma delas pôde ser confirmada como o canal de entrega das notificações fraudulentas.
A Gen Digital ressalta que não encontrou evidências de comprometimento do Shop, da Shopify ou de qualquer uma das empresas imitadas.
A Shopify foi contatada com perguntas relacionadas ao caso, mas não respondeu até o momento da publicação.
Até que a situação fique mais clara, os usuários que virem recibos de pedidos que não fizeram no Shop devem evitar ligar para o número de telefone informado e, em vez disso, verificar qualquer cobrança supostamente indevida diretamente com o banco.
Quem já entrou em contato com os golpistas e revelou informações sensíveis deve redefinir imediatamente as senhas das contas e contatar a instituição emissora do cartão para cancelamento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...