Shopify sta affrontando una seria minaccia informatica dopo che ignoti cybercriminali hanno utilizzato l'app Shop per inviare false fatture a utenti innocenti nel tentativo di commettere attacchi di phishing. Le truffe mirano a trarre vantaggio dal fiducioso utilizzo dell'app – comunemente usata per tracciare ordini, ricevere notifiche e leggere fatture – per convincere le vittime a chiamare un numero di telefono falso come se fosse un supporto clienti.
Tecnica sofisticata di phishing tramite app già utilizzata
Shop è un'app mobile che consente agli utenti di ricevere notifiche in tempo reale riguardanti ordini, spedizioni e consegne. Supporta l’integrazione con le email, permettendo agli utenti di tracciare gli acquisti in modo automatizzato. Questa caratteristica, però, è stata sfruttata per ingannare gli utenti con notifiche false.
I ricercatori di Gen Digital hanno spiegato che i truffatori utilizzano falsi messaggi nell'app Shop, riferiti a presunti acquisti inesistenti per prodotti di alto valore come Apple, McAfee o Norton. Queste notifiche contengono spesso un numero di telefono, invitando l’utente a chiamare un finto servizio clienti per contestare la spesa.
Obiettivi del phishing e danni potenziali
Una volta che le vittime chiamano il numero falso, i cybercriminali tentano di ottenere informazioni sensibili come le credenziali dell’account, informazioni di pagamento, o codici di autenticazione a due fattori (OTP). In alcuni casi, i truffatori chiedono persino agli utenti di scaricare tool per l’accesso remoto al loro dispositivo, dando loro un controllo completo.
Chiunque abbia seguito le istruzioni del falso supporto clienti dovrebbe immediatamente cambiare le proprie password, eseguire un controllo completo del proprio sistema e disconnettersi da Internet finché non è assicurato che la truffa è completamente sventata.
Segni delle truffe e prevenzione
Gli utenti più attenti potranno riconoscere il phishing grazie a errori grammaticali o a dettagli poco coerenti, come indirizzi di consegna non corrispondenti all’indirizzo registrato o prodotti mai acquistati. Tuttavia, i truffatori sono molto bravi a imitare gli aspetti tecnici ed estetici dell’app ufficiale per mascherare i loro intenti.
Per proteggersi, gli utenti devono sempre verificare l'origine di ogni fattura ricevuta tramite l’app. Qualsiasi richiesta di chiamata a un numero per contestare un ordine inesistente deve essere ignorata. Shopify ha già rilasciato una dichiarazione in cui afferma di non essere coinvolta in questa truffa e di aver aggiornato i propri controlli per prevenirla in futuro.
Risposta ufficiale di Shopify
Una portavoce ufficiale di Shopify ha dichiarato che l’azienda ha rilevato abusi della propria piattaforma da parte di entità malintenzionate, utilizzando la piattaforma per generare notifiche false sui nuovi ordini. Shopify sta lavorando per limitare questa attività e migliorare la capacità di rilevare notifiche simili in futuro.
Tuttavia, gli esperti non sono ancora riusciti a comprendere come le notifiche false siano state caricate all’interno dell’app. La possibilità che l’attacco sfrutti un'implementazione maliziosa tramite app di terzi, come Gmail o Outlook, è al momento inesplorata ma non esclusa.
Come rimanere al sicuro online
- Non rispondere mai a richieste telefoniche legate a fatture che non si riescono a verificare.
- Controllare ogni volta l’app Shop per verificare se l’ordine ricevuto è reale.
- Usare strumenti sicuri per proteggere le password, ad esempio gestori di password affidabili.
- Rifiutare lo scarico di qualsiasi software chiesto telefonicamente, soprattutto da numeri non ufficiali.
- Disinstallare o isolare le app sospette e controllare il sistema per verificare danni potenziali.
Altri avvisi importanti
Il phishing non è un problema nuovo, ma i truffatori si adattano costantemente per sfruttare nuove vulnerabilità. È importante mantenersi aggiornati su minacce emergenti, come quelle che coinvolgono le app di fiducia. Alcuni altri recenti allarmi riguardano falsi plug-in per browser, come l'estensione Edgecution di Microsoft Edge, che distribuisce ransomware.
Può essere inoltre rilevante segnalare l’uso di nuove tecnologie di sicurezza, come il reCAPTCHA di Google, che richiede azioni inaspettate – come salutare con la mano – per verificare l'autenticità degli utenti. La complessità crescente del phishing richiede da parte degli utenti consapevolezza e prudenza in ogni interazione digitale.