Pelaku ancaman semakin banyak menyalahgunakan Shop, aplikasi pelacakan pesanan dari Shopify, dengan menambahkan tanda terima pembelian palsu di riwayat pesanan pengguna untuk mengelabui mereka agar memberikan data sensitif atau menginstal perangkat lunak akses jarak jauh.
Asisten belanja digital Toko berfungsi sebagai platform terpusat di mana pengguna dapat melacak pesanan dari beberapa pengecer online, mengakses tanda terima dan pembaruan pengiriman, serta menemukan dan membeli produk dari pedagang yang menggunakan Shopify.
Aplikasi ini sangat populer di Amerika Utara, di mana opsi dukungan dan pembelian lebih banyak. Sudah 50 juta unduhan di Google Play dan 7 juta peringkat di App Store Apple.
Menurut perusahaan keamanan siber Generasi Digitalpenipu memasukkan pesanan palsu yang muncul bersamaan dengan pembelian sah, meniru merek seperti Norton, McAfee, Apple, dan PayPal.
Sumber: Gen Digital
Pelaku ancaman juga mencantumkan nomor telepon di tanda terima digital yang dapat dihubungi pengguna untuk menyengketakan pembelian. Namun, di sisi lain ada penipu yang menyamar sebagai agen pendukung.
Dengan menggunakan taktik rekayasa sosial, penipu mencoba meyakinkan korban untuk mengungkapkan kredensial akun, rincian kartu pembayaran, dan kode otentikasi sementara (OTP).
Dalam beberapa kasus, para peneliti mengatakan bahwa korban ditipu untuk menginstal perangkat lunak yang memberikan akses jarak jauh ke perangkat.
Peneliti Gen Digital mencatat bahwa memasukkan kuitansi palsu ke dalam aplikasi Toko adalah metode yang lebih efektif daripada menggunakan email untuk mengirim pemberitahuan pembelian palsuteknik yang lebih umum dikenal sebagai phishing panggilan balik.
Shop adalah aplikasi belanja yang sah, dan pengguna pada dasarnya memercayainya, sehingga pesanan yang muncul di sana kemungkinan besar akan mendapat respons cepat dari pengguna yang tidak menaruh curiga.
Namun, para peneliti mengatakan bahwa banyak tanda terima palsu mengandung tata bahasa yang buruk, yang jelas merupakan tanda bahaya. Namun demikian, pengguna mungkin melewatkan kesalahan saat melihat faktur untuk pembelian dalam jumlah besar.
Meskipun ada gelombang faktur palsu, tidak jelas bagaimana faktur tersebut dimasukkan ke dalam aplikasi Toko.
Para peneliti mengatakan bahwa Toko dapat mengisi pesanan dari berbagai sumber, termasuk penguraian email, asosiasi akun, dan alur kerja pesanan, namun tidak ada satu pun yang dapat dikonfirmasi sebagai saluran pengiriman pemberitahuan penipuan.
Gen Digital menggarisbawahi bahwa mereka tidak menemukan bukti bahwa Shop, Shopify, atau perusahaan mana pun yang menyamar telah disusupi.
BleepingComputer telah menghubungi Shopify dengan pertanyaan terkait, tetapi kami belum menerima tanggapan hingga dipublikasikan.
Hingga situasi teratasi, pengguna yang melihat tanda terima pesanan yang tidak mereka lakukan di Toko disarankan untuk tidak menghubungi nomor telepon yang tertera pada mereka, namun memverifikasi dugaan tagihan langsung dengan bank mereka.
Mereka yang telah menghubungi penipu dan mengungkapkan informasi sensitif harus segera mengatur ulang kata sandi akun mereka dan menghubungi penerbit kartu mereka untuk pembatalan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
