Des cybercriminels détournent l’application de suivi de commandes Shop, qui dépend de la plateforme Shopify. Ils ajoutent de fausses confirmations d’achat dans l’historique des utilisateurs pour les inciter à divulguer des données sensibles ou à installer des logiciels d’accès à distance.
Shop est un assistant d’achat numérique qui centralise le suivi des commandes pour de nombreux détaillants en ligne. Les utilisateurs peuvent y consulter leurs reçus, les mises à jour de livraison et acheter des produits auprès des marchands qui utilisent Shopify.
L’application est très populaire en Amérique du Nord. Elle compte 50 millions de téléchargements sur Google Play et 7 millions d’évaluations sur l’App Store d’Apple.
La société de cybersécurité Gen Digital a observé que les escrocs insèrent de fausses commandes qui apparaissent aux côtés des achats légitimes. Ils usurpent l’identité de marques comme Norton, McAfee, Apple et PayPal.
Source : Gen Digital
Les cybercriminels indiquent un numéro de téléphone sur les reçus numériques. Les utilisateurs sont invités à appeler pour contester l’achat. Mais au bout du fil, un escroc se fait passer pour un agent du support.
Par des techniques d’ingénierie sociale, le fraudeur tente de convaincre la victime de révéler ses identifiants de compte, les détails de sa carte de paiement et les codes d’authentification temporaires.
Les chercheurs indiquent que certaines victimes sont trompées et installent un logiciel qui accorde un accès à distance à leur appareil.
Les chercheurs de Gen Digital soulignent que l’insertion de faux reçus dans l’application Shop est une méthode plus efficace que l’envoi de notifications d’achat frauduleuses par email. Cette dernière technique, plus courante, est appelée phishing par rappel.
Shop est une application d’achat légitime et les utilisateurs lui font naturellement confiance. Les commandes qui y apparaissent ont donc beaucoup plus de chances d’obtenir une réaction de la part d’utilisateurs qui ne se méfient pas.
Cependant, les chercheurs notent que beaucoup de faux reçus contiennent des fautes de grammaire, ce qui constitue un signe évident de fraude. Les utilisateurs peuvent ne pas remarquer ces erreurs quand ils voient une facture pour un achat important.
Malgré la vague de fausses factures observée, on ignore encore comment elles sont insérées dans l’application Shop.
Les chercheurs expliquent que Shop peut remplir les commandes à partir de plusieurs sources, comme l’analyse d’emails, l’association de comptes ou les flux de commandes. Mais aucune piste spécifique n’a pu être confirmée comme canal de diffusion des notifications frauduleuses.
Gen Digital précise qu’aucun élément ne permet de penser que Shop, Shopify ou l’une des entreprises usurpées a été compromise.
BleepingComputer a contacté Shopify pour obtenir des réponses, mais la société n’a pas encore répondu au moment de la publication.
En attendant que la situation soit clarifiée, les utilisateurs qui voient des reçus pour des commandes qu’ils n’ont pas passées dans Shop sont invités à ne pas appeler le numéro indiqué. Ils doivent plutôt vérifier directement toute transaction suspecte auprès de leur banque.
Les personnes qui ont déjà contacté les escrocs et divulgué des informations sensibles doivent immédiatement réinitialiser les mots de passe de leurs comptes et contacter leur établissement bancaire pour annuler leurs cartes.