Una nuova ondata di truffe digitali sta colpendo chi usa l’app Shop di Shopify, e il meccanismo è tanto semplice quanto insidioso. I ricercatori di Gen Digital hanno individuato diverse campagne di phishing che sfruttano la popolarità di questo strumento per ingannare gli utenti. Il copione è sempre lo stesso. Arriva una fattura per un acquisto che non è mai stato fatto, e per contestarla bisogna chiamare un presunto supporto clienti. Peccato che dall’altra parte del telefono ci siano i truffatori, pronti a far partire la fase successiva dell’inganno.
Perché questa trappola funziona meglio delle email
L’app Shop serve a tracciare le spedizioni, leggere le fatture e ricevere notifiche sugli ordini. Riesce a monitorare in automatico gli acquisti da diverse fonti, tra cui Gmail, Outlook e l’indirizzo email collegato all’account dell’utente. Supporta anche le notifiche push, quelle che avvisano su consegne, pagamenti e prodotti preferiti. Insomma, uno strumento comodo che molti tengono installato sul telefono senza pensarci troppo.
Ed è proprio qui che sta il problema. La campagna di phishing risulta molto più efficace rispetto a quella classica via email, perché la notifica arriva da un’app che la persona usa davvero per i suoi acquisti reali. La guardia si abbassa quasi senza accorgersene. Le finte fatture riguardano abbonamenti a prodotti dal valore alto, come quelli di Norton, McAfee, Apple e altri marchi noti. Da qualche parte, nel corpo della fattura o nella descrizione del prodotto oppure nel campo dell’indirizzo di consegna, compare sempre un numero di telefono.
Cosa succede a chi chiama quel numero
Se la vittima decide di telefonare al presunto supporto clienti per protestare contro l’addebito, i cybercriminali entrano in azione. L’obiettivo è ottenere le credenziali dell’account, i dati di pagamento oppure i codici OTP, quelli usati per confermare le operazioni. In certi casi spingono addirittura a installare un tool di accesso remoto, che di fatto regala loro il controllo del dispositivo.
Gli utenti più attenti hanno comunque un’arma a disposizione. Le fatture contengono spesso errori grammaticali, un campanello d’allarme che permette di riconoscere subito la truffa. La regola d’oro resta una sola, non chiamare mai quel numero di telefono. Chi invece ha già seguito le istruzioni dei malintenzionati deve correre ai ripari immediatamente, cambiando tutte le password e scollegando il dispositivo da Internet. I ricercatori, per ora, non hanno ancora capito con quale meccanismo le fatture finte siano state caricate dentro l’app.
Sul fronte aziendale è arrivata anche una risposta. Un portavoce di Shopify ha spiegato che sono stati identificati utenti malintenzionati che abusavano della piattaforma per generare false notifiche d’ordine. La società ha poi implementato nuovi controlli che hanno ridotto in modo significativo questa attività e migliorato la capacità di rilevarla anche in futuro.