Ataques de phishing estão evoluindo rapidamente, explorando a confiança dos usuários em aplicativos legítimos de e-commerce. Uma nova campanha identificada utiliza o aplicativo de rastreamento de pedidos Shop, da Shopify, para enganar vítimas e induzi-las a fornecer dados sensíveis ou instalar software de acesso remoto (RMM). A técnica, conhecida como callback phishing, aproveita notificações falsas de entrega para criar um senso de urgência e legitimidade.
Como a campanha funciona
Os atacantes inserem recibos de compra falsos no histórico de pedidos dentro do aplicativo Shop. Quando o usuário recebe a notificação, ele é levado a acreditar que há um problema com uma entrega recente. Ao clicar no link fornecido, a vítima é redirecionada para um site de phishing que imita a interface de suporte da Shopify ou de transportadoras. O objetivo final é coletar credenciais de login, informações de cartão de crédito ou instalar malware sob a pretexto de resolver o problema de entrega.
Impacto e alcance
Esta campanha representa uma mudança significativa na tática de engenharia social, pois utiliza uma plataforma legítima e amplamente utilizada para mascarar a atividade maliciosa. O aplicativo Shop é instalado em milhões de dispositivos, o que aumenta a superfície de ataque. A confiança inerente na marca Shopify e na funcionalidade de rastreamento de pedidos facilita a superação das defesas psicológicas dos usuários.
Medidas de mitigação recomendadas
Para profissionais de segurança e usuários finais, é crucial adotar as seguintes medidas:
- Verificação de notificações: Não clique em links de notificações de entrega sem verificar a autenticidade diretamente no site oficial da loja ou transportadora.
- Monitoramento de credenciais: Utilize ferramentas de monitoramento de vazamento de credenciais para detectar se suas informações foram comprometidas.
- Educação do usuário: Treine equipes para identificar sinais de phishing, mesmo quando originados de aplicativos conhecidos.
- Autenticação multifator (MFA): Garanta que todas as contas de e-commerce e email estejam protegidas com MFA para mitigar o impacto de credenciais roubadas.
Implicações para CISOs
Os CISOs devem considerar a atualização de políticas de segurança para incluir a verificação de aplicativos de terceiros e notificações de e-commerce. A integração de soluções de segurança de endpoint que detectam tentativas de instalação de software não autorizado pode ser uma camada adicional de defesa. Além disso, a colaboração com a Shopify e outras plataformas de e-commerce para relatar e bloquear contas maliciosas é essencial para conter a propagação da campanha.
Perguntas frequentes
Como saber se uma notificação é legítima? Verifique o remetente do email ou notificação e compare com o histórico de compras real. Nunca clique em links diretos de notificações suspeitas.
O que fazer se já cliquei em um link? Altere imediatamente as senhas das contas afetadas e monitore extratos bancários e contas de e-commerce por atividades incomuns.