セキュリティ企業 Gen Digital (旧 NortonLifeLock) が、Shopify の注文追跡アプリ Shop に偽の購入レシートを混入させて誘導するコールバック型 phishing キャンペーンを 6月26日に明らかにしました。BleepingComputer によると、攻撃者は Norton や McAfee、Apple、PayPal などの著名ブランドを装い、利用者の注文履歴に身に覚えのない領収書を挿入します。
主なポイント
- Shop は Google Play で 5000 万 DL を超え、北米で広く使われており「正規アプリ内の通知」という信頼性が攻撃者の足場になる
- レシートには返金・取消用と称する電話番号が記載され、折り返すと偽サポートが対応
- ソーシャル エンジニアリングで認証情報・カード番号・OTP を奪取、最終的に remote access ソフトの導入まで至る例も
- Gen Digital は「メールでの偽請求より、信頼するアプリ内の方が反応率が高い」と分析、callback phishing の配送経路として浮上
- Shop / Shopify 自体および偽装対象ブランドへの侵害は確認されておらず、不審な領収書の電話番号は使わずカード会社へ直接照会するよう推奨
出典: Order-tracking app Shop abused to push callback phishing attacks - BleepingComputer