Die App Shop von Shopify bündelt Bestellverfolgung, Belege und Versandaktualisierungen verschiedener Online-Händler an einer zentralen Stelle. Gerade weil Nutzer der Anwendung vertrauen und dort legitime Bestellungen erwarten, eignet sie sich nach Einschätzung von Gen Digital besonders gut für betrügerische Kaufbenachrichtigungen.
Den Forschern zufolge fügen die Täter gefälschte Bestellungen in die Bestellhistorie ein, sodass sie direkt neben echten Käufen erscheinen. In den digitalen Belegen wird eine Telefonnummer angegeben, über die Nutzer die angebliche Abbuchung oder Bestellung anfechten sollen. Wer dort anruft, erreicht laut Gen Digital keinen Kundendienst, sondern einen Betrüger, der sich als Support-Agent ausgibt.
Im Gespräch setzen die Angreifer auf Social Engineering. Ziel ist es laut den Forschern, Opfer zur Herausgabe von Kontozugangsdaten, Zahlungskartendaten und temporären Authentifizierungscodes zu bewegen. In manchen Fällen würden Nutzer außerdem dazu gebracht, Software zu installieren, die dem Angreifer Fernzugriff auf das Gerät gewährt.
Gen Digital bewertet diese Methode als wirksamer als den klassischen Versand betrügerischer Kaufbenachrichtigungen per E-Mail, also Callback-Phishing in seiner verbreiteteren Form. Der Grund: Shop ist eine legitime Einkaufs-App, weshalb dort angezeigte Bestellungen eher eine Reaktion auslösen als eine Nachricht im Posteingang. Zwar enthalten viele der gefälschten Belege nach Angaben der Forscher eine auffällig schlechte Grammatik, doch insbesondere bei Rechnungen über hohe Beträge könnten Nutzer solche Fehler übersehen.
Unklar bleibt bislang, über welchen Mechanismus die falschen Belege in Shop auftauchen. Gen Digital weist darauf hin, dass die App Bestellungen aus mehreren Quellen übernehmen kann, darunter das Auslesen von E-Mails, die Verknüpfung von Konten und Bestellabläufe. Welcher dieser Wege für die betrügerischen Benachrichtigungen genutzt wird, habe sich jedoch nicht bestätigen lassen.
Zugleich unterstreicht Gen Digital, dass keine Hinweise auf eine Kompromittierung von Shop, Shopify oder den imitierten Marken vorliegen. BleepingComputer hat Shopify nach eigenen Angaben mit Fragen zu dem Vorgang kontaktiert, bis zur Veröffentlichung aber keine Antwort erhalten.
Shop ist vor allem in Nordamerika stark verbreitet. Dort seien Unterstützung und Kaufoptionen umfangreicher, heißt es im Bericht. Im Google Play Store kommt die App auf 50 Millionen Downloads, im App Store von Apple auf 7 Millionen Bewertungen.
Für Nutzer mit unerwarteten Belegen in Shop lautet die im Bericht wiedergegebene Empfehlung, nicht die im Eintrag angegebene Telefonnummer anzurufen. Stattdessen sollten mutmaßliche Abbuchungen direkt bei der eigenen Bank überprüft werden. Wer die Betrüger bereits kontaktiert und sensible Informationen preisgegeben hat, sollte laut dem Bericht umgehend die Passwörter der betroffenen Konten zurücksetzen und den Kartenaussteller wegen einer Sperrung kontaktieren.