Telset.id – Pengguna aplikasi Shop harus waspada terhadap modus penipuan baru yang menyisipkan order palsu ke dalam riwayat pembelian. Scammer menggunakan rekening palsu yang tampak berasal dari perusahaan sah seperti Apple, Norton, dan PayPal sebagai bagian dari kampanye callback phishing.
Modus penipuan ini memanfaatkan kepercayaan pengguna terhadap aplikasi Shop yang populer. Alih-alih mengirim email phishing, pelaku kejahatan menyusupkan notifikasi pembelian langsung ke dalam aplikasi, sehingga lebih sulit dikenali sebagai ancaman. Para peneliti dari perusahaan keamanan siber Gen Digital telah mengidentifikasi pola serangan ini dan memperingatkan publik tentang risikonya.
Seperti dilaporkan BleepingComputer, pengguna Shop melihat faktur palsu bercampur dengan pembelian asli di riwayat pelacakan pesanan mereka. Faktur penipuan ini biasanya menyatakan bahwa sejumlah tagihan (seringkali dalam jumlah besar) telah diproses, pesanan telah disiapkan, atau langganan telah diperbarui. Faktur tersebut juga mencantumkan alamat email dan/atau nomor telepon untuk menyengketakan pembelian, namun jika pengguna menghubunginya, mereka akan terhubung dengan scammer yang berpura-pura menjadi agen dukungan.
Tujuan utama dari serangan ini adalah untuk mendapatkan informasi pribadi korban. Scammer berusaha mengelabui target agar menyerahkan kredensial login, informasi kartu kredit, atau kode autentikasi. Dalam beberapa kasus, mereka bahkan mencoba membuat korban mengunduh malware yang memungkinkan akses jarak jauh ke perangkat.
Cara Kerja Penipuan Order Palsu
Mekanisme serangan ini cukup canggih karena memanfaatkan infrastruktur aplikasi Shop yang sah. Riwayat Shop Anda melacak pesanan yang dibayar dengan Shop Pay dan dibeli dari toko yang menggunakan Shopify, selama Anda memasukkan email yang terhubung dengan akun Shop saat checkout. Aplikasi ini juga menarik informasi pelacakan dari Gmail dan Outlook dengan memindai pesan untuk kata kunci seperti “nomor pelacakan” dan “lacak paket Anda”, sehingga pengguna mungkin melihat pengiriman tertunda yang berasal dari luar ekosistem Shop.
Peneliti mencatat bahwa belum jelas bagaimana pelaku ancaman memasukkan order palsu ke dalam riwayat pengguna. Belum ada bukti bahwa Shop, Shopify, atau perusahaan yang ditiru telah dibobol. Shop hanya menyatakan bahwa mereka sedang menerapkan “kontrol baru” untuk mengurangi masalah ini.
Faktur palsu ini memang mengandung beberapa tanda bahaya yang jelas, seperti tata bahasa dan ejaan yang buruk. Namun, karena Shop adalah aplikasi yang banyak digunakan dan sebagian besar tepercaya, pengguna tidak memiliki banyak alasan untuk mencurigai adanya penipuan. Akibatnya, mereka lebih mungkin untuk menghubungi saluran dukungan yang tertera atau berinteraksi dengan faktur tersebut. Notifikasi di dalam aplikasi juga cenderung lebih jarang menimbulkan kecurigaan dibandingkan email phishing.
Callback phishing sendiri adalah teknik di mana korban diarahkan untuk menghubungi nomor tertentu, bukan sebaliknya. Dalam kasus ini, faktur palsu menyertakan nomor telepon yang mengarah ke scammer. Begitu korban menelepon, scammer yang menyamar sebagai agen dukungan akan berusaha mencuri informasi sensitif.
Penipuan ini mengingatkan pada modus serupa yang sering digunakan oleh peniru PayPal, yang kerap menggunakan notifikasi email untuk menjebak target. Bedanya, kali ini serangan terjadi langsung di dalam aplikasi yang terpercaya, sehingga tingkat keberhasilannya berpotensi lebih tinggi.
Baca Juga:
Cara Menghadapi Order Palsu di Shop
Jika Anda melihat faktur pembelian yang tidak dikenal di aplikasi Shop, jangan langsung menganggapnya sah. Langkah pertama yang harus dilakukan adalah memeriksa laporan rekening bank atau kartu kredit Anda, serta riwayat akun dengan vendor yang tercantum. Jika tidak ditemukan pembelian yang cocok, faktur tersebut hampir pasti adalah penipuan.
Jangan menghubungi nomor telepon yang tertera, mengirim email, atau mengeklik tautan apa pun. Jika Anda belum melakukan tindakan tersebut, Anda bisa mengabaikan notifikasi atau melaporkannya langsung ke Shop dan vendor yang disebutkan. Tindakan paling aman adalah tidak berinteraksi sama sekali dengan faktur mencurigakan tersebut.
Namun, jika Anda sudah terlanjur menelepon atau memberikan informasi, segera ubah kata sandi Anda, idealnya menggunakan perangkat yang berbeda. Pantau terus setiap upaya masuk yang mencurigakan atau tagihan asing pada akun Anda. Tindakan cepat ini dapat meminimalkan kerusakan yang mungkin terjadi.
Peneliti keamanan menekankan pentingnya kewaspadaan, terutama karena aplikasi Shop terintegrasi dengan layanan email. Scammer mungkin memanfaatkan akses ke informasi pelacakan untuk membuat faktur palsu yang tampak meyakinkan. Oleh karena itu, selalu verifikasi setiap pembelian melalui sumber resmi, bukan melalui tautan atau nomor yang disediakan dalam notifikasi mencurigakan.
Shop dan Shopify belum memberikan pernyataan rinci tentang langkah-langkah keamanan tambahan yang sedang dikembangkan. Namun, pengguna disarankan untuk secara rutin memeriksa riwayat pembelian dan melaporkan aktivitas mencurigakan. Kesadaran dan kehati-hatian adalah pertahanan terbaik terhadap serangan phishing jenis ini.
Modus penipuan ini menunjukkan bahwa scammers terus berinovasi dalam mencari cara baru untuk menjangkau korban. Dengan memanfaatkan aplikasi tepercaya seperti Shop, mereka meningkatkan peluang keberhasilan serangan. Oleh karena itu, penting bagi pengguna untuk selalu skeptis terhadap notifikasi yang tidak terduga, terutama yang meminta tindakan segera seperti menghubungi nomor dukungan.
Ke depannya, pengguna mungkin perlu mengaktifkan autentikasi dua faktor pada akun Shop dan layanan terkait untuk menambah lapisan keamanan. Meskipun langkah ini tidak mencegah munculnya faktur palsu, setidaknya dapat melindungi akun jika kredensial berhasil dicuri. Selalu waspada dan jangan ragu untuk memverifikasi informasi melalui saluran resmi.
Komentar
Belum ada komentar.