Si ve un recibo en la aplicación Tienda de una compra que no realizó, proceda con precaución. Los estafadores han logrado insertar pedidos falsos (que parecen ser de compañías legítimas como Apple, Norton y PayPal) en los historiales de los usuarios de Shop como parte de una campaña de phishing de devolución de llamadas.
Los recibos de compra falsos son una táctica de estafa favorita de los imitadores de PayPal, que con frecuencia utilizan notificaciones por correo electrónico para engañar a los objetivos para que llamen a un número de soporte fraudulento o hagan clic en un enlace de phishing.
Cómo funciona la estafa de pedidos de la tienda
Como informa BleepingComputer, los usuarios de Shop ven facturas falsas además de compras reales en su historial de seguimiento de pedidos. Estos recibos fraudulentos pueden indicar que se ha procesado un cargo (normalmente por un importe elevado), se ha preparado un pedido o se ha renovado una suscripción.
También incluyen un correo electrónico y/o un número de teléfono para disputar la compra, pero si llama, se comunicará con estafadores que se hacen pasar por agentes de soporte. El objetivo es lograr que los clientes entreguen información personal como credenciales de inicio de sesión, información de tarjetas de crédito o códigos de autenticación, o incluso que descarguen malware que permita a los estafadores acceder de forma remota a su dispositivo.
Los investigadores de la empresa de ciberseguridad Gen Digital, que identificaron la estafa, descubrieron que estas notificaciones de compra falsas contienen algunas señales de alerta obvias, como mala gramática y ortografía. Sin embargo, Shop es una aplicación ampliamente utilizada y confiable, por lo que los usuarios tienen pocos motivos para sospechar de una estafa y, por lo tanto, es más probable que llamen a una línea de soporte o interactúen con un recibo de alguna manera. Además, una notificación dentro de una aplicación puede generar menos alarmas que un correo electrónico de phishing.
Tu historial de Shop rastrea los pedidos pagados con Shop Pay y comprados en tiendas que usan Shopify siempre que hayas ingresado el correo electrónico asociado con tu cuenta de Shop al momento de pagar. También extrae información de seguimiento de Gmail y Outlook escaneando mensajes en busca de palabras clave como «número de seguimiento» y «seguimiento de su paquete», por lo que puede ver entregas pendientes que se originaron fuera del ecosistema de la Tienda.
¿Qué opinas hasta ahora?
Los investigadores señalan que no está claro exactamente cómo los actores de amenazas están insertando pedidos falsos en los historiales de los usuarios, ni hay evidencia de que Shop, Shopify o cualquier compañía suplantada hayan sido violadas. Shop simplemente ha dicho que están implementando «nuevos controles» para mitigar el problema.
Qué hacer si ves una compra en la Tienda que no reconoces
No asuma automáticamente que un recibo de una compra desconocida es legítimo, ya sea que aparezca en la aplicación Tienda o en su correo electrónico. Verifique los extractos de su banco o tarjeta de crédito, así como el historial de su cuenta con el proveedor enumerado para ver si hay una compra que coincida. Si no encuentra una, es casi seguro que la factura en sí sea una estafa y no debe involucrarse en ella. No llame al número, no envíe un correo electrónico ni haga clic en ningún enlace.
Si no ha hecho ninguna de estas cosas, puede simplemente ignorar la notificación o informarla directamente a Shop y al proveedor listado. Si llamó o proporcionó alguna información, cambie su contraseña (idealmente en un dispositivo diferente) y esté atento a cualquier intento de inicio de sesión sospechoso o cargos desconocidos en sus cuentas.