Security

Aplikasi Pelacak Pesanan ‘Shop’ Disalahgunakan untuk Melancarkan Serangan Callback Phishing

4 minutes ago
3 minutes read

Para pelaku kejahatan siber dilaporkan mulai beralih memanfaatkan platform digital sah untuk melancarkan aksi penipuan. Kali ini, aplikasi asisten belanja dan pelacak pesanan populer milik Shopify, Shop, menjadi sarana baru yang disalahgunakan peretas untuk menyusupkan struk pembelian palsu (fake purchase receipts) ke dalam riwayat pesanan pengguna demi mencuri data sensitif.

Aplikasi Shop selama ini dikenal sebagai platform sentralisasi yang sangat dipercaya konsumen untuk melacak status pengiriman barang dari berbagai toko online, menyimpan struk digital, hingga menjelajahi produk dari jutaan pedagang (merchants) yang terintegrasi dengan ekosistem Shopify.

Aplikasi ini memiliki basis pengguna yang sangat masif, khususnya di wilayah Amerika Utara, dengan catatan lebih dari 50 million unduhan di Google Play Store dan mengantongi 7 juta ulasan di Apple App Store. Tingginya faktor kepercayaan (inherent trust) pengguna terhadap aplikasi ini dimanfaatkan oleh penipu untuk mengelabui korban dengan tingkat keberhasilan yang lebih tinggi dibandingkan metode tradisional.

Modus Operandi: Menggeser Email Tradisional ke Struk Aplikasi

Berdasarkan laporan investigasi terbaru dari perusahaan keamanan siber Gen Digital, para penipu berhasil menyisipkan data pesanan palsu agar muncul bersandingan dengan riwayat belanja sah milik korban. Di dalam struk palsu tersebut, pelaku mencatut dan memalsukan identitas dari berbagai merek global ternama, seperti:

  • Norton
  • McAfee
  • Apple
  • PayPal

Struk digital palsu ini biasanya menampilkan tagihan fiktif bernominal besar untuk memicu kepanikan korban. Guna melancarkan skema penipuan yang dikenal sebagai Callback Phishing, pelaku menyertakan nomor telepon pusat bantuan (support/call center) palsu di dalam rincian struk tersebut, yang diklaim sebagai jalur resmi untuk mengajukan komplain atau membatalkan transaksi yang tidak dikenal.

Apabila pengguna yang panik menghubungi nomor tersebut, panggilan mereka akan diterima oleh operator penipu yang menyamar sebagai agen dukungan pelanggan. Menggunakan teknik manipulasi psikologis (social engineering), penipu tersebut akan mencoba meyakinkan korban untuk:

  1. Membocorkan kredensial login akun atau data kartu pembayaran secara lengkap.
  2. Menyebutkan kode otentikasi sekali pakai (OTP) yang masuk ke ponsel mereka.
  3. Dalam beberapa kasus ekstrem, korban bahkan digiring untuk mengunduh dan menginstal aplikasi pihak ketiga yang memberikan akses kendali jarak jauh (remote access software) terhadap perangkat komputer atau ponsel mereka.

Para peneliti dari Gen Digital menekankan bahwa menyusupkan struk palsu langsung ke dalam aplikasi belanja jauh lebih efektif dibandingkan mengirimkan email phishing konvensional. Pengguna cenderung tidak menaruh curiga pada notifikasi yang muncul di dalam aplikasi resmi yang mereka instal sendiri.

Jalur Penyusupan Masih Misterius

Hingga saat laporan ini diturunkan, tim peneliti keamanan siber masih belum bisa memastikan dengan mutlak mengenai celah mana yang digunakan pelaku untuk memasukkan invoice palsu tersebut ke dalam sistem aplikasi Shop.

Secara arsitektur, aplikasi Shop mengumpulkan data pesanan pengguna dari berbagai pintu masuk otomatis, termasuk fitur pemindaian isi email (email parsing), sinkronisasi akun belanja, serta alur kerja manifes pesanan langsung (order workflows). Salah satu dari jalur sinkronisasi otomatis inilah yang diduga kuat berhasil dieksploitasi oleh pelaku.

Meskipun gelombang serangan ini terbilang masif, Gen Digital mengonfirmasi bahwa mereka tidak menemukan bukti adanya kebocoran sistem internal (compromise) pada server aplikasi Shop, Shopify, maupun pada infrastruktur perusahaan-perusahaan yang namanya dicatut oleh pelaku. Pihak BleepingComputer telah melayangkan pertanyaan resmi kepada Shopify terkait mitigasi masalah ini, namun belum mendapatkan respons.

Panduan Keamanan untuk Pengguna

Sebagai indikator peringatan dini (red flags), Gen Digital mencatat bahwa mayoritas struk palsu yang dibuat oleh peretas masih mengandung kesalahan tata bahasa (poor grammar) yang cukup kentara jika dicermati dengan teliti.

Untuk mengantisipasi jatuhnya korban lebih lanjut, berikut adalah panduan mitigasi darurat bagi para pengguna aplikasi Shop:

  • Jangan Hubungi Nomor di Struk: Jika Anda melihat adanya riwayat transaksi mencurigakan untuk barang yang tidak pernah Anda beli, jangan pernah menghubungi nomor telepon yang tertera di dalam dokumen atau struk aplikasi tersebut.
  • Verifikasi Langsung ke Bank: Segera buka aplikasi m-banking Anda atau hubungi nomor pusat panggilan resmi yang tertera di balik kartu kredit/debit Anda untuk memastikan apakah ada mutasi debet riil yang terjadi.
  • Langkah Penyelamatan Data: Bagi pengguna yang terlanjur menghubungi nomor penipu dan telanjur memberikan data sensitif, segera lakukan pengaturan ulang (reset) kata sandi akun-akun penting Anda dan hubungi pihak bank penerbit kartu untuk melakukan pemblokiran total secara instan.

Sumber: Gen Digital Cybersecurity Advisory

Tags
4 minutes ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button