Des fraudeurs abusent de l’application Shop pour faire apparaître de faux reçus dans l’historique de commandes des utilisateurs. Le piège reprend les codes classiques de l’arnaque au faux support, mais il se glisse dans un environnement plus crédible qu’un simple e-mail suspect : une application légitime, utilisée pour suivre de vrais achats.
Des faux reçus au milieu de vraies commandes
Le faux reçu par e-mail est un grand classique du phishing. Une facture Norton, McAfee, PayPal ou Geek Squad annonce un renouvellement coûteux, avec un numéro à appeler pour contester l’opération. La technique fonctionne parce qu’elle joue sur un réflexe immédiat : vérifier au plus vite une dépense inconnue.
La nouveauté signalée par Gen Digital tient au canal utilisé. Des utilisateurs ont vu apparaître de fausses factures dans Shop, l’application de suivi de commandes de Shopify. Dans les exemples étudiés, les reçus prétendent confirmer l’activation ou le renouvellement d’un abonnement Norton ou Norton LifeLock, avec des montants élevés et un numéro de téléphone présenté comme un support client. D’autres signalements publics évoquent aussi des leurres liés à McAfee, Apple, PayPal, des cartes cadeaux ou des produits à forte valeur.
Le procédé reste le même, faire croire à une commande ou à un prélèvement, puis pousser la victime à appeler elle-même les fraudeurs.
Un environnement de confiance détourné
Le changement de support rend le piège plus difficile à identifier. Un e-mail de facturation inattendu peut être ignoré ou signalé comme spam. Un reçu qui apparaît dans une application de suivi d’achats produit un autre effet. L’utilisateur se trouve déjà dans un espace associé aux livraisons, aux notifications de commande et aux confirmations de paiement.
Selon la documentation de Shop citée par Gen Digital, l’application peut alimenter l’onglet des commandes à partir de plusieurs sources, dont l’adresse e-mail associée au compte, Gmail, Outlook ou des achats réalisés via Shop Pay. Les chercheurs ne concluent pas à une compromission de Shop, de Shopify ou des marques usurpées. Le chemin exact utilisé par les fraudeurs reste à confirmer. Il pourrait s’agir d’un flux marchand détourné, d’une association de compte, d’une logique d’analyse d’e-mails ou d’un autre mécanisme légitime exploité à des fins frauduleuses.
C’est précisément ce qui rend le cas intéressant. L’attaque ne repose pas forcément sur une faille spectaculaire. Elle montre comment une fonction pensée pour simplifier le suivi des achats peut devenir un support d’ingénierie sociale lorsqu’un faux signal parvient à s’y glisser.
Le vrai risque commence avec l’appel
La bonne réaction reste de sortir du parcours proposé. Il ne faut pas appeler le numéro affiché dans le reçu suspect, mais vérifier directement depuis l’application bancaire, le compte officiel de la marque concernée ou le service de paiement utilisé. Si aucune transaction n’apparaît dans ces espaces, le reçu doit être traité comme une tentative d’arnaque. Si des informations ont déjà été communiquées, il faut considérer les comptes concernés comme potentiellement compromis et réagir rapidement.
