Les pirates informatiques piratent le compte eBay de Currys PC World et réussissent à voler de l'argent à des acheteurs peu méfiants

Il y a quelques semaines, les amateurs de shopping en ligne espérant une bonne affaire ont été déçus après que leur argent ait été mal dirigé. Certains d'entre eux ont entendu dire que Currys PC World vendait des iPhone 11 à prix réduit, et se sont précipités vers la page eBay du détaillant britannique en électronique pour profiter de la transaction. Au lieu d’obtenir le dernier téléphone d’Apple à moindre coût, cependant, ils ont vu leur argent se retrouver dans le mauvais compte PayPal.

Qu'est-il arrivé?

Les détails sont quelque peu rares, mais nous savons qu'avant le 19 octobre, des pirates informatiques ont réussi à détourner le compte eBay de Currys PC World. Le détaillant n'a pas expliqué comment il l'a fait, mais compte tenu de ce qui s'est passé ensuite, on ne peut que deviner que les escrocs ont soit phishing, soit deviné les identifiants de connexion qui les ont laissés entrer.

Une fois qu'ils ont eu le contrôle du compte, ils auraient pu faire toutes sortes de dégâts. Après tout, nous parlons d'un magasin d'électronique britannique reconnaissable qui appartient à Dixons Carphone, une entreprise qui gagne des milliards de dollars chaque année. Ce que les criminels ont fait à la place, cependant, a été de changer de compte PayPal.

Après avoir sélectionné quelques-unes des listes les plus populaires de Currys PC World, ils ont pris le compte PayPal auquel les paiements doivent être envoyés et l’ont remplacé par un compte qu’ils contrôlent. Le plan était intelligent, mais il présentait un inconvénient majeur: si les gens réalisaient qu'ils envoient de l'argent sur le mauvais compte, ils agiraient rapidement et mettraient fin à l'escroquerie dans les meilleurs délais. C'est pourquoi les pirates ont créé un compte PayPal presque identique à la réalité. Ceci, conjugué au fait que l'équipe de Currys PC World n'avait apparemment pas de politique de surveillance du compte eBay incriminé pendant le week-end, signifiait que les gens restaient inconscients et que les escrocs réussissaient à s'éloigner avec une importante somme d'argent.

C'était comment?

Comme nous l'avons déjà mentionné, Currys PC World n'est pas trop généreux avec les détails de ce qui s'est passé et pourquoi. Ce que le détaillant a révélé, c’est que l’argent d’environ 600 commandes a été transféré sur le compte PayPal des escrocs. Le site britannique thisismoney.co.uk a estimé que le total des dommages se situait entre 111 000 et 500 000 £ (entre 144 000 et 647 000 $). En l'absence de confirmation officielle de Currys PC World, cependant, nous ne pouvons pas vraiment savoir combien d'argent a été détourné.

La bonne nouvelle est que les utilisateurs ne subiront aucun dommage financier. Après l'annonce, les médias ont pris contact avec Currys PC World, eBay et PayPal, et les trois sociétés ont promis que toutes les victimes récupéreraient leur argent. En d’autres termes, dans ce cas particulier, ce sont les sociétés qui subiront le plus gros des conséquences financières. Pour Currys PC World, les dégâts pourraient être encore plus importants que cela.

Indépendamment du fait que ce détaillant n'est pas le premier incident de cybersécurité, vous ne pouvez pas ignorer la facilité avec laquelle les pirates informatiques ont réussi à mettre les clients en danger. Le piratage lui-même suggère que le compte eBay de Currys PC World pourrait avoir été laissé sans la protection supplémentaire de l'authentification à deux facteurs, ce qui est une pensée horrible.

L'incapacité à repérer les différents comptes PayPal ne parle pas vraiment très bien pour une entreprise qui génère des milliers de revenus chaque jour, et le fait que Currys PC World ne soit pas très heureux de partager des détails sur ce qui s'est passé et ce qui est fait pour protéger les clients à l’avenir ne sont guère rassurants.