Hackere kaprer Currys PC World eBay-konto og stjeler penger fra ikke-intetanende kjøpere

For et par uker siden ble online shoppingentusiaster som håper på et godt kjøp forlatt skuffet etter at pengene deres ble rettet feil vei. Noen av dem hørte at Currys PC World selger iPhone 11s til en betydelig rabatt, og de hastet til eBay-siden til den britiske elektronikkforhandleren for å dra nytte av avtalen. I stedet for å skaffe Apples nyeste telefon på billig, derimot, så de pengene sine havne på feil PayPal-konto.

Hva skjedde?

Detaljene er litt knappe, men vi vet at hackere på et tidspunkt før 19. oktober klarte å kapre Currys PC Verdens eBay-konto. Forhandleren har ikke sagt hvordan de gjorde det, men med tanke på hva som skjedde videre, kan vi bare gjette at kjeltringene enten fisket eller gjettet innloggingsinformasjon som la dem inn.

Når de hadde kontroll over kontoen, kunne de ha gjort alle slags skader. Vi snakker tross alt om en gjenkjennelig elektronikkbutikk i Storbritannia som eies av Dixons Carphone - et selskap som tjener milliarder av dollar hvert år. Det kriminelle gjorde i stedet, var imidlertid å bytte noen PayPal-kontoer.

Etter å ha plukket ut noen av Currys PC verdens populære lister, tok de PayPal-kontoen som betalingene skulle sendes til, og erstattet den med en kontrollert av dem. Planen var smart, men den hadde en stor ulempe - hvis folk innså at de sender penger til feil konto, ville de handle raskt og vil få slutt på svindelen på kort tid. Derfor opprettet hackere en PayPal-konto som så nesten identisk ut med den virkelige avtalen. Dette kombinert med at Currys PC Worlds team tilsynelatende ikke hadde noen policy for å overvåke den krenkende eBay-kontoen i helgene, gjorde at folk forble glemme, og svindlerne klarte å stikke av med en betydelig mengde kontanter.

Hvor ille var det?

Som vi nevnte allerede, er Currys PC World ikke så raus med detaljene rundt hva som skjedde og hvorfor. Det detaljisten avslørte var at pengene fra rundt 600 ordrer gikk til skurkenes PayPal-konto. Storbritannias nettsted thisismoney.co.uk estimerte at den totale skaden varierer mellom £ 111,000 og £ 500,000 (mellom $ 144,000 og $ 647,000). Uten noen offisiell bekreftelse fra Currys PC World, kan vi imidlertid ikke være sikre på hvor mye penger som er blitt forsinket.

Den gode nyheten er at brukerne ikke vil få en krone i økonomiske skader. Etter at ordet brøt ut, kom nyhetsstedene i kontakt med Currys PC World, eBay og PayPal, og alle tre selskapene lovet at hvert offer vil få pengene sine tilbake. Med andre ord, i dette spesielle tilfellet vil selskapene være de som tar hoveddelen av den økonomiske effekten. For Currys PC World kan skadene bli enda større enn det.

Bortsett fra det faktum at dette ikke er den første cybersikkerhetshendelsen forhandleren har lidd, kan du ikke se bort fra hvor enkelt hackerne klarte å sette kunder i fare. Selve kapringen antyder at Currys PC Worlds eBay-konto kan ha blitt stående uten tilleggsbeskyttelse av tofaktorautentisering, noe som er en grufull tanke.

Unnlatelse av å oppdage de forskjellige PayPal-kontoene snakker egentlig ikke så bra for et selskap som tjener tusenvis av inntekter hver dag, og det faktum at Currys PC World ikke er så glade for å dele detaljer om hva som skjedde og hva som gjøres for å beskytte kunder i fremtiden er neppe betryggende.