Hakerzy uprowadzać Currys PC World konto w serwisie eBay i skutecznie kradnij pieniądze od niczego niepodejrzewających klientów

Kilka tygodni temu entuzjaści zakupów online liczący na okazję byli zawiedzeni, gdy ich pieniądze zostały skierowane w niewłaściwy sposób. Niektórzy z nich słyszeli, że Currys PC World sprzedaje iPhone'y 11 ze znaczną zniżką i rzucili się na stronę eBay brytyjskiego sprzedawcy elektroniki, aby skorzystać z okazji. Zamiast kupowania taniego najnowszego telefonu Apple, zobaczyli, że ich pieniądze trafiły na niewłaściwe konto PayPal.

Co się stało?

Szczegóły są nieco rzadkie, ale wiemy, że w pewnym momencie przed 19 października hakerom udało się przejąć konto Currys PC World's w serwisie eBay. Sprzedawca nie powiedział, jak to zrobili, ale biorąc pod uwagę to, co stało się później, możemy jedynie zgadywać, że oszustowie albo wyłudzili dane, albo odgadli dane logowania, które ich wpuściły.

Gdy przejdą kontrolę nad kontem, mogą wyrządzić wszelkiego rodzaju szkody. W końcu mówimy o rozpoznawalnym brytyjskim sklepie elektronicznym, którego właścicielem jest Dixons Carphone - firma, która zarabia miliardy dolarów każdego roku. Tymczasem przestępcy zmienili niektóre konta PayPal.

Po wybraniu kilku popularnych ofert Currys PC World, wzięli konto PayPal, na które należy wysłać płatności, i zastąpili je kontrolowanym przez nich kontem. Plan był sprytny, ale miał jedną poważną wadę - gdyby ludzie zdali sobie sprawę, że wysyłają pieniądze na niewłaściwe konto, działaliby szybko i położyli kres oszustwu w mgnieniu oka. Dlatego hakerzy utworzyli konto PayPal, które wyglądało prawie identycznie jak prawdziwa oferta. To w połączeniu z faktem, że zespół Currys PC World najwyraźniej nie miał polityki monitorowania naruszającego konto eBay w weekendy, oznaczało, że ludzie pozostali nieświadomi, a oszustom udało się odejść z dużą ilością gotówki.

Jak źle było?

Jak już wspomnieliśmy, Currys PC World nie jest zbyt hojny w szczegółach dotyczących tego, co się wydarzyło i dlaczego. Detalista ujawnił, że pieniądze z około 600 zamówień trafiły na konto PayPal oszustów. Brytyjska strona thisismoney.co.uk oszacowała, że łączne szkody mieszczą się w przedziale od 111 do 500 tysięcy funtów (od 144 tysięcy do 647 tysięcy dolarów). Jednak bez oficjalnego potwierdzenia od Currys PC World, nie możemy być pewni, ile pieniędzy zostało wyrzuconych.

Dobrą wiadomością jest to, że użytkownicy nie poniosą ani grosza szkód pieniężnych. Po tym, jak wybuchło to słowo, serwisy informacyjne skontaktowały się z Currys PC World, eBay i PayPal, a wszystkie trzy firmy obiecały, że każda ofiara odzyska pieniądze. Innymi słowy, w tym konkretnym przypadku to korporacje poniosą ciężar skutków finansowych. W Currys PC World obrażenia mogą być jeszcze większe.

Pomijając fakt, że nie jest to pierwszy incydent cyberbezpieczeństwa, jaki ucierpiał detalista, nie można zignorować łatwości, z jaką hakerzy zdołali narazić klientów na ryzyko. Samo porwanie sugeruje, że konto eBay w Currys PC World's mogło zostać pozostawione bez dodatkowej ochrony uwierzytelniania dwuskładnikowego, co jest przerażającą myślą.

Niewykrycie innego konta PayPal nie przemawia zbyt dobrze w przypadku firmy, która codziennie zarabia tysiące, a fakt, że Currys PC World nie jest zbyt szczęśliwy, aby dzielić się szczegółami na temat tego, co się wydarzyło i co zrobiono w celu ochrony klienci w przyszłości nie są zbyt uspokajający.