Hackare kapar Currys PC World eBay-konto och stjäler framgångsrikt pengar från intetanande köpare

För ett par veckor sedan blev online-shoppingentusiaster som hoppades på ett fynd lämnade besvikna efter att deras pengar riktades fel. Några av dem hörde att Currys PC World säljer iPhone 11s till en betydande rabatt, och de skyndade sig till eBay-sidan för den brittiska elektronikhandlaren för att dra fördel av affären. Istället för att få Apples senaste telefon på billig, såg de dock sina pengar hamna på fel PayPal-konto.

Vad hände?

Detaljerna är lite knappa, men vi vet att någon gång före 19 oktober lyckades hackare kapa Currys PC Worlds eBay-konto. Återförsäljaren har inte sagt hur de gjorde det, men med tanke på vad som hände härnäst kan vi bara gissa att skurkarna antingen fiskade eller gissade inloggningsuppgifterna som släppte in dem.

När de hade kontrollerat kontot kunde de ha gjort alla möjliga skador. När allt kommer omkring talar vi om en igenkännlig elektronikbutik i Storbritannien som ägs av Dixons Carphone - ett företag som tjänar miljarder dollar varje år. Vad kriminella gjorde istället var att byta vissa PayPal-konton.

Efter att ha valt några av Currys PC Worlds populära listor, tog de PayPal-kontot till vilka betalningarna skulle skickas och ersatte det med ett som kontrolleras av dem. Planen var smart, men den hade en stor nackdel - om folk insåg att de skickar pengar till fel konto skulle de agera snabbt och kommer att få slut på bedrägeriet på nolltid. Därför skapade hackarna ett PayPal-konto som såg nästan identisk ut med den verkliga affären. Detta i kombination med det faktum att Currys PC World-teamet tydligen inte hade någon politik för att övervaka det kränkande eBay-kontot under helgerna, innebar att människor förblev glömska och svindlarna lyckades gå undan med en betydande mängd kontanter.

Hur illa var det?

Som vi nämnde redan är Currys PC World inte för generös med detaljerna kring vad som hände och varför. Det som återförsäljaren avslöjade var att pengarna från cirka 600 order gick till skurkarnas PayPal-konto. Storbritanniens webbplats thisismoney.co.uk uppskattade att den totala skadan sträcker sig mellan £ 111 tusen och 500 tusen £ (mellan $ 144 000 och $ 647 tusen). Utan officiell bekräftelse från Currys PC World kan vi dock inte vara säker på hur mycket pengar som har sippats bort.

Den goda nyheten är att användarna inte får ett öre i ekonomiska skador. Efter att ordet bröt ut kom nyhetsställen i kontakt med Currys PC World, eBay och PayPal, och alla tre företagen lovade att varje offer kommer att få tillbaka sina pengar. Med andra ord, i detta specifika fall kommer företagen att vara de som tar den största delen av den ekonomiska effekten. För Currys PC World kan skadan bli ännu större än så.

Helt bortsett från det faktum att detta inte är den första cybersäkerhetshändelsen som återförsäljaren har drabbats av, kan du inte ignorera den lätthet som hackarna lyckats sätta kunder i riskzonen. Kapningen själv tyder på att Currys PC Worlds eBay-konto kan ha lämnats utan ytterligare skydd för tvåfaktorautentisering, vilket är en skrämmande tanke.

Misslyckandet med att upptäcka det olika PayPal-kontot talar inte riktigt bra för ett företag som genererar tusentals intäkter varje dag, och det faktum att Currys PC World inte är så glad att dela information om vad som hände och vad som görs för att skydda kunder i framtiden är knappt lugnande.