Sconosciuti inviano e-mail false a nome di bexio, che reindirizzano i destinatari a siti web incredibilmente simili che non hanno nulla a che fare con bexio. Lì, gli utenti vengono invitati a inserire i loro dati di accesso. Con i login rubati, gli attaccanti phishing sono riusciti in singoli casi ad accedere con successo agli account dei clienti, a manipolare i numeri IBAN sulle fatture o a consultare i dati degli indirizzi. I sistemi e l'infrastruttura di bexio non sono stati compromessi. Tutti i clienti di bexio sono stati informati. bexio è in contatto diretto con i singoli interessati.
"Ci rammarichiamo molto per l'onere che gli incidenti significano per gli interessati", afferma Markus Naef, CEO di bexio. "Supportiamo attivamente i singoli interessati nell'elaborazione degli incidenti e nei passaggi necessari nei confronti delle autorità. La sicurezza dei dati dei nostri clienti è la nostra massima priorità." L'autenticazione a due fattori, finora una funzione opzionale raccomandata ai clienti, diventa ora immediatamente lo standard obbligatorio per la protezione di tutti i clienti presso bexio.
Queste mail di phishing non hanno nulla a che fare con bexio.
- Queste mail di phishing non sono inviate da bexio. - Gli indirizzi e-mail utilizzati dagli sconosciuti non provengono da bexio. Nessun dato dei clienti di bexio è trapelato all'esterno. Le mail di phishing sono inviate casualmente.
Come distinguere i veri messaggi di bexio dai messaggi falsi.
- Spesso si può riconoscere dai link che portano a siti internet che non hanno nulla a che fare con bexio. - Una pagina informativa centrale di bexio informa dettagliatamente su come distinguere i veri messaggi dai tentativi di phishing.
Cosa fa bexio al riguardo.
- bexio ha segnalato l'attacco di phishing all'Ufficio federale per la sicurezza informatica BACS e anche al Commissario federale per la protezione dei dati e la trasparenza (EDÖB). Il BACS informa il fornitore di hosting responsabile e il registrar, in modo che possa bloccare il sito web o il dominio. Inoltre, il BACS informa i fornitori di liste di blocco. Se si tratta di un dominio .ch o .swiss, il BACS può far bloccare direttamente il sito web. - L'autenticazione a due fattori, finora una funzione opzionale per i clienti bexio, diventa lo standard obbligatorio. Per supportare al meglio gli utenti nella configurazione di questo nuovo standard, la capacità del supporto bexio è stata ampliata a breve termine. - Come misura di sicurezza consolidata, bexio informa automaticamente da lungo tempo i titolari di conto non appena vengono effettuate importanti modifiche nel sistema, come il cambiamento di un IBAN.
Come proteggersi dagli attacchi di phishing.
- Non cliccare su link o allegati sospetti in e-mail. - In caso di dubbio, i clienti si rivolgono direttamente al servizio clienti di bexio per verificare un messaggio ricevuto.
Cosa fare se sono stati divulgati dati dei clienti involontariamente.
- I clienti che hanno fornito la loro password devono cambiarla immediatamente in tutti i servizi nei quali la utilizzano. Per ogni servizio online deve essere utilizzata una password separata e forte. - Se si tratta di una password e-mail che è stata divulgata involontariamente, anche le password di tutti i fornitori di servizi web associati a quell’account devono essere reimpostate. - Se è stato subito un danno finanziario o sono stati divulgati dati personali involontariamente, l'Ufficio federale per la sicurezza informatica BACS consiglia di sporgere denuncia penale presso la polizia locale. Sul sito di Suisse ePolice si trovano i posti di polizia nelle vicinanze. - bexio consiglia inoltre a tutti i clienti di controllare regolarmente i numeri IBAN dei fornitori memorizzati e le proprie bozze di fattura.