Onbekenden sturen valse e-mails uit naam van bexio, die de ontvangers doorverwijzen naar bedrieglijk echte websites die niets met bexio te maken hebben. Daar worden gebruikers gevraagd hun inloggegevens in te voeren. Met de verkregen logins zijn phishing-aanvallers in een aantal gevallen succesvol ingelogd op klantaccounts, IBAN-nummers op facturen gemanipuleerd of adresgegevens bekeken. De systemen en infrastructuur van bexio zijn niet gecompromitteerd. Alle klanten van bexio zijn geïnformeerd. bexio staat rechtstreeks in contact met de betrokkenen.
"We betreuren de belasting die de incidenten voor de getroffen personen betekenen zeer", zegt Markus Naef, CEO van bexio. "We ondersteunen de getroffen personen actief bij het verwerken van de incidenten en bij de noodzakelijke stappen richting autoriteiten. De veiligheid van onze klantgegevens is onze hoogste prioriteit." De tweefactorauthenticatie, voorheen een aanbevolen optionele functie voor klanten, wordt daarom nu direct de verplichte standaard bij bexio.
Phishing-e-mails hebben niets met bexio te maken
Deze phishing-e-mails worden niet door bexio verzonden. De door onbekenden gebruikte e-mailadressen zijn niet van bexio. Er zijn geen klantgegevens van bexio naar buiten gelekt. De phishing-e-mails worden willekeurig verzonden.
Hoe onderscheid je echte bexio-berichten van vervalste berichten
Vaak kan aan de links worden gezien dat ze leiden naar websites die niets met bexio te maken hebben. Een centrale informatiepagina van bexio legt gedetailleerd uit hoe je echte berichten van phishing-pogingen kunt onderscheiden.
Wat doet bexio hiertegen
bexio heeft de phishing-aanval gemeld aan het Federaal Bureau voor Cyberveiligheid (BACS) en ook aan de Federale Gegevensbeschermings- en Informatiecommissaris (EDÖB). Het BACS informeert de verantwoordelijke webhostingprovider en de registrar, zodat deze de website respectievelijk het domein kan blokkeren. Bovendien informeert het BACS aanbieders van blokkeerlijsten. Als het om een .ch- of .swiss-domein gaat, kan het BACS de website direct laten blokkeren.
De tweefactorauthenticatie, voorheen een optionele functie voor bexio-klanten, wordt de verplichte standaard. Om gebruikers optimaal te begeleiden bij het opzetten van deze nieuwe standaard, is de capaciteit van de bexio-support op korte termijn uitgebreid.
Als gevestigde veiligheidsmaatregel informeert bexio de accounthouders al lange tijd automatisch zodra belangrijke wijzigingen - zoals bijvoorbeeld de wijziging van een IBAN - in het systeem worden doorgevoerd.
Hoe kan men zich beschermen tegen phishing-aanvallen
Verdachte links of bijlagen in e-mails mogen niet worden aangeklikt.
In geval van twijfel nemen klanten direct contact op met de klantenservice van bexio om een ontvangen bericht te verifiëren.
Wat te doen als onvrijwillig klantgegevens zijn vrijgegeven
Klanten die hun wachtwoord hebben opgegeven, wijzigen dit onmiddellijk bij alle diensten waarvoor ze dit gebruiken. Voor elke online dienst dient een apart, sterk wachtwoord te worden gebruikt.
Als het om een e-mailwachtwoord gaat dat onvrijwillig is vrijgegeven, dienen ook de wachtwoorden van alle webdienstverleners die aan dit account zijn gekoppeld te worden gereset.
Als er financiële schade is geleden of persoonlijke gegevens onvrijwillig zijn vrijgegeven, beveelt het Federaal Bureau voor Cyberveiligheid (BACS) aan om aangifte te doen bij de lokale politie. Op de website van Suisse ePolice zijn de dichtstbijzijnde politiebureaus te vinden.
bexio raadt alle klanten bovendien preventief aan om de opgeslagen IBAN-nummers van leveranciers evenals hun eigen conceptfacturen regelmatig te controleren.