Desconhecidos estão a enviar e-mails falsos em nome da bexio, redirecionando os destinatários para websites enganosamente autênticos que nada têm a ver com a bexio. Nessas páginas, os utilizadores são solicitados a inserir os seus dados de acesso. Com os logins obtidos, os atacantes de phishing conseguiram, em casos isolados, fazer login em contas de clientes, manipular números IBAN em faturas ou aceder a dados de endereço. Os sistemas e a infraestrutura da bexio não foram comprometidos. Todos os clientes da bexio foram informados e a bexio está em contacto direto com os afetados.
"Lamentamos muito o impacto que os incidentes causam aos afetados," diz Markus Naef, CEO da bexio. "Apoiamos ativamente os afetados na resolução dos incidentes e nos passos necessários junto às autoridades. A segurança dos dados dos nossos clientes é a nossa maior prioridade." A autenticação de dois fatores, anteriormente uma função opcional recomendada para os clientes, será agora o padrão obrigatório na bexio para proteger todos os clientes.
E-mails de phishing não têm ligação com a bexio
- Estes e-mails de phishing não são enviados pela bexio.
- Os endereços de e-mail utilizados por desconhecidos não são originários da bexio. Não houve fuga de dados de clientes da bexio. Os e-mails de phishing são enviados aleatoriamente.
Como distinguir mensagens verdadeiras da bexio de mensagens falsas
- Muitas vezes, pode-se reconhecer pelos links que eles levam a websites que nada têm a ver com a bexio.
- Uma página de informação central da bexio esclarece detalhadamente como distinguir mensagens verdadeiras de tentativas de phishing.
O que a bexio está a fazer contra isso
- A bexio reportou o ataque de phishing ao Departamento Federal de Cibersegurança (BACS) e ao Comissário Federal de Proteção de Dados e Transparência (EDÖB). O BACS informa o fornecedor de hospedagem web responsável e o registrador para que este possa bloquear a página web ou o domínio. O BACS também informa os fornecedores de listas de bloqueio. Se tratando de um domínio .ch ou .swiss, o BACS pode bloquear diretamente a página web.
- A autenticação de dois fatores, anteriormente uma função opcional para os clientes da bexio, será o padrão obrigatório. Para apoiar os utilizadores na configuração deste novo padrão, as capacidades do suporte da bexio foram ampliadas temporariamente.
- Como medida de segurança estabelecida, a bexio informa automaticamente os titulares das contas sempre que são realizadas alterações importantes no sistema, como a alteração de um IBAN.
Como proteger-se contra ataques de phishing
- Não clique em links ou anexos suspeitos em e-mails.
- Em caso de dúvida, os clientes devem contactar diretamente o serviço de apoio ao cliente da bexio para verificar a autenticidade de uma mensagem recebida.
O que fazer se dados de clientes foram divulgados involuntariamente
- Os clientes que forneceram a sua senha devem alterá-la imediatamente em todos os serviços onde a usam. Cada serviço online deve ter uma senha forte e única.
- Se se tratava de uma senha de e-mail divulgada, todas as senhas dos prestadores de serviços web associados a essa conta devem ser redefinidas.
- Se houve prejuízo financeiro ou dados pessoais foram divulgados involuntariamente, o Departamento Federal de Cibersegurança (BACS) recomenda fazer uma queixa policial. No site Suisse ePolice pode-se encontrar os postos policiais mais próximos.
- A bexio aconselha todos os clientes a verificarem regularmente as IBAN armazenadas dos fornecedores e os seus próprios rascunhos de faturas.