Des inconnus envoient de faux e-mails au nom de bexio, redirigeant les destinataires vers des sites web trompeusement réalistes qui n'ont rien à voir avec bexio. Là, les utilisateurs sont invités à saisir leurs identifiants. Avec les identifiants obtenus, les attaquants de phishing ont réussi dans certains cas à se connecter aux comptes des clients, à manipuler des numéros IBAN sur des factures ou à consulter des données d'adresse. Les systèmes et l'infrastructure de bexio n'ont pas été compromis. Tous les clients de bexio sont informés. bexio est en contact direct avec les clients concernés.
"Nous déplorons fortement le fardeau que ces incidents représentent pour les personnes concernées", déclare Markus Naef, CEO de bexio. "Nous soutenons activement les personnes concernées dans la gestion des incidents et dans les démarches nécessaires auprès des autorités. La sécurité des données de nos clients est notre priorité absolue." L'authentification à deux facteurs, qui était jusqu'à présent une fonction optionnelle recommandée pour les clients, devient dès maintenant la norme obligatoire chez bexio pour protéger tous les clients.
Les courriels de phishing n'ont rien à voir avec bexio.
- Ces courriels de phishing ne sont pas envoyés par bexio.
- Les adresses e-mail utilisées par des inconnus ne proviennent pas de bexio. Aucune donnée client de bexio n'a été divulguée. Les courriels de phishing sont envoyés au hasard.
Comment distinguer les vrais messages bexio des faux?
- Souvent, les liens montrent qu'ils mènent à des sites Internet n'ayant aucun rapport avec bexio.
- Une page d'information centrale de bexio explique en détail comment différencier les vrais messages des tentatives de phishing.
Quelles mesures bexio prend-elle?
- bexio a signalé l'attaque de phishing à l'Office fédéral de la cybersécurité BACS ainsi qu'au Préposé fédéral à la protection des données et à la transparence (PFPDT). Le BACS informe le fournisseur d'hébergement web responsable et le registrar pour qu'ils puissent bloquer le site ou le domaine. De plus, le BACS informe les fournisseurs de listes de blocage. S'il s'agit d'un domaine .ch ou .swiss, le BACS peut faire bloquer directement le site.
- L'authentification à deux facteurs, jusqu'à présent une fonctionnalité optionnelle pour les clients bexio, devient le standard obligatoire. Pour accompagner les utilisateurs dans la mise en place de cette nouvelle norme, les capacités du support bexio ont été temporairement renforcées.
- Comme mesure de sécurité établie, bexio informe déjà automatiquement les titulaires de comptes dès qu'une modification importante - comme un changement d'IBAN - est effectuée dans le système.
Comment se protéger des attaques de phishing?
- Les liens ou pièces jointes suspects dans les e-mails ne doivent pas être cliqués.
- En cas de doute, les clients contactent directement le service client de bexio pour vérifier un message reçu.
Que faire si des données client ont été divulguées involontairement?
- Les clients qui ont fourni leur mot de passe doivent le changer immédiatement pour tous les services où il est utilisé. Chaque service en ligne doit avoir un mot de passe distinct et fort.
- Si c'est un mot de passe e-mail qui a été divulgué, tous les mots de passe de prestataires web liés à ce compte doivent également être réinitialisés.
- Si un dommage financier a été subi ou si des données personnelles ont été divulguées involontairement, l'Office fédéral de la cybersécurité BACS recommande de porter plainte auprès de la police locale. Sur le site de Suisse ePolice, les postes de police à proximité immédiate peuvent être trouvés.
- bexio conseille également à tous ses clients de vérifier régulièrement les numéros IBAN des fournisseurs enregistrés ainsi que leurs projets de factures.