Zu de rezente Phishing-Attacke géint Post- a Bank-Clienten huet de Roy Reding eng Rei Froen un d’Regierung.
Fro:
Et ass mir zu Ouere komm (*), datt et an de leschten Deeg eng extreem héich Unzuel u ganz sophistiquéierten „ Physhing“-Attacke gouf. D’Verbraucher goufen heibäi – deels mat enger Ofsenderadress, déi „richteg“ war, deels mat Uriff iwwert Telefonsnummeren, déi effektiv deenen entspriechenden Institutioune gehéieren – kontaktéiert. Besonnesch betraff ware mengen Informatiounen no LUXTRUST, BCEE, BIL a POST.
An deem Kontext hunn ech folgend Froen un d’Regierung:
- Huet d’Madamm Finanzminister Kenntnes iwwert d’Schied, déi duerch dës Attacke bei Bankclienten entstane sinn? Handelt et sech, wéi een héiert, ëm substantiell Zommen, déi hei detournéiert goufen?
- Huet d’Post als „provider“ vun @pt.lu-Adresse Kenntnes vun dëse Mëssbräich? Wat ënnerhëlt d’Post, fir esou Attacken ze ënnerbannen? Wéi vill Schued ass Post-Clienten duerch dës Attacken entstanen?
- Huet d’Police Kenntnes iwwert dës Welle vu Phishing, a wat ass geplangt, fir dogéint virzegoen? Ginn et Erkenntnesser, vu wéi enge Länner dës Attacken ausginn?
(*) net nëmmen duerch entspriechend Posten op Facebook, mee och duerch d‘Cofibu-Reunioun mat der Commission de surveillance du secteur financier, de 27.1.2023.
Äntwert:
D’Police huet säit Ufank November 2022 Kenntnis iwwert déi an der parlamentarescher Fro ernimmte
Phishing-Attacken. Ënnert Leedung vum Parquet huet d’Police Judiciaire eng Enquête laafen.
Déi concernéiert Banken an aner Servicer sinn och iwwert d’Attacken a Kenntnis gesat ginn an hunn intern Schrëtt ënnerholl fir hier Clienten ze warnen an d’Sécherheetsmesuren ze verschäerfen. Identifizéiert Phishing-Säite gi schnellstméiglech analyséiert an et ginn déi néideg Demarche gemaach fir dës vum Netz ze huelen a sou weider Affer ze evitéieren. D’Bevëlkerung ass direkt iwwert de Pressebüro vun der Police via Social Media an och déi geschriwwe Press iwwert dës Phishing-Well informéiert ginn. Dës Warnunge si reegelméisseg widderholl ginn, well d’Attack weiderhin undauert.
POST stellt och fest dass de Phenomen vum Phising hei zu Lëtzebuerg, wéi och weltwäit, zouhëlt. Et ginn
ëmmer méi dacks Telefonsnummeren oder URLën “gespooft”, dat heescht, et gëtt dem Empfänger
fälschlecherweis suggeréiert, dass hien vun där ugewisener Telefonsnummer oder Internetadress
kontaktéiert gi wär. Den Hacker, deen an esou Fäll Identifianten usurpéiert ass awer selwer guer net
Client bei POST Lëtzebuerg.
Fir deem entgéint ze wierken, an hir Clientë beschtméiglech ze protegéieren, setzt POST Lëtzebuerg zanter Joren op eng automatesch Detektioun vun Attacken déi hire Reseau benotzen oder ugräifen. Déi dofir benotzten Algorithmen, déi op “machine learning” berouen, an ob verschidden Niveauen Zougrëffer
blockéieren, passen sech stänneg un.
Generell kann ee keng genau Chiffren iwwer den eventuelle Schued oder d’Verloschter, déi duerch
Phising-Attacken verursaacht ginn, erstellen, well nëmmen da Zuelen kënnen erhuewe ginn, wann de
Konsument d’Initiativ hëllt fir esou Formen vu Bedruch un d’Police oder seng Bank ze mellen.
De Wirtschaftsministère huet scho virun 20 Joer ugefaangen an d’Cybersécherheet ze investéieren. Sou
ass Securitymadein.lu, d’Cybersécherheet Agence fir d’Lëtzebuerger Wirtschaft a Gemengen entstanen,
grad wéi den Nofollger dovun, d’Luxembourg House of Cybersecurity (LHC) an en ganze Cybersecuritéit
Ekosystem huet sech dorëm entwéckelt. Der Erfarung vum LHC no stelle Phishing-Evenementer ongeféier en Drëttel vun den observéierte Cyber-Ugrëffer duer.
D’House of Cybersecurity gëtt soubal nei Welle vu Phishing erkannt ginn eng Warnung iwwer déi sozial
Netzwierker eraus an och op um nationale Portal www.cybersecurity.lu, grad ewéi a senger Newsletter
“Cyber Aware”. Um nationale Cybersecuritéit Portal www.cybersecurity.lu fënnt ee vill Informatiounen a
Recommandatiounen zum Phishing souwuel fir d’Entreprise wéi fir d’Bierger. Spambee, eng gemeinsam
Initiativ vu BEE SECURE, der CNPD an dem National Cybersecurity Competence Center Luxembourg (NC3), erlaabt et verdächteg E-Mailen analyséieren ze loossen, fir festzestellen ob et sech em Spam oder Phishing handelt.
Déi grouss Lëtzebuerger Banke si sech generell iwwer d’Risiken, déi d’Cyberkriminalitéit fir hir Clienten
duerstellt, bewosst. Zënter Joren hu si Sensibiliséierung-Campagnen individuell awer och an
Zesummenaarbecht mat der Bankenassociatioun ABBL ëmgesat. Dëst virun allem och am Kader vu
Campagnen vun Autoritéiten wéi EUROPOL. Iwwert déi leschte Joren huet d’ABBL och zesumme mat hire Memberen hir Sensibiliséierungs- a Präventiounsefforten an Zesummenaarbecht mat de nationalen
Cybersecurity-Akteuren weidergefouert.
D’Moyene fir dës Attacken ze bekämpfen ginn och am Cybersecurity-Aarbechtsgrupp vun der ABBL
diskutéiert, zu där déi grouss lokal Banken gehéieren, mä och Luxtrust. Am Kader vun dësem Forum ginn
best practices ausgetauscht.
D’ABBL gouf och am Februar 2023 vun hiren Membren mandatéiert d’Efforte vun der Bankeplaz an dësem Beräich an Zesummenaarbecht mat allen lokalen Akteuren inklusiv dem House of Cybersecurity ze koordinéieren. Eng éischt Reunioun huet zu der Schafung vun enger engagéierter Task Force gefouert, déi op folgenden Niveauen agéieren soll:
• Nei Zorte vu Phishing z’identifizéieren;
• Taktesch Aktiounen fir Phishing Attacken ze ënnerbannen;
• Strukturell Aktiounen (Formatioun, Sensibiliséierungscampagne, Tester, Infrastrukturverbesserung,
Leeschtungsindikatoren, Kommunikatioun)