Spear phishing spoofing the CSSF identity
The CSSF has been made aware of a recent spear phishing and voice call scams campaign, where the CSSF identity is spoofed, targeting corporate executives and their accounting department.
CIRCL, the Computer Incident Center Luxembourg, published a technical report on this subject, including recommendations, available at this URL: https://circl.lu/pub/tr-77/.
The CSSF strongly recommends all supervised entities concerned to take duly note of this report and to take actions as appropriate.
TR-77 - Spear phishing and voice call scams targeting corporate executives and their accounting department
This is an on-going voice call scam campaign which is targeting large companies and SMEs, and more specifically the financial/accounting departments of these companies. This scam has been on the rise in Luxembourg over the past days (late August 2023).
Sample Case
Below, you will find a sample phone call in English but can be also in French:
My name is 'Maître Guérin'. I am a lawyer from KPMG. I like to inform you about a pending invoice.
The president will send you an email to confirm the importance and confidentiality of the situation.
Than usually short time later the victim will receive a fake email like this impersonating the president/executive and spoofing a CSSF (or other regulator) with a similar email address.
Below, here is a sample email received by some targets:
Subject: KpmgMaître Guérin vient de m'informer de la prise de contact. Voici le dossier en cours : Je mène actuellement en collaboration avec le cabinet d'avocats KPMG qui se situe en France une opération financière visant le rachat d'une société qui est sur le point d'être finalisée. A ce stade, cette opération doit rester strictement confidentielle et nous ne devons en aucun cas en discuter en ce moment dans l'entreprise, que ce soit par téléphone ou de vive voix. J'ai moi-même signé une clause de confidentialité auprès de La Commission de Surveillance du Secteur Financier (CSSF) qui nous impose à respecter cette procédure. L'annonce publique officielle de cette acquisition aura lieu en date du 05/09/2023. Merci d'effectuer le règlement de la facture et d'envoyer la preuve d'exécution à Maître Guérin pour qu'il puisse délivrer l'acte de l'acquisition auprès du notaire. Par mesure de sécurité pour ce dossier, nous ne communiquerons pas via ma boîte mail professionnelle, mais uniquement sur l'adresse mail sécurisée qui m'a été attribuée par la CSSF (<attacker>.cssf@gmx.com).......
First, please LoginComment After ~