臺灣銀行洛杉磯分行因為員工在家上班,導致匯款流程未再確認,遭到電子商業郵件詐騙千萬元。

臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件,該分行行員收到往來客戶要進行匯款轉帳的的電子郵件,因為實施居家辦公無法轉帳,便將該封匯款郵件轉到分行承做,不過,該指示匯款電郵與原本客戶電郵有一個字母差異,在分行並未確認匯款資料正確性便進行轉帳,導致該分行遭到詐騙約美金45萬美元(約新臺幣1,350萬元)。

雖然說,該起事件是因為洛杉磯下達禁足令,導致許多行業很多員工都必須在家上班,但不具名資安顧問卻認為,不應該以「在家上班」模糊事件焦點。他指出,Email電子郵件是串連銀行內部與外部連繫的重要管道,傳統資安防護措施置重兵於組織邊界的作法,未來將更難應付駭客精心設計的釣魚郵件。該名資安顧問則建議,銀行可以師法國外推動DMARC(Domain-based Message Authentication, Reporting & Conformance)等作法,來降低釣魚郵件的威脅。

臺銀確認為人為疏失,金管會要求強化資安及內控要求

根據媒體報導,臺灣銀行將此事資安事件列為人為疏失,主要關鍵在於針對客戶資訊核對有疏漏且沒有落實照會機制,而資訊部門也查閱分行的資訊設備,初步排除駭客入侵銀行內部、竊取客戶資料。

金管會在接獲臺灣銀行通報該起偶發重大事件後,也要求各銀行必須要落實相關的資安及內控要求,包括落實社交工程演練、強化使用者資安意識;針對交易指示簽名以及電子郵件加強核對,對一定金額以上交易需先跟客戶確認並留存記錄。

這類電子郵件詐騙事件一般稱之為BEC(Business E-mail Compromise,商業電子郵件詐騙),光是今年3月武漢肺炎疫情期間,美國FBI旗下的網路犯罪投訴中心(IC3)就收到超過1,200筆與武漢肺炎詐騙有關的投訴,FBI則呼籲企業應該留意商業電子郵件的詐騙。

即便相關呼籲言猶在耳,即便各種SOP都有明確規範,但只要操作過程中有一個不小心,電子郵件中的l(小寫L)和I(大寫I),6(數字6)和b(小寫B),0(數字0)和O(大寫O)等,都可能會因為疏忽而導致錯誤發生。

仿效國外企業推動DMARC,降低接到釣魚郵件機率

不具名資安顧問表示,電子郵件易攻難守,通訊協定(Email protocol)本身就有弱點,即便一些電子郵件防護設備會檢查惡意程式、連結、附檔,或者是阻擋黑名單等,但對BEC而言,這些都未必有效。他更直言,很多資安保險並不理賠BEC資安事件,因為嚴格來說,這是「被騙」不是「被駭」。

不具名資安顧問指出,為了阻絕這類垃圾郵件或釣魚郵件,國外企業推動DMARC,透過確認發送電子郵件Domain的正確性,降低用戶收到垃圾郵件及釣魚郵件的機率,即便是Gmail商用版電郵G Suite,也已經支援DMARC。不過,他也認為,雖然DMARC可以降低BEC,但包括通訊商等ISP業者,也都要一起努力才行。

「臺銀洛杉磯分行的行員也不笨,一定是收到之前收過或熟悉的email和業務內容才會回應,」不具名資安顧問認為,面對越來越複雜的網路世界,企業都必須要改變傳統資安防䕶以組織邊界為範圍的觀念,必須要改用服務流程和Cyberspace作為界線,才可能做到比較完整的防護。

 


Advertisement

更多 iThome相關內容