臺銀海外分行爆發商業電郵詐騙千萬，臺銀列為人為疏失

臺灣銀行洛杉磯分行因為員工在家上班，導致匯款流程未再確認，遭到電子商業郵件詐騙千萬元。

. 臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件 ... 移至主內容 按讚加入iThome粉絲團 文/黃彥棻 | 2020-05-13發表 臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件，該分行行員收到往來客戶要進行匯款轉帳的的電子郵件，因為實施居家辦公無法轉帳，便將該封匯款郵件轉到分行承做，不過，該指示匯款電郵與原本客戶電郵有一個字母差異，在分行並未確認匯款資料正確性便進行轉帳，導致該分行遭到詐騙約美金45萬美元（約新臺幣1,350萬元）。

雖然說，該起事件是因為洛杉磯下達禁足令，導致許多行業很多員工都必須在家上班，但不具名資安顧問卻認為，不應該以「在家上班」模糊事件焦點。

他指出，Email電子郵件是串連銀行內部與外部連繫的重要管道，傳統資安防護措施置重兵於組織邊界的作法，未來將更難應付駭客精心設計的釣魚郵件。

該名資安顧問則建議，銀行可以師法國外推動DMARC（Domain-basedMessageAuthentication,Reporting&Conformance）等作法，來降低釣魚郵件的威脅。

臺銀確認為人為疏失，金管會要求強化資安及內控要求 根據媒體報導，臺灣銀行將此事資安事件列為人為疏失，主要關鍵在於針對客戶資訊核對有疏漏且沒有落實照會機制，而資訊部門也查閱分行的資訊設備，初步排除駭客入侵銀行內部、竊取客戶資料。

金管會在接獲臺灣銀行通報該起偶發重大事件後，也要求各銀行必須要落實相關的資安及內控要求，包括落實社交工程演練、強化使用者資安意識；針對交易指示簽名以及電子郵件加強核對，對一定金額以上交易需先跟客戶確認並留存記錄。

這類電子郵件詐騙事件一般稱之為BEC（BusinessE-mailCompromise，商業電子郵件詐騙），光是今年3月武漢肺炎疫情期間，美國FBI旗下的網路犯罪投訴中心（IC3）就收到超過1,200筆與武漢肺炎詐騙有關的投訴，FBI則呼籲企業應該留意商業電子郵件的詐騙。

即便相關呼籲言猶在耳，即便各種SOP都有明確規範，但只要操作過程中有一個不小心，電子郵件中的l（小寫L）和I（大寫I），6（數字6）和b（小寫B），0（數字0）和O（大寫O）等，都可能會因為疏忽而導致錯誤發生。

仿效國外企業推動DMARC，降低接到釣魚郵件機率 不具名資安顧問表示，電子郵件易攻難守，通訊協定（Emailprotocol）本身就有弱點，即便一些電子郵件防護設備會檢查惡意程式、連結、附檔，或者是阻擋黑名單等，但對BEC而言，這些都未必有效。

他更直言，很多資安保險並不理賠BEC資安事件，因為嚴格來說，這是「被騙」不是「被駭」。

不具名資安顧問指出，為了阻絕這類垃圾郵件或釣魚郵件，國外企業推動DMARC，透過確認發送電子郵件Domain的正確性，降低用戶收到垃圾郵件及釣魚郵件的機率，即便是Gmail商用版電郵GSuite，也已經支援DMARC。

不過，他也認為，雖然DMARC可以降低BEC，但包括通訊商等ISP業者，也都要一起努力才行。

「臺銀洛杉磯分行的行員也不笨，一定是收到之前收過或熟悉的email和業務內容才會回應，」不具名資安顧問認為，面對越來越複雜的網路世界，企業都必須要改變傳統資安防䕶以組織邊界為範圍的觀念，必須要改用服務流程和Cyberspace作為界線，才可能做到比較完整的防護。

  iThomeSecurity 熱門新聞 【資安週報】2021年11月22日至26日 2021-11-26 Linux木馬CronRAT躲在2月31日行事曆中竊取電商消費者資訊 2021-11-26 HITCON2021擴大國際與政府合作，總統蔡英文鼓勵資安人才培育並揭露產業資安推動現況 2021-11-26 【資安日報】2021年11月26日 2021-11-26 美國禁止量子電腦技術輸出中國機構 2021-11-26 AWS以Fedora為底層發布AmazonLinux3 2021-11-26 防護不足的系統多快淪陷？根據資安廠商誘捕系統發現，高達8成在24小時內遭侵入 2021-11-25 Martech雙周報第13期：資生堂自建資料平臺彙整各管道顧客數據，更大力採用Line行銷工具與顧客溝通 2021-11-26 Advertisement iThomeSecurity 2021iThome鐵人賽 專題報導 Line2021AI生產力大改造 中國信託服務力的進化 Julia資料科學新女神降臨 公有雲物件儲存服務2021總覽 Google雲打包進企業 更多專題報導