臺銀海外分行爆發商業電郵詐騙千萬,臺銀列為人為疏失
文章推薦指數: 80 %
臺灣銀行洛杉磯分行因為員工在家上班,導致匯款流程未再確認,遭到電子商業郵件詐騙千萬元。
. 臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件 ...
移至主內容
按讚加入iThome粉絲團
文/黃彥棻
|
2020-05-13發表
臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件,該分行行員收到往來客戶要進行匯款轉帳的的電子郵件,因為實施居家辦公無法轉帳,便將該封匯款郵件轉到分行承做,不過,該指示匯款電郵與原本客戶電郵有一個字母差異,在分行並未確認匯款資料正確性便進行轉帳,導致該分行遭到詐騙約美金45萬美元(約新臺幣1,350萬元)。
雖然說,該起事件是因為洛杉磯下達禁足令,導致許多行業很多員工都必須在家上班,但不具名資安顧問卻認為,不應該以「在家上班」模糊事件焦點。
他指出,Email電子郵件是串連銀行內部與外部連繫的重要管道,傳統資安防護措施置重兵於組織邊界的作法,未來將更難應付駭客精心設計的釣魚郵件。
該名資安顧問則建議,銀行可以師法國外推動DMARC(Domain-basedMessageAuthentication,Reporting&Conformance)等作法,來降低釣魚郵件的威脅。
臺銀確認為人為疏失,金管會要求強化資安及內控要求
根據媒體報導,臺灣銀行將此事資安事件列為人為疏失,主要關鍵在於針對客戶資訊核對有疏漏且沒有落實照會機制,而資訊部門也查閱分行的資訊設備,初步排除駭客入侵銀行內部、竊取客戶資料。
金管會在接獲臺灣銀行通報該起偶發重大事件後,也要求各銀行必須要落實相關的資安及內控要求,包括落實社交工程演練、強化使用者資安意識;針對交易指示簽名以及電子郵件加強核對,對一定金額以上交易需先跟客戶確認並留存記錄。
這類電子郵件詐騙事件一般稱之為BEC(BusinessE-mailCompromise,商業電子郵件詐騙),光是今年3月武漢肺炎疫情期間,美國FBI旗下的網路犯罪投訴中心(IC3)就收到超過1,200筆與武漢肺炎詐騙有關的投訴,FBI則呼籲企業應該留意商業電子郵件的詐騙。
即便相關呼籲言猶在耳,即便各種SOP都有明確規範,但只要操作過程中有一個不小心,電子郵件中的l(小寫L)和I(大寫I),6(數字6)和b(小寫B),0(數字0)和O(大寫O)等,都可能會因為疏忽而導致錯誤發生。
仿效國外企業推動DMARC,降低接到釣魚郵件機率
不具名資安顧問表示,電子郵件易攻難守,通訊協定(Emailprotocol)本身就有弱點,即便一些電子郵件防護設備會檢查惡意程式、連結、附檔,或者是阻擋黑名單等,但對BEC而言,這些都未必有效。
他更直言,很多資安保險並不理賠BEC資安事件,因為嚴格來說,這是「被騙」不是「被駭」。
不具名資安顧問指出,為了阻絕這類垃圾郵件或釣魚郵件,國外企業推動DMARC,透過確認發送電子郵件Domain的正確性,降低用戶收到垃圾郵件及釣魚郵件的機率,即便是Gmail商用版電郵GSuite,也已經支援DMARC。
不過,他也認為,雖然DMARC可以降低BEC,但包括通訊商等ISP業者,也都要一起努力才行。
「臺銀洛杉磯分行的行員也不笨,一定是收到之前收過或熟悉的email和業務內容才會回應,」不具名資安顧問認為,面對越來越複雜的網路世界,企業都必須要改變傳統資安防䕶以組織邊界為範圍的觀念,必須要改用服務流程和Cyberspace作為界線,才可能做到比較完整的防護。
iThomeSecurity
熱門新聞
【資安週報】2021年11月22日至26日
2021-11-26
Linux木馬CronRAT躲在2月31日行事曆中竊取電商消費者資訊
2021-11-26
HITCON2021擴大國際與政府合作,總統蔡英文鼓勵資安人才培育並揭露產業資安推動現況
2021-11-26
【資安日報】2021年11月26日
2021-11-26
美國禁止量子電腦技術輸出中國機構
2021-11-26
AWS以Fedora為底層發布AmazonLinux3
2021-11-26
防護不足的系統多快淪陷?根據資安廠商誘捕系統發現,高達8成在24小時內遭侵入
2021-11-25
Martech雙周報第13期:資生堂自建資料平臺彙整各管道顧客數據,更大力採用Line行銷工具與顧客溝通
2021-11-26
Advertisement
iThomeSecurity
2021iThome鐵人賽
專題報導
Line2021AI生產力大改造
中國信託服務力的進化
Julia資料科學新女神降臨
公有雲物件儲存服務2021總覽
Google雲打包進企業
更多專題報導
延伸文章資訊
- 1服務據點 - 台灣銀行
服務據點. 臺灣銀行公教保險部 電話:(02)27013411 傳真:(02)27015622 Email:[email protected] 回公保服務首頁. 臺灣銀行公教保險部. ...
- 2台灣銀行
9, 6, 台北市, 城中分行, 鄭秀子, 02-23218934#215, [email protected]. 10, 7, 台北市, 金山分行, 顧劍玉, 02-23413006...
- 3首頁: 臺灣企銀
... 中小企業網路大學校 · 財團法人台灣中小企業聯合輔導基金會 · 財團法人中華民國全國青年創業總會 · 中國輸出入銀行 · 法務部防制洗錢及打擊資恐專區 ...
- 4銀行代號銀行名稱電話電子郵件4 台灣銀行(02)2349-3453 ...
銀行名稱. 電話. 電子郵件. 4 台灣銀行. (02)2349-3453. [email protected]. 5 台灣土地銀行. (02)2348-3327. 069201@la...
- 5網路銀行| 常見問題 - 滙豐(台灣)
採用密碼保護的加密小精靈滙豐(台灣)銀行的加密小精靈是採用密碼保護的獨特裝置。 ... 可直接至本行網站之信用卡網路服務,點選即時通知服務之『email 即時通知設定』 ...