行员居家办公遭诈骗 金管会 要求加强两大资安
有公股海外分行因防疫让行员居家办公,结果竟遭诈骗数十万美元。金管会银行局7日表示,本案发生在国银欧美海外分行,主要是因电子邮件地址一个字母不同,银行未核对出来而被诈骗,针对该案已在4月30日要求金融资安资讯分享与分析中心(F-ISAC)发布「会员机构海外分行遭受商业电子邮件诈骗事件」警讯,并作两大资安内控措施。
由于该案金额不小,这家银行海外分行除向当地警方报案外,也依规定向金管会通报重大偶发事件。
银行局官员指出,金管会转知各银行在疫情期间居家办公,应确实落实执行相关资安及内控要求,应注意两大事项。
第一是银行公会所订「金融机构办理电脑系统资讯安全评估办法」,已规定金融机构每年应至少一次针对使用电脑系统人员,在安全监控范围内,寄发演练邮件,加强资通安全教育,以防范恶意程式透过社交方式入侵。
金融机构在疫情期间,更应确实落实社交工程演练及资通安全教育训练,强化使用者资安认知及警觉,避免居家办公人员成为犯罪组织社交工程攻击的目标。
第二是为加强管控疫情期间的汇款交易,对于交易指示的签名及电子邮件位址,必须仔细核对,以免部分员工居家办公、执行交易人力减少,导致未能及时察觉伪冒汇款交易指示。