行员居家办公遭诈骗 金管会 要求加强两大资安

有公股海外分行因防疫让行员居家办公，结果竟遭诈骗数十万美元。金管会银行局7日表示，本案发生在国银欧美海外分行，主要是因电子邮件地址一个字母不同，银行未核对出来而被诈骗，针对该案已在4月30日要求金融资安资讯分享与分析中心（F-ISAC）发布「会员机构海外分行遭受商业电子邮件诈骗事件」警讯，并作两大资安内控措施。

由于该案金额不小，这家银行海外分行除向当地警方报案外，也依规定向金管会通报重大偶发事件。

银行局官员指出，金管会转知各银行在疫情期间居家办公，应确实落实执行相关资安及内控要求，应注意两大事项。

第一是银行公会所订「金融机构办理电脑系统资讯安全评估办法」，已规定金融机构每年应至少一次针对使用电脑系统人员，在安全监控范围内，寄发演练邮件，加强资通安全教育，以防范恶意程式透过社交方式入侵。

金融机构在疫情期间，更应确实落实社交工程演练及资通安全教育训练，强化使用者资安认知及警觉，避免居家办公人员成为犯罪组织社交工程攻击的目标。

第二是为加强管控疫情期间的汇款交易，对于交易指示的签名及电子邮件位址，必须仔细核对，以免部分员工居家办公、执行交易人力减少，导致未能及时察觉伪冒汇款交易指示。