银行居家办公爆发首桩诈骗案! 台银逾千万元损失追不回来
新冠肺炎(COVID-19)疫情肆虐,传出本国银行因为防疫居家办公,却被骇客假冒是银行往来客户,以电子邮件(mail)指示转帐方式骗走45万美元(换算约新台币1,358万元),金管会银行局今(7)日表示,因为已经转帐到海外的帐户,所以汇出的金额已经无法追回,根据了解,该受害银行为台银的洛杉矶分行,台银已经在当地配合调查。
金管会今日表示,这次诈骗案件发生在本国银行的海外分行,是因为骇客利用电子邮件字母只有一个差异没有核对出来,所以成功诈骗。
金管会解释,这次的案件过程是,诈骗者透过mail指示汇款,因为mail字母只差一个字母,承办人员居家办公无法帮该业务转汇,所以转往分行,但是分行也未察觉出来,所以就依照指示汇款。
金管会表示,诈骗者第一次成功后,再指示一次,但是该银行认为与该客户的交易习惯不同,所以再进行确认,才发现遭到诈骗。
依照国内情况,银行应该要报警,然后冻结该帐户,但是因为该事件是发生在海外分行,所以要看当地是否有相关的防御机制。金管会表示,但是此案与中油及台塑被骇客入侵类型不同,而且银行也要保障客户的权益,赔偿损失。
金管会表示,已经督导F-ISAC针对此案发布「会员机构海外分行遭受商业电子邮件诈骗事件」警讯,并提出相关建议措施。银行公会所订「金融机构办理电脑系统资讯安全评估办法」以规定金融机构每年应至少一次针对使用电脑系统人员,在安全监控范围内,寄发演练邮件加强资通安全教育,以期防范恶意程式透过社交方式入侵。金融机构在疫情期间,更应该确实落实社交工程演练及资通安全教育训练,等到强化使用者资安认知及警觉,避免居家办公人员成为犯罪组织社交工程攻击的目标。
为加强管控疫情期间的汇款交易,对于交易指示的签名及电子邮件位址,须仔细核对,以免部分员工居家办公、执行交易人力减少,导致未能及时察觉伪冒汇款交易指示,金融机构对于非面对面一定金额以上交易,或有短期密集等不寻常交易特征者,应另有人员向客户确认交易的程序才可以执行并留存纪录。