行員居家辦公遭詐騙 金管會 要求加強兩大資安
有公股海外分行因防疫讓行員居家辦公,結果竟遭詐騙數十萬美元。金管會銀行局7日表示,本案發生在國銀歐美海外分行,主要是因電子郵件地址一個字母不同,銀行未覈對出來而被詐騙,針對該案已在4月30日要求金融資安資訊分享與分析中心(F-ISAC)發佈「會員機構海外分行遭受商業電子郵件詐騙事件」警訊,並作兩大資安內控措施。
由於該案金額不小,這家銀行海外分行除向當地警方報案外,也依規定向金管會通報重大偶發事件。
銀行局官員指出,金管會轉知各銀行在疫情期間居家辦公,應確實落實執行相關資安及內控要求,應注意兩大事項。
第一是銀行公會所訂「金融機構辦理電腦系統資訊安全評估辦法」,已規定金融機構每年應至少一次針對使用電腦系統人員,在安全監控範圍內,寄發演練郵件,加強資通安全教育,以防範惡意程式透過社交方式入侵。
金融機構在疫情期間,更應確實落實社交工程演練及資通安全教育訓練,強化使用者資安認知及警覺,避免居家辦公人員成爲犯罪組織社交工程攻擊的目標。
第二是爲加強管控疫情期間的匯款交易,對於交易指示的簽名及電子郵件位址,必須仔細覈對,以免部分員工居家辦公、執行交易人力減少,導致未能及時察覺僞冒匯款交易指示。