必須經常面對大量金流的金融產業,向來被視為對資安最重視的一環,但最近華爾街一些大型銀行高層卻中了一個惡作劇電子郵件的騙局,這也連帶揭露出銀行業對網路資訊安全防備不足的問題。
華爾街日報報導,高盛集團的執行長 Lloyd Blankfein、花旗集團的執行長 Michael Corbat 和個人金融銀行業務負責人 Stephen Bird 日前收到一封電子郵件,是一位匿名人士假扮成該家銀行高層寄送,在全然未知的情況下,三人一如往常的回覆這封惡作劇郵件。
其中花旗銀行的兩人接到的是董事長 Michael O’Neill 的來信,信件是關於個人交流,與銀行業務和財務工作無關,執行長 Corbat 只回了封簡短的信件,但 Bird 則是和「董事長」進行了一系列信件往來。
匿名人士隨後在推特上發表了郵件往來的截圖,高盛和花旗也確認了截圖的真實性。類似事情其實已經不是第一次發生,在 5 月時,巴克萊銀行(Barclays)執行長 Jes Staley 和英國央行行長 Mark Carney 也遭遇類似事情。
這些惡作劇郵件與「網路釣魚」手法類似,透過 Google 文件共享、密碼重置請求等看起來無害的電子郵件內容,嘗試誘導用戶點擊惡意連結,或採取其他方式來獲得重要資訊。
或許該說幸運的是,這些高層在回覆時並沒有透露敏感資訊,這位匿名惡作劇者似乎也只是想讓銀行出糗,並沒有獲取機密訊息或植入病毒的意圖,但這也讓人擔憂在防範網路騙局方面,銀行業是不是還沒有做好充分準備。
如果華爾街銀行家能夠被這些匿名者的「無害」惡作劇騙到,那麼「有害」的情況只怕某天也將會上演,就像是 2016 年美國民主黨全國委員會(DNC)被駭客竊取資料的事件,就只一封要求重置密碼的假郵件,讓當時總統候選人希拉蕊選情陷入危機。
根據聯邦調查局(FBI)的統計,在 2013 年 10 月至 2016 年 2 月間,商業電子郵件的詐騙事件較先前增加了 270%,約 1.7 萬名受害者收到高層主管要求的詐欺性匯款或交易,損失累計超過 23 億美元。
諮詢公司 Synechron 的總經理 Sandeep Kumar 表示,現在企業經常都有多層安全及過濾功能,因此執行長都希望許多事情由自己出面回應,像是發推特或回覆電子郵件。
「但問題在於,有些郵件就是會偷溜進來,而一些人就是會被誘惑去點擊錯誤的連結,或是回信給錯誤的人。」
(本文由 TechNews 授權轉載)