必须经常面对大量金流的金融产业,向来被视为对资安最重视的一环,但最近华尔街一些大型银行高层却中了一个恶作剧电子邮件的骗局,这也连带揭露出银行业对网路资讯安全防备不足的问题。
华尔街日报报导,高盛集团的董事长Lloyd Blankfein、花旗集团的董事长Michael Corbat 和个人金融银行业务负责人Stephen Bird 日前收到了一封电子邮件,是一位匿名人士假扮成该家银行高层寄送,在全然未知的情况下,三人一如往常的回复了这封恶作剧邮件。
其中花旗银行的两人接到的是董事长Michael O'Neill 的来信,信件是关于个人交流,与银行业务和财务工作无关,董事长Corbat 只是回了封简短的信件,但Bird 则是和「董事长」进行了一系列的信件往来。
匿名人士随后在推特上发布了相关邮件往来的截图,高盛和花旗也确认了截图的真实性。类似事情其实已经不是第一次发生,在5 月时,巴克莱银行(Barclays)董事长Jes Staley 和英国央行行长Mark Carney 也遭遇了类似事情。
这些恶作剧邮件的与「网路钓鱼」的手法类似,透过Google 文件共享、密码重置请求等看起来无害的电子邮件内容,尝试诱导用户点击恶意连结,或采取其他方式来获得重要资讯。
或许该说幸运的是,这些高层在回复时并没有透漏敏感资讯,这位匿名恶作剧者似乎也只是想让银行出糗,并没有获取机密讯息或植入病毒的意图,但这也让人担忧在防范网路骗局方面,银行业是不是还没有做好充分的准备。
如果华尔街的银行家能够被这些匿名者的「无害」恶作剧骗到,那么「有害」的情况只怕某天也将会上演,就像是2016 年美国民主党全国委员会(DNC)被骇客窃取资料的事件,当时就是一封要求重置密码的假邮件,让当时的总统候选人希拉蕊选情陷入危机。
根据联邦调查局(FBI)的统计,在2013 年10 月至2016 年2 月间,商业电子邮件的诈骗事件就较先前增加了270%,约1.7 万名受害者收到了高层主管要求的诈欺性汇款或交易,损失累计超过23 亿美元(约台币691 亿元)。
咨询公司Synechron 的总经理Sandeep Kumar 表示,现在的企业经常都有着多层次的安全及过滤功能,因此董事长都希望许多事情由自己出面做出回应,像是发送推特或回覆电子邮件。
「但问题在于,有些邮件就是会偷溜进来,而一些人就是会被诱惑去点击错误的连结,或是回信给错误的人。」
