臺銀海外分行爆發商業電郵詐騙千萬，臺銀列為人為疏失，金管會要求加強控管

臺灣銀行洛杉磯分行日前向金管會通報4月24日爆發資安事件，該分行行員收到往來客戶要進行匯款轉帳的的電子郵件，因為實施居家辦公無法轉帳，便將該封匯款郵件轉到分行承做，不過，該指示匯款電郵與原本客戶電郵有一個字母差異，在分行並未確認匯款資料正確性便進行轉帳，導致該分行遭到詐騙約美金45萬美元（約新臺幣1,350萬元）。

雖然說，該起事件是因為洛杉磯下達禁足令，導致許多行業很多員工都必須在家上班，但不具名資安顧問卻認為，不應該以「在家上班」模糊事件焦點。他指出，Email電子郵件是串連銀行內部與外部連繫的重要管道，傳統資安防護措施置重兵於組織邊界的作法，未來將更難應付駭客精心設計的釣魚郵件。該名資安顧問則建議，銀行可以師法國外推動DMARC（Domain-based Message Authentication, Reporting & Conformance）等作法，來降低釣魚郵件的威脅。

臺銀確認為人為疏失，金管會要求強化資安及內控要求

根據媒體報導，臺灣銀行將此事資安事件列為人為疏失，主要關鍵在於針對客戶資訊核對有疏漏且沒有落實照會機制，而資訊部門也查閱分行的資訊設備，初步排除駭客入侵銀行內部、竊取客戶資料。

金管會在接獲臺灣銀行通報該起偶發重大事件後，也要求各銀行必須要落實相關的資安及內控要求，包括落實社交工程演練、強化使用者資安意識；針對交易指示簽名以及電子郵件加強核對，對一定金額以上交易需先跟客戶確認並留存記錄。

這類電子郵件詐騙事件一般稱之為BEC（Business E-mail Compromise，商業電子郵件詐騙），光是今年3月武漢肺炎疫情期間，美國FBI旗下的網路犯罪投訴中心（IC3）就收到超過1,200筆與武漢肺炎詐騙有關的投訴，FBI則呼籲企業應該留意商業電子郵件的詐騙。

即便相關呼籲言猶在耳，即便各種SOP都有明確規範，但只要操作過程中有一個不小心，電子郵件中的l（小寫L）和I（大寫I），6（數字6）和b（小寫B），0（數字0）和O（大寫O）等，都可能會因為疏忽而導致錯誤發生。

仿效國外企業推動DMARC，降低接到釣魚郵件機率

不具名資安顧問表示，電子郵件易攻難守，通訊協定（Email protocol）本身就有弱點，即便一些電子郵件防護設備會檢查惡意程式、連結、附檔，或者是阻擋黑名單等，但對BEC而言，這些都未必有效。他更直言，很多資安保險並不理賠BEC資安事件，因為嚴格來說，這是「被騙」不是「被駭」。

不具名資安顧問指出，為了阻絕這類垃圾郵件或釣魚郵件，國外企業推動DMARC，透過確認發送電子郵件Domain的正確性，降低用戶收到垃圾郵件及釣魚郵件的機率，即便是Gmail商用版電郵G Suite，也已經支援DMARC。不過，他也認為，雖然DMARC可以降低BEC，但包括通訊商等ISP業者，也都要一起努力才行。

「臺銀洛杉磯分行的行員也不笨，一定是收到之前收過或熟悉的email和業務內容才會回應，」不具名資安顧問認為，面對越來越複雜的網路世界，企業都必須要改變傳統資安防䕶以組織邊界為範圍的觀念，必須要改用服務流程和Cyberspace作為界線，才可能做到比較完整的防護。