必须经常面对大量金流的金融产业,向来被视为对资安最重视的一环,但最近华尔街一些大型银行高层却中了一个恶作剧电子邮件的骗局,这也连带揭露出银行业对网络资讯安全防备不足的问题。
华尔街日报报导,高盛集团的首席执行官 Lloyd Blankfein、花旗集团的首席执行官 Michael Corbat 和个人金融银行业务负责人 Stephen Bird 日前收到一封电子邮件,是一位匿名人士假扮成该家银行高层寄送,在全然未知的情况下,三人一如往常的回复这封恶作剧邮件。
其中花旗银行的两人接到的是董事长 Michael O’Neill 的来信,信件是关于个人交流,与银行业务和财务工作无关,首席执行官 Corbat 只回了封简短的信件,但 Bird 则是和“董事长”进行了一系列信件往来。
匿名人士随后在推特上发表了邮件往来的截图,高盛和花旗也确认了截图的真实性。类似事情其实已经不是第一次发生,在 5 月时,巴克莱银行(Barclays)首席执行官 Jes Staley 和英国央行行长 Mark Carney 也遭遇类似事情。
这些恶作剧邮件与“网络钓鱼”手法类似,透过 Google 文件共享、密码重置请求等看起来无害的电子邮件内容,尝试诱导用户点击恶意连结,或采取其他方式来获得重要资讯。
或许该说幸运的是,这些高层在回复时并没有透露敏感资讯,这位匿名恶作剧者似乎也只是想让银行出糗,并没有获取机密讯息或植入病毒的意图,但这也让人担忧在防范网络骗局方面,银行业是不是还没有做好充分准备。
如果华尔街银行家能够被这些匿名者的“无害”恶作剧骗到,那么“有害”的情况只怕某天也将会上演,就像是 2016 年美国民主党全国委员会(DNC)被骇客窃取资料的事件,就只一封要求重置密码的假邮件,让当时总统候选人希拉里选情陷入危机。
根据联邦调查局(FBI)的统计,在 2013 年 10 月至 2016 年 2 月间,商业电子邮件的诈骗事件较先前增加了 270%,约 1.7 万名受害者收到高层主管要求的诈欺性汇款或交易,损失累计超过 23 亿美元(约台币 691 亿元)。
咨询公司 Synechron 的总经理 Sandeep Kumar 表示,现在企业经常都有多层安全及过滤功能,因此首席执行官都希望许多事情由自己出面回应,像是发推特或回复电子邮件。
“但问题在于,有些邮件就是会偷溜进来,而一些人就是会被诱惑去点击错误的连结,或是回信给错误的人。”
- Goldman’s Blankfein, Citi’s Corbat Duped by Email Prankster
(首图来源:Flickr/Christoph Scholz CC BY 2.0)
延伸阅读:
- 被勒索、泄个资事件频传,美企业都在抢资安长
- 英国政府资安报告:网络诈欺与勒索软件是企业最大威胁
