银行业安全意识薄弱!恶作剧电子邮件成功骗到高盛和花旗CEO

必须经常面对大量金流的金融产业，向来被视为对资安最重视的一环，但最近华尔街一些大型银行高层却中了一个恶作剧电子邮件的骗局，这也连带揭露出银行业对网络资讯安全防备不足的问题。

华尔街日报报道，高盛集团的CEO Lloyd Blankfein、花旗集团的CEO Michael Corbat 和个人金融银行业务负责人 Stephen Bird 日前收到了一封电子邮件，是一位匿名人士假扮成该家银行高层寄送，在全然未知的情况下，三人一如往常的回复了这封恶作剧邮件。

其中花旗银行的两人接到的是董事长 Michael O’Neill 的来信，信件是关于个人交流，与银行业务和财务工作无关，CEO Corbat 只是回了封简短的信件，但 Bird 则是和“董事长”进行了一系列的信件往来。

匿名人士随后在推特上发布了相关邮件往来的截图，高盛和花旗也确认了截图的真实性。类似事情其实已经不是第一次发生，在 5 月时，巴克莱银行（Barclays）CEO Jes Staley 和英国央行行长 Mark Carney 也遭遇了类似事情。

这些恶作剧邮件的与“网络钓鱼”的手法类似，透过 Google 文件共享、密码重置请求等看起来无害的电子邮件内容，尝试诱导用户点击恶意连结，或采取其他方式来获得重要资讯。

或许该说幸运的是，这些高层在回复时并没有透漏敏感资讯，这位匿名恶作剧者似乎也只是想让银行出糗，并没有获取机密讯息或植入病毒的意图，但这也让人担忧在防范网络骗局方面，银行业是不是还没有做好充分的准备。

如果华尔街的银行家能够被这些匿名者的“无害”恶作剧骗到，那么“有害”的情况只怕某天也将会上演，就像是 2016 年美国民主党全国委员会（DNC）被黑客窃取资料的事件，当时就是一封要求重置密码的假邮件，让当时的总统候选人希拉里选情陷入危机。

根据联邦调查局（FBI）的统计，在 2013 年 10 月至 2016 年 2 月间，商业电子邮件的诈骗事件就较先前增加了 270%，约 1.7 万名受害者收到了高层主管要求的诈欺性汇款或交易，损失累计超过 23 亿美元。

咨询公司 Synechron 的总经理 Sandeep Kumar 表示，现在的企业经常都有着多层次的安全及过滤功能，因此CEO都希望许多事情由自己出面做出回应，像是发送推特或回覆电子邮件。

“但问题在于，有些邮件就是会偷溜进来，而一些人就是会被诱惑去点击错误的连结，或是回信给错误的人。”