駭客鎖定台灣金融機構出擊,金融資安資訊分享與分析中心(F-ISAC)揭露,去年起包括元大證、元富證、台新網銀、中華郵政及國泰世華銀都曾被駭客鎖定過,更迫使金融機構動起來「除害」。
駭客常用手法包括傳簡訊,內含釣魚網址,釣魚網站做的像官網,如果用戶將資訊輸入,就會中了駭客圈套;另外,也會偽造金融機構行動應用程式,讓分不清楚的用戶下載。
根據金融資安資訊分享與分析中心公開資料,去年起到今年,國泰世華銀、中華郵政公開網站都出現疑似偽冒,元富證券、永豐金證券、元大證券投資行動應用程式也出現疑似偽冒,至少五家以上金融機構中獎,不過這些偽冒網站目前大部分已經失效。
另外,國泰世華銀、中華郵政也被偽冒寄送釣魚簡訊給客戶,竊取個人敏感性資料,國泰世華銀曾大動作對外示警,指出已發現有詐騙集團假冒國泰世華銀名義發布不實簡訊,以「您的銀行帳戶顯示異常,請立即登入綁定用戶資料,否則帳戶將凍結使用」,並附上網址連結,要求客戶登入網路銀行綁定用戶資料,企圖竊取客戶網路銀行用戶代碼及密碼,且已有客戶受害。
凡此種種,迫使金融機構加強自身資安,如遠東銀行近期推出的運用Open API技術與《遠傳電信friDay理財+》App串連客戶資料,授權連結遠東商銀帳務,將存款帳戶與信用卡帳單整合在單一App中,包含帳戶餘額、帳戶明細、信用卡帳單額度及消費明細,無須反覆開啟登入,該App獲得ISO/IEC 27001資安標準及國際公正第三方安全認證。
金管會去年就曾依據金融資安資訊分享與分析中心發布的訊息,要求金融機構注意駭客組織偽冒金融機構往來企業人員,寄送電子郵件給金融機構窗口要求轉帳至特定帳戶,避免金融機構內部人員未依內部規定向客戶進行確認即匯出款項,以強化資安防護。
