Apa itu Business Email Compromise (BEC) dan Bagaimana Cara Kerjanya?

Cos'è un attacco BEC (Business Email Compromise) e come funziona

Kita sering mendengar bahwa email sudah mulai usang karena adanya media sosial tapi kenyataannya adalah kegunaan email terus berkembang. Riset dari The Radicati Group menunjukkan bahwa penggunaan email meningkat massal sampai ke jumlah 319,6 milyar email yang dikirim dan diterima, per hari, di tahun 2021. Itu jumlah yang sangat banyak. Meskipun benar adanya bahwa kebanyakan dari jumlah tersebut adalah email spam atau yang tidak diinginkan, email tetap menjadi cara mudah untuk berkomunikasi dengan staff internal dan rekan bisnis eksternal dan pelanggan.

Oleh karena email merupakan bagian yang berguna dalam komunikasi bisnis, sering kali ini menjadi cara utama penjahat cyber mengincar individu dan organisasi. Kita telah melihat fenomena ini dengan adanya 76% dari bisnis yang mengalami serangan phishing.

Seperti biasanya, penjahat cyber adalah musuh yang licik dan akan menemukan banyak cara baru dan inovatif untuk menyebabkan serangan cyber. Metode serangan berbasis-email yang juga sangat berhasil adalah Business Email Compromise, atau pendeknya BEC. Dalam artikel ini, saya akan melihat pengertian dari BEC dan cara kita bisa mencoba melindungi bisnis kita dari serangan yang paling menyeramkan.


Business Email Compromise – Beberapa Contoh

Riset yang dilaksanakan oleh FBI yang fokus pada tiga tahun menjelang 2016, menemukan bahwa BEC adalah dalang di balik kerugian global sebesar $5,3 milyar USD. Beberapa contoh pihak yang menjadi korban dari penipuan BEC termasuk:

Perusahaan FACC Operations GMBH asal Austria: Perusahaan ini kehilangan 50 juta euro melalui penipuan BEC saat peretas berpura-pura sebagai CEO perusahaan, Walter Stephan, dalam email. Email palsu meminta dilakukannya transfer uang secara darurat – tentunya, uang tersebut langsung masuk ke akun bank peretas.

Perusahaan Xoom Corporation asal California: Penipuan BEC serupa terjadi pada FACC operations; kali ini uang sejumlah $30,8 juta USD yang dikirim ke akun peretas. Hal ini menyebabkan nilai saham perusahaan jatuh 17% setelah insiden terjadi.

Pembuat mainan, Mattel: Perusahaan ini memberikan lebih dari $3 juta USD ke penipu yang menggunakan teknik BEC untuk menipu organisasi tersebut supaya mengira transaksi keuangan itu sah.

Contoh-contoh ini menunjukkan besarnya skala masalah ini. Penipuan BEC bisa menyebabkan kerugian bagi sebuah perusahaan dalam skala jutaan. Ini sudah jadi alasan yang cukup untuk mempelajari BEC lebih lanjut.


Tampilan Penipuan BEC

Seperti halnya sebagian besar metode yang berhasil digunakan oleh penjahat cyber, BEC didasarkan pada tema umum yaitu manipulasi terhadap perilaku manusia dan penggunaan teknologi dalam prosesnya. Terminologi umum untuk hal ini adalah “social engineering”. Cara ini memanfaatkan keramahan manusia dan konektivitas dengan orang lain pada biasanya untuk mempengaruhi tujuan akhir dari kejahatan. Berikut beberapa cara penipu BEC bekerja.


Peniruan CEO

Shady CEO With MoustachePenipuan FACC Operations didasari pada penipuan email CEO. Hal ini bisa dilakukan baik dengan membajak akun aslinya atau menggunakan alamat email palsu untuk menipu orang lain supaya berpikir email itu sah. Pembajakan mencakup meretas ke akun email asli (dengan mencuri informasi login) dan mengambil alih. Spoofing adalah teknik yang lebih sederhana tapi bisa jadi kurang berhasil dibanding metode pertama. Namun, email yang dipalsukan bisa sangat sulit untuk dideteksi. Khususnya, jika penipu telah mengamati perilaku CEO dan jenis bahasa yang mereka gunakan. Alamat email palsu sangat mirip dengan alamat yang asli. Contohnya, mereka mengubah [email protected] ke [email protected] sehingga hanya orang teliti yang akan menyadari perbedaan domain tersebut.


Invoice Buruk

Peretas menggunakan teknik pengamatan untuk mengumpulkan informasi tentang cara kerja departemen keuangan sebuah perusahaan. Penjahat cyber akan menggunakan email spear phishing untuk menarget individu dalam departemen, mencuri informasi login akun email mereka. Lalu mereka akan mengamati pola invoice dan akhirnya mengirimkan invoice palsu untuk pembayaran atau menyesuaikan informasi pembayaran pada invoice yang sah.


Business Email Compromise dan Diri Kita

BEC merupakan cara lama. Penipuan ini berbasis pada metode manipulasi perilaku manusia. Penjahat menggunakan kombinasi trik psikologi dan pengetahuan untuk mendorong Anda supaya melakukan keinginan mereka. Berikut beberapa elemen penting yang mereka gunakan:


Pengawasan

Peretas BEC sering kali menghabiskan waktu untuk memahami cara kerja dan komunikasi di sebuah perusahaan dan individu. Mereka ingin membuat email mereka nanti terlihat senyata mungkin dan mirip dengan karyawan yang mereka tiru. Atas dasar alasan ini, mereka menggunakan kata-kata yang sama untuk membuat korban percaya kepada mereka.


Kepercayaan

Penipuan ini dibangun dari hubungan terpercaya. Sering kali peretas akan menggunakan hubungan terpercaya yang mereka ketahui, seperti antara seorang CEO dan Direktur Keuangan untuk memulai transfer uang. Jika kita percaya dengan orang yang meminta mereka untuk mengirim uang, kemungkinannya lebih tinggi bagi kita untuk melakukannya. Khususnya, jika bahasa dan kata yang mereka gunakan sama seperti biasanya.


Karyawan yang Baik

Penipuan BEC paling sering berhasil saat mereka menggunakan keterdesakan. Hal ini bisa memanipulasi keinginan seorang karyawan untuk melakukan kerja yang baik. Email palsu akan memiliki perintah aksi seperti “Mohon supaya transfer diproses sesegera mungkin; jika kita tidak memindahkan uangnya sampai jam 12 siang ini, kita akan kehilangan proyek besar”. Ketakutan bahwa diri mereka akan disalahkan jika transfer tidak dilakukan tepat waktu akan mendorong karyawan untuk patuh. Keterdesakan juga menyebabkan orang menjadi stress, membuat mereka kemungkinannya lebih rendah untuk menyadari pertanda bahwa hal ini sebenarnya adalah penipuan.


Cara Menghindari Penipuan BEC

Seperti layaknya semua ancaman cybersecurity, ada cara-cara untuk mengurangi resiko dan mengelabui penjahat cyber. Maka kami telah membuat daftar beberapa ide untuk tetap fokus, dan alhasil, terlindungi.


1. Kesadaran diri

Pertama, pastikan bahwa semua orang di perusahaan Anda, mulai dari dewan direktur sampai karyawan, sadar akan bahaya BEC dan cara penipuan itu bisa terjadi. Khususnya, jadikan area-area bisnis yang ditarget, seperti keuangan, sadar akan bahaya ini. Berlakukan pemeriksaan dan tindakan, seperti peraturan untuk melakukan panggilan telepon guna memeriksa kembali sebelum dilakukannya transfer jumlah uang yang besar.


2. Gunakan Autentikasi Email yang kokoh

Meskipun banyak penipuan BEC yang berbasis social engineering, ada beberapa penipuan yang meretas akun email. Jika memungkinkan, gunakan autentikasi dua-faktor (2FA) untuk mengakses akun email. Contohnya, sistem email seperti Gmail menawarkan hal ini menggunakan aplikasi mobile atau pesan teks SMS. Mohon catat bahwa pesan teks SMS 2FA punya beberapa isu keamanan. Maka, kode aplikasi mobile mungkin pilihan yang lebih aman.


3. Kuasai Domain Anda

Alamat email palsu yang digunakan penjahat, sering kali punya domain yang mirip dengan alamat email asli. Pastikan Anda membeli semua domain yang mirip dengan domain utama Anda. Alhasil, peretas tidak akan bisa menyalahgunakannya.


4. Tetap Higienis

Upaya kebersihan keamanan dasar seperti pencegahan malware seharusnya selalu dilakukan. Meskipun hal ini ditujukan bagi para individu, penting bahwa semua orang dalam perusahaan Anda sadar akan langkah-langkah kebersihan keamanan.


Kesan Akhir

Hal yang paling menakutkan dari Business Email Compromise adalah bahwa peretasnya menjadi mata-mata dan memanfaatkan perilaku kita sendiri. BEC bisa jadi kejahatan yang sangat merugikan, membuat bisnis bangkrut karena kerugian finansial yang disebabkannya. Bahkan kadang hasilnya bisa berupa pemecatan individu. Beberapa metode sederhana seperti kesadaran diri akan keamanan bisa membantu untuk meminimalisir kesempatan perusahaan Anda mendapat serangan dari kejahatan cyber yang merugikan ini.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.
Kumpulkan sebuah komentar
Kumpulkan sebuah komentar