Adagium lama mengatakan bahwa manusia adalah titik terlemah dalam keamanan siber, terlebih lagi dalam ancaman email. Mereka merupakan jalan masuk untuk mendapatkan keuntungan besar, hanya dengan memanfaatkan social engineering.
Phising adalah contoh paling jelas dari upaya semacam itu, dan ada satu jenis kejahatan dunia maya tertentu yang sering memanfaatkan pesan phising yang ditargetkan dan telah menjadi kegiatan kriminal populer selama beberapa tahun terakhir, yakni: Business Email Compromise (BEC).
FBI Internet Crime Report 2021 menunjukkan bahwa jenis penipuan ini telah memberikan kerugian yang lebih besar pada korban daripada jenis kejahatan dunia maya lainnya.
|
Baca juga: 4 Kiat Menangani Business Email Compromise |
Sebahaya apa BEC?
Menurut laporan yang disebutkan di atas, yang dibuat oleh FBI Internet Crime Compliance Center (IC3), IC3 menerima 19.954 pengaduan BEC tahun lalu, sehingga menempatkannya sebagai jenis kejahatan paling populer kesembilan tahun ini, jauh di belakang phising (324.000) yang memimpin di puncak, non-pembayaran/non-pengiriman (82.000) dan pelanggaran data pribadi (52.000).
Namun, di balik hampir 20.000 laporan BEC itu, scammers menghasilkan US$2,4 miliar, sebuah nilai uang yang mencengangkan, jauh di depan penipuan investasi di tempat kedua (US$1,5 miliar) dan penipuan asmara (US$950 juta) posisi ketiga.
Itu berarti BEC menyumbang sekitar sepertiga (35%) dari total kerugian kejahatan dunia maya pada tahun 2021. Menariknya, tahun 2019, kerugian akibat BEC mencapai sekitar US$1,8 miliar dengan jumlah laporan ke FBI hampir mencapi 24.000 laporan. Hasil ini jika dibandingkan dengan tahun lalu bisa disimpulkan bahwa scammer dengan serangan yang lebih sedikit dapat menghasilkan banyak uang.
Cara kerja BEC
Mereka pasti telah menyempurnakan taktik mereka selama bertahun-tahun. Secara sederhana, BEC adalah jenis social engineering. Anggota tim keuangan biasanya ditargetkan oleh orang-orang yang menyamar sebagai eksekutif senior atau CEO yang menginginkan transfer uang mendesak, atau pemasok yang memerlukan pembayaran segera. Beberapa meminta transfer kawat, sementara yang lain meminta korban membeli kartu hadiah dan memberikan info yang relevan dengan mereka.
Kedengarannya tidak masuk akal, tapi penipuan semacam ini dapat berhasil karena biasanya korban ditekan untuk bertindak tanpa diberi waktu untuk memikirkan konsekuensi dari tindakan mereka, social engineering klasik. Dan hal ini hanya perlu berhasil sesekali untuk cukup memberikan hasil yang sepadan pada pelaku.
Modus operandi yang lebih canggih dengan scammer membajak kotak masuk perusahaan melalui serangan phising sederhana. Mereka mungkin menghabiskan beberapa minggu ke depan untuk mengumpulkan informasi intelijen tentang pemasok, jadwal pembayaran, dan tata letak faktur. Pada saat yang tepat, mereka kemudian akan masuk dengan faktur palsu yang mengharuskan perusahaan korban membayar pemasok biasa tetapi dengan rincian bank yang diperbarui.
Karena serangan ini tidak menggunakan malware, mereka lebih sulit dikenali oleh perusahaan, meskipun keamanan email yang didukung AI semakin baik dalam mendeteksi pola perilaku yang mencurigakan, untuk menunjukkan bahwa pengirim mungkin telah dipalsukan. Oleh karena itu, pelatihan kesadaran pengguna dan proses pembayaran yang diperbarui merupakan bagian penting dari pertahanan BEC berlapis.
BEC di masa depan
Berita buruknya adalah bahwa scammer masih terus berinovasi. FBI memperingatkan bahwa platform konferensi audio dan video deepfake digunakan untuk menipu organisasi atau perusahaan. Pertama, scammer membajak akun email dari pejabat penting di perusahaan seperti CEO atau CFO, dan mengundang karyawan untuk bergabung dalam rapat virtual. Laporan berlanjut:
“Dalam pertemuan itu, penipu akan menyisipkan gambar diam CEO tanpa audio, atau audio ‘deepfake’ di mana penipu, yang bertindak sebagai eksekutif bisnis, kemudian mengklaim audio/video mereka tidak berfungsi dengan baik. Penipu kemudian akan menggunakan platform pertemuan virtual untuk secara langsung menginstruksikan karyawan untuk melakukan transfer kawat atau menggunakan email eksekutif yang dikompromikan untuk memberikan instruksi.
Audio Deepfake telah digunakan untuk efek yang menghancurkan dalam dua kasus menonjol. Dalam satu kasus, seorang CEO Inggris ditipu untuk percaya bahwa bos Jermannya meminta transfer uang €220.000. Di tempat lain, Seorang manajer bank dari UEA ditipu untuk mentransfer US$35 juta atas permintaan ‘pelanggan’.
Teknologi semacam ini telah bersama kita untuk sementara waktu. Kekhawatirannya adalah bahwa sekarang cukup murah dan cukup realistis untuk menipu mata dan telinga ahli sekalipun. Prospek sesi konferensi video palsu tidak hanya menggunakan audio deepfake tetapi juga video, merupakan prospek yang mengkhawatirkan bagi CISO dan manajer risiko.
|
Baca juga: Perlindungan terhadap Serangan Email Palsu |
Cara mengatasi BEC
Aparat penegak hukum melakukan yang terbaik untuk mengganggu geng BEC di mana mereka beroperasi. Tetapi mengingat potensi keuntungan besar yang ditawarkan, penangkapan tidak akan lantas menghentikan begitu saja aktivitas ilegal mereka.
Itu sebabnya pencegahan selalu merupakan strategi terbaik. Organisasi harus mempertimbangkan hal-hal berikut:
- Berinvestasi dalam keamanan email tingkat lanjut yang memanfaatkan AI untuk membedakan pola email yang mencurigakan dan gaya penulisan pengirim.
- Perbarui proses pembayaran sehingga transfer kawat besar harus ditandatangani oleh dua petinggi.
- Periksa kembali setiap permintaan pembayaran dengan orang yang diduga membuat permintaan.
- Bangun BEC menjadi pelatihan kesadaran keamanan staf seperti dalam simulasi phising.
- Tetap perbarui tren terbaru di BEC dan pastikan untuk memperbarui kursus pelatihan dan langkah-langkah defensif yang sesuai.
|
Baca lainnya: |
