Credit image: Freepix
Bongkar Taktik 4 Tahap Penipuan BEC – Serangan Business Email Compromise (BEC) adalah salah satu jenis penipuan siber yang paling merugikan perusahaan.
Serangan ini memerlukan usaha dan waktu, melibatkan pertukaran beberapa email untuk meyakinkan target agar menyetujui transfer uang dalam jumlah besar ke rekening penipu.
Secara umum, ada empat langkah utama dalam serangan BEC, dari awal hingga transfer dana sukses, yakni:
- Mengidentifikasi Target.
- Pembentukan Kepercayaan (Grooming).
- Pertukaran Informasi Pembayaran.
- Transfer Dana.
Berikut pemaparannya lebih lanjut mengenai empat langkah yang dilakukan oleh penjahat siber saat melakukan serangan BEC.
|
Baca juga: Meminimalisir Risiko Serangan BEC |
1. Mengidentifikasi Target Korban
Tahap ini mungkin yang paling memakan waktu. Kelompok kriminal akan melakukan riset mendalam untuk menyusun profil perusahaan yang akurat:
- Mereka menyisir informasi yang tersedia untuk umum di LinkedIn, Facebook, Google, dan situs lain. Mereka mencari nama dan jabatan para eksekutif atau karyawan yang memiliki akses ke data keuangan atau catatan karyawan.
- Penipu mengamati media sosial, artikel online, dan apa pun yang memberikan detail spesifik tentang perusahaan.
- Penipu yang berhasil menyusup ke jaringan perusahaan dengan malware bisa menghabiskan waktu berminggu-minggu atau berbulan-bulan untuk memantau: Informasi vendor, sistem penagihan dan pembayaran, lalu Jadwal liburan karyawan (saat eksekutif sedang lengah).
- Mereka bahkan memantau gaya penulisan eksekutif (misalnya, CEO) untuk membuat email palsu yang sangat meyakinkan, sering kali menggunakan alamat email yang dimanipulasi (spoofed) atau domain yang mirip.
2. Pembentukan Kepercayaan
Berbekal informasi dari Tahap 1, penipu beralih ke Tahap 2, yaitu pembentukan kepercayaan. Tujuannya adalah menargetkan karyawan yang memiliki akses ke keuangan perusahaan:
- Taktik Social Engineering: Penipu menggunakan spear-phishing, panggilan telepon, atau taktik manipulasi sosial lainnya.
- Membangun Kepercayaan: Proses ini seringkali memakan waktu beberapa hari pertukaran komunikasi untuk membangun kepercayaan.
- Tekanan Otoritas: Selama fase ini, penipu menyamar sebagai CEO atau eksekutif lain, menggunakan otoritas palsu mereka untuk menekan karyawan agar bertindak cepat (sense of urgency), seringkali dengan dalih “transaksi rahasia” atau “pembayaran mendesak.”
Contoh Penipuan: Penjahat siber sering menggunakan pemalsuan nama tampilan (display name spoofing) untuk menyamar sebagai pendiri atau CEO perusahaan.
Mereka mungkin menggunakan alamat email gratis (seperti domain comcast.net atau yang serupa), yang mudah terlewatkan jika dilihat melalui perangkat seluler.
|
Baca juga: Serangan BEC Ancam Setiap Mailbox Perusahaan |
3. Pertukaran Informasi Pembayaran
Pada Tahap 3, korban sudah yakin bahwa mereka sedang melakukan transaksi bisnis yang sah.
- Setelah korban yakin, penipu mengirimkan instruksi rinci untuk melakukan transfer dana (biasanya wire transfer atau transfer kawat) ke rekening bank yang dikendalikan oleh organisasi kriminal.
- Penipu telah berhasil meyakinkan korban bahwa seluruh proses ini adalah bagian dari operasional bisnis yang normal dan mendesak.
4. Transfer Dana (Payment)
Ini adalah tahap akhir: dana ditransfer dan disimpan ke rekening bank yang sepenuhnya dikendalikan oleh organisasi kriminal. Pada titik ini, uang tersebut akan segera dicairkan atau dipindahkan ke rekening lain, membuatnya sangat sulit untuk dilacak dan dikembalikan.
Yang Harus Dilakukan Jika Menjadi Korban
Jika Anda menderita kerugian akibat skema Business Email Compromise, bertindak cepat adalah kuncinya:
- Hubungi Institusi Keuangan Anda Segera: Beri tahu bank Anda tentang transfer dana yang curang tersebut.
- Minta Bantuan Bank: Mintalah institusi keuangan Anda untuk segera menghubungi bank penerima dana curang tersebut.
- Laporkan kepada Aparat: Hubungi kantor polisi atau lembaga investigasi kejahatan siber setempat Anda (seperti Bareskrim Polri atau institusi terkait) dan laporkan insiden tersebut.
- Ajukan Pengaduan Resmi: Di Amerika Serikat, korban dapat mengajukan keluhan ke FBI’s Internet Crime Complaint Center (IC3). Di Indonesia, Anda bisa melapor melalui jalur pengaduan resmi dari BSSN (Badan Siber dan Sandi Negara) atau Ditipidsiber Bareskrim Polri.
Dengan memahami empat tahap ini, perusahaan dapat memperkuat pelatihan karyawannya, terutama tim keuangan dan HR, untuk mengenali setiap bendera merah di setiap fase serangan.
Sumber berita:
