Di halaman “Scam and Safety” situs web FBI, Business Email Compromises (BEC) didefinisikan sebagai salah satu kejahatan online yang paling merusak secara finansial dan dicatat bahwa serangan ini merugikan perusahaan rata-rata ratusan ribu dolar per tahun.
Selanjutnya, laporan baru-baru ini menemukan bahwa kerugian rata-rata dari serangan BEC transfer kawat adalah $80.183 pada kuartal kedua tahun 2020, meningkat 32% dibandingkan kuartal pertama.
Sementara para profesional dunia maya sudah familiar dengan apa yang ingin dicapai serangan BEC, terutama kerugian finansial tetapi juga reputasi.
Tetapi bagi mereka yang bertanggung jawab atas mitigasi ancaman email, ada beberapa contoh teknik serangan BEC yang jelas harus diketahui. Mengutip Sun Tzu, sebelum bisa mengalahkan musuh, Anda harus memahaminya terlebih dahulu.
Keuangan perusahaan di ujung tanduk
Serangan BEC dimulai dengan email phising yang dimaksudkan untuk membujuk penerima agar melakukan tugas dengan kedok aktivitas bisnis yang sah. Apa yang membuat mereka begitu efektif adalah bahwa email biasanya muncul dari pengirim yang tepercaya, seperti figur otoritas.
Biasanya, penjahat dunia maya akan meminta beberapa bentuk pembayaran moneter atau memasukkan kredensial untuk mencuri informasi pribadi karyawan atau data perusahaan yang sensitif, seperti formulir upah atau pajak, nomor Jaminan Sosial, dan informasi rekening bank.
Ada dua kelompok umum serangan BEC: spear-phishing, berisi tautan dan/atau lampiran berbahaya dan yang lebih umum serangan rekayasa sosial. Yang terakhir berupa cek ketersediaan karyawan, permintaan untuk tugas yang tidak spesifik, permintaan kupon hadiah, dan permintaan untuk setoran langsung, pembayaran, dan detail bank.
Karena email ini tidak mengandung tautan atau lampiran berbahaya, mereka mengabaikan perlindungan email tradisional, yang tidak mampu memblokir email karena teks yang dikandungnya.
Tiga jenis serangan BEC yang paling umum.
Penipuan CEO: Dalam hal ini, pelaku akan berpura-pura sebagai CEO perusahaan atau eksekutif perusahaan lain dalam upaya untuk menipu semua level karyawan, dari magang hingga akuntan hingga sumber daya manusia dan segala sesuatu di antaranya, untuk melakukan transfer kawat yang tidak sah atau mengirimkan rahasia informasi pajak.
Seringkali, bisa ada persilangan di sini menjadi serangan rekayasa sosial, yang menggunakan manipulasi psikologis untuk menipu orang agar membocorkan informasi rahasia atau menyediakan akses ke dana.
Biasanya, email penipuan CEO phising adalah rekayasa sosial, tetapi terkadang bisa berupa serangan spear phishing yaitu, pelaku menjadi CEO menipu karyawan untuk mengunduh file.
Pengambilalihan akun: Seperti disebutkan di atas, salah satu tujuan terbesar serangan siber adalah pengambilalihan akun. Ini adalah salah satu bentuk serangan BEC yang paling merusak dan melibatkan penggunaan email phising untuk meretas akun eksekutif atau karyawan dan kemudian menggunakan kualifikasi tersebut untuk meminta pembayaran faktur kepada vendor.
Pengambilalihan akun mungkin tidak terlihat merusak seperti serangan ransomware atau malware, tetapi mereka dapat menyebabkan kerugian finansial yang besar bagi perusahaan. Mereka juga hampir selalu memulai dengan serangan rekayasa sosial, meminta penerima untuk tugas yang tidak ditentukan atau untuk mengkompromikan informasi.
Kemudian pelaku sering mengintai selama berbulan-bulan tanpa terdeteksi di balik sistem, mempelajari pola komunikasi yang nantinya dapat mereka eksploitasi. Ekosistem ini jelas masih sangat rentan terhadap serangan peretasan dan phising, membuka celah bagi penjahat dunia maya untuk disalahgunakan.
Skema faktur palsu: FBI mencantumkan skema faktur palsu sebagai salah satu dari lima jenis utama penipuan BEC. Serangan ini biasanya menargetkan seseorang yang bekerja di departemen keuangan bisnis, seperti akuntan.
Pelaku akan mengubah nomor rekening bank faktur yang sah tetapi membiarkan sisa faktur tidak berubah, sehingga sulit untuk mendeteksi bahwa itu adalah penipuan. Kemungkinan dari sana banyak, beberapa pelaku meningkatkan jumlah pembayaran atau membuat pembayaran ganda, di antara banyak strategi.
Bagaimanapun itu terjadi, skema faktur palsu melibatkan penggunaan email phising untuk menyamar sebagai akuntan, vendor, atau keduanya. Teknik ini dapat direplikasi dalam skema penagihan terkemuka lainnya, seperti membuat perusahaan cangkang atau melakukan pembelian palsu dengan dana perusahaan.
Tidak ada yang mudah
Seperti disebutkan sebelumnya, penting untuk memahami dan menggunakan terminologi yang benar saat menangani serangan BEC. Jika tim TI atau keamanan perusahaan tidak dapat melacak dengan benar asal-usul potensi serangan dan memahami mengapa pelaku melakukan operasi BEC seperti yang mereka lakukan, bagaimana perusahaan dapat berharap untuk mengurangi potensi kerusakan.
Tidak ada keajaiban dalam keamanan email. Penjahat siber paham hal ini dan akan melakukan apa saja untuk menghindari alat dan perlindungan keamanan siber. Sementara perusahaan telah membuat terobosan untuk melindungi data keuangan dan pelanggan yang berharga, hal itu harus tetap waspada dengan teknologi canggih dan pelatihan kesadaran phising yang berkelanjutan untuk karyawan.
Kiat lainnya sebagai berikut:
-
- Menyiapkan otentikasi dua faktor (atau multifaktor)
-
- Jangan pernah membuka lampiran email dari seseorang yang tidak dikenal
-
- Menggunakan layanan pemindaian URL untuk memastikan kebenaran tautan
