Di halaman “Scam and Safety” situs web FBI, Business Email Compromises (BEC) didefinisikan sebagai salah satu kejahatan online yang paling merusak secara finansial. Dan diklasifikasikan menjadi tiga jenis serangan BEC
Menurut laporan diketahui bahwa kerugian rata-rata dari serangan BEC transfer kawat adalah $80.183 pada kuartal kedua tahun 2020, meningkat 32% dibandingkan kuartal pertama.
Pola BEC
Serangan BEC dimulai dengan email phising yang dimaksudkan untuk membujuk penerima agar melakukan tugas dengan kedok aktivitas bisnis yang sah.
Apa yang membuat mereka begitu efektif adalah bahwa email biasanya muncul dari pengirim yang tepercaya, seperti figur otoritas yang tidak bisa dibantah
Biasanya, penjahat dunia maya akan meminta beberapa bentuk pembayaran moneter atau memasukkan kredensial untuk mencuri informasi pribadi karyawan atau data perusahaan yang sensitif, seperti
- Formulir upah
- Pajak.
- Nomor Jaminan Sosial
- Informasi rekening bank.
Tiga Jenis Serangan BEC .
1. Penipuan CEO
Dalam hal ini, pelaku akan berpura-pura sebagai CEO perusahaan atau eksekutif perusahaan lain dalam upaya untuk menipu semua level karyawan untuk melakukan transfer kawat yang tidak sah atau mengirimkan rahasia informasi pajak.
Seringkali, bisa ada persilangan di sini menjadi serangan social engineering, yang menggunakan manipulasi psikologis untuk menipu orang agar membocorkan informasi rahasia atau menyediakan akses ke dana.
Biasanya, email penipuan CEO phising adalah social engineering, tetapi terkadang bisa berupa serangan spear phising yaitu, pelaku menjadi CEO menipu karyawan untuk mengunduh file.
2. Pengambilalihan akun
Salah satu tujuan terbesar serangan siber adalah pengambilalihan akun. Ini adalah salah satu bentuk serangan BEC yang paling merusak
Melibatkan penggunaan email phising untuk meretas akun eksekutif atau karyawan dan kemudian menggunakannya untuk meminta pembayaran faktur kepada vendor.
Pengambilalihan akun mungkin tidak terlihat merusak seperti serangan ransomware atau malware, tetapi mereka dapat menyebabkan kerugian finansial yang besar bagi perusahaan.
Mereka juga hampir selalu memulai dengan serangan social engineering, meminta penerima untuk tugas yang tidak ditentukan atau untuk mengkompromikan informasi.
Kemudian pelaku sering mengintai selama berbulan-bulan tanpa terdeteksi di balik sistem, mempelajari pola komunikasi yang nantinya dapat mereka eksploitasi.
Ekosistem ini jelas masih sangat rentan terhadap serangan peretasan dan phising, membuka celah bagi penjahat dunia maya untuk disalahgunakan.
3. Skema Faktur Palsu
Serangan ini biasanya menargetkan seseorang yang bekerja di departemen keuangan bisnis, seperti akuntan.
Pelaku akan mengubah nomor rekening bank faktur yang sah tetapi membiarkan sisa faktur tidak berubah, sehingga sulit untuk mendeteksi bahwa itu adalah penipuan.
Kemungkinan dari sana banyak, beberapa pelaku meningkatkan jumlah pembayaran atau membuat pembayaran ganda, di antara banyak strategi.
Bagaimanapun itu terjadi, skema faktur palsu melibatkan penggunaan email phising untuk menyamar sebagai akuntan, vendor, atau keduanya.
Teknik ini dapat direplikasi dalam skema penagihan terkemuka lainnya, seperti membuat perusahaan cangkang atau melakukan pembelian palsu dengan dana perusahaan.
Tidak Ada yang Mudah
Seperti disebutkan sebelumnya, penting untuk memahami dan menggunakan terminologi yang benar saat menangani serangan BEC.
Tim TI atau keamanan perusahaan harus dapat melacak dengan benar asal-usul potensi serangan dan memahami mengapa pelaku melakukan operasi BEC seperti yang mereka lakukan
Dengan begitu perusahaan dapat berharap untuk mengurangi potensi kerusakan sehingga bisnis dapat berjalan lancar dan aman.
Tidak ada keajaiban dalam keamanan email. Penjahat siber paham hal ini dan akan melakukan apa saja untuk menghindari alat dan perlindungan keamanan siber.
Oleh karena itu, perusahaan harus membuat terobosan untuk melindungi data keuangan dan pelanggan, dengan memanfaatkan teknologi canggih dan pelatihan kesadaran phising yang berkelanjutan untuk karyawan.
Berikut beberapa tips lainnya yang bisa diterapkan:
- Menyiapkan otentikasi dua faktor (atau multifaktor)
- Jangan pernah membuka lampiran email dari seseorang yang tidak dikenal
- Menggunakan layanan pemindaian URL untuk memastikan kebenaran tautan
- Menggunakan layanan Vimanamail.
Baca lainnya:
- Mengatasi Business Email Compromise
- Serangan Email Palsu
- Template Email Tipuan
- Cloud Email Security
- BEC Ancam Mailbox Perusahaan
- Phising via SMS
- Memahami Psikologi Phising
Sumber berita: