Serangan BEC adalah peretasan melalui email spoofing untuk menyamar sebagai supervisor, CEO, atau vendor perusahaan. Tanpa tedeng aling-aling BEC ancam mailbox perusahaan.
Email tersebut terlihat asli, sepertinya berasal dari figur otoritas yang dikenal, sehingga karyawan mematuhinya ketika diminta melakukan transfer bisnis.
Biasanya, penipu akan meminta uang untuk ditransfer atau cek untuk disimpan. Namun, penipuan ini telah berkembang bahkan tidak hanya melibatkan uang.
Sebaliknya, teknik yang sama digunakan untuk mencuri informasi identitas pribadi karyawan, atau formulir gaji dan pajak
Kerugian akibat BEC
Kerugian yang berasal dari penipuan Business Email Compromise (BEC) dan Email Account Compromise (EAC) melampaui US$1,86 miliar tahun lalu.
Lebih dari gabungan kerugian yang berasal dari enam jenis kejahatan dunia maya paling mahal dalam Laporan oleh Biro Federal Investigasi (FBI).
Internet Crime Complaint Center (IC3) menerima lebih dari 19.000 laporan penipuan BEC/EAC tahun lalu, menurun jika dibandingkan dengan hampir 24.000 insiden yang dilaporkan pada tahun 2019.
Namun, kerugian terkait meningkat lebih dari US$90 juta dan menyumbang 45 persen dari total kerugian (US$4,2 miliar).
Untuk menggambarkan besarnya masalah yang ditimbulkan oleh penipuan BEC/EAC, pertimbangkan bahwa kejahatan dunia maya paling mahal kedua dalam daftar IC3, penipuan kepercayaan/asmara, mencatat kerugian lebih dari US$600 juta.
Sedangkan kerugian yang dilaporkan akibat penipuan investasi hanya sekitar US$336 juta. Disebutkan bahwa jumlah korban meningkat lebih dari dua kali lipat tahun ke tahun.
Tumbuh dari hampir 4.000 menjadi hampir 8.800. Secara umum juga dipahami bahwa banyak jenis kejahatan dan penipuan online tidak dilaporkan, sehingga jumlah insiden dan kerugian aktual yang dihasilkan sangat mungkin jauh lebih tinggi.
Salah satu alasan utama penipuan BEC tetap menjadi masalah adalah karena mereka terus berkembang dan menjadi lebih canggih dari waktu ke waktu, kata FBI.
Di masa lalu, penjahat dunia maya akan meretas atau memalsukan akun email kepala eksekutif dan kemudian menggunakannya untuk meminta transfer kawat ke rekening bank penipuan.
Selama bertahun-tahun, penipuan berkembang hingga mencakup penyusupan email pribadi, penyusupan email vendor, akun email pengacara palsu, permintaan informasi, penargetan sektor real estat, dan permintaan penipuan untuk sejumlah besar kartu hadiah.
Apa yang harus dilakukan
Meskipun beberapa serangan BEC melibatkan penggunaan malware, banyak yang mengandalkan teknik manipulasi psikologis, di mana antivirus, filter spam, atau daftar putih email tidak efektif.
Namun, salah satu hal paling berguna yang dapat dilakukan adalah mendidik karyawan dan menerapkan teknik pencegahan internal.
Terutama untuk staf garis depan yang kemungkinan besar menjadi penerima upaya phising awal. Berikut adalah beberapa strategi perlindungan diri yang dapat diterapkan dalam bisnis:
- Jangan buka email apa pun dari pihak yang tidak dikenal. Jika Anda melakukannya, jangan klik tautan atau buka lampiran karena ini sering kali berisi malware yang mengakses sistem komputer Anda.
- Hindari akun email berbasis web gratis. Buat nama domain perusahaan dan gunakan untuk membuat akun email perusahaan sebagai pengganti akun gratis berbasis web.
- Berhati-hatilah dengan perubahan menit terakhir dalam petunjuk pembayaran atau perubahan informasi akun penerima
- Waspadai urgensi yang tidak dapat dijelaskan terkait permintaan pembayaran
- Selalu verifikasi sebelum mengirim uang atau data. Jadikan sebagai prosedur operasi standar bagi karyawan untuk mengonfirmasi permintaan email untuk transfer kawat atau informasi rahasia. Konfirmasi tatap muka, atau melalui panggilan telepon menggunakan nomor yang dikenal sebelumnya, bukan nomor telepon yang diberikan dalam email.
- Ketahui kebiasaan pelanggan dan vendor. Jika ada perubahan mendadak dalam praktik bisnis, waspadalah. Misalnya, jika kontak bisnis tiba-tiba meminta untuk menggunakan alamat email pribadi mereka, padahal semua korespondensi sebelumnya telah melalui email perusahaan, permintaan tersebut mungkin palsu. Verifikasi permintaan melalui sumber yang berbeda.
- Jangan berbagi berlebihan secara online. Berhati-hatilah dengan apa yang Anda posting di media sosial dan situs web perusahaan, terutama tugas dan deskripsi pekerjaan, informasi hierarki, dan detail di luar kantor.
Saran teknis
- Periksa ulang alamat email dan perhatikan bahkan perubahan sekecil apa pun yang dapat membuat email palsu terlihat seperti aslinya. Alamat email palsu sering kali memiliki ekstensi yang mirip dengan alamat email yang sah.
- Waspadai kesalahan tata bahasa dan ejaan
- Aktifkan multifaktor autentikasi untuk akun email bisnis, menerapkan multifaktor autentikasi mempersulit penjahat dunia maya untuk mendapatkan akses ke email karyawan, sehingga lebih sulit untuk meluncurkan serangan BEC.
- Amankan domain Anda. Spoofing domain menggunakan sedikit variasi pada alamat email yang sah untuk menipu korban BEC.
- Terapkan protokol pemeriksaan email seperti DMARC, DKIM, dan SPF untuk mengamankan domain email Anda dari pemalsuan domain.
- Gunakan system filter berbasis Cloud Email Security, seperti VIMANAMAIL sebagai layer pertama proteksi email.
- Manfaatkan teknologi filter email berlapis untuk memindai dan menjaring semua email yang masuk sebelum dikirim ke masing-masing kotak surat penerima.
Semoga informasi BEC Ancam Mailbox Perusahaan beserta dengan tipsnya di atas dapat membantu mengenal ancaman BEC lebih baik dan bermanfaat dalam keamanan email perusahaan.
Baca lainnya:
- Phising via SMS
- Memahami Psikologi Phising
- Lampiran Email Tabu Diklik
- Serangan phising Gaya Baru
- Trik Phising Email Pemecatan
- Mendeteksi Email Phising
Sumber berita: