Dalam penipuan yang semakin umum dikenal sebagai kompromi email bisnis (BEC), pencuri dunia maya menyamar sebagai karyawan perusahaan atau vendor untuk melakukan penipuan transfer kawat akrena itu perlu diambil tindakan meminimalisir risiko serangan BEC.
Penipuan ini membuat perusahaan dari segala ukuran menghadapi risiko dan kerugian finansial yang besar. Untuk mencegahnya ada lima cara memitigasi risiko serangan BEC.
Mari kita tengok lima cara untuk meminimalisir risiko serangan BEC.
1. Waspadai skenario serangan BEC yang umum
Penjahat sering kali mengandalkan taktik tertentu untuk melakukan penipuan BEC, termasuk:
Rasa urgensi. Penipu (biasanya menyamar sebagai pengacara atau eksekutif) mengirimkan email palsu kepada korban dan meyakinkan mereka untuk mengirim uang untuk mendukung kesepakatan bisnis, seperti akuisisi yang sedang dilakukan oleh perusahaan korban. Email-email ini berpura-pura mendesak dan menuntut kerahasiaan dari korban.
Nama domain trik. Dalam skenario ini, korban menerima email yang meminta mereka untuk mentransfer uang ke rekening tertentu.
Pesan tersebut berasal dari domain yang terlihat kredibel pada pandangan pertama, namun kenyataannya telah sedikit diubah (misalnya, satu karakter dalam nama domain berbeda). Jenis serangan ini mengeksploitasi kurangnya perhatian korban terhadap rincian pengirim.
Peniruan identitas vendor. Jenis serangan siber ini melibatkan komunikasi elektronik yang menyamar sebagai salah satu vendor perusahaan.
Nama domain pengirim adalah asli, dan transaksinya tampak sah sering kali disertai dokumentasi yang sesuai karena penipu telah meretas akun email vendor. Namun, detail pemrosesan mengarahkan pembayaran ke akun yang dikontrol penipu.
2. Melatih karyawan untuk mengenali serangan BEC
Langkah mendasar dalam melindungi perusahaan dari BEC adalah dengan memberikan pelatihan keamanan siber yang memadai kepada karyawan.
Karyawan harus mengetahui risiko dan implikasi serangan ini serta cara merespons suatu insiden. Pemahaman yang kuat terhadap praktik-praktik unggulan keamanan siber dapat menumbuhkan rasa tanggung jawab di seluruh organisasi.
Program pelatihan yang efektif menekankan pentingnya peran perawatan dalam serangan ini. BEC berhasil bukan karena kecanggihan teknologinya, melainkan karena eksploitasinya terhadap kerentanan manusia termasuk respons kita terhadap pihak berwenang.
Komunikasi yang jelas mengenai peran dan harapan, serta panduan penggunaan TI dan pengendalian akuntansi yang tepat, dapat memberdayakan karyawan sebagai garda depan mitigasi risiko.
3. Menciptakan budaya kepatuhan
Latihan saja tidak cukup untuk menghadang BEC. Penipuan terus berkembang, menjadikan tanda bahaya sebagai tantangan untuk diidentifikasi. Oleh karena itu, pelatihan dan kepatuhan berjalan seiring.
Serangan BEC biasanya menargetkan personel tingkat menengah yang jarang berkomunikasi dengan eksekutif, pengacara, atau vendor yang konon berada di balik permintaan transaksi. Akibatnya, karyawan mungkin merasa tidak nyaman untuk mendekati pemohon secara pribadi untuk mengautentikasi transaksi.
Budaya kepatuhan yang efektif mendukung karyawan dengan protokol yang perlu mereka tindak lanjuti dengan percaya diri. Tanpa isolasi internal yang diandalkan para penjahat BEC, kemungkinan besar serangan mereka akan gagal.
4. Membangun pertahanan berlapis dengan kontrol teknis
Terlepas dari semua manipulasi psikologisnya, BEC belum tentu canggih dari sudut pandang teknis. Sebagian besar serangan BEC berasal dari spear phising atau spoofing pada akun email internal.
Hal ini dapat dicegah atau dideteksi melalui kontrol TI seperti autentikasi multifaktor (MFA) berbasis aplikasi dan jaringan pribadi virtual (VPN).
Pendekatan anti-BEC lain yang efektif adalah dengan menggunakan enkripsi untuk mengautentikasi email dan memungkinkan pengguna bertukar data dengan aman.
Perangkat lunak enkripsi menerjemahkan data menjadi kode untuk dikirim melalui jaringan. Transmisi tidak dapat dipahami tanpa ‘kunci publik’ untuk mendekripsi data.
5. Mengoptimalkan Sistem dan Pengendalian Akuntansi
Kini, karena sebagian besar transaksi keuangan perusahaan dilakukan secara digital, kejahatan keuangan akibat penipuan siber siap mencapai tingkat epidemi. Hal ini mendorong SEC untuk mempertimbangkannya.
Dalam laporannya pada bulan Oktober 2018, SEC menolak merekomendasikan penegakan hukum terhadap perusahaan yang mengalami kerugian karena kontrol yang tidak memadai. Namun, pada saat yang sama, lembaga ini juga memberikan peringatan tegas kepada perusahaan-perusahaan publik secara umum: Pertimbangkan risiko penipuan terkait dunia maya dan lakukan penilaian ulang terhadap pengendalian internal.
Dengan memetakan alur kerja transfer kawat yang ada, organisasi dapat menganalisis proses mereka untuk mengidentifikasi potensi kelemahan dan peluang peningkatan.
Contoh peluang peningkatan adalah penerapan batasan jumlah uang yang dapat disetujui oleh setiap eksekutif. Cara lainnya adalah penerapan otorisasi transfer kawat, termasuk protokol persetujuan ketika eksekutif senior menjadi pemrakarsa transaksi ini.
Konsekuensi BEC
BEC merupakan fenomena kriminal dengan konsekuensi yang berpotensi parah. Kemungkinan besar, jenis serangan ini akan terus meningkat, baik frekuensi maupun kerugiannya bagi perusahaan yang menjadi korban.
Mayoritas penjahat BEC tinggal dan beroperasi di luar negeri, sehingga menyulitkan penegak hukum untuk mengadili mereka. Oleh karena itu, pencegahan dan deteksi sangatlah penting.
Kini saatnya bagi perusahaan untuk mendidik diri mereka sendiri tentang BEC, melatih karyawannya, dan menciptakan lingkungan yang mendorong kepatuhan. Ditambah dengan penguatan jaringan dan optimalisasi kontrol, langkah-langkah ini memberikan keuntungan bagi organisasi yang mereka perlukan untuk mencegah BEC.
Baca lainnya:
- Memahami Keamanan Siber
- Serangan Phising Kredensial
- Hacker Buru Pengguna Zimbra
- Perusahaan Indonesia Host RaaS Paling Berbahaya di Dunia
- Lawas Salah Satu Dasar Kerentanan
- Subyek Umum dalam Phising
- Remote Access Phising
- Ajang Pengelabuan Saat Berlibur
- Pengelabuan Eksploitasi TLD
Sumber berita: