Mengenal Business Email Compromise (BEC) menjadi suatu keharusan bagi sebuah perusahaan karena ancaman ini mengancam langsung ke jantung perusahaan yaitu keuangan.
Business Email Compromise (BEC) singkatnya adalah ketika penjahat menggunakan email untuk menyalahgunakan kepercayaan dalam proses bisnis untuk menipu perusahaan untuk mendapatkan uang atau barang.
Sebahaya apa BEC?
Menurut laporan yang dibuat oleh FBI Internet Crime Compliance Center (IC3), IC3 menerima 19.954 pengaduan BEC tahun lalu, menjadikannya kejahatan paling populer kesembilan tahun lalu.
Sementara jauh di depan ada phising (324.000) yang memimpin di puncak, non-pembayaran/non-pengiriman (82.000) dan pelanggaran data pribadi (52.000).
Namun, di balik hampir 20.000 laporan BEC itu, scammers menghasilkan US$2,4 miliar, di depan penipuan investasi di tempat kedua (US$1,5 miliar) dan penipuan asmara (US$950 juta) posisi ketiga.
Itu berarti BEC menyumbang sekitar sepertiga (35%) dari total kerugian kejahatan dunia maya pada tahun 2021.
Menariknya, tahun 2019, kerugian akibat BEC mencapai sekitar US$1,8 miliar dengan jumlah laporan ke FBI hampir mencapi 24.000 laporan.
Hasil ini jika dibandingkan dengan tahun lalu bisa disimpulkan bahwa scammer dengan serangan yang lebih sedikit dapat menghasilkan banyak uang.
Cara kerja BEC
Para penjahat dunia maya telah menyempurnakan taktik ini selama bertahun-tahun. BEC sendiri adalah salah satu jenis social engineering.
Anggota tim keuangan biasanya ditargetkan oleh orang-orang yang menyamar sebagai eksekutif senior atau CEO yang menginginkan transfer uang mendesak.
Beberapa melakukannya dengan meminta transfer kawat, sementara dalam kasus lain penipu menjadi pemasok yang memerlukan pembayaran segera.
Penipuan semacam ini dapat berhasil karena biasanya korban ditekan untuk bertindak tanpa diberi waktu untuk memikirkan konsekuensi dari tindakan mereka.
Ini merupakan teknik social engineering klasik dan hal ini hanya perlu berhasil sesekali untuk cukup memberikan hasil yang sepadan pada pelaku.
Modus operandi yang lebih canggih dengan scammer membajak kotak masuk perusahaan melalui serangan phising sederhana.
Mereka kemudian menghabiskan beberapa minggu ke depan untuk mengumpulkan informasi intelijen tentang pemasok, jadwal pembayaran, dan faktur.
Pada saat yang tepat, mereka kemudian akan masuk dengan faktur palsu yang mengharuskan perusahaan korban membayar pemasok biasa tetapi dengan rincian bank yang diperbarui.
BEC di masa depan
Berita buruknya adalah bahwa scammer masih terus berinovasi. FBI memperingatkan bahwa platform konferensi audio dan video deepfake digunakan untuk menipu organisasi atau perusahaan.
- Pertama, scammer membajak akun email dari pejabat penting di perusahaan seperti CEO atau CFO, dan mengundang karyawan untuk bergabung dalam rapat virtual.
- Dalam pertemuan itu, penipu akan menyisipkan gambar diam CEO dengan audio deepfake di mana penipu yang bertindak sebagai eksekutif bisnis.
- Pada langkah selanjutnya penipu akan mengklaim audio/video mereka tidak berfungsi dengan baik sebagi cara untuk menghindari kecurigaan.
- Penipu kemudian menggunakan platform pertemuan virtual untuk secara langsung menginstruksikan karyawan untuk melakukan transfer atau menggunakan email eksekutif yang dikompromikan untuk memberikan instruksi.
Teknologi semacam ini telah bersama kita untuk sementara waktu. Kekhawatirannya adalah bahwa sekarang cukup murah dan cukup realistis untuk menipu mata dan telinga ahli sekalipun.
Prospek sesi konferensi video palsu tidak hanya menggunakan audio deepfake tetapi juga video merupakan prospek yang mengkhawatirkan bagi CISO dan manajer risiko.
Cara mengatasi BEC
Aparat penegak hukum melakukan yang terbaik untuk menghentikan geng BEC di mana pun mereka beroperasi. Tetapi mengingat potensi keuntungan besar yang ditawarkan, penangkapan tidak akan lantas menghentikan begitu saja aktivitas ilegal mereka.
Itu sebabnya pencegahan selalu merupakan strategi terbaik. Organisasi harus mempertimbangkan hal-hal berikut:
- Berinvestasi dalam keamanan email tingkat lanjut yang memanfaatkan AI untuk membedakan pola email yang mencurigakan dan gaya penulisan pengirim.
- Perbarui proses pembayaran sehingga transfer dalam jumlah besar harus ditandatangani oleh dua petinggi.
- Periksa kembali setiap permintaan pembayaran dengan orang yang diduga membuat permintaan.
- Bangun BEC menjadi pelatihan kesadaran keamanan staf seperti dalam simulasi phising.
- Tetap perbarui tren terbaru di BEC dan pastikan untuk memperbarui kursus pelatihan dan langkah-langkah defensif yang sesuai.
Demikianlah pembahasan mengenal business email compromise, semoga informasi di atas dapat memberi manfaat dan menambah wawasan tentang bahaya BEC.