Tiga Jenis Serangan BEC

by penulis : August 4, 2022August 4, 2022 Email Security

Di halaman “Scam and Safety” situs web FBI, Business Email Compromises (BEC) didefinisikan sebagai salah satu kejahatan online yang paling merusak secara finansial. Dan diklasifikasikan menjadi tiga jenis serangan BEC

Menurut laporan diketahui bahwa kerugian rata-rata dari serangan BEC transfer kawat adalah $80.183 pada kuartal kedua tahun 2020, meningkat 32% dibandingkan kuartal pertama.

Pola BEC

Serangan BEC dimulai dengan email phising yang dimaksudkan untuk membujuk penerima agar melakukan tugas dengan kedok aktivitas bisnis yang sah.

Apa yang membuat mereka begitu efektif adalah bahwa email biasanya muncul dari pengirim yang tepercaya, seperti figur otoritas yang tidak bisa dibantah

Biasanya, penjahat dunia maya akan meminta beberapa bentuk pembayaran moneter atau memasukkan kredensial untuk mencuri informasi pribadi karyawan atau data perusahaan yang sensitif, seperti

Formulir upah
Pajak.
Nomor Jaminan Sosial
Informasi rekening bank.

Tiga Jenis Serangan BEC .

1. Penipuan CEO

Dalam hal ini, pelaku akan berpura-pura sebagai CEO perusahaan atau eksekutif perusahaan lain dalam upaya untuk menipu semua level karyawan untuk melakukan transfer kawat yang tidak sah atau mengirimkan rahasia informasi pajak.

Seringkali, bisa ada persilangan di sini menjadi serangan social engineering, yang menggunakan manipulasi psikologis untuk menipu orang agar membocorkan informasi rahasia atau menyediakan akses ke dana.

Biasanya, email penipuan CEO phising adalah social engineering, tetapi terkadang bisa berupa serangan spear phising yaitu, pelaku menjadi CEO menipu karyawan untuk mengunduh file.

2. Pengambilalihan akun

Salah satu tujuan terbesar serangan siber adalah pengambilalihan akun. Ini adalah salah satu bentuk serangan BEC yang paling merusak

Melibatkan penggunaan email phising untuk meretas akun eksekutif atau karyawan dan kemudian menggunakannya untuk meminta pembayaran faktur kepada vendor.

Pengambilalihan akun mungkin tidak terlihat merusak seperti serangan ransomware atau malware, tetapi mereka dapat menyebabkan kerugian finansial yang besar bagi perusahaan.

Mereka juga hampir selalu memulai dengan serangan social engineering, meminta penerima untuk tugas yang tidak ditentukan atau untuk mengkompromikan informasi.

Kemudian pelaku sering mengintai selama berbulan-bulan tanpa terdeteksi di balik sistem, mempelajari pola komunikasi yang nantinya dapat mereka eksploitasi.

Ekosistem ini jelas masih sangat rentan terhadap serangan peretasan dan phising, membuka celah bagi penjahat dunia maya untuk disalahgunakan.

3. Skema Faktur Palsu

Serangan ini biasanya menargetkan seseorang yang bekerja di departemen keuangan bisnis, seperti akuntan.

Pelaku akan mengubah nomor rekening bank faktur yang sah tetapi membiarkan sisa faktur tidak berubah, sehingga sulit untuk mendeteksi bahwa itu adalah penipuan.

Kemungkinan dari sana banyak, beberapa pelaku meningkatkan jumlah pembayaran atau membuat pembayaran ganda, di antara banyak strategi.

Bagaimanapun itu terjadi, skema faktur palsu melibatkan penggunaan email phising untuk menyamar sebagai akuntan, vendor, atau keduanya.

Teknik ini dapat direplikasi dalam skema penagihan terkemuka lainnya, seperti membuat perusahaan cangkang atau melakukan pembelian palsu dengan dana perusahaan.

Tidak Ada yang Mudah

Seperti disebutkan sebelumnya, penting untuk memahami dan menggunakan terminologi yang benar saat menangani serangan BEC.

Tim TI atau keamanan perusahaan harus dapat melacak dengan benar asal-usul potensi serangan dan memahami mengapa pelaku melakukan operasi BEC seperti yang mereka lakukan

Dengan begitu perusahaan dapat berharap untuk mengurangi potensi kerusakan sehingga bisnis dapat berjalan lancar dan aman.

Tidak ada keajaiban dalam keamanan email. Penjahat siber paham hal ini dan akan melakukan apa saja untuk menghindari alat dan perlindungan keamanan siber.

Oleh karena itu, perusahaan harus membuat terobosan untuk melindungi data keuangan dan pelanggan, dengan memanfaatkan teknologi canggih dan pelatihan kesadaran phising yang berkelanjutan untuk karyawan.

Berikut beberapa tips lainnya yang bisa diterapkan:

Menyiapkan otentikasi dua faktor (atau multifaktor)
Jangan pernah membuka lampiran email dari seseorang yang tidak dikenal
Menggunakan layanan pemindaian URL untuk memastikan kebenaran tautan
Menggunakan layanan Vimanamail.

Baca lainnya:

Sumber berita:

Prosperita IT News

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.