Mereka meretas email perusahaan, mencuri uang dari orang dan bisnis, dan menipu orang lain agar mentransfer uang. Trik penipuan multi level semacam ini termasuk dalam penipuan canggih.
Operasi kriminal seperti ini melibatkan berbagai skema penipuan, termasuk Business Email Compromise (BEC), penipuan work from home, penipuan cek, dan penipuan kartu kredit yang menargetkan korban yang tidak menaruh curiga di seluruh dunia.
Trik Penipuan Multi Level
Untuk melakukannya berikut beberapa langkah yang dilakukan oleh penjahat dunia maya dalam menjalankan aksinya, dan bagaimana dapat terhindar menjadi korban dari taktik serupa.
Tahap 1: Meretas Akun Email
Untuk mendapatkan akses ke akun email korban, pelaku meluncurkan serangan phising email yang mengumpulkan ribuan alamat email dan kata sandi. Selain itu, mereka mengumpulkan sejumlah besar informasi kartu kredit dan informasi identitas pribadi.
Umumnya, jenis phising yang paling umum melibatkan pengiriman email yang berpura-pura sebagai pesan resmi yang memberi kesan mendesak, mengaku berasal dari institusi terkemuka seperti bank, penyedia email, dan pemberi kerja.
Dengan membangun rasa urgensi, komunikasi ini mencoba menipu pengguna agar menyerahkan uang, kredensial login, informasi kartu kredit, atau data berharga lainnya.
Teknik lain untuk membobol akun seseorang adalah dengan mengatasi kata sandi yang lemah – pikirkan kata sandi yang terlalu pendek atau dibuat terlalu sederhana, sekumpulan karakter dan scammers dapat dengan mudah memecahkannya dengan bantuan alat otomatis, yaitu “brute-force” dia.
Misalnya, jika kata sandi Anda panjangnya delapan karakter dan hanya terdiri dari karakter huruf kecil, alat otomatis dapat menebaknya dalam beberapa detik. Kata sandi yang rumit tetapi hanya terdiri dari enam karakter dapat dipecahkan dengan cepat.
Peretas juga sering memanfaatkan kegemaran orang membuat kata sandi yang sangat mudah ditebak tanpa bantuan alat khusus. Menurut database 3TB kata sandi yang bocor dalam insiden keamanan, kata sandi paling populer di 30 negara adalah, “password”.
Yang kedua adalah “123456”, diikuti dengan yang sedikit lebih panjang (tetapi tidak jauh lebih baik) “123456789”. Di lima besar ada “guest” dan “qwerty.” Sebagian besar info masuk tersebut dapat diretas dalam waktu kurang dari satu detik.
Selalu gunakan kata sandi atau frasa sandi yang panjang, rumit, dan unik untuk menghindari kredensial akses Anda mudah ditebak atau di brute force.
Tahap 2: Menyerang Mitra Bisnis
Setelah mendapatkan akses ke akun korban, pelaku akan mengirim email ke karyawan perusahaan yang berbisnis dengan korban, mengarahkan target untuk mentransfer uang ke rekening bank yang dikendalikan oleh penjahat, rekan konspirator mereka atau “money mules”.
Email-email ini dibuat seolah-olah berasal dari korban, tetapi merupakan instruksi untuk transfer uang tidak sah dari pelaku dan rekan konspiratornya.
Serangan ini, yang disebut serangan Business Email Compromise (BEC), merupakan bentuk spearphising. Sementara serangan phising biasa melibatkan penyebaran jaring dan menargetkan korban yang tidak diketahui, spearphising membidik orang atau sekelompok orang tertentu. Pelaku mempelajari setiap informasi yang tersedia tentang orang yang ditargetkan secara online dan menyesuaikan email mereka.
Ini jelas membuat email semacam itu lebih sulit dikenali, tetapi ada beberapa hadiah yang jelas. Misalnya, pesan-pesan ini sering muncul tiba-tiba, membangkitkan rasa urgensi atau menggunakan taktik tekanan lainnya, dan berisi lampiran atau URL (disingkat) yang mengarah ke situs yang meragukan.
Jika operasi spearphising bertujuan untuk mencuri kredensial Anda, autentikasi dua faktor (2FA) dapat membantu tetap aman. Anda harus memberikan dua atau lebih faktor verifikasi identitas untuk mengakses akun. Opsi paling populer melibatkan kode autentikasi melalui pesan SMS, tetapi aplikasi 2FA khusus dan kunci fisik memberikan tingkat keamanan yang lebih tinggi.
Jika Anda sebagai karyawan diminta untuk mengirimkan uang, terutama di bawah tenggat waktu yang ketat, periksa kembali apakah permintaan tersebut asli.
Tahap 3: Menipu Orang agar Mentransfer Uang
Dalam penipuan “work from home”, pelaku berpura-pura sebagai pemberi kerja online dan memasang iklan di situs web dan forum pekerjaan dengan berbagai persona online fiktif. Mereka berpura-pura mempekerjakan banyak orang dari seluruh Amerika Serikat untuk posisi kerja dari rumah.
Meskipun posisi tersebut dipasarkan sebagai posisi yang sah, para scammer mengarahkan para pekerja untuk melakukan tugas yang memfasilitasi penipuan kelompok tersebut. Dengan demikian, para korban tanpa sadar membantu scammer dengan membuat rekening bank dan pemrosesan pembayaran, mentransfer atau menarik uang dari rekening, dan menguangkan atau menyetorkan cek palsu.
Untuk menghindari penipuan work from home, lakukan riset. Cari nama perusahaan, alamat email, dan nomor telepon dan periksa apakah ada keluhan tentang perilaku dan praktik perusahaan. Pastikan, saat mencari pekerjaan online, mulailah dengan situs pekerjaan resmi dan sumber tepercaya lainnya.
Penipuan Asmara
Selain itu, pelaku dan rekan konspirator melakukan penipuan asmara. Mereka menciptakan identitas fiktif di situs kencan, berpura-pura tertarik menjalin hubungan romantis dengan orang-orang yang mencari cinta.
Setelah mendapatkan kepercayaan para korban, pelaku menggunakan mereka sebagai money mules untuk mentransfer uang ke luar negeri dan menerima uang tunai dari transfer kawat penipuan.
Banyak penipu asmara menggunakan trik yang sama, yang membuatnya lebih mudah dikenali dan terhindar dari tipuan mereka. Maka berhati-hati dengan kencan online yang:
- Ajukan banyak pertanyaan pribadi kepada korban tetapi mengelak ketika ditanya pertanyaan tentang kehidupan mereka
- Menyatakan cinta dengan cepat
- Pindahkan percakapan dengan cepat dari situs kencan ke obrolan pribadi
- Buat alasan yang berbelit-belit untuk tidak bertemu langsung atau bergabung dengan panggilan video
- Berpura-pura tinggal atau bekerja di luar negeri
- Miliki foto profil yang sempurna
- Ceritakan kisah sedih tentang mengapa mereka membutuhkan uang, termasuk untuk membayar biaya perjalanan atau pengobatan, visa, dan dokumen perjalanan
- Jadilah scam-smart, berhati-hatilah terutama dengan komunikasi online yang tidak diminta dan hati-hati terhadap tanda-tanda penipuan online.
Baca lainnya:
- Layanan Phising Crypto Tipu Ribuan Korban
- Phising Layanan Microsoft 365
- Phising Masalah Siber Terbesar
- Qbot Menyebar Melalui Phising
- Phising QRIS
- Layanan Phising Telegram
Sumber berita: