Mengapa serangan BEC semakin populer? Itu karena taktik yang berhasil menipu orang-orang dan besarnya keuntungan yang bisa diperoleh oleh penjahat. Pelajari bagaimana upaya untuk tidak terjebak benang mereka yang mencoba terhubung ke aset perusahaan.
Keuntungan yang didapat oleh para penjahat siber yang menjalankan serangan Business Email Compromise (BEC) membuktikan jika aksi kejahatan tersebut bekerja maksimal, meskipun hanya menggunakan rekayasa sosial biasa, kerugian yang terjadi bisa mencapai jutaan USD.
Penipuan uang merupakan taktik kejahatan yang paling umum dilakukan dimana para cybercriminal menargetkan seseorang yang berada di departemen keuangan dengan mengaku sebagai Vendor, meminta pembayaran dimodifikasi untuk menguntungkan mereka. FBI merilis laporan yang berisi ringkasan kejahatan siber tahun lalu, dan berdasarkan laporan tersebut BEC bertanggung jawab atas kerugian 1.7 Miliar USD di tahun 2019. Jumlah tersebut merupakan separuh dari 3.55 Miliar USD yang mereka lapor.
Di beberapa kasus, serangan BEC ini membutuhkan sedikit lebih dari mengidentifikasi individu dan mengirimkan email. Dan dalam kasus lainnya, terdapat domain yang dibuat atau didaftarkan untuk membangun citra kredibilitas, dan beberapa kasus yang lain para cybercriminal bahkan mengambil langkah jauh untuk melancarkan serangan seperti; meniru sebagai CEO perusahaan yang menelepon meminta uang untuk kebutuhan investasi atau menggunakan deepfake audio untuk menipu karyawan agar terdengar seperti CEO yang sedang menelepon.
Selain di atas, para pelaku yang melakukan aksi scam BEC ini juga menggunakan taktik berikut yang menjadikan dirinya seperti ‘asli’:
- Tekun – para pelaku tidak hanya mengirim email secara acak. Mereka juga bekerja di rumah, mengintai situs web yang menjadi target ataupun situs lain seperti Linked In untuk mencari informasi lebih jauh tentang targetnya.
- Permintaan Kontekstual – Sebagai bagian uji tuntas, para pelaku mengidentifikasi target untuk ditiru dan menjerat staff bawahannya untuk meminta kiriman uang untuk pembayaran kontraktor – padahal masuk ke rekening mereka.
- Domain Tiruan – Kemiripan domain (biasanya ada tambahan karakter dari domain asli, misal; pusatssls.com yang seharusnya pusatssl.com) bisa membuat seperti domain dari perusahaan aslinya sehingga menjebak pengguna manapun.
- Rekayasa Sosial – Sekarang ini pada Scammer selalu memastikan jika email yang mereka kirim telah ditulis dengan baik, yang membantu membangun kredibilitas di mata korban dengan menggunakan detail yang memberikan potensi bagi korban untuk bertindak atau memenuhi permintaan mereka.
Keempat taktik di atas adalah yang biasa digunakan oleh para kriminal untuk melakukan serangan BEC, jadi langkah apa yang harus dilakukan oleh perusahaan untuk menggagalkan aksi kejahatan siber seperti itu? Maka jawabannya adalah; Orang-orang, proses, dan teknologi.
- Teknologi – Hari ini sudah banyak perangkat keamanan yang menawarkan pemindaian email untuk memeriksa tautan maupun lampiran di dalamnya, memeriksa pengirim dan penerima email, domain yang digunakan, reputasi domain dan bahkan kalimat spesifik yang tertulis. Sangat penting bagi Anda untuk memiliki perangkat ini untuk menambahkan lapisan keamanan yang dapat membantu mengeliminasi sebanyak mungkin peluang ancaman email yang masuk.
- Proses – Kapanpun sebuah permintaan yang diminta pasti melibatkan uang dan pertanyaan terkait hubungan perusahaan dengan vendor. Sangat wajib bagi individu untuk melakukan proses verifikasi apabila mendapatkan permintaan semacam itu, khususnya individu yang berada di departemen keuangan.
Gunakan medium (perantara) kedua–kalau bisa telepon–untuk memverifikasi permintaan tersebut sebagai praktik keamanan yang baik. Misal, orang yang menerima email memulai panggilan dengan si peminta dengan menggunakan detail kontak yang ada. Ini merupakan cara sederhana yang cukup efektif dan mungkin bisa menyelamatkan 4 Juta USD milik pemerintahan Puerto Rico.
- Orang-orang – Walaupun proses dan teknologi tentunya menjadi kunci untuk meningkatkan keamanan organisasi, tanpa mengedukasi orang-orang (pegawai dan pengguna), upaya tersebut akan menjadi sia-sia. Alasan cyberattack ini berhasil selalu karena orang-orang mempercayai sesuatu yang terlihat asli tanpa memverifikasinya terlebih dahulu. Apabila ada sebuah email dari pengirim yang asli atau karyawan perusahaan itu sendiri dan meminta pembayaran, maka tidak ada yang perlu dikhawatirkan, bukan? Tidak. Individu yang berpikir seperti itu harus diedukasi kembali dengan latihan kesadaran keamanan, apa yang perlu dilihat dan tindakan apa yang harus diambil saat menerima email semacam itu, sebab scam tersebut masih ada sampai sekarang.
Hentikan tipuan BEC dengan jalurnya
Eliminasi adalah pilihan yang kuat, meskipun jarang digunakan dalam dunia cybersecurity, akan tetapi cukup layak untuk mencegah aksi scam BEC. Ingat, para pelaku perlu membuat permintaan perubahan bank, wire untuk ditransfer atau detail akun untuk diberikan. Semua yang diperlukan untuk menghentikan serangan-serangan tersebut adalah dengan tidak menerima permintaan tersebut.
Orang-orang, proses, dan teknologi mampu menggagalkan serangan tersebut. Porsi teknologi dari persamaan ini sangat mudah, jadikan orang-orang lebih paham tentang keamanan dan menanggapi proses masing-masing akan menjadi tantangan terhebat.
Serangan BEC telah merugikan banyak perusahaan setiap tahunnya, jaga perusahaan Anda dari daftar korban dengan terus waspada dan lakukan panggilan untuk memverifikasi transaksi keuangan.
Sumber: