Apa itu kompromi email bisnis (BEC)?

Dalam serangan BEC, penjahat siber (atau geng penjahat siber) mengirimkan email kepada karyawan organisasi target yang tampaknya berasal dari sesama karyawan, atau dari vendor, mitra, pelanggan, atau rekanan lainnya. Email-email tersebut mengelabui karyawan untuk membayar faktur palsu, mentransfer uang ke rekening bank palsu, atau membocorkan informasi sensitif seperti data pelanggan, kekayaan intelektual, atau keuangan perusahaan.

Dalam kasus yang jarang terjadi, penyerang BEC mencoba menyebarkan ransomware atau malware dengan meminta korban untuk membuka lampiran atau mengklik tautan berbahaya. Mereka juga dengan cermat meneliti karyawan yang mereka targetkan dan identitas yang mereka tiru untuk membuat email mereka tampak sah. Teknik rekayasa sosial, seperti spoofing dan pretexting alamat email, membantu mereka membuat email serangan yang meyakinkan yang terlihat dan dibaca seolah-olah dikirim oleh pengirim yang menyamar.

Terkadang, scammer meretas dan membajak akun email pengirim, membuat email serangan menjadi lebih dapat dipercaya, jika tidak dapat dibedakan dari pesan email yang sah. Serangan penyusup email bisnis merupakan salah satu serangan siber yang paling mahal.

Menurut laporan Biaya Pelanggaran Data IBM 2022, Penipuan BEC adalah jenis pelanggaran termahal kedua, dengan biaya rata-rata USD 4,89 juta. Menurut Laporan Kejahatan Internet FBI Internet Crime Complaint Center, penipuan BEC merugikan korban di AS sebesar total USD 2,7 miliar pada tahun 2022.

Pakar keamanan siber dan FBI mengidentifikasi enam jenis utama serangan BEC.

Penyerang BEC berpura-pura menjadi vendor yang bekerja sama dengan perusahaan, dan mengirimkan email kepada karyawan target dengan melampirkan faktur palsu. Ketika perusahaan membayar faktur, uang langsung masuk ke penyerang. Untuk membuat serangan ini meyakinkan, penyerang dapat mencegat faktur vendor yang sebenarnya, dan memodifikasinya untuk mengarahkan pembayaran ke rekening bank mereka sendiri.

Terutama pengadilan memutuskan bahwa perusahaan yang tertipu faktur palsu tetap harus bertanggung jawab atas faktur yang sebenarnya.

Salah satu penipuan faktur palsu terbesar dilakukan terhadap Facebook dan Google. Dari tahun 2013 hingga 2015, seorang penipu yang menyamar sebagai Quanta Computer, produsen perangkat keras sungguhan yang bekerja sama dengan kedua perusahaan tersebut, mencuri 98 juta dolar AS dari Facebook dan 23 juta dolar AS dari Google. Meskipun penipu telah ditangkap dan kedua perusahaan mendapatkan kembali sebagian besar uang mereka, hasil ini jarang terjadi pada penipuan BEC.

Penipu berpura-pura menjadi seorang eksekutif, biasanya CEO, dan meminta karyawan untuk mentransfer uang ke suatu tempat. Permintaan ini sering kali berkedok untuk menutup transaksi, membayar faktur yang sudah jatuh tempo, atau bahkan membeli kartu hadiah untuk sesama karyawan.

Skema penipuan CEO sering kali menciptakan nuansa urgensi, mendorong target untuk bertindak cepat dan gegabah, misalnya, "Faktur ini sudah jatuh tempo, dan kami akan kehilangan layanan jika tidak segera membayarnya." Teknik lainnya adalah menciptakan nuansa kerahasiaan untuk mencegah target berkonsultasi dengan rekan kerja, misalnya, "Kesepakatan ini bersifat rahasia, jadi jangan beritahukan kepada siapa pun."

Pada tahun 2016, seorang penipu yang menyamar sebagai CEO produsen kedirgantaraan FACC menggunakan akuisisi palsu untuk mengelabui seorang karyawan agar mentransfer USD 47 juta. Sebagai akibat dari penipuan tersebut, dewan perusahaan memecat CFO dan CEO karena "melanggar" tugas mereka.

Penipu mengambil alih akun email karyawan yang bukan karyawan eksekutif dan kemudian mengirimkan faktur palsu ke perusahaan lain atau mengelabui karyawan lain untuk berbagi informasi rahasia. Para penipu sering menggunakan EAC untuk melakukan phishing terhadap kredensial akun pejabat yang dapat mereka gunakan untuk melakukan penipuan terhadap CEO.

Penipu menyamar sebagai pengacara dan meminta korban untuk membayar tagihan atau membagikan informasi sensitif. Penipuan meniru pengacara mengandalkan fakta bahwa orang cenderung bekerja sama dengan pengacara dan bukan hal yang aneh jika pengacara meminta kerahasiaan.

Anggota komplotan BEC Rusia Cosmic Lynx sering menyamar sebagai pengacara sebagai bagian dari  serangan peniruan identitas ganda. Pertama, CEO perusahaan target menerima email yang memperkenalkan CEO ke 'pengacara' yang membantu perusahaan dengan akuisisi atau kesepakatan bisnis lainnya. Kemudian pengacara palsu mengirim email kepada CEO yang meminta mereka untuk mengirimkan pembayaran untuk menutup kesepakatan. Rata-rata, serangan Cosmic Lynx mencuri USD 1,27 juta dari setiap target.

Banyak serangan BEC menargetkan karyawan SDM dan keuangan untuk mencuri informasi identifikasi pribadi (PII) dan data sensitif lainnya yang dapat digunakan untuk melakukan pencurian identitas atau kejahatan siber.

Misalnya, pada tahun 2017, IRS memperingatkan adanya penipuan BEC yang mencuri data karyawan. Penipu menyamar sebagai eksekutif perusahaan dan meminta karyawan penggajian untuk mengirim salinan W-2 karyawan (yang mencakup nomor jaminan sosial karyawan dan informasi sensitif lainnya). Beberapa karyawan penggajian yang sama menerima email ’tindak lanjut’ yang meminta agar transfer dilakukan ke rekening palsu. Para penipu berasumsi bahwa target yang menganggap permintaan W2 sebagai permintaan yang kredibel adalah target yang tepat untuk permintaan transfer.

Pada awal tahun 2023, FBI memperingatkan adanya jenis serangan baru di mana para penipu menyamar sebagai pelanggan korporat untuk mencuri produk dari perusahaan target. Dengan menggunakan informasi keuangan palsu dan menyamar sebagai karyawan di bagian pembelian perusahaan lain, para penipu menegosiasikan pembelian dalam jumlah besar secara kredit. Perusahaan target mengirimkan pesanan—biasanya bahan bangunan atau perangkat keras komputer—tetapi penipu tidak pernah membayar.

Secara teknis, BEC adalah jenis phishing tombak—sebuah serangan phishing yang menargetkan individu atau sekelompok individu tertentu. BEC merupakan serangan yang unik di antara serangan phishing tombak, yang menargetkan karyawan atau rekanan bisnis atau organisasi, dan penipu berpura-pura menjadi rekan kerja yang dikenal atau mungkin dipercaya oleh target.

Sementara beberapa serangan BEC adalah perbuatan satu penipu, yang lain diprakarsai oleh komplotan BEC. Semua komplotan ini beroperasi layaknya bisnis yang sah, mempekerjakan para spesialis seperti spesialis perolehan prospek yang memburu target, peretas yang membobol akun email, dan penulis profesional yang memastikan email phishing bebas dari kesalahan dan meyakinkan.

Setelah penipu atau komplotan memilih sebuah bisnis untuk dirampok, serangan BEC biasanya mengikuti pola yang sama.

Hampir semua bisnis, nirlaba atau pemerintah, adalah target yang cocok untuk serangan BEC. Organisasi besar dengan banyak uang dan pelanggan—dan cukup banyak transaksi sehingga eksploitasi BEC mungkin luput dari perhatian—adalah target yang jelas.

Tetapi peristiwa global atau lokal dapat menyebabkan penyerang BEC ke peluang yang lebih spesifik—beberapa lebih jelas daripada yang lain. Sebagai contoh, selama pandemi COVID 19, FBI memperingatkan bahwa para penipu BEC yang menyamar sebagai vendor peralatan dan pasokan medis menagih rumah sakit dan lembaga perawatan kesehatan.

Di sisi lain (tetapi tidak kalah menguntungkan), pada tahun 2021 para penipu BEC mengambil keuntungan dari berbagai proyek pendidikan dan konstruksi yang dipublikasikan dengan baik di Peterborough, NH dan mengalihkan dana sebesar USD 2,3 juta ke rekening bank palsu.

Selanjutnya, penipu mulai meneliti organisasi target dan aktivitasnya untuk menentukan karyawan yang akan menerima email phishing dan identitas pengirim yang akan ditiru (spoof) oleh penipu.

Penipuan BEC biasanya menargetkan karyawan tingkat menengah—misalnya, departemen keuangan atau manajer sumber daya manusia (SDM)—yang memiliki wewenang untuk mengeluarkan pembayaran atau yang memiliki akses ke data sensitif, dan yang cenderung mematuhi permintaan tersebut dari manajer senior atau eksekutif. Beberapa serangan BEC dapat menargetkan karyawan baru yang mungkin hanya memiliki sedikit atau bahkan tidak memiliki pelatihan kesadaran keamanan dan pemahaman yang terbatas mengenai prosedur dan persetujuan pembayaran atau pembagian data yang tepat.

Untuk identitas pengirim, penipu memilih rekan kerja atau karyawan yang dapat secara kredibel meminta atau memengaruhi tindakan yang diinginkan penipu untuk dilakukan oleh karyawan target. Identitas rekan kerja biasanya adalah manajer, eksekutif, atau pengacara tingkat tinggi dalam organisasi.

Identitas luar dapat berupa eksekutif dari vendor atau organisasi mitra, tetapi mereka juga dapat berupa rekan atau kolega target karyawan—misalnya, vendor yang sering bekerja sama dengan target karyawan, pengacara yang menyarankan sebuah transaksi, atau pelanggan yang sudah ada atau yang baru.

Banyak penipu menggunakan alat perolehan prospek yang sama dengan yang digunakan para profesional pemasaran dan penjualan yang sah—LinkedIn dan jaringan media sosial lainnya, sumber berita bisnis dan industri, perangkat lunak prospek dan pembuatan daftar—untuk menemukan target karyawan potensial dan mencocokkan identitas pengirim.

Tidak semua penyerang BEC mengambil langkah meretas ke dalam jaringan organisasi target dan pengirim. Tetapi mereka yang berperilaku seperti malware, mengamati target dan pengirim serta mengumpulkan informasi dan mengakses hak istimewa selama berminggu-minggu sebelum melancarkan serangan yang sebenarnya. Hal ini memungkinkan penyerang untuk:

• Memilih target karyawan dan identitas pengirim terbaik berdasarkan perilaku yang diamati dan hak istimewa akses yang dimilikinya.
  
  

• Mempelajari detail lebih lanjut tentang bagaimana faktur dikirimkan dan bagaimana pembayaran atau permintaan data sensitif ditangani, sehingga mereka dapat meniru permintaan dengan lebih baik dalam email serangan mereka.
  
  

• Menentukan tanggal jatuh tempo untuk pembayaran tertentu kepada vendor, pengacara, dll.
  
  

• Mencegat faktur vendor atau pesanan pembelian yang sah dan mengubahnya untuk menentukan pembayaran ke rekening bank penyerang.
  
  

• Mengendalikan akun email pengirim yang sebenarnya, sehingga penipu dapat mengirim email serangan langsung dari akun tersebut dan terkadang bahkan menyisipkannya ke dalam percakapan email yang sah yang sedang berlangsung, untuk mendapatkan keaslian yang maksimal.

Peniruan yang meyakinkan adalah kunci keberhasilan BEC dan para penipu membuat email serangan mereka dengan keaslian dan kredibilitas maksimum. Jika mereka tidak meretas email pengirim, penipu akan membuat akun email palsu yang memalsukan alamat email pengirim agar terlihat sah. (Sebagai contoh, mereka mungkin menggunakan nama kreatif atau nama domain yang salah eja, seperti jsmith@company.com atau jane.smith@cornpany.com untuk jane.smith@company.com). Mereka juga bisa menambahkan petunjuk visual lainnya, seperti tanda tangan dengan logo perusahaan pengirim atau pernyataan privasi yang mendetail (dan palsu).

Komponen utama dari email serangan adalah pretext—sebuah cerita palsu namun masuk akal yang ditulis untuk mendapatkan kepercayaan target dan meyakinkan atau menekan target untuk melakukan apa yang diinginkan oleh penyerang. Pretext yang paling efektif menggabungkan situasi yang dapat dikenali dengan rasa urgensi dan implikasi konsekuensi. Pesan dari manajer atau CEO yang berbunyi, "Saya akan naik pesawat—bisakah Anda membantu saya dengan memproses faktur ini (terlampir) untuk menghindari biaya keterlambatan?" adalah contoh klasik dari dalih BEC.

Bergantung pada permintaan, penipu juga dapat membuat situs web palsu, mendaftarkan perusahaan palsu, atau bahkan memberikan nomor telepon palsu yang dapat dihubungi oleh target untuk konfirmasi.

Penipuan BEC adalah salah satu kejahatan siber yang paling sulit dicegah karena mereka jarang menggunakan malware yang dapat dideteksi oleh alat keamanan. Sebaliknya, scammer mengandalkan penipuan dan manipulasi. Scammer bahkan tidak perlu melanggar perusahaan target mereka.

Mereka dapat membebaskan korban dari jumlah besar dengan melanggar, atau bahkan hanya menyamar sebagai, vendor atau pelanggan. Akibatnya, serangan BEC membutuhkan waktu rata-rata 308 hari untuk diidentifikasi dan diatasi, menurut laporan Cost of a Data Breach (Biaya Pelanggaran Data)—waktu penyelesaian terlama kedua dari semua jenis pelanggaran.

Itu artinya, perusahaan dapat mengambil langkah-langkah berikut untuk mempertahankan diri dari penipuan ini:

• Pelatihan kesadaran keamanan siber dapat membantu karyawan memahami bahaya berbagi secara berlebihan di platform media sosial dan aplikasi yang digunakan para penipu untuk menemukan dan meneliti target mereka. Pelatihan juga dapat membantu karyawan menemukan upaya BEC dan mengadopsi praktik terbaik seperti memverifikasi permintaan pembayaran yang besar sebelum mematuhi.

• Alat keamanan email mungkin tidak dapat menangkap semua email BEC, terutama yang berasal dari akun yang disusupi. Namun, mereka dapat membantu menemukan alamat email palsu. Beberapa alat juga dapat menandai konten email mencurigakan yang mungkin menandakan upaya BEC.

• Autentikasi dua faktor atau multifaktor dapat mempersulit penyerang BEC untuk meretas akun email.

• Alat keamanan perusahaan dapat membantu tim keamanan menghentikan serangan BEC lebih cepat dengan mengidentifikasi upaya untuk mengeksploitasi kerentanan jaringan dan menandai aktivitas di titik akhir, di akun email, dan di tempat lain yang dapat mengarahkan peretas untuk melakukan pengintaian. Alat-alat bantu ini meliputi:
  • orkestrasi keamanan
  • otomatisasi dan respons (SOAR)
  • informasi keamanan dan manajemen acara (SIEM)
  • deteksi dan respons titik akhir (EDR) 
  • deteksi dan respons yang diperluas (XDR)