PENIPUAN ONLINE
Waspadai Aksi ‘Business Email Compromise’, Apa Itu?
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Surat elektronik (email) itu masuk seperti biasa, tapi ini dilakukan oleh kepala eksekutif perusahaan ke bagian keuangan. Kira-kira begini isinya:
"Hei, kesepakatan selesai. Tolong kirimkan US$ 8 juta ke akun ini untuk menyelesaikan akuisisi secepatnya. Perlu dilakukan sebelum akhir hari. Terima kasih."
Tentu saja, perintah bos perusahaan kepada karyawan adalah hal yang wajar. Tanpa pikir panjang karyawan itu mengirim uang dan menandai bahwa telah dilakukan transaksi sesuai perintah bosnya.
Berita Terkait:
- Dikirimi Tautan Lotre Palsu, Pria Ini Tertipu Ratusan Juta
- Tips Melawan Penipuan di Media Sosial
- Waspadai Grup Penggalangan Dana Palsu di Facebook
Namun, bencana itu mulai terjadi ketika uang itu tidak jelas dikirim ke mana. Perusahaan yang dikirimi uang itu tidak merasa menerima. Bank pun menelusuri transaksi, tapi uang telah diambil penjahat online—mungkin telah mencairkannya dengan jaringan pencucian uang yang rumit
Sementara karyawan keuangan dalam posisi tertekan, perusahaan pun stres bukan kepalang. Terlebih, email itu tampaknya berasal dari alamat bos dan akunnya belum diretas. Namun, analisis tim keamanan siber (cybersecurity) mengatakan lain. Itu adalah email palsu.
Itulah contoh serangan siber yang dikenal dengan “Business Email Compromise” (BEC) atau “CEO Fraud”.
Serangannya relatif berteknologi rendah dan lebih mengandalkan rekayasa sosial dan tipuan daripada peretasan biasanya.
Penjahat dunia maya hanya memalsukan alamat email seorang eksekutif perusahaan dan mengirim permintaan meyakinkan kepada karyawan. Pesan itu tampak seolah-olah itu datang dari bos, tapi sebetulnya dari penipu.
Penipuan BEC ini terus meningkat dan menurut FBI di Amerika Serikat, penjahat online telah menghasilkan uang di seluruh dunia setidaknya US$ 26 miliar sejak 2016.
Awal September ini, sebanyak 281 tersangka peretas ditangkap di 10 negara berbeda sebagai bagian dari operasi penghancuran besar-besaran jaringan kejahatan dunia maya. Mereka adalah jaringan penipu online.
Berita Terkait:
- 281 Tersangka Penipuan Online Diringkus di 10 Negara
- Penipuan BEC, Scammers Bobol US$ 1,04 Juta di Kanada
Ryan Kalember, Wakil Presiden Eksekutif Strategi Keamanan Siber di Proofpoint, mengatakan, "BEC adalah masalah paling mahal di semua keamanan siber. Tidak ada satu pun bentuk lain dari kejahatan siber yang memiliki tingkat cakupan yang sama dalam hal uang yang hilang," kata dia.
Kalember dan timnya telah melihat taktik berkembang selama setahun terakhir dan memiliki beberapa pengamatan dan peringatan yang menarik bagi calon korban.
Target tradisional untuk serangan BEC adalah tokoh-tokoh perusahaan besar, seperti chief executive officer atau chief finance officer.
Namun baru-baru ini, penjahat menyasar target yang lain. "Sekarang kami lihat bukan lagi VIO, tapi korban cenderung memiliki email yang mudah dicari atau alamat bersama yang mudah ditebak,” kata Kalember seperti dikutip dari BBC yang diakses Minggu (29 September 2019).
Metode lain yang terlihat lebih teratur adalah penipuan email yang dikirim pada Senin pagi.
Menurut Proofpoint, lebih dari 30 persen email BEC dikirim pada hari Senin karena peretas mencoba memanfaatkan backlog akhir pekan.
Mereka berharap "social jetlag" akan membuat karyawan lebih mudah tertipu oleh email palsu dan trik rekayasa sosial lainnya.
"Penyerang tahu bagaimana orang dan kantor bekerja. Mereka bergantung pada orang yang membuat kesalahan. Ini bukan kerentanan teknis, ini tentang kesalahan manusia," kata Kalember.
Berita Terkait:
- Polri Tangkap Buron Penipuan Online Rp 100 Miliar
- Penipuan Online, Laporan Terbanyak di Situs Patroli Siber
Email palsu
Tautan email palsu adalah bagian dari teknik lain yang telah berkembang dari penipuan online.
Penyerang memulai baris subjek email mereka dengan "Re:" atau "Fwd:" untuk membuatnya terlihat seperti pesan mereka adalah bagian dari percakapan sebelumnya.
Dalam beberapa kasus, mereka bahkan memasukkan riwayat email palsu untuk membangun legitimasi yang jelas.
Menurut peneliti Proofpoint, upaya penipuan yang menggunakan teknik ini telah meningkat lebih dari 50 persen dari tahun ke tahun.
Kalember mengatakan semua tren ini mengikuti pola yang dapat diprediksi berdasarkan perilaku seseorang. "Salah satu alasan mengapa ini masalah yang sangat sulit untuk dihilangkan karena itu bergantung pada risiko sistemik dari kita semua yang mempercayai email sebagai alat komunikasi," kata dia.
Namun, ada banyak hal yang dapat dilakukan oleh perusahaan dan karyawan. Salah satunya, perusahaan menerapkan verifikasi dua faktor sebelum pembayaran dikirimkan.
