Waspada, Hacker Jahat Pelajari Kepribadian Para CEO
Ilustrasi
Cyberthreat.id - Hacker jahat dan cyber criminal mulai meningkatkan pola serangan dengan mempelajari kepribadian para CEO atau petinggi perusahaan. Tujuannya untuk melakukan serangan penipuan Business Email Compromise (BEC). Dikenal juga penipuan CEO (CEO Fraud), Whaling atau Email Account Compromise (EAC).
"BEC Fraud yang paling mendasar adalah email palsu yang menyamar sebagai eksekutif senior perusahaan, seperti CEO atau CFO, dalam upaya untuk menipu karyawan mentransfer dana ke pihak ketiga," demikian kutipan sebuah laporan dari Cyware, Selasa (5 November 2019).
Laporan FBI tahun 2018 menyatakan kerugian akibat kejahatan BEC Fraud mencapai 1,3 miliar USD. Jumlah itu meningkat tajam dibanding tahun sebelumnya di angka 675 juta USD. September 2019, raksasa media Jepang, Nikkei, mendapat serangan kombinasi BEC Fraud yang menyebabkan kerugian 29 juta USD.
Seorang pegawai Nikkei di Amerika Serikat (AS) termakan informasi BEC Fraud dari penjahat cyber yang memintanya untuk melakukan transfer sejumlah uang ke rekening sebuah bank. Rekening tersebut akhirnya dikontrol oleh si penjahat cyber karena ia mendapatkan informasi rahasia dari karyawan.
"Penipuan itu bisa terjadi karena si penjahat sukses menyamar sebagai petinggi Nikkei dan si karyawan mempercayainya."
Kini, trend kejahatan BEC Fraud terus berkembang dan bervariasi. Dalam kasus-kasus terbaru, ditemukan penjahat cyber yang menyamar sebagai vendor kemudian mengirim faktur pembelian. Tak sampai di situ, si penjahat juga menggunakan audio deepfake untuk menipu karyawan yang percaya bahwa itu adalah bosnya.
Dalam beberapa kasus, para penjahat cyber ini juga mencari informasi keuangan yang sensitif dengan membuat permintaan yang sah untuk laporan pajak atau informasi rahasia lainnya, terutama terkait dengan transaksi bisnis yang dapat digunakan untuk melakukan penipuan.
"Maret 2019, seorang penjahat cyber berhasil menipu karyawan Google dan Facebook. Kejahatan dilakukan hanya dengan mengirim faktur palsu," ujar laporan tersebut.
Zero Trust
Laporan tersebut menegaskan bahwa tidak satupun bisnis yang aman dari ancaman BEC Fraud. Semua perusahaan/organisasi, besar atau kecil, seluruhnya akan menghadapi tantangan ini ke depan.
Cybersecurity Awareness terhadap semua orang, terutama karyawan, penting untuk mendapatkan pengetahuan ini. Salah satu prinsipnya adalah menanamkan Zero Trust alias tidak mudah percaya terhadap semua aktivitas di email. Jangan asal klik dan harus mengutamakan koordinasi dan kolaborasi internal perusahaan.
"Bahkan keraguan sekecil apa pun tentang keabsahan email harus dilaporkan. Dalam hal ini, seorang karyawan tidak boleh membalas email, dan yang paling penting, jangan melakukan transaksi keuangan dengan pihak lain."
Perusahaan/organisasi dituntut untuk mendidik staf dan karyawan dalam melakukan proses verifikasi yang sangat teliti. Misalnya, mempertimbangkan proses verifikasi dua langkah (TFA) untuk transfer online. Termasuk waspada terhadap posting media sosial tentang keberadaan orang-orang kunci dalam organisasi.
"Untuk para CEO dan CFO juga demikian."
