Blog Spaceship

Apa itu business email compromise (BEC)?

Setiap tahun, para penjahat membawa kabur miliaran. Bukan dengan membobol galeri seni mewah atau brankas bank, melainkan dengan mengirim email yang tepat kepada orang yang tepat pada waktu yang tepat. Begini cara mereka melakukannya.

Dalam artikel ini, Anda akan mempelajari:

  • Apa sebenarnya business email compromise

  • Bagaimana serangan ini dilakukan, langkah demi langkah

  • Jenis serangan BEC yang paling umum

  • Contoh nyata serangan senilai $37 juta

  • Cara melindungi bisnis Anda sebelum menjadi target

Apa itu business email compromise dalam keamanan siber?

Business email compromise adalah serangan siber di mana penjahat menyamar sebagai seseorang yang Anda percayai untuk menipu Anda agar mengirim uang atau menyerahkan data sensitif. Yang membuatnya berbahaya adalah kesabaran dan perencanaannya. Penyerang menghabiskan waktu berminggu-minggu mempelajari cara sebuah perusahaan berkomunikasi, siapa yang memegang wewenang, dan kapan harus menyerang. Pada saat email itu tiba, tampilannya seperti email biasa dari seseorang yang Anda kenal.

Bagaimana cara kerja serangan business email compromise?

Ada pola yang sudah teruji dan terbukti untuk serangan-serangan ini, dan para penipu mengikutinya setiap saat.

Langkah 1 – Temukan target

Inti dari serangan business email compromise adalah bahwa serangan ini harus meyakinkan. Untungnya bagi para penyerang, Internet adalah tambang emas informasi tentang target potensial. Sekilas melihat profil media sosial Anda dapat mengungkap pekerjaan Anda, teman dekat, dan bahkan gaya bicara Anda. Gabungkan ini dengan siaran pers tentang langkah perusahaan Anda di masa depan dan bio dari situs web perusahaan, dan semuanya mulai terlihat kredibel.

Penyerang dapat mengumpulkan semua informasi itu dan, dalam hitungan detik, membuat email yang terlihat dan terdengar seperti yang asli.

Langkah 2 – Masuk ke kotak masuk

Agar isi email tampak nyata, penyerang perlu membungkusnya dalam kemasan yang meyakinkan dan tampak rapi. Jika alamat email tidak terlihat berasal dari sumber tepercaya, seluruh penipuan akan gagal total.

Penyerang dapat memalsukan domain dengan mendaftarkan nama seperti acme-corp.com alih-alih acmecorp.com. Atau, jika mereka cukup pintar, meretas kotak masuk yang asli, sehingga hampir mustahil dibedakan dari pesan yang benar-benar asli.

Lagipula, jika bentuknya seperti bebek dan suaranya seperti bebek, kebanyakan orang akan mengira itu bebek.

Langkah 3 – Bangun kepercayaan

Dalam serangan seperti ini, kesabaran adalah kuncinya. Penyerang dapat bersembunyi di kotak masuk yang diretas selama berminggu-minggu, membaca rangkaian email dan mempelajari gaya komunikasi. Saat email akhirnya tiba, email itu menyatu dengan email-email sebelumnya, meniru nada dan alur percakapan.

Langkah 4 – Ajukan permintaan

Setelah penyerang mengetahui Anda luar dalam — gaya bicara Anda, nama dan jabatan rekan kerja Anda, serta apa yang sedang terjadi di perusahaan Anda — dan mereka berhasil menyusup ke email Anda, permintaan pun dikirim.

Biasanya ini adalah sesuatu yang tidak bisa dengan mudah dibatalkan. Bisa berupa pengiriman uang ke rekening bank atau membagikan informasi pribadi. Kuncinya adalah tindakan itu harus tidak dapat dipulihkan. 

Begitu target menyadari ada yang salah, penyerang membutuhkan agar kerusakan sudah telanjur terjadi. Jika mereka sangat licik, mereka bahkan mungkin mengirimkannya saat musim liburan ketika semua orang lengah, dan peluang keberhasilannya lebih besar.

Langkah 5 – Menghilang tanpa jejak

Setelah dana dikirim, dana tersebut segera dipindahkan melalui serangkaian rekening perantara. Rekening-rekening ini biasanya berbasis di luar negeri, sehingga jejak uangnya sangat sulit diikuti bahkan oleh aparat penegak hukum.

Contoh business email compromise

Business email compromise adalah bos terakhir dari serangan digital. Biasanya ini melibatkan perusahaan besar dan jumlah uang yang fantastis. 

Pada tahun 2019, salah satu pemasok utama Toyota kehilangan puluhan juta dalam satu kali transfer. Penyerang membobol sistem email Toyota Boshoku. Mereka membaca pesan dan mempelajari cara perusahaan berkomunikasi. Ketika transfer uang dalam jumlah besar muncul dalam percakapan, mereka meminta seseorang di perusahaan yang memiliki wewenang untuk memindahkan uang agar memperbarui detail rekening bank untuk transfer tersebut. Itu tampak sah, dan uang pun dikirim.

Begitu saja, $37 juta, lenyap.

Jenis-jenis serangan business email compromise

Tidak semua contoh business email compromise terlihat sama. Tentu saja, tujuannya selalu untuk menipu orang agar menyerahkan uang sebanyak mungkin, tetapi pendekatannya bisa sangat berbeda.

Penipuan CEO (Penyamaran eksekutif)

Ini adalah bentuk BEC yang paling dikenal. Penyerang menyamar sebagai eksekutif senior, biasanya CEO atau CFO, dan menekan seseorang di bagian keuangan untuk memindahkan uang. Ini berhasil karena adanya dinamika kekuasaan. Ketika atasan menginginkan sesuatu, kebanyakan orang tidak berhenti untuk bertanya mengapa. Jika ini kemudian digabungkan dengan cerita latar yang meyakinkan, itu cukup untuk membuat seseorang bertindak tanpa berpikir dua kali.

Kompromi email vendor

Penyerang menargetkan hubungan di luar perusahaan alih-alih berpura-pura menjadi seseorang di dalam perusahaan. Mereka menargetkan pemasok dan vendor tepercaya, menyusup ke percakapan email yang sudah ada dan menukar detail pembayaran yang asli dengan milik mereka sendiri. Dari sisi korban, ini terlihat seperti pembaruan faktur rutin dari pemasok yang telah bekerja sama selama bertahun-tahun.

Pengambilalihan akun

Ini adalah varian yang paling berbahaya karena tidak melibatkan spoofing. Penyerang menggunakan akun yang asli. Email datang dari alamat yang asli dan menggunakan nada yang tepat. Pesannya terlihat sepenuhnya normal, karena secara teknis memang begitu.

Pengalihan penggajian

Yang satu ini tidak menargetkan uang perusahaan. Sebaliknya, ini menargetkan karyawan. Penyerang menyamar sebagai HR atau seorang karyawan dan meminta pembaruan penggajian, diam-diam mengalihkan gaji ke rekening yang mereka kendalikan. 

Korban tidak mengetahuinya sampai hari gajian, dan karena jumlahnya lebih kecil serta permintaannya terlihat normal, hal ini jarang memicu peringatan penipuan. Ini adalah versi BEC yang lebih lambat, tetapi jika cukup banyak karyawan yang terkena, jumlahnya akan cepat membesar.

BEC vs Phishing – Apa bedanya?

Email phishing sudah ada sejak lama, dan kebanyakan orang tahu seperti apa bentuknya. Itulah email yang memberi tahu Anda bahwa Anda memenangkan hadiah, atau bahwa seorang pangeran Nigeria membutuhkan bantuan Anda. Email-email ini dikirim secara massal dan mengandalkan volume semata untuk menangkap seseorang saat lengah.

Jika phishing adalah jaring, BEC adalah penembak jitu. Penyerang menghabiskan waktu berminggu-minggu meneliti satu perusahaan, terkadang satu orang tertentu. Pada saat email itu tiba, tampilannya seperti pesan Selasa pagi dari seseorang yang Anda kenal.

Phishing biasanya mengincar kredensial login Anda, tetapi BEC melewati langkah itu sepenuhnya dan langsung mengincar uang atau data.

Cara mengenali serangan business email compromise

Serangan BEC dirancang agar terlihat normal. Tetapi jika Anda tahu apa yang harus dicari, tandanya ada.

  • Desakan— Email yang mendorong Anda untuk memindahkan uang dengan cepat, tanpa ruang untuk berhenti dan memverifikasi.

  • Perubahan mendadak — Pemasok atau rekan kerja tiba-tiba memperbarui informasi pembayaran mereka tanpa alasan yang jelas.

  • Alamat yang hampir benar — Email pengirim hanya berbeda satu karakter dari yang asli.

  • Nada yang terasa janggal— Ada sesuatu yang terasa tidak pas, terlalu formal, terlalu santai, atau anehnya terlalu tertutup.

  • Permintaan yang datang entah dari mana — Anda diminta melakukan sesuatu yang biasanya dilakukan melalui saluran lain.

Cara mencegah serangan business email compromise

Mengetahui cara kerja serangan ini adalah setengah dari perjuangan. Setengah lainnya adalah memastikan bisnis Anda bukan target yang mudah.

Angkat telepon

Jika sebuah email meminta Anda mentransfer uang atau memperbarui detail pembayaran, jangan membalasnya. Hubungi orang tersebut secara langsung menggunakan nomor yang sudah Anda miliki, bukan yang ada di email. Ini hanya memakan waktu tiga puluh detik, dan merupakan satu-satunya hal paling efektif yang dapat Anda lakukan.

Aktifkan autentikasi dua faktor

Jika penyerang mendapatkan kredensial login seseorang, 2FA dapat memblokir pengambilalihan penuh kotak masuk. Ini tidak akan menghentikan semuanya, tetapi membuat kompromi akun menjadi jauh lebih sulit.

Ajarkan tim Anda seperti apa yang benar

Pelatihan rutin tentang apa itu BEC, bagaimana cara kerjanya, dan seperti apa tanda bahayanya dapat mengubah karyawan Anda menjadi garis pertahanan.

Biarkan alat Anda melakukan sebagian pekerjaan berat

Filter spam dan alat autentikasi domain seperti SPF, DKIM, and DMARC dapat menyaring upaya BEC sebelum mencapai tim Anda. Deteksi berbasis AI melangkah lebih jauh. Teknologi ini mempelajari seperti apa perilaku email normal di dalam organisasi Anda dan menandai apa pun yang mencurigakan.

Pertanyaan yang sering diajukan

Business email compromise adalah ketika seorang penjahat berpura-pura menjadi seseorang yang Anda percayai melalui email untuk menipu Anda agar mengirim uang atau membagikan informasi sensitif. Penyerang mengirim email meyakinkan yang meniru nada email perusahaan dan bahkan berasal dari alamat email perusahaan.

Keduanya terkait tetapi tidak sama. Phishing menebar jaring yang luas, mengirim email umum ke sebanyak mungkin orang. Serangan BEC bersifat tertarget. Penyerang meneliti perusahaan tertentu, orang tertentu, dan momen tertentu. Hasilnya jauh lebih meyakinkan dan jauh lebih mahal.

Sebagian besar penipuan business email compromise dimulai dengan riset. Penyerang mempelajari struktur dan komunikasi sebuah perusahaan. Setelah mereka tahu cukup banyak, mereka akan memalsukan alamat email tepercaya atau mengambil alih alamat email yang asli.

Penipuan CEO. Penyerang menyamar sebagai eksekutif senior dan menekan seseorang di bagian keuangan untuk mentransfer uang dengan cepat. Ini berhasil karena kebanyakan orang tidak mempertanyakan permintaan mendesak dari atasan.

Ya. Perlindungan business email compromise dimulai dari manusia. Latih tim Anda untuk mengenali tanda bahaya, memverifikasi permintaan pembayaran melalui telepon, dan menggunakan alat seperti 2FA dan DMARC agar email Anda lebih sulit dikompromikan. Tidak ada satu pun langkah yang sepenuhnya aman, tetapi kombinasi yang tepat membuat Anda menjadi target yang jauh lebih sulit.


Artikel yang disarankan

Bagikan pemikiran Anda

Diperlukan lebih dari 10 karakter.
Identitas Anda untuk tampilan publik.
Memberikan alamat email Anda adalah opsional. Itu tidak akan dibagikan dengan pihak ketiga.

Bantu kami meningkatkan blog kami

Bagikan pemikiran Anda dalam survei singkat dua menit.

Email yang valid diperlukan