Apa itu Business Email Compromise (BEC)?
Business email compromise (BEC) adalah eksploitasi keamanan di mana penyerang menargetkan karyawan yang memiliki akses ke dana perusahaan dan meyakinkan korban untuk mentransfer uang ke rekening bank yang dikendalikan oleh penyerang.
Menurut laporan kejahatan internet FBI, eksploitasi BEC menyebabkan kerugian lebih dari $1,77 miliar pada tahun 2019. BEC menjadi salah satu klaim utama dalam asuransi siber pada tahun 2020, dan vendor keamanan Proofpoint telah memperingatkan bahwa eksploitasi BEC semakin banyak dikaitkan dengan pandemi COVID-19. Korban paling umum dari BEC adalah perusahaan yang menggunakan transfer bank untuk mengirim uang kepada klien internasional.
Eksploitasi BEC sering dimulai dengan penyerang menggunakan skema rekayasa sosial untuk menipu target level eksekutif (C-level) agar mengunduh malware, mengklik tautan berbahaya, atau mengunjungi situs web yang sudah terkompromi.Setelah akun manajer C-level berhasil diretas, akun tersebut dapat digunakan untuk menipu karyawan lain agar mengirim uang kepada penyerang.
Salah satu strategi BEC yang populer adalah mengirim email resmi kepada seseorang di departemen keuangan perusahaan. Biasanya, email tersebut akan menyebutkan adanya masalah mendesak dan rahasia yang membutuhkan pembayaran segera ke rekening bank pelanggan, mitra, atau mitra rantai pasokan. Penyerang berharap orang di departemen keuangan yang tidak curiga akan mengira mereka membantu perusahaan dengan mempercepat transfer dana, padahal sebenarnya mereka mengirim uang ke rekening bank milik penyerang.
Cara-cara yang Digunakan dalam Eksploitasi BEC
Terdapat banyak cara BEC digunakan untuk menipu target. Berikut beberapa contohnya:
- Akun karyawan yang telah diretas meminta perubahan informasi penerima pembayaran dan mengalihkan pembayaran ke rekening pelaku.
- Penyerang mengirimkan faktur palsu kepada vendor mitra dengan harapan mereka membayar tagihan tanpa memverifikasinya.
- Identitas email seorang pengacara mungkin digunakan untuk memberi tekanan pada target agar melakukan pembayaran segera.
Penjahat siber juga dapat menggunakan akun yang diretas (terutama milik karyawan HR) untuk mendapatkan lebih banyak informasi pribadi (PII) yang dapat digunakan nanti untuk menipu perusahaan atau kliennya.
Cara Mencegah Eksploitasi BEC
Beberapa langkah untuk mencegah jenis penipuan keuangan ini meliputi:
- Edukasi karyawan tentang risiko BEC dan cara mengenalinya.
- Melakukan uji penetrasi (pen test) rekayasa sosial untuk mengidentifikasi kelemahan.
- Menambahkan persyaratan bahwa setidaknya dua karyawan harus menyetujui setiap permintaan perubahan pembayaran.