Pakar keamanan siber dan FBI mengidentifikasi enam jenis utama serangan BEC.



Skema faktur palsu



Penyerang BEC berpura-pura menjadi vendor yang bekerja sama dengan perusahaan, dan mengirimkan email kepada karyawan target dengan faktur palsu yang dilampirkan. Ketika perusahaan membayar faktur, uang langsung masuk ke penyerang. Untuk membuat serangan ini meyakinkan, penyerang dapat mencegat faktur vendor yang sebenarnya, dan memodifikasinya untuk mengarahkan pembayaran ke rekening bank mereka sendiri.

Secara khusus, pengadilan telah memutuskan (tautan berada di luar ibm.com) bahwa perusahaan yang tertipu oleh faktur palsu masih harus bertanggung jawab atas faktur yang sebenarnya.

Salah satu penipuan faktur palsu terbesar dilakukan terhadap Facebook dan Google. Dari tahun 2013 hingga 2015, seorang penipu yang menyamar sebagai Quanta Computer, produsen perangkat keras yang bekerja sama dengan kedua perusahaan tersebut, mencuri 98 juta dolar AS dari Facebook dan 23 juta dolar AS dari Google. Meskipun penipu telah ditangkap dan kedua perusahaan mendapatkan kembali sebagian besar uang mereka, hasil ini jarang terjadi pada penipuan BEC.



Penipuan CEO



Penipu berpura-pura menjadi seorang eksekutif, biasanya CEO, dan meminta karyawan untuk mentransfer uang ke suatu tempat. Permintaan ini sering kali berkedok untuk menutup transaksi, membayar faktur yang sudah jatuh tempo, atau bahkan membeli kartu hadiah untuk sesama karyawan.

Skema penipuan CEO sering kali menciptakan nuansa urgensi, mendorong target untuk bertindak cepat dan gegabah, misalnya, "Faktur ini sudah jatuh tempo, dan kami akan kehilangan layanan jika tidak segera membayarnya." Teknik lainnya adalah menciptakan nuansa kerahasiaan untuk mencegah target berkonsultasi dengan rekan kerja, misalnya, "Kesepakatan ini bersifat rahasia, jadi jangan beritahukan kepada siapa pun."

Pada tahun 2016, seorang penipu yang menyamar sebagai CEO produsen kedirgantaraan FACC menggunakan akuisisi palsu untuk mengelabui seorang karyawan agar mentransfer dana sebesar USD47 juta (tautan berada di luar ibm.com). Sebagai akibat dari penipuan tersebut, dewan perusahaan memecat CFO dan CEO karena “melanggar“ tugas mereka.



Kompromi akun email (EAC)



Penipu mengambil alih akun email karyawan yang bukan karyawan eksekutif dan kemudian mengirimkan faktur palsu ke perusahaan lain atau mengelabui karyawan lain untuk berbagi informasi rahasia. Para penipu sering menggunakan EAC untuk melakukan phishing terhadap kredensial akun-akun yang lebih tinggi yang dapat mereka gunakan untuk melakukan penipuan terhadap CEO.

Peniruan identitas pengacara



Penipu menyamar sebagai pengacara dan meminta korban untuk membayar tagihan atau membagikan informasi sensitif. Penipuan peniruan pengacara mengandalkan fakta bahwa orang cenderung bekerja sama dengan pengacara, dan bukan hal yang aneh jika pengacara meminta kerahasiaan.

Anggota geng BEC Rusia Cosmic Lynx sering menyamar sebagai pengacara sebagai bagian dari serangan peniruan identitas ganda (tautan berada di luar ibm.com). Pertama, CEO perusahaan target menerima email yang memperkenalkan CEO ke 'pengacara' yang membantu perusahaan dengan akuisisi atau kesepakatan bisnis lainnya. Kemudian pengacara palsu mengirim email kepada CEO meminta mereka untuk mengirimkan pembayaran untuk menutup kesepakatan. Rata-rata, serangan Cosmic Lynx mencuri USD 1,27 juta dari setiap target.



Pencurian data



Banyak serangan BEC menargetkan karyawan HR dan keuangan untuk mencuri informasi identifikasi pribadi (PII) dan data sensitif lainnya yang dapat digunakan untuk melakukan pencurian identitas atau kejahatan siber.

Misalnya, pada tahun 2017, IRS memperingatkan (tautan berada di luar ibm.com) tentang penipuan BEC yang mencuri data karyawan. Penipu menyamar sebagai eksekutif perusahaan dan meminta karyawan penggajian untuk mengirim salinan W-2 karyawan (yang mencakup nomor jaminan sosial karyawan dan informasi sensitif lainnya). Beberapa karyawan penggajian yang sama menerima email ’tindak lanjut’ yang meminta agar transfer kawat dilakukan ke rekening palsu. Para penipu berasumsi bahwa target yang menganggap permintaan W2 sebagai permintaan yang kredibel adalah target yang tepat untuk permintaan transfer.



Pencurian komoditas



Pada awal tahun 2023,FBI memperingatkan (tautan berada di luar ibm.com) tentang jenis serangan baru, di mana para penipu menyamar sebagai pelanggan korporat untuk mencuri produk dari perusahaan target. Dengan menggunakan informasi keuangan palsu dan menyamar sebagai karyawan di bagian pembelian perusahaan lain, para penipu menegosiasikan pembelian dalam jumlah besar secara kredit. Perusahaan target mengirimkan pesanan—biasanya bahan bangunan atau perangkat keras komputer—tetapi penipu tidak pernah membayar.