Beranda

Topics

Kompromi email bisnis

Apa itu kompromi email bisnis (BEC)?
Jelajahi solusi penyusupan email bisnis IBM Berlangganan pembaruan topik keamanan
Ilustrasi memperlihatkan kolase awan, sidik jari dan piktogram ponsel
Apa itu BEC?

Penyusupan email bisnis, atau BEC, adalah penipuan email phishing tombak yang mencoba mencuri uang atau data sensitif dari sebuah bisnis.

Dalam serangan BEC, penjahat siber (atau geng penjahat siber) mengirimkan email kepada karyawan organisasi target yang tampaknya berasal dari sesama karyawan, atau dari vendor, mitra, pelanggan, atau rekanan lainnya. Email-email tersebut mengelabui karyawan untuk membayar faktur palsu, mentransfer uang ke rekening bank palsu, atau membocorkan informasi sensitif seperti data pelanggan, kekayaan intelektual, atau keuangan perusahaan.

Dalam kasus yang jarang terjadi, penyerang BEC mencoba menyebarkan ransomware atau malware dengan meminta korban untuk membuka lampiran atau mengklik tautan berbahaya. Mereka juga dengan cermat meneliti karyawan yang mereka targetkan dan identitas yang mereka tiru untuk membuat email mereka tampak sah. Teknik rekayasa sosial, seperti spoofing dan pretexting alamat email, membantu mereka membuat email serangan yang meyakinkan yang terlihat dan dibaca seolah-olah dikirim oleh pengirim yang menyamar.

Terkadang, scammer meretas dan membajak akun email pengirim, membuat email serangan menjadi lebih dapat dipercaya, jika tidak dapat dibedakan dari pesan email yang sah. Serangan penyusup email bisnis merupakan salah satu serangan siber yang paling mahal.

Menurut laporan Biaya Pelanggaran Data IBM 2022, Penipuan BEC adalah jenis pelanggaran termahal kedua, dengan biaya rata-rata USD4,89 juta. Menurut Laporan Kejahatan Internet Pusat Pengaduan Kejahatan Internet FBI (tautan berada di luar ibm.com), Penipuan BEC mengakibatkan kerugian pada korban di Amerika Serikat dengan total USD2,7 miliar pada tahun 2022.

IBM Security X-Force Threat Intelligence Index

Dapatkan insight untuk mempersiapkan dan merespons serangan siber dengan kecepatan dan efektivitas yang lebih besar dengan IBM Security X-Force Threat Intelligence Index.

Konten terkait Daftar untuk memperoleh laporan Biaya Pelanggaran Data
Jenis-jenis penipuan BEC

Pakar keamanan siber dan FBI mengidentifikasi enam jenis utama serangan BEC.
 

Skema faktur palsu


Penyerang BEC berpura-pura menjadi vendor yang bekerja sama dengan perusahaan, dan mengirimkan email kepada karyawan target dengan faktur palsu yang dilampirkan. Ketika perusahaan membayar faktur, uang langsung masuk ke penyerang. Untuk membuat serangan ini meyakinkan, penyerang dapat mencegat faktur vendor yang sebenarnya, dan memodifikasinya untuk mengarahkan pembayaran ke rekening bank mereka sendiri.

Secara khusus, pengadilan telah memutuskan (tautan berada di luar ibm.com) bahwa perusahaan yang tertipu oleh faktur palsu masih harus bertanggung jawab atas faktur yang sebenarnya.

Salah satu penipuan faktur palsu terbesar dilakukan terhadap Facebook dan Google. Dari tahun 2013 hingga 2015, seorang penipu yang menyamar sebagai Quanta Computer, produsen perangkat keras yang bekerja sama dengan kedua perusahaan tersebut, mencuri 98 juta dolar AS dari Facebook dan 23 juta dolar AS dari Google. Meskipun penipu telah ditangkap dan kedua perusahaan mendapatkan kembali sebagian besar uang mereka, hasil ini jarang terjadi pada penipuan BEC.
 

Penipuan CEO


Penipu berpura-pura menjadi seorang eksekutif, biasanya CEO, dan meminta karyawan untuk mentransfer uang ke suatu tempat. Permintaan ini sering kali berkedok untuk menutup transaksi, membayar faktur yang sudah jatuh tempo, atau bahkan membeli kartu hadiah untuk sesama karyawan.

Skema penipuan CEO sering kali menciptakan nuansa urgensi, mendorong target untuk bertindak cepat dan gegabah, misalnya, "Faktur ini sudah jatuh tempo, dan kami akan kehilangan layanan jika tidak segera membayarnya." Teknik lainnya adalah menciptakan nuansa kerahasiaan untuk mencegah target berkonsultasi dengan rekan kerja, misalnya, "Kesepakatan ini bersifat rahasia, jadi jangan beritahukan kepada siapa pun."

Pada tahun 2016, seorang penipu yang menyamar sebagai CEO produsen kedirgantaraan FACC menggunakan akuisisi palsu untuk mengelabui seorang karyawan agar mentransfer dana sebesar USD47 juta (tautan berada di luar ibm.com). Sebagai akibat dari penipuan tersebut, dewan perusahaan memecat CFO dan CEO karena “melanggar“ tugas mereka.
 

Kompromi akun email (EAC)


Penipu mengambil alih akun email karyawan yang bukan karyawan eksekutif dan kemudian mengirimkan faktur palsu ke perusahaan lain atau mengelabui karyawan lain untuk berbagi informasi rahasia. Para penipu sering menggunakan EAC untuk melakukan phishing terhadap kredensial akun-akun yang lebih tinggi yang dapat mereka gunakan untuk melakukan penipuan terhadap CEO. 

Peniruan identitas pengacara


Penipu menyamar sebagai pengacara dan meminta korban untuk membayar tagihan atau membagikan informasi sensitif. Penipuan peniruan pengacara mengandalkan fakta bahwa orang cenderung bekerja sama dengan pengacara, dan bukan hal yang aneh jika pengacara meminta kerahasiaan. 

Anggota geng BEC Rusia Cosmic Lynx sering menyamar sebagai pengacara sebagai bagian dari serangan peniruan identitas ganda (tautan berada di luar ibm.com). Pertama, CEO perusahaan target menerima email yang memperkenalkan CEO ke 'pengacara' yang membantu perusahaan dengan akuisisi atau kesepakatan bisnis lainnya. Kemudian pengacara palsu mengirim email kepada CEO meminta mereka untuk mengirimkan pembayaran untuk menutup kesepakatan. Rata-rata, serangan Cosmic Lynx mencuri USD 1,27 juta dari setiap target.
 

Pencurian data


Banyak serangan BEC menargetkan karyawan HR dan keuangan untuk mencuri informasi identifikasi pribadi (PII) dan data sensitif lainnya yang dapat digunakan untuk melakukan pencurian identitas atau kejahatan siber.

Misalnya, pada tahun 2017, IRS memperingatkan (tautan berada di luar ibm.com) tentang penipuan BEC yang mencuri data karyawan. Penipu menyamar sebagai eksekutif perusahaan dan meminta karyawan penggajian untuk mengirim salinan W-2 karyawan (yang mencakup nomor jaminan sosial karyawan dan informasi sensitif lainnya). Beberapa karyawan penggajian yang sama menerima email ’tindak lanjut’ yang meminta agar transfer kawat dilakukan ke rekening palsu. Para penipu berasumsi bahwa target yang menganggap permintaan W2 sebagai permintaan yang kredibel adalah target yang tepat untuk permintaan transfer.
 

Pencurian komoditas


Pada awal tahun 2023,FBI memperingatkan (tautan berada di luar ibm.com) tentang jenis serangan baru, di mana para penipu menyamar sebagai pelanggan korporat untuk mencuri produk dari perusahaan target. Dengan menggunakan informasi keuangan palsu dan menyamar sebagai karyawan di bagian pembelian perusahaan lain, para penipu menegosiasikan pembelian dalam jumlah besar secara kredit. Perusahaan target mengirimkan pesanan—biasanya bahan bangunan atau perangkat keras komputer—tetapi penipu tidak pernah membayar.

Cara kerja serangan BEC

Secara teknis, BEC adalah jenis phishing tombak—sebuah serangan phishing yang menargetkan individu atau sekelompok individu tertentu. BEC merupakan serangan yang unik di antara serangan phishing tombak, yang menargetkan karyawan atau rekanan bisnis atau organisasi, dan penipu berpura-pura menjadi rekan kerja yang dikenal atau dipercaya oleh target.

Sementara beberapa serangan BEC adalah karya scammer tunggal, yang lain diprakarsai oleh geng BEC. Geng-geng ini beroperasi layaknya bisnis yang sah, mempekerjakan para spesialis seperti spesialis perolehan prospek yang memburu target, peretas yang membobol akun email, dan penulis profesional yang memastikan email phishing bebas dari kesalahan dan meyakinkan. 

Setelah penipu atau komplotan memilih sebuah bisnis untuk dirampok, serangan BEC biasanya mengikuti pola yang sama.
 

Memilih organisasi sasaran


Hampir semua bisnis, nirlaba atau pemerintah adalah target yang cocok untuk serangan BEC. Organisasi besar dengan banyak uang dan pelanggan—dan cukup banyak transaksi yang dieksploitasi BEC mungkin tidak diperhatikan di antara mereka—adalah target yang jelas.

Tetapi peristiwa global atau lokal dapat menyebabkan penyerang BEC ke peluang yang lebih spesifik—beberapa lebih jelas daripada yang lain. Sebagai contoh, selama pandemi COVID 19, FBI memperingatkan bahwa para penipu BEC yang menyamar sebagai vendor peralatan dan pasokan medis menagih rumah sakit dan lembaga perawatan kesehatan.

Di sisi lain (tetapi tidak kalah menguntungkan), pada tahun 2021 para penipu BEC mengambil keuntungan dari berbagai proyek pendidikan dan konstruksi yang terpublikasi dengan baik di Peterborough, NH dan mengalihkan dana sebesar USD2,3 juta ke rekening bank palsu (tautan berada di luar ibm.com).
 

Meneliti target karyawan dan identitas pengirim


Selanjutnya, penipu mulai meneliti organisasi target dan aktivitasnya untuk menentukan karyawan yang akan menerima email phishing, dan identitas pengirim yang akan ditiru oleh penipu.

Penipuan BEC biasanya menargetkan karyawan tingkat menengah—misalnya, departemen keuangan atau manajer sumber daya manusia (SDM)—yang memiliki wewenang untuk mengeluarkan pembayaran atau yang memiliki akses ke data sensitif, dan yang cenderung mematuhi permintaan tersebut dari manajer senior atau eksekutif. Beberapa serangan BEC dapat menargetkan karyawan baru yang mungkin hanya memiliki sedikit atau bahkan tidak memiliki pelatihan kesadaran keamanan dan pemahaman yang terbatas mengenai prosedur dan persetujuan pembayaran atau pembagian data yang tepat.

Untuk identitas pengirim, penipu memilih rekan kerja atau karyawan yang dapat secara kredibel meminta atau memengaruhi tindakan yang diinginkan penipu untuk dilakukan oleh karyawan target. Identitas rekan kerja biasanya adalah manajer, eksekutif, atau pengacara tingkat tinggi dalam organisasi.

Identitas luar dapat berupa eksekutif dari vendor atau organisasi mitra, tetapi mereka juga dapat berupa rekan atau kolega target karyawan—misalnya, vendor yang sering bekerja sama dengan target karyawan, pengacara yang menyarankan sebuah transaksi, atau pelanggan yang sudah ada atau yang baru.

Banyak penipu menggunakan alat penghasil prospek yang sama dengan yang digunakan para profesional pemasaran dan penjualan yang sah-LinkedIn dan jaringan media sosial lainnya, sumber berita bisnis dan industri, perangkat lunak pencarian dan pembuatan daftar-untuk menemukan target karyawan potensial dan mencocokkan identitas pengirim.
 

Meretas jaringan target dan pengirim


Tidak semua penyerang BEC mengambil langkah meretas ke dalam jaringan organisasi target dan pengirim. Tetapi mereka yang berperilaku seperti malware, mengamati target dan pengirim serta mengumpulkan informasi dan mengakses hak istimewa selama berminggu-minggu sebelum melancarkan serangan yang sebenarnya. Hal ini memungkinkan penyerang untuk:

  • Memilih target karyawan dan identitas pengirim terbaik berdasarkan perilaku yang diamati dan hak akses yang dimilikinya.
     

  • Mempelajari detail lebih lanjut tentang bagaimana faktur dikirimkan dan bagaimana pembayaran atau permintaan data sensitif ditangani, sehingga mereka dapat meniru permintaan dengan lebih baik dalam email serangan mereka.
     

  • Menentukan tanggal jatuh tempo untuk pembayaran tertentu kepada vendor, pengacara, dll.
     

  • Mencegat faktur vendor atau pesanan pembelian yang sah dan mengubahnya untuk menentukan pembayaran ke rekening bank penyerang.
     

  • Kendalikan akun email pengirim yang sebenarnya, sehingga memungkinkan penipu mengirim email serangan langsung dari akun tersebut, dan terkadang bahkan menyisipkannya ke dalam percakapan email yang sah yang sedang berlangsung, untuk mendapatkan keaslian yang maksimal.
     

Mempersiapkan dan melancarkan serangan


Peniruan yang meyakinkan adalah kunci keberhasilan BEC, dan para penipu membuat email serangan mereka untuk mendapatkan keaslian dan kredibilitas maksimum.

Jika mereka tidak meretas email pengirim, penipu akan membuat akun email palsu yang memalsukan alamat email pengirim agar terlihat sah. (Sebagai contoh, mereka mungkin menggunakan nama kreatif atau nama domain yang salah eja, seperti jsmith@company.com atau jane.smith@cornpany.com untuk jane.smith@company.com). Mereka juga bisa menambahkan petunjuk visual lainnya, seperti tanda tangan dengan logo perusahaan pengirim atau pernyataan privasi yang mendetail (dan palsu).

Komponen utama dari email serangan adalah pretext—sebuah cerita palsu namun masuk akal yang ditulis untuk mendapatkan kepercayaan target dan meyakinkan atau menekan target untuk melakukan apa yang diinginkan oleh penyerang. Pretext yang paling efektif menggabungkan situasi yang dapat dikenali dengan rasa urgensi dan implikasi konsekuensi. Pesan dari manajer atau CEO yang berbunyi, "Saya akan naik pesawat—bisakah Anda membantu saya dengan memproses faktur ini (terlampir) untuk menghindari biaya keterlambatan?" adalah contoh klasik dari dalih BEC.

Bergantung pada permintaan, penipu juga dapat membuat situs web palsu, mendaftarkan perusahaan palsu, atau bahkan memberikan nomor telepon palsu yang dapat dihubungi oleh target untuk konfirmasi.

Bertahan dari serangan BEC

Penipuan BEC adalah salah satu kejahatan siber yang paling sulit dicegah karena mereka jarang menggunakan malware yang dapat dideteksi oleh alat keamanan. Sebaliknya, scammer mengandalkan penipuan dan manipulasi. Scammer bahkan tidak perlu melanggar perusahaan target mereka.

Mereka dapat membebaskan korban dari jumlah besar dengan melanggar, atau bahkan hanya menyamar sebagai, vendor atau pelanggan. Akibatnya, serangan BEC membutuhkan waktu rata-rata 308 hari untuk diidentifikasi dan diatasi, menurut laporan Cost of a Data Breach (Biaya Pelanggaran Data)—waktu penyelesaian terlama kedua dari semua jenis pelanggaran.

Itu artinya, perusahaan dapat mengambil langkah-langkah berikut untuk mempertahankan diri dari penipuan ini:

  • Pelatihan kesadaran keamanan siber dapat membantu karyawan memahami bahaya berbagi secara berlebihan di platform media sosial dan aplikasi yang digunakan para penipu untuk menemukan dan meneliti target mereka. Pelatihan juga dapat membantu karyawan menemukan upaya BEC dan mengadopsi praktik terbaik seperti memverifikasi permintaan pembayaran yang besar sebelum mematuhi.

  • Alat keamanan email mungkin tidak dapat menangkap semua email BEC, terutama yang berasal dari akun yang disusupi. Namun, mereka dapat membantu menemukan alamat email palsu. Beberapa alat bantu juga dapat menandai konten email mencurigakan yang mungkin menandakan upaya BEC. 

 

Solusi terkait
Layanan rekayasa sosial X-Force Red

Uji karyawan Anda melalui latihan phishing, vishing, dan rekayasa sosial fisik.

Jelajahi rekayasa sosial X-Force Red

IBM Security Trusteer Rapport

IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.

Jelajahi Trusteer Rapport

Sumber daya Terus ikuti perkembangan kompromi email bisnis

Ikuti perkembangan berita, tren, dan teknik pencegahan BEC di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.

Apa itu ransomware?

Ransomware adalah malware yang menyandera perangkat dan data korban, sampai tebusan dibayarkan.

Biaya Pelanggaran Data

Sekarang di tahun ke-17, laporan ini berbagi insight terbaru tentang lanskap ancaman yang makin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.

Ambil langkah selanjutnya

Layanan keamanan siber IBM memberikan layanan konsultasi, integrasi, dan keamanan terkelola serta kemampuan ofensif dan defensif. Kami menggabungkan tim pakar global dengan teknologi kami dan teknologi mitra untuk berkreasi bersama menciptakan program keamanan khusus yang mengelola risiko.

Jelajahi layanan keamanan siber Berlangganan Buletin Think