Kompromi email bisnis, atau BEC, adalah penipuan email phishing tombak yang mencoba mencuri uang atau data sensitif dari sebuah bisnis.
Dalam serangan BEC, penjahat siber (atau geng penjahat siber) mengirimkan email kepada karyawan organisasi target yang tampaknya berasal dari sesama karyawan, atau dari vendor, mitra, pelanggan, atau rekanan lainnya. Email-email tersebut ditulis untuk mengelabui karyawan agar membayar faktur palsu, melakukan transfer ke rekening bank palsu, atau membocorkan informasi sensitif seperti data pelanggan, kekayaan intelektual, atau keuangan perusahaan.
Dalam kasus yang lebih jarang terjadi, penipu BEC mungkin mencoba menyebarkan ransomware atau malware dengan meminta korban untuk membuka lampiran atau mengeklik tautan berbahaya.
Untuk membuat email mereka tampak sah, penyerang BEC dengan hati-hati meneliti karyawan yang mereka targetkan dan identitas yang mereka tiru. Mereka menggunakan teknik rekayasa sosial , seperti spoofing alamat email dan pretexting, untuk membuat email serangan yang terlihat dan dibaca seolah-olah dikirim oleh pengirim yang ditiru. Dalam beberapa kasus, scammers benar-benar meretas dan membajak akun email pengirim, membuat email serangan menjadi lebih dapat dipercaya, jika tidak dapat dibedakan dari pesan email yang sah.
Serangan kompromi email bisnis merupakan salah satu serangan siber yang paling mahal. Menurut laporan Biaya Pelanggaran DataIBM 2022, Penipuan BEC adalah jenis pelanggaran termahal kedua, dengan biaya rata-rata USD 4,89 juta. Menurut Laporan Kejahatan Internet dari Pusat Pengaduan Kejahatan Internet FBI (PDF, tautan berada di luar ibm.com) Penipuan BEC merugikan korban di Amerika Serikat dengan total USD 2,7 miliar pada tahun 2022.
Pakar keamanan s iber dan FBI mengidentifikasi enam jenis utama serangan BEC.
Skema faktur palsu
Penyerang BEC berpura-pura menjadi vendor yang bekerja sama dengan perusahaan, dan mengirimkan email kepada karyawan target dengan faktur palsu yang dilampirkan; ketika perusahaan membayar faktur tersebut, uangnya langsung masuk ke penyerang. Untuk membuat serangan ini meyakinkan, penyerang dapat mencegat faktur vendor yang sebenarnya, dan memodifikasinya untuk mengarahkan pembayaran ke rekening bank mereka sendiri.
Khususnya, pengadilan telah memutuskan (tautan berada di luar ibm.com) bahwa perusahaan yang tertipu oleh faktur palsu masih harus bertanggung jawab atas faktur yang sebenarnya.
Salah satu penipuan faktur palsu terbesar dilakukan terhadap Facebook dan Google. Dari tahun 2013 hingga 2015, para penipu menyamar sebagai Quanta Computer, produsen perangkat keras yang bekerja sama dengan kedua perusahaan tersebut, dan mencuri 98 juta dolar AS dari Facebook dan 23 juta dolar AS dari Google. Sementara scammer tertangkap dan kedua perusahaan memulihkan sebagian besar uang mereka, hasil ini jarang terjadi pada penipuan BEC.
Penipuan CEO
Penipu berpura-pura menjadi seorang eksekutif, biasanya CEO, dan meminta karyawan untuk mentransfer uang ke suatu tempat, sering kali dengan kedok untuk menyelesaikan kesepakatan, membayar faktur yang sudah jatuh tempo, atau bahkan membeli kartu hadiah untuk sesama karyawan.
Skema penipuan CEO sering kali menciptakan rasa urgensi, sehingga target bertindak cepat dan gegabah, (misalnya, Faktur ini sudah jatuh tempo, dan kita akan kehilangan layanan jika tidak segera membayarnya) atau kerahasiaan, sehingga target tidak mau berkonsultasi dengan rekan kerja (misalnya, Kesepakatan ini rahasia, jadi jangan beri tahu siapa pun tentang hal ini).
Pada tahun 2016, seorang penipu yang menyamar sebagai CEO produsen kedirgantaraan FACC menggunakan akuisisi palsu untuk mengelabui seorang karyawan agar mentransfer dana sebesar USD 47 juta (tautan berada di luar ibm.com). Sebagai akibat dari penipuan tersebut, dewan perusahaan memecat CFO dan CEO karena "melanggar" tugas mereka.
Kompromi akun email (EAC)
Penipu mengambil alih akun email karyawan non-eksekutif. Mereka dapat menggunakannya untuk mengirim faktur palsu ke perusahaan lain atau mengelabui karyawan lain untuk berbagi informasi rahasia. Para penipu sering menggunakan EAC untuk melakukan phishing terhadap kredensial akun-akun yang lebih tinggi yang dapat mereka gunakan untuk melakukan penipuan terhadap CEO.
Peniruan pengacara
Penipu menyamar sebagai pengacara dan meminta korban untuk membayar tagihan atau membagikan informasi sensitif. Penipuan peniruan identitas pengacara bank pada kenyataan bahwa banyak orang akan bekerja sama dengan pengacara, dan itu tidak aneh jika seorang pengacara meminta kerahasiaan.
Anggota geng BEC Rusia Cosmic Lynx sering menyamar sebagai pengacara sebagai bagian dari serangan peniruan identitas ganda (tautan berada di luar ibm.com). Pertama, CEO perusahaan target menerima email yang memperkenalkan CEO ke 'pengacara' yang membantu perusahaan dengan akuisisi atau kesepakatan bisnis lainnya. Kemudian pengacara palsu mengirim email kepada CEO meminta pembayaran kawat untuk menutup kesepakatan. Rata-rata, serangan Cosmic Lynx mencuri USD 1,27 juta dari setiap target.
Pencurian data
Banyak serangan BEC yang menargetkan karyawan SDM dan keuangan untuk mencuri informasi identitas pribadi (PII ) dan data sensitif lainnya yang dapat mereka gunakan untuk melakukan pencurian identitas atau melakukan serangan di masa depan.
Sebagai contoh, pada tahun 2017, IRS memperingatkan (tautan berada di luar ibm.com) tentang penipuan BEC yang mencuri data karyawan-penipu menyamar sebagai eksekutif perusahaan dan meminta karyawan penggajian untuk mengirimkan salinan W-2 karyawan (yang mencakup nomor Jaminan Sosial karyawan dan informasi sensitif lainnya). Beberapa karyawan penggajian yang sama menerima email 'tindak lanjut' yang meminta transfer ke rekening palsu. Para penipu berasumsi bahwa target yang menganggap permintaan W2 sebagai permintaan yang kredibel adalah target yang tepat untuk permintaan transfer.
Pencurian komoditas
Pada awal tahun 2023, FBI memperingatkan (tautan berada di luar ibm.com) tentang jenis serangan baru, di mana para penipu menyamar sebagai pelanggan korporat untuk mencuri produk dari perusahaan target. Dengan menggunakan informasi keuangan palsu dan menyamar sebagai karyawan di bagian pembelian perusahaan lain, para penipu menegosiasikan pembelian dalam jumlah besar secara kredit. Perusahaan target mengirimkan pesanan-biasanya bahan bangunan atau perangkat keras komputer-tetapi penipu tidak pernah membayar.
Secara teknis, BEC adalah jenis spear phishing, sebuah serangan phishing yang menargetkan individu atau sekelompok individu tertentu. Apa yang membuat BEC unik di antara serangan spear phishing adalah bahwa targetnya adalah karyawan atau rekanan dari sebuah bisnis atau organisasi, dan penipu berpura-pura menjadi karyawan atau rekanan lain yang dikenal atau dipercaya oleh target.
Sementara beberapa serangan BEC merupakan hasil kerja dari penipu tunggal, yang lainnya (lihat di atas) dilancarkan oleh geng BEC. Geng-geng ini beroperasi layaknya bisnis yang sah, mempekerjakan para spesialis seperti spesialis pembuat prospek yang memburu target, peretas yang membobol akun email, dan penulis profesional yang memastikan email phishing bebas dari kesalahan dan meyakinkan.
Setelah penipu atau komplotan memilih sebuah bisnis untuk dirampok, serangan BEC biasanya mengikuti pola yang sama.
Memilih organisasi sasaran
Hampir semua bisnis, nirlaba atau pemerintah adalah target yang cocok untuk serangan BEC. Organisasi besar dengan banyak uang dan pelanggan — dan cukup banyak transaksi yang dieksploitasi BEC mungkin tidak diperhatikan di antara mereka—adalah target yang jelas.
Tetapi peristiwa global atau lokal dapat menyebabkan penyerang BEC ke peluang yang lebih spesifik — beberapa lebih jelas daripada yang lain. Sebagai contoh, selama pandemi COVID-19, FBI memperingatkan bahwa para penipu BEC yang menyamar sebagai vendor peralatan dan pasokan medis menagih rumah sakit dan lembaga perawatan kesehatan. Di sisi lain (tetapi tidak kalah menguntungkan), pada tahun 2021 para penipu BEC mengambil keuntungan dari proyek-proyek pendidikan dan konstruksi yang terpublikasi dengan baik di Peterborough, NH dan mengalihkan dana sebesar USD 2,3 juta ke rekening bank palsu (tautan berada di luar ibm.com).
Meneliti target karyawan dan identitas pengirim
Selanjutnya, penipu mulai meneliti organisasi target dan aktivitasnya untuk menentukan karyawan yang akan menerima email phishing, dan identitas pengirim yang akan ditiru oleh penipu.
Penipuan BEC biasanya menargetkan karyawan tingkat menengah-misalnya, departemen keuangan atau manajer sumber daya manusia (SDM)-yang memiliki wewenang untuk mengeluarkan pembayaran atau memiliki akses ke data sensitif, dan yang cenderung menuruti permintaan untuk melakukan salah satu dari keduanya dari manajer atau eksekutif senior. Beberapa serangan BEC dapat menargetkan karyawan baru yang mungkin hanya memiliki sedikit atau bahkan tidak memiliki pelatihan kesadaran keamanan dan pemahaman yang terbatas mengenai prosedur dan persetujuan pembayaran atau pembagian data yang tepat.
Untuk identitas pengirim, penipu memilih rekan kerja atau rekanan yang dapat secara kredibel meminta atau memengaruhi tindakan yang diinginkan penipu untuk dilakukan oleh karyawan target. Identitas rekan kerja biasanya adalah manajer, eksekutif, atau pengacara tingkat tinggi dalam organisasi. Identitas luar dapat berupa eksekutif dari vendor atau organisasi mitra, tetapi mereka juga dapat berupa rekan atau kolega target karyawan-misalnya, vendor yang sering bekerja sama dengan target karyawan, pengacara yang menasihati sebuah transaksi, atau pelanggan yang sudah ada atau yang baru.
Banyak penipu menggunakan alat penghasil prospek yang sama dengan yang digunakan para profesional pemasaran dan penjualan yang sah-LinkedIn dan jaringan media sosial lainnya, sumber berita bisnis dan industri, perangkat lunak pencarian dan pembuatan daftar-untuk menemukan target karyawan potensial dan mencocokkan identitas pengirim.
Meretas jaringan target dan pengirim
Tidak semua penyerang BEC mengambil langkah meretas ke dalam jaringan organisasi target dan pengirim. Tetapi mereka yang berperilaku seperti malware, mengamati target dan pengirim serta mengumpulkan informasi dan hak akses selama berminggu-minggu sebelum serangan yang sebenarnya. Hal ini memungkinkan penyerang untuk:
Memilih target karyawan dan identitas pengirim terbaik berdasarkan perilaku yang diamati dan hak akses
Mempelajari detail lebih lanjut tentang bagaimana faktur dikirimkan dan bagaimana pembayaran atau permintaan data sensitif ditangani, sehingga mereka dapat meniru permintaan dengan lebih baik dalam email serangan mereka
Menentukan tanggal jatuh tempo untuk pembayaran tertentu kepada vendor, pengacara, dll.
Mencegat faktur vendor atau pesanan pembelian yang sah dan mengubahnya untuk menentukan pembayaran ke rekening bank penyerang
Mengendalikan akun email pengirim yang sebenarnya (lihat kompromi akun email, di atas), sehingga memungkinkan penipu mengirim email serangan langsung dari akun tersebut, dan terkadang bahkan menyisipkannya ke dalam percakapan email yang sah yang sedang berlangsung, demi keaslian yang paling tinggi.
Mempersiapkan dan melancarkan serangan
Peniruan yang meyakinkan adalah kunci keberhasilan BEC, dan para penipu membuat email serangan mereka untuk mendapatkan keaslian dan kredibilitas maksimum.
Jika mereka tidak meretas email pengirim, penipu akan membuat akun email palsu yang memalsukan alamat email pengirim agar terlihat sah. (Sebagai contoh, mereka mungkin menggunakan nama kreatif atau nama domain yang salah eja, seperti jsmith@company.com atau jane.smith@cornpany.com untuk jane.smith@company.com). Mereka mungkin menambahkan petunjuk visual lainnya, seperti tanda tangan dengan logo perusahaan pengirim atau pernyataan privasi yang mendetail (dan palsu).
Komponen utama dari email serangan adalah dalih - sebuah cerita palsu namun masuk akal yang ditulis untuk mendapatkan kepercayaan target dan meyakinkan atau menekan target untuk melakukan apa yang diinginkan oleh penyerang. Dalih yang paling efektif menggabungkan situasi yang dapat dikenali dengan rasa urgensi dan implikasi konsekuensi. Pesan dari manajer atau CEO yang berbunyi, Saya akan naik pesawat-bisakah Anda membantu saya dengan memproses faktur ini (terlampir) untuk menghindari denda keterlambatan? adalah contoh klasik dari dalih BEC.
Tergantung pada permintaan, penipu juga dapat membuat situs web palsu, mendaftarkan perusahaan palsu, atau bahkan memberikan nomor telepon palsu yang dapat dihubungi oleh target untuk konfirmasi
Penipuan BEC adalah salah satu kejahatan dunia maya yang paling sulit dicegah karena mereka jarang menggunakan malware yang dapat dideteksi oleh alat keamanan. Sebaliknya, scammers mengandalkan penipuan dan manipulasi. Para penipu bahkan tidak perlu membobol perusahaan target mereka; mereka dapat menipu korban dengan jumlah besar dengan membobol, atau bahkan hanya menyamar sebagai vendor atau pelanggan. Akibatnya, serangan BEC membutuhkan waktu rata-rata 308 hari untuk diidentifikasi dan diatasi, menurut laporan Cost of a Data Breach (Biaya Pelanggaran Data)-waktu penyelesaian terlama kedua dari semua jenis pelanggaran.
Itu artinya, perusahaan dapat mengambil langkah-langkah berikut untuk mempertahankan diri dari penipuan ini:
Pelatihan kesadaran keamanan siber dapat membantu karyawan memahami bahaya berbagi secara berlebihan di platform media sosial dan aplikasi yang digunakan para penipu untuk menemukan dan meneliti target mereka. Pelatihan juga dapat membantu karyawan menemukan upaya BEC dan mengadopsi praktik terbaik seperti memverifikasi permintaan pembayaran yang besar sebelum mematuhi.
Alat keamanan email mungkin tidak dapat menangkap semua email BEC, terutama yang berasal dari akun yang disusupi. Namun, mereka dapat membantu menemukan alamat email palsu. Beberapa alat juga dapat menandai konten email yang mencurigakan yang dapat menandakan upaya BEC.
Autentikasidua faktor atau multi-faktor dapat mempersulit penyerang BEC untuk meretas akun email.
Alat keamanan perusahaan seperti orkestrasi keamanan, otomatisasi dan respons (SOAR), informasi keamanan dan manajemen peristiwa (SIEM), deteksi dan respons titik akhir (EDR ), serta deteksi dan respons yang diperluas (XDR ) dapat membantu tim keamanan mengidentifikasi dan menghentikan serangan BEC lebih cepat dengan mengidentifikasi upaya untuk mengeksploitasi kerentanan jaringan, dan menandai aktivitas di titik akhir, di akun email, dan di tempat lain yang dapat mengarahkan peretas untuk melakukan pengintaian.
Tangkap ancaman tingkat lanjut yang terlewatkan oleh orang lain. QRadar SIEM memanfaatkan analitik dan AI untuk memantau intelijen ancaman, anomali jaringan dan perilaku pengguna, serta memprioritaskan mana yang memerlukan perhatian dan perbaikan segera.
IBM Trusteer Rapport membantu lembaga keuangan mendeteksi dan mencegah infeksi malware dan serangan phishing dengan melindungi pelanggan ritel dan bisnis mereka.
Amankan titik akhir dari serangan siber, deteksi perilaku anomali, dan lakukan remediasi hampir secara real time dengan solusi deteksi dan respons titik akhir (EDR) yang canggih dan mudah digunakan.
Ikuti perkembangan berita, tren, dan teknik pencegahan BEC di Security Intelligence, blog kepemimpinan yang diselenggarakan oleh IBM Security.
Ransomware adalah malware yang menyandera perangkat dan data korban, sampai tebusan dibayarkan.
Sekarang di tahun ke-17, laporan ini berbagi wawasan terbaru tentang lanskap ancaman yang semakin meluas, dan menawarkan rekomendasi untuk menghemat waktu dan membatasi kerugian.