Kompromi Email Bisnis (BEC) adalah keamanan siber yang berkembang pesat (terbuka di tab baru) ancaman yang dihadapi oleh semua bisnis, terutama usaha kecil dan menengah (UKM). Pusat Pengaduan Kejahatan Internet (IC3) FBI melaporkan dalam Laporan Kejahatan Internet 2020 mereka bahwa mereka menerjunkan 19.369 pengaduan Kompromi Email Bisnis (BEC) berjumlah lebih dari $1,8 miliar dalam kerugian yang disesuaikan di Amerika Serikat untuk tahun itu.
Tentang Penulis
Christopher Budd adalah Manajer Komunikasi Ancaman Senior Global di Avast (terbuka di tab baru).
Serangan BEC terutama menggunakan email (terbuka di tab baru)tetapi dapat dilakukan dengan menggunakan SMS (terbuka di tab baru) pesan, pesan suara, dan bahkan panggilan telepon. Serangan BEC terkenal karena sangat bergantung pada apa yang disebut teknik “rekayasa sosial”, yang berarti mereka menggunakan tipu daya dan penipuan terhadap orang.
Serangan BEC bisa sangat efektif dan siapa pun bisa menjadi korbannya, tidak peduli seberapa kaya atau canggihnya. Pada bulan Februari 2020, Barbara Corcoran – pengusaha wanita Amerika, investor, dan juri acara realitas wirausaha televisi “Shark Tank” – hampir kehilangan hampir $400.000 dalam penipuan BEC. Untungnya, tindakan cepat memungkinkannya untuk mendapatkan kembali uangnya. Tetapi statistik FBI menunjukkan bahwa tidak semua orang seberuntung itu.
Karena serangan BEC sangat bergantung pada rekayasa sosial, keamanan tradisional (terbuka di tab baru) perangkat lunak tidak selalu melindungi dari mereka. Itu berarti Anda dan karyawan Anda (terbuka di tab baru) memainkan peran utama dalam melindungi dari mereka – dan mengapa penting untuk memahami apa itu serangan BEC dan bagaimana cara kerjanya.
Bagaimana serangan BEC bekerja
Meskipun ada banyak cara serangan BEC dapat terungkap, semuanya bermuara pada formula sederhana. Seorang penyerang akan mencoba meyakinkan seorang karyawan (terbuka di tab baru) untuk mengirim uang kepada penyerang dengan menyamar sebagai seseorang yang dipercaya karyawan.
Penyerang akan sering mencoba menumpuk peluang dengan dua cara. Pertama, mereka mencoba membuat serangan mereka dapat dipercaya dengan siapa yang mereka pilih untuk ditiru. Kedua, mereka mencoba untuk menciptakan rasa urgensi sehingga korban yang dituju cenderung mempertanyakan transaksi dan cenderung mengikuti saluran yang tepat untuk pembayaran yang dapat menangkap penipuan.
Terkadang penyerang dengan cerdik memadukan kedua taktik ini untuk efektivitas yang paling tinggi.
Misalnya, salah satu jenis serangan BEC yang kami lihat melibatkan seorang karyawan yang menerima pesan mendesak dari CEO atau eksekutif tingkat tinggi lainnya yang mengatakan bahwa mereka membutuhkan karyawan tersebut untuk membayar tagihan yang telah jatuh tempo atau mendapatkan kartu hadiah untuk acara perusahaan yang mendesak. jauh. Ini bisa berupa email atau pesan teks, tetapi penyerang bahkan menggunakan teknologi palsu untuk meniru pesan suara dan panggilan. Seorang eksekutif pada tahun 2019 kehilangan €220.000 (sekitar $243.000) karena serangan seperti ini ketika penyerang menggunakan teknologi palsu untuk menyamar sebagai CEO-nya.
Dalam jenis serangan BEC lainnya, penyerang menggunakan akun email palsu dan disusupi untuk meyakinkan karyawan bahwa mereka berurusan dengan vendor yang sah. Penyerang dapat bertukar beberapa email dengan korban yang dituju untuk meyakinkan dia bahwa mereka adalah vendor asli, dan kemudian mengirimkan faktur palsu kepada mereka. Beginilah penyerangan terhadap Barbara Cocoran dilakukan.
Jenis serangan BEC ketiga menargetkan gaji perusahaan. Dalam hal ini, penyerang menyamar sebagai karyawan dan mencoba membuat staf penggajian perusahaan mengubah informasi setoran langsung karyawan ke rekening bank mereka sendiri. Serangan ini lebih halus dan membutuhkan lebih banyak waktu tetapi bisa sangat efektif.
Di hampir semua kasus, tujuan penyerang BEC adalah mendapatkan uang dengan salah satu dari dua cara: Transfer dana elektronik (termasuk mata uang kripto) atau kartu hadiah. Meskipun menggunakan kartu hadiah untuk serangan seperti ini mungkin mengejutkan, penyerang menemukan bahwa ini adalah cara mudah untuk mentransfer dan mencuci uang.
Bagaimana Anda dapat melindungi dari serangan BEC
Serangan BEC benar-benar merupakan serangan penipuan kuno yang memanfaatkan teknologi saat ini: Kami melihat jenis penipuan ini jauh sebelum ada email atau pesan suara. Karena ini bukan serangan berbasis teknologi, itu berarti solusi berbasis teknologi tidak akan seefektif melawan serangan ini seperti melawan, katakanlah, ransomware (terbuka di tab baru). Email BEC yang dibuat dengan baik, misalnya, sulit dibedakan oleh perangkat lunak keamanan dari yang sah, terutama jika itu berasal dari akun sebenarnya – tetapi disusupi – dari seseorang yang Anda percayai.
Artinya, melindungi dari serangan BEC perlu berfokus pada dua hal: Anda dan karyawan Anda.
Pertama, mendidik diri sendiri dan karyawan Anda tentang serangan BEC. Anda dan karyawan Anda harus belajar untuk curiga ketika email tiba-tiba datang dari CEO yang mengatakan “Saya ingin Anda mendapatkan $5.000 dalam bentuk kartu hadiah untuk pesta ulang tahun hari ini, kirimkan saya nomornya dan jangan beri tahu siapa pun tentang itu” lanjut jalan panjang untuk mencegah serangan ini.
Kedua, perkuat pentingnya memverifikasi permintaan pembayaran dan mengikuti aturan yang ditetapkan untuk membayar tagihan, mengubah informasi setoran langsung, dan membeli dan mengirim kartu hadiah. Misalnya, beri tahu karyawan bahwa mereka harus menelepon karyawan atau vendor untuk meminta pembayaran. Pastikan mereka tahu untuk menggunakan nomor yang Anda miliki di file dan verifikasi bahwa faktur atau permintaan itu sah sebelum melakukan hal lain. Tekankan bahwa meskipun permintaan tampaknya berasal dari orang-orang tingkat tinggi di perusahaan Anda, karyawan tetap perlu memverifikasi. Penyerang mencoba meyakinkan korban yang dituju untuk merahasiakan serangan ini guna meningkatkan peluang keberhasilan mereka dan mereka memangsa keengganan karyawan untuk menanyai mereka yang berwenang. Perjelas bahwa karyawan dapat dan harus mengajukan pertanyaan dalam situasi seperti ini.
Pada akhirnya, serangan BEC berhasil karena penyerang membodohi korbannya agar mempercayai penipuan mereka. Sementara serangan BEC menggunakan teknologi, itu sebenarnya hanya sentuhan modern pada penipuan dan penipuan kuno. Jadi, menggagalkannya membutuhkan penyesuaian dengan cara baru penipuan lama ini beroperasi.
Kabar baiknya adalah bahwa dengan pelatihan yang tepat, pendidikan, dan mengikuti kebijakan dan prosedur yang tepat, Anda dapat menggagalkan serangan ini. Anda hanya perlu meluangkan waktu untuk mendidik diri sendiri dan karyawan Anda bahwa penipuan ini ada, cara kerjanya, dan cara yang tepat untuk menangani permintaan pembayaran – terlepas dari cara pengirimannya.
