Highlight.ID – Dalam dua tahun terakhir, tren bekerja dari rumah meningkatkan percobaan phishing detail perusahaan. Salah satu tren yang meningkat adalah business e-mail compromise (BEC) atau serangan terhadap email perusahaan. Serangan BEC adalah sejenis penipuan di mana pelaku berpura-pura menjadi perwakilan dari bisnis atau perusahaan terpercaya. Serangan BEC didefinisikan sebagai kegiatan terarah penjahat cyber yang dilakukan dengan:
- Menukar email seorang karyawan perusahaan, atau mengambil alih email seseorang;
- Memperoleh kepercayaan karyawan tersebut;
- Melancarkan aksi yang membahayakan kepentingan perusahaan atau klien perusahaan.
Menurut Verizon, BEC adalah serangan rekayasa sosial paling umum kedua yang terjadi pada 2021. FBI juga melaporkan bahwa dari 2014 hingga 2019 serangan BEC menyebabkan kerugian lebih dari US$2 miliar bagi perusahaan-perusahaan di Amerika.
Para pakar Kaspersky juga terus mengamati serangan BEC. Pada kuartal keempat 2021, produk Kaspersky mencegah lebih dari 8 ribu serangan BEC dengan jumlah serangan terbanyak terjadi pada Oktober yaitu sebanyak 5.037 serangan. Sepanjang 2021, peneliti Kaspersky menganalisa bagaimana penipu membuat dan menyebarkan email palsu. Hasilnya, mereka menemukan bahwa serangan BEC dilakukan dalam dua kategori: skala besar dan sangat tertarget.
Serangan skala besar disebut “BEC-as-a-Service” di mana serangan dilakukan dengan menyederhanakan mekanisme serangan agar bisa menyasar sebanyak mungkin korban. Pelaku mengirim pesan sederhana secara massal dari akun email gratisan dan berharap menjaring sebanyak mungkin korban. Pesan seperti ini biasanya kurang canggih namun cukup efisien.
Caranya, karyawan menerima email dari rekan yang lebih senior. Pesannya selalu tidak jelas atau ambigu yang meminta untuk membantu menyelesaikan tugas. Penerima bisa jadi diminta untuk membayar kontrak penting, menyelesakan masalah keuangan, atau membagi informasi penting ke pihak ketiga. Siapa saja bisa menjadi korban penipuan ini. Ada beberapa penanda (red flag) yang bisa dilihat dari pesan seperti ini, misalnya tidak menggunakan akun perusahaan, dan pengirim jelas tidak bertata bahasa dengan baik.
Saat penipu di atas mengandalkan email massal sederhana, penjahat cyber lain menggunakan cara yang lebih canggih, serangan BEC terarah. Cara kerjanya adalah: pelaku pertama-tama menyerang mailbox pihak ketiga dan mengambil akses ke email tersebut. Ketika menemukan korespondesi email yang sesuai di mailbox pihak ketiga tersebut (misalnya masalah keuangan atau masalah teknis terkait pekerjaan), pelaku melanjutkan korespondesi dengan perusahaan yang disasar dengan berpura-pura menjadi pihak ketiga. Seringkali tujuannya adalah membujuk korban untuk mengirim sejumlah uang atau menginstal malware.
Karena penerima email memang sedang berkorespondensi dengan topik yang dibahas pelaku, penerima akan lebih mudah menjadi korban pelaku. Serangan jenis ini terbukti sangat efektif dan oleh karena itu tidak hanya digunakan oleh penjahat kelas teri yang mengincar keuntungan sesaat.
“Saat ini, kami melihat bahwa serangan BEC menjadi salah satu teknik rekayasa sosial yang paling banyak. Alasannya sederhana: pelaku menggunakan cara ini karena manjur. Ketika korban email palsu skala besar semakin berkurang, para pelaku mulai menjaring data calon korban yang spesifik dan menggunakan data ini untuk membangun kepercayaan. Serangan ini bisa dilakukan karena pelaku bisa dengan mudah mendapatkan nama dan jabatan karyawan perusahaan serta daftar kontak mereka secara terbuka. Oleh karena itu, kami mengimbau pengguna untuk berhati-hati saat di kantor,” ujar Roman Dedenok, pakar keamanan Kaspersky.