Foto: Canva Pro
Indonesia Anti-Phishing Data Exchange (IDADX) mencatat, terdapat 3.180 laporan phishing di Indonesia selama kuartal I 2022. Jumlah itu berkurang dibandingkan pada kuartal IV 2021 yang sebanyak 5.325 laporan. Akhir tahun 2021 lalu, terjadi kasus penipuan lewat email dengan skema Business E-mail Compromise (BEC) yang merugikan dua perusahaan asing di Indonesia hingga Rp 8,4 milar. Menurut FBI, Business Email Compromise (BEC) adalah sebuah tindak kejahatan siber yang berpura-pura sebagai salah satu karyawan atau rekanan bisnis dengan cara menyamarkan alamat email agar tampak asli dan meminta sesuatu kepada korban.
BEC adalah salah satu contoh kejahatan siber yang klasik karena tidak membutuhkan keterampilan meretas sebuah sistem yang rumit, namun dampak dari penipuan BEC sangatlah besar. Banyaknya perusahaan yang mengadopsi sistem kerja menjadi daring dan jalur komunikasi utama lewat email, membuat kesempatan penipuan modus email semakin tinggi. Ditambah lagi, sekarang semakin mudah mendapatkan email kantor para pejabat, bagian SDM, dan keuangan di sebuah perusahaan. Oleh karena itu, perlu mengenal beberapa skema penipuan dari BEC ini.
Baca juga: 8 Tips Cybersecurity untuk Startup
Jenis Penipuan Business E-mail Compromise (BEC)
Menurut FBI, terdapat 5 jenis penipuan BEC yaitu:
Penipuan Faktur Palsu
Taktik ini adalah pelaku menyamar sebagai pemasok (supplier) yang meminta transfer dana untuk pembayaran faktur (invoice) ke rekening bank yang dimiliki oleh penipu. Target utama dari jenis penipuan ini adalah perusahaan yang memiliki pemasok dari luar negeri.
Menyamar sebagai CEO
Pelaku kejahatan siber menyamar sebagai CEO atau pihak eksekutif dan mengirimkan email ke karyawan bidang keuangan yang berisi permintaan untuk transfer sejumlah uang ke rekening bank mereka.
Pembajakan Akun Email
Akun email pihak eksekutif atau karyawan diretas dan digunakan untuk meminta pembayaran faktur ke vendor (pihak lain) yang ada dalam daftar kontak email mereka. Pihak vendor kemudian membayarkan sejumlah uang ke rekening bank milik pelaku.
Menyamar sebagai Pengacara
Para pelaku menyamar sebagai pengacara perusahaan atau dari firma hukum yang bertanggung jawab terhadap berbagai hal penting dan rahasia. Biasanya kejahatan BEC jenis ini dilakukan melalui email dan telepon pada akhir hari kerja.
Pencurian Data
Taktik ini biasanya menargetkan karyawan bidang SDM dan keuangan yang menyimpan data-data penting seperti transaksi dan laporan pajak karyawan. Selanjutnya pencurian data tersebut dapat digunakan untuk kejahatan siber berikutnya.
Sebelum melakukan penipuan email BEC, para pelaku akan mengintai dan memonitor target potensial yang berasal dari berbagai jenis perusahaan mulai dari kesehatan, pendidikan, sampai pemerintahan. Oleh karena itu, modus BEC sangat bergantung pada peniruan identitas dalam menipu para korban.
Seberapa Serius Penipuan BEC?
Business Email Compromise (BEC) belum dianggap sebagai ancaman serius sampai pada tahun 2013 ketika IC3 (Internet Crime Complaint Centre, dibentuk tahun 2000) menerima banyak komplain perihal penipuan email. Pada tahun 2013-2014, total korban penipuan BEC di Amerika Serikat dan 45 negara lainnya adalah 2.226 korban dengan total kerugian lebih dari 200 juta dolar AS.
Bahkan dari Mei 2018-Juni 2019, terdapat lonjakan 100% total penipuan skema BEC sehingga menurut perhitungan ICE3 sejak 2013 total kerugian akibat modus ini yaitu 2,6 miliar dolar AS dengan korban tersebar di 177 negara.
Beberapa kasus penipuan BEC terbesar yaitu:
1. Facebook dan Google
Kasus yang dialami Facebook dan Google ini dianggap sebagai salah satu modus penipuan BEC terbesar sepanjang sejarah. Pelakunya yaitu Evaldas Rimasauskas dan komplotannya membuat sebuah perusahaan bernama "Quanta Computer" (nama yang sama dengan sebuah perusahaan pemasok hardware) yang mengirimkan email berupa faktur pembayaran, kontrak, surat-menyurat, dan tagihan jutaan dolar dari tahun 2013-2015. Semua dokumen terlihat asli dan meyakinkan pihak Google dan Facebook untuk mengirimkan uang ke rekening pelaku. Total kerugian akibat modus ini yaitu 121 juta dolar AS.
2. Ubiquiti
Sebuah perusahaan teknologi bernama Ubiquiti mengalami kerugian sebesar 46,7 juta dolar AS karena tertipu pihak yang mengatasnamakan karyawan dari vendor mereka dan meminta sejumlah pembayaran. Pelaku mengincar bagian keuangan Ubiquiti.
3. Toyota Boshoku Corporation
Pada tahun 2019, perusahaan Jepang Toyota Boshoku Corporation, pemasok onderdil Toyota mengirimkan uang sebesar 37 juta dolar AS kepada pihak yang mengaku sebagai eksekutif departemen keuangan Toyota.
4. Pemerintah Negara Puerto Rico
Pada awal tahun 2020, saat terjadi gempa bumi besar di Puerto Rico, pihak pemerintah menjadi korban kasus penipuan BEC. Ruben Rivera Direktur Keuangan Puerto Rico Industrial Development Company (PRIDCO), BUMN dibawah Kementerian Keuangan, secara tidak sengaja mengirimkan uang lebih dari 2,6 juta dolar AS ke rekening bank penipu. Ruben Rivera menerima sebuah email tentang perubahan rekening bank untuk sebuah pembayaran. Beruntung, rekening bank dan uang yang dikirim berhasil dibekukan oleh pihak FBI.
Baca juga: Gandeng CrowdStrike dan WithSecure, ArmourZero Jaga Keamanan Siber
Cara Menghindari Penipuan Business Email Compromise (BEC)
Mengingat tingginya dan besarnya kerugian yang diakibatkan oleh penipuan email ini, beberapa tips untuk menghindarinya yaitu:
- Jangan langsung membuka dan klik link email yang meminta untuk pembaharuan dan verifikasi akun. Kroscek terlebih dahulu keaslian alamat email dan nomor telepon dari perusahaan yang meminta pembaharuan tersebut. Jika berbeda antara di email dan yang asli, telepon perusahaan tersebut untuk mengonfirmasi perihal email yang mereka kirimkan.
- Cek baik-baik ejaan dan tanda baca pada alamat email dan website yang dikirimkan karena biasanya penjahat siber ini mengelabui melalui perbedaan tipis ejaan.
- Jangan membuka dan mengunduh dokumen dari email yang tidak dikenal, serta berhati-hati terhadap email yang di-forward kepada Anda.
- Pasang sistem keamanan email 2 langkah (two-step verification) pada semua perangkat.
- Verifikasi kembali setiap pembayaran dan permintaan pembelian secara langsung (tidak hanya melalui email) ke pihak yang terkait. Serta verifikasi setiap perubahan bank rekening pembayaran yang dilakukan.
- Harus waspada ketika menerima email yang meminta untuk segera melakukan pembayaran. Biasanya pelaku menggunakan kata-kata: segera, mendesak, secepatnya, sekarang juga, dll.
Untuk melindungi perusahaan Anda dari BEC, gunakan solusi cybersecurity yang memberikan perlindungan email yang menggunakan AI seperti yang digunakan oleh ArmourZero (Email Protection as-a-Service) yang didukung oleh Avanan.
Dapatkan pula kesempatan untuk memastikan keamanan Email Anda secara GRATIS di ArmourZero selama 14 hari pada link berikut: Free Email Assessment
(Fanny Fajarianti)
Tinggalkan Komentar