Business Email Compromise dan penanganannya

Business Email Compromise (BEC) merupakan cara-cara penipuan dengan menggunakan email palsu atau email yang sudah diretas oleh penipu untuk mengelabui korban. Korban yang terkena umumnya adalah perusahaan yang biasa melakukan transfer dana kepada pihak lain. Misalnya transfer kepada supplier atau vendor. Sebelumnya dijuluki sebagai penipuan Man-in-the-Email, penyerang BEC sangat mengandalkan taktik rekayasa sosial untuk mengelabui karyawan dan eksekutif yang tidak curiga.

Salah satu contoh penipuan dengan cara Business Email Compromise terjadi pada sebuah perusahaan di Australia pada tahun 2016. Pelaku yang telah meretas email Chief Executif Officer (CEO) dan Chief Operation Officer (COO) perusahaan tersebut mengirimkan email seolah-olah sebagai mereka. Pada email pertama  pelaku menyamar sebagai CEO meminta pegawai keuangan untuk mentransfer dana. Alasannya dia sedang bekerja di luar kota dan tak dapat dihubungi untuk verifikasi. Pada email kedua pelaku menyamar sebagai COO untuk lebih meyakinkan pegawai keuangan tersebut.

Sekitar 47% dari email palsu menargetkan Chief Financial Officer. Lalu 25% dari serangan menargetkan HR (sumber daya manusia – SDM). Dampak kerugian pada keuangan dunia sangat besar. Biro Investigasi Federal (FBI) Amerika Serikat mencatat $ 26 miliar kerugian AS dan internasional terkait dengan serangan BEC antara Juni 2017 dan Juli 2019.

Beberapa insiden kerugian lainnya :

1. Tahun 2013, Evaldas Rimasauskas dan karyawannya mengirim ribuan email penipuan untuk mendapatkan akses ke sistem email perusahaan.
2. Dinas Pemadam Kebakaran Selandia Baru ditipu $ 52.000 pada tahun 2015.
3. Ubiquiti Networks kehilangan $ 46,7 juta melalui penipuan pada tahun 2015.
4. Te Wananga o Aotearoa di Selandia Baru ditipu sebesar $ 120.000 (NZD) pada 19 November 2015.
5. Perusahaan kedirgantaraan Austria FACC AG ditipu sebesar 42 juta euro ($ 47 juta) melalui serangan pada Februari 2016.
6. Save the Children USA menjadi korban kamera maya senilai $ 1 juta pada tahun 2017.
7. Kebun Binatang Dublin kehilangan € 130.000 pada tahun 2017.
8. Organisasi Australia yang melaporkan serangan pada Komisi Persaingan dan Konsumen Australia, menderita kerugian $2.800.000 (AUD) tahun 2018.
9. Sebuah distrik sekolah kecil di Texas tahun 2018 kehilangan hampir $ 2 juta. Salah seorang pelakunya, Donald Conkright, pria Florida sudah menjalani hukuman.
10. Pada tanggal 31 Mei 2019 ketika sedang melakukan Audit Keuangan Bendahara perusahaan OPAP Investment Limited terdapat pembayaran sebesar 4,9 juta Euro pada 16 Mei dan 2 juta Euro pada 23 Mei 2019. Pelaku BEC adalah jaringan Nigeria yang memiliki kaki tangan di Indonesia.
11. Tanggal 8 Agustus 2019, otoritas kota Saskatoon – Kanada mengalami kerugian US$ 1,04 juta.

Beberapa hal yang dilakukan oleh pelaku kejahatan ini :

1. Memanfaatkan media sosial untuk mengumpulkan informasi pribadi calon korban. Untuk mengenali kebiasaan dan relasi korban.
2. Melakukan peretasan komputer korban untuk mengumpulkan informasi.
3. Mengirim email yang berisi link malware yang diharapkan untuk dibuka korban. Mendapatkan akses yang tidak terdeteksi ke data korban, informasi lalu digunakan untuk BEC.
4. Mengirimkan email berisi faktur tagihan yang sangat mirip dengan email dari supplier perusahaan korban. (Skema Faktur Palsu)
5. Dengan menggunakan akun pimpinan perusahaan yang sudah diretas, pelaku mengirim email permintaan transfer dana kepada pegawai keuangan. (CEO Fraud)
6. Mengirimkan email berisi faktur pembayaran dengan tujuan transfer ke rekening bank yang dimiliki pelaku penipuan. (Kompromi Akun)
7. Dengan mengaku sebagai pengacara, mengirim email atau telepon kepada korban yang memiliki masalah hukum supaya melakukan transfer dana. (Peniruan Pengacara)
8. Mengirimkan email berisi form untuk diisi oleh korban, seolah-olah berasal dari pejabat yang berwenang. (Pencurian Data)
9. Memalsukan akun email atau situs web, menipu korban dengan mengira akun palsu itu asli.

Investigasi penipuan dunia maya membutuhkan banyak sumber daya, tenaga kerja, dan waktu. Korban, pelaku, dan saksi mungkin berada di yurisdiksi yang berbeda. Namun kasus tersebut dapat diselesaikan jika penyidik ​​menggunakan kombinasi penelitian internet, perangkat investigasi konvensional, dan bekerja sama dengan penegak hukum di yurisdiksi yang berbeda. Perusahaan sangat disarankan untuk bekerja sama dengan pihak ketiga yang berpengalaman dan profesional untuk menangani kasus terkait penipuan.

Agen Khusus FBI Martin Cicciardo mengatakan bahwa cara terbaik untuk menghindari eksploitasi adalah dengan melakukan verifikasi keaslian setiap permintaan transfer. Melangkahlah ke ruangan CEO atau berbicara langsung dengannya di telepon. Jangan hanya mengandalkan email saja.

Beberapa cara untuk mencegah terjadinya Business Email Compromise (BEC) :

1. Berhati-hati dengan apa yang kita tulis di media sosial dan situs perusahaan berhubungan dengan informasi yang dianggap sensitif.
2. Selalu waspada dengan desakan permintaan untuk melakukan transfer dana yang terburu-buru.
3. Jangan membuka attachment email ataupun tautan dari pihak tak dikenal.
4. Dapat menggunakan tanda tangan digital pada email untuk memastikan identitas pengirim.
5. Dapat menggunakan autentikasi dua faktor (two-factor authentication).
6. Hindari penggunaan email gratis untuk kegiatan bisnis atau pekerjaan.
7. Verifikasikan setiap perubahan informasi dari supplier.
8. Konfirmasi setiap permintaan transfer dengan telepon langsung kepada pimpinan atau supplier.
9. Menghubungi institusi keuangan segera jika terjadi salah transfer untuk pembekuan dana.
10. Melaporkan kepada pihak yang berwajib jika menjadi korban.
11. Periksa dengan cermat alamat email, URL, dan ejaan yang digunakan dalam korespondensi apa pun. Penipu menggunakan sedikit perbedaan untuk menipu mata dan mendapatkan kepercayaan Anda.