Ada berbagai penipuan di mana penyerang meretas sistem email perusahaan atau buat template email yang menipu untuk meyakinkan karyawan agar mentransfer uang ke rekening bank palsu. Digambarkan secara umum sebagai Kompromi Email Bisnis (BEC), termasuk phishing, panggilan telepon predator, atau pencurian data umum.
Serangan berbasis email ini dianggap sebagai beberapa kejahatan dunia maya yang paling mahal secara finansial dalam hal kerusakan yang ditimbulkan. Menurut FBI, 19,369 keluhan serangan berbasis email tercatat pada tahun 2020, dengan total kerugian yang mengejutkan sebesar $1.8 miliar.
SSL.com menyediakan berbagai macam SSL /TLS sertifikat server untuk situs web HTTPS.
Bagaimana cara kerja serangan berbasis email?
Penipu BEC dapat menggunakan salah satu taktik di bawah ini:
Situs web palsu atau akun email
Seorang hacker BEC tahu bahwa karyawan tidak meneliti setiap surat di alamat email pengirim jika pesannya meyakinkan dan pengirim adalah mitra transaksi yang akrab seperti vendor. Alamat email pengirim mungkin seperti johndoe@contoh.com tetapi peretas akan dengan cerdik mengubahnya menjadi jhondoe@contoh.com.
Email phishing
Pesan phising menargetkan anggota perusahaan yang spesifik dan penting untuk menipu korban agar membocorkan informasi sensitif (seperti kata sandi akun perusahaan dan aset lainnya) kepada peretas.
Mengirim panggilan telepon dan pesan
Meskipun tidak sepenuhnya berbasis email, mereka yang menggunakan pesan phishing atau taktik email predator lainnya juga beroperasi menggunakan panggilan seluler, pesan teks, dan pesan suara. Dalam taktik ini, korban dihubungi oleh pejabat perusahaan yang menginstruksikan untuk mentransfer uang atau dokumen. Penyerang BEC juga diketahui menggunakan teknologi palsu untuk menyamar sebagai eksekutif perusahaan dalam panggilan telepon dan pesan suara. Inilah yang terjadi pada tahun 2019 pada seorang eksekutif perusahaan di Inggris ketika penyerang berpura-pura menjadi bosnya dan mengarahkannya untuk mentransfer uang ke pemasok Hungaria. Para penjahat lolos dengan 220,000 euro.
Apa contoh menonjol dari Kompromi Email Bisnis?
Setiap, atau kombinasi, dari jenis Kompromi Email Bisnis berikut telah berhasil diterapkan oleh penjahat cyber.
Penipuan CEO
Dalam jenis Kompromi Email Bisnis ini, para penjahat dunia maya berpura-pura menjadi eksekutif puncak dan mengirim email kepada seorang karyawan di divisi keuangan perusahaan, menginstruksikan uang untuk ditransfer ke rekening penyerang.
Kompromi Akun
Akun email karyawan perusahaan diretas dan digunakan untuk meminta pembayaran faktur dari pelanggan atau klien. Informasi dalam faktur palsu dimanipulasi untuk mengarahkan pembayaran ke akun yang dimiliki oleh penyerang BEC.
Peniruan Identitas Pengacara
Penyerang menyamar sebagai pengacara perusahaan, baik melalui email atau telepon, dan meminta karyawan untuk mentransfer dana atas nama perusahaan, atau dengan persetujuan CEO. Korban yang ditargetkan biasanya adalah karyawan tingkat bawah yang tidak memiliki wewenang atau kesadaran untuk memvalidasi permintaan semacam itu. Penipu BEC yang licik biasanya melakukan taktik ini sebelum akhir pekan atau liburan panjang ketika karyawan ditekan untuk menyelesaikan pekerjaan.
Pencurian Data
Karyawan di departemen Sumber Daya Manusia atau Akuntansi adalah target yang biasa dalam serangan ini. Upaya yang dilakukan oleh para penjahat cyber untuk mengelabui karyawan agar membocorkan informasi rahasia atau penting yang dimiliki oleh perusahaan. Jika data ini berhasil diperoleh, penyerang dapat menjualnya ke pesaing bisnis korban dan Web Gelap, atau menggunakannya sebagai alat peraga untuk jenis skema BEC lainnya seperti Penipuan CEO.
Skema Faktur Palsu
Dalam penipuan ini, penjahat cyber berpura-pura menjadi pemasok atau penyedia layanan perusahaan. Mereka mengirim email penipuan ke karyawan perusahaan target yang meminta pembayaran untuk layanan yang diberikan atau persediaan yang dijual. Karyawan tersebut kemudian tertipu untuk mengirim uang ke rekening palsu.
Bagaimana SSL.com melindungi perusahaan Anda dari Kompromi Email Bisnis?
Alasan utama mengapa BEC adalah penipuan yang efektif adalah karena ia memanfaatkan kecenderungan manusia: gangguan atau tekanan kerja dan dipengaruhi oleh otoritas. Dalam lingkungan tempat kerja di mana efisiensi diperlukan, otak manusia memang cenderung berpikir secara heuristik terutama ketika berhadapan dengan pola-pola yang sudah dikenal. Melatih karyawan untuk lebih waspada dapat membantu tetapi tidak ada jaminan penuh. Dan dengan munculnya teknologi buatan yang dapat meniru pola bicara manusia, email palsu dapat ditopang. Apa yang dibutuhkan adalah metode full-proof yang dapat mengarah pada keamanan siber yang lebih baik. Di sinilah SSL.com dapat membantu perusahaan Anda.
Mengamankan Sistem Email Anda dengan S/MIME
Ekstensi Surat Internet Aman/Serbaguna (S/MIME) adalah alat berdasarkan enkripsi asimetris dan Infrastruktur Kunci Publik (PKI) yang mengenkripsi dan mengautentikasi dengan kuat
pesan email, sehingga membuktikan identitas sumber email.
Kami S/MIME layanan secara efektif mencegah Kompromi Email Bisnis dari mengorbankan karyawan perusahaan dengan mendorong protokol yang menyatakan bahwa email atas nama eksekutif, kolega, dan penyedia layanan hanya akan diterima jika mereka memiliki S/MIME sertifikat ditandatangani dan divalidasi oleh kami. Jika karyawan dikirimi email yang mengaku dari seseorang di kepala perusahaan tetapi tidak ditandatangani secara digital, maka mereka dapat diarahkan untuk tidak menanggapi dan malah melaporkannya ke departemen TI untuk penentuan ahli. Protokol ini memberdayakan bahkan karyawan yang paling lelah atau mudah terganggu dari melakukan kesalahan besar.
Penandatanganan Dokumen
Ketika berurusan dengan Kompromi Akun, layanan penandatanganan dokumen kami menunjukkan nilainya dengan memberikan jaminan kepada klien dan pelanggan Anda bahwa faktur pembayaran yang mereka terima benar-benar berasal dari Anda. Jika tidak ada tanda tangan digital, maka mereka tidak boleh menghibur mereka tidak peduli seberapa realistis mereka terlihat.
Untuk Skema Faktur Palsu, Anda dapat membuat sistem dengan pemasok atau penyedia layanan Anda di mana Anda hanya boleh berkomunikasi menggunakan email terenkripsi dan dokumen yang digunakan dalam transaksi Anda harus memiliki tanda tangan digital yang divalidasi dan anti-rusak. Adapun karyawan Anda, mereka dapat kembali dilatih untuk menyaring dokumen yang masuk dan hanya menanggapi yang ditandatangani secara digital.
Pergi ke halaman ini untuk melihat yang mana S/MIME dan sertifikat penandatanganan dokumen dari SSL.com paling sesuai dengan kebutuhan Anda.
