Memahami Cara Kerja BEC (Business Email Compromise)

Di era digital yang serba terhubung ini, setiap perusahaan besar maupun kecil rentan terhadap serangan siber. Salah satu ancaman paling berbahaya dan merugikan adalah Business Email Compromise (BEC).

BEC adalah bentuk kejahatan siber canggih di mana penipu menggunakan email sebagai alat utama untuk menipu perusahaan agar melakukan transaksi yang tidak sah atau mengungkapkan informasi sensitif.

Modus ini tidak mengandalkan peretasan sistem yang rumit, melainkan memanfaatkan psikologi dan kepercayaan manusia, menjadikannya salah satu jenis penipuan finansial paling mahal secara global.

Memahami Cara Kerja BEC (Business Email Compromise)

BEC, atau sering disebut juga Email Account Compromise (EAC), merupakan serangan social engineering yang dilakukan secara terencana. Penipu akan melakukan riset mendalam untuk menyamar sebagai sosok berwenang.

Baca juga: Mengamankan Server Bisnis Anda

1. Siapa yang Disasar Penipu?

Penjahat BEC menargetkan individu dalam organisasi yang memiliki akses ke sumber daya keuangan atau wewenang untuk menyetujui pembayaran. Target utamanya adalah:

• Eksekutif Senior: (CEO, CFO, atau direktur) yang emailnya sering digunakan untuk meminta transfer dana mendesak.
• Staf Keuangan: (Akuntan atau manajer pembayaran) yang memiliki akses langsung ke sistem transaksi.
• Petugas Pengadaan: (Procurement Officer) yang berwenang menyetujui faktur pembayaran vendor.

2. Modus Operandi (Cara Kerja)

Penjahat siber melakukan serangkaian langkah untuk menciptakan penipuan yang sempurna:

Riset Mendalam.

Pelaku mengumpulkan informasi melalui media sosial, email scraping, atau teknik reconnaissance lain untuk memahami struktur perusahaan, pola komunikasi, dan detail transaksi bisnis yang sedang berjalan.

Penyamaran (Impersonasi).

Penipu menyamar sebagai salah satu dari tiga pihak terpercaya:

1. Eksekutif Perusahaan (Misalnya CEO): Mengirim email palsu dengan nada mendesak, meminta staf keuangan segera mentransfer dana atau membeli kartu hadiah.
2. Vendor/Pemasok Resmi: Mengirim faktur palsu atau pemberitahuan perubahan rekening bank untuk pembayaran yang seolah-olah sah.
3. Rekanan Bisnis: Menyusup ke dalam rantai email yang sudah ada (conversation hijacking) antara dua perusahaan dan mengubah detail rekening tujuan transfer.

Manipulasi.

Mereka sering memodifikasi utas email yang sudah ada atau membuat email baru dengan alamat yang sangat mirip (spoofing) dengan yang asli (misalnya: ceo@perusahaan.co.id menjadi ceo@peusahaan.co.id).

Baca juga: Mencegah Bisnis menjadi Korban Serangan Phising

Tindakan Curang.

Korban didesak untuk melakukan transfer dana ilegal atau mengungkapkan informasi sensitif seperti kredensial login.

Kasus di Indonesia: Modus BEC telah merugikan banyak perusahaan di Indonesia, baik asing maupun domestik. Polri pernah mengungkap kasus BEC yang merugikan dua perusahaan asing hingga puluhan miliar Rupiah.

Pelaku sering memalsukan rekening atas nama perusahaan untuk mengelabui korban agar mengirim dana ke rekening pribadi pelaku.

5 Tanda Utama Anda Sedang Jadi Sasaran BEC

Mampu mengenali bendera merah (red flags) adalah kunci pertahanan. Berikut adalah tanda-tanda email Anda mungkin adalah BEC:

1. Alamat Email Mencurigakan (Suspicious Sender Address)

Ini adalah tanda paling jelas. Penipu sering membuat alamat email yang hampir sama dengan yang asli, hanya berbeda satu huruf atau menggunakan domain publik, bukan domain perusahaan.

• Salah Eja: kantorpusat@gmail.com (seharusnya kantorpusat@perusahaan.com).
• Domain Publik: Menggunakan Gmail, Yahoo, atau Hotmail untuk komunikasi bisnis yang seharusnya menggunakan domain resmi (misalnya finance.dept@yahoo.com).
• Alamat Mirip: ceo@perusahaan.co (bukan .co.id).

2. Permintaan yang Sangat Mendesak dan Rahasia

Email berisi tekanan waktu yang ekstrem (urgency), seperti, “Lakukan transfer ini SEKARANG sebelum akhir hari! Ini sangat rahasia, jangan diskusikan dengan siapa pun.” Taktik ini dirancang agar korban panik dan melangkahi prosedur verifikasi normal.

3. Permintaan Transfer Dana atau Perubahan Rekening

Permintaan mendadak untuk mengubah nomor rekening pembayaran vendor yang sudah lama atau melakukan wire transfer dalam jumlah besar yang tidak biasa.

4. Bahasa dan Gaya yang Aneh

Meskipun AI kini membuat phishing lebih meyakinkan, terkadang email BEC menggunakan tata bahasa yang kaku, frasa yang tidak pernah digunakan oleh eksekutif tersebut sebelumnya, atau penulisan yang buruk.

5. Balasan dari Alamat Lain

Ketika Anda membalas email tersebut, penipu mungkin sengaja mengarahkan balasan ke alamat email berbeda yang dikontrol oleh mereka (memanfaatkan fungsi Reply-To). Selalu periksa apakah alamat email balasan sama dengan alamat pengirim.

Baca juga: Ratusan Juta Email Phising Melanda Dunia Maya

Langkah Pencegahan Efektif untuk Menggempur BEC

Perlindungan terhadap BEC harus bersifat berlapis, menggabungkan solusi teknologi dan edukasi manusia.

1. Pelatihan dan Budaya Keamanan Karyawan

Karyawan adalah pertahanan terakhir. Investasikan dalam pelatihan komprehensif:

• Protokol Verifikasi Lisan: Wajibkan verifikasi lisan (melalui telepon, bukan membalas email) kepada pengirim asli untuk setiap permintaan transfer dana atau perubahan rekening vendor, terutama jika nilainya besar.
• Budaya Skeptis: Dorong karyawan untuk selalu bersikap skeptis terhadap email yang bersifat mendesak, rahasia, atau meminta tindakan finansial di luar prosedur.
• Simulasi Phishing: Lakukan simulasi serangan phishing secara berkala untuk menguji kesiapan karyawan dan mengidentifikasi celah pelatihan.

2. Implementasi Keamanan Email Tingkat Lanjut

• Autentikasi Multi-Faktor (MFA): Aktifkan MFA untuk semua akun email bisnis, terutama akun eksekutif dan departemen keuangan. MFA mencegah penyerang mengakses akun meskipun mereka berhasil mencuri kata sandi.
• Protokol Autentikasi Domain (SPF, DKIM, DMARC). DMARC (Domain-based Message Authentication, Reporting, and Conformance) adalah kunci. DMARC bekerja dengan memverifikasi email melalui SPF dan DKIM. Jika email gagal dalam verifikasi ini (yang menunjukkan spoofing), DMARC akan menginstruksikan server penerima untuk menolak atau mengarantina email tersebut, sehingga secara signifikan mengurangi risiko email palsu yang masuk ke kotak masuk karyawan.
• Filter Anti-Phishing: Gunakan solusi keamanan email canggih yang mampu menganalisis konten, lampiran, dan tautan untuk mendeteksi upaya phishing dan spoofing secara real-time.
• Batasi Izin Pengguna: Terapkan prinsip hak istimewa terkecil (least privilege) untuk akun email.

Dengan memahami mekanisme licik di balik BEC dan menerapkan pertahanan yang kuat, organisasi dapat menjaga aset finansial dan reputasi mereka dari kerugian miliaran yang ditimbulkan oleh penipuan email ini. Apakah perusahaan Anda sudah memiliki prosedur verifikasi lisan untuk transfer dana?

 

 

 

Baca artikel lainnya:  Ketika AI Menjadi Mata-Mata di Kotak Masuk Email Anda Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis Lebih dari 84.000 Server Email Roundcube Berisiko Diserang Ancaman Keamanan Siber Wajib Diwaspadai Dunia Bisnis 2025 Bisnis Pencurian Informasi Forensik Email Phising Email Serangan Menguntungkan Business Email Compromise, Deepfake dan Pencegahan Terbaik Cloud Email Security Gantikan Perangkat Keras Email Gateway Trik Phising Baru Kirimi Korban Email Pemecatan

 

 

Sumber berita:

 

Prosperita IT News