Pertahankan terhadap penipuan kompromi email bisnis—bisnis baru seperti biasa
Lebih dari 81% profesional keuangan di AS melaporkan bahwa organisasi mereka menjadi target penipuan pada tahun 2019, menurut survei terbaru Asosiasi Profesional Keuangan tentang penipuan dan kontrol pembayaran.
Hampir semua orang akrab dengan istilah phishing . Seperti yang didefinisikan secara umum, phishing mengirim pesan online palsu yang mengaku sebagai orang lain, sering kali menyertakan permintaan agar penerima mengambil tindakan merugikan seperti mengunduh lampiran berbahaya atau mengeklik tautan palsu. Setelah mengeklik atau mengunduh lampiran, penyerang dapat memperoleh akses ke data sensitif seperti kredensial masuk dan hak istimewa apa pun yang dimiliki korban.
Seiring waktu, sebagian besar pebisnis telah belajar mengidentifikasi tautan yang dicurigai dalam email. Selain itu, filter email menjadi lebih baik dalam mengenali dan membuang email yang kemungkinan dikirim dengan maksud jahat. Namun sayang, pelakunya juga sudah semakin canggih. Subjenis phishing yang telah "diprofesionalkan" dalam beberapa tahun terakhir adalah kompromi email bisnis (BEC).
Tentang BEC dan transfer kawat
Penipuan transfer kawat telah menjadi begitu umum sehingga FBI mengeluarkan pengumuman layanan publik‡ mengenai masalah ini. Dalam pengumuman ini, FBI mencatat bahwa jenis penipuan ini telah tumbuh lebih dari 100% dari Juni 2016 hingga Juli 2019, yang mengakibatkan kerugian lebih dari $26 miliar dolar.
Dalam skema BEC, biasanya tidak ada tautan berbahaya sama sekali. Sebaliknya, tujuannya adalah untuk menemukan cara untuk meniru pembuat keputusan tepercaya. Salah satu contoh umum adalah pelaku yang menyamar sebagai eksekutif perusahaan dan mengirim email “sebagai” eksekutif tersebut meminta penyelesaian transfer kawat.
Untuk memaksimalkan kemungkinan keberhasilan, pelaku dapat melakukan penelitian terperinci dan rekayasa sosial yang ekstensif, Mereka mungkin tahu, misalnya, bahwa perusahaan Anda terlibat dalam proyek tertentu dengan vendor tertentu. Mereka mungkin telah mengumpulkan informasi pribadi tentang eksekutif perusahaan melalui serangan sebelumnya terhadap departemen SDM—informasi yang dapat membantu mereka membuat permintaan yang secara sempurna mencerminkan instruksi pengkabelan asli.
Terkadang, mereka mungkin melakukan upaya peniruan identitas dari alamat email yang terlihat mirip dengan yang sebenarnya. Misalnya, dalam perjalanan hari kerja yang terburu-buru, banyak orang akan melewatkan perbedaan antara [email protected] dan [email protected]. Dan itu hanya jika mereka mencari perbedaan sejak awal.
Dalam kasus lain, pelaku melakukan upaya penipuan BEC dengan meretas akun email eksekutif. Pada saat itu, mereka tidak perlu memalsukan tampilan dan nuansa email yang sah dan berusaha menutupi asal sebenarnya. Sebaliknya, sekarang mereka benar-benar “adalah” eksekutif dan dapat membuat keputusan apa pun sebagai eksekutif tersebut berdasarkan tingkat hak istimewanya.
Gabungkan teknik-teknik canggih ini dengan operasi penipuan yang berdedikasi dan profesional, dan hasilnya adalah miliaran dolar kerugian finansial aktual bagi BEC.
Dapatkah permintaan transfer kawat 'dari Anda' dilakukan?
Katakanlah aktor jahat telah meretas email Anda dan mengirim permintaan ke tim keuangan Anda untuk mengirimkan dana ke vendor Anda yang sudah ada, karena jadwal proyek telah dinaikkan dan Anda ingin vendor tersebut membayar sebelum Anda kunjungan tim di hari berikutnya. Jumlah yang diminta untuk transfer sesuai dengan pembayaran lain ke vendor ini.
Selanjutnya, katakan bahwa “Anda” memberi tahu tim keuangan bahwa Anda baru saja menerima dan meneruskan detail rekening bank baru untuk vendor, yang, menurut email, telah diubah karena alasan yang masuk akal.
Seberapa yakin Anda bahwa permintaan transfer kawat tidak akan dipenuhi? Lagi pula, itu berasal dari alamat email Anda yang sebenarnya (tidak ada spoofing yang terlibat), tidak menyertakan tautan yang mencurigakan, dan membuat permintaan untuk membayar vendor yang ada yang mungkin baru saja Anda bicarakan dengan para profesional keuangan ini.
Ketika skema BEC menjadi lebih canggih, Anda tidak dapat mengandalkan Anda atau orang-orang Anda yang memiliki mata yang tajam. Anda harus memiliki alur kerja dan sistem yang sudah mapan sebelumnya.
Apa yang dapat Anda lakukan untuk tetap terlindungi
Berikut adalah langkah-langkah perlindungan dasar untuk membantu organisasi Anda menghindari kerugian finansial akibat penipuan semacam ini.
- Buat instruksi pembayaran yang telah ditentukan sebelumnya; tidak pernah berbeda dari pola tersebut kecuali perubahan tersebut diverifikasi secara menyeluruh.
- Batasi dengan ketat jumlah karyawan di organisasi Anda yang memiliki wewenang untuk menyetujui dan/atau melakukan transfer kawat.
- Buat protokol di mana permintaan transfer kawat yang dikirim melalui email selalu divalidasi oleh beberapa saluran komunikasi lain atau melalui autentikasi multi-faktor.
- Selalu konfirmasikan secara lisan setiap perubahan dalam instruksi pembayaran untuk vendor menggunakan data kontak yang tercatat yang tidak berasal dari email. Pertahankan daftar kontak non-elektronik di vendor ini yang Anda ketahui berwenang untuk menyetujui permintaan perubahan instruksi kawat.
- Setiap kali dihubungi oleh bank untuk memverifikasi transfer kawat, tunda transaksi hingga verifikasi tambahan dapat dilakukan.
- Memerlukan persetujuan ganda untuk setiap permintaan transfer kawat yang melibatkan:
- Jumlah dolar di atas ambang batas tertentu
- Mitra dagang yang sebelumnya belum pernah ditambahkan ke daftar mitra dagang yang disetujui untuk menerima pembayaran kawat
- Mitra dagang baru
- Nomor bank dan/atau rekening baru untuk mitra dagang saat ini
- Transfer kawat ke negara-negara di luar pola perdagangan normal
- Edukasi karyawan Anda tentang BEC dan langkah-langkah yang dapat mereka ambil untuk meminimalkan risiko.
Terakhir, bank dengan mitra lho. Tim pembayaran bank yang melayani organisasi Anda harus memahami bisnis Anda dan pola normalnya. Keakraban itu, bersama dengan kesadaran yang cermat dan sistem peringatan penipuan yang canggih, membantu melindungi Anda dari ancaman serius yang meningkat.
Terus ikuti perkembangan tren industri dan berita penting perusahaan dengan mengunjungi our Berita Industri bagian di umb.com . Ikuti UMB di LinkedIn, Facebook ‡ dan Twitter ‡ untuk melihat pembaruan rutin tentang perusahaan, karyawan, dan perspektif keuangan kami yang tepat waktu.
Bisnis
- New York Life menghabiskan $6,3 miliar untuk kehidupan grup Cigna,
- Mengapa Kegagalan Bank (Kemungkinan) Bisnis Seperti Biasa untuk Anda
- Bagaimana Pengusaha Memulai Perusahaan Manajemen Investasi Baru?
- Haruskah saya mengasuransikan bisnis kecil saya terhadap kerusakan komputer dan risiko data?
- Dapatkah saya mengasuransikan bisnis kecil saya terhadap pencurian dan kejahatan lainnya?
- Punya Bisnis Baru? Pilihan Asuransi yang Harus Anda Pertimbangkan
- Keamanan Crypto:Apa itu Cryptojacking? Bagaimana Mencegah dan Mempertahankannya?
- Tetap gesit:Pembiayaan dan perencanaan bisnis di era baru
-
Cara Memilih Alat Pemasaran Email yang Tepat untuk Bisnis Anda
Ada banyak sumber yang akan meyakinkan Anda bahwa pemasaran email masih merupakan bentuk pemasaran digital yang tak tertandingi yang dapat membawa banyak pelanggan ke arah Anda, dan semuanya benar. Ji...
-
10 Masalah Umum untuk Bisnis Baru
Bisnis baru ingin menghindari memposting tanda ini. Setiap jalan pusat kota yang sibuk memiliki lokasi etalase yang terkutuk. Satu bulan itu adalah tempat pizza. Enam bulan kemudian itu adalah kantor...