Kompromi email bisnis (BEC):Cara mengidentifikasi tanda bahaya dan mengurangi risiko

Penipuan kompromi email bisnis (BEC) adalah jenis penipuan pembayaran online yang menargetkan bisnis dan dapat mengakibatkan kerugian finansial yang signifikan. BEC melibatkan mendapatkan akses tidak sah ke email, pesan teks, atau akun media sosial yang sah atau upaya untuk memalsukan atau memalsukan akun yang sah.

Tujuannya adalah untuk memungkinkan pelaku kejahatan mengirim pesan dari eksekutif atau pemimpin bisnis, vendor, atau klien untuk meyakinkan karyawan untuk mentransfer dana.

Setelah dana tersebut ditransfer ke pelaku kejahatan, sulit, bahkan tidak mungkin, untuk memulihkan kerugian tersebut. Antara 2016 dan 2021, orang Amerika kehilangan sekitar $9 miliar karena penipuan BEC‡. Hanya butuh beberapa menit untuk kesalahan finansial yang melumpuhkan – dan itu bisa terjadi pada siapa saja. Baik itu karyawan baru, veteran 20 tahun, manajer hutang, atau CEO, dampak yang dihasilkan sama jika terjadi kesalahan langkah.

Kabar baiknya adalah ada tindakan yang dapat dilakukan bisnis untuk meminimalkan dan mengurangi risiko mereka.

Cara mengidentifikasi tanda bahaya BEC dan mengurangi risiko

Tindakan pencegahan yang paling penting untuk melindungi terhadap BEC adalah kewaspadaan dan kesadaran. Berikut adalah beberapa tanda bahaya BEC yang harus dicari ketika Anda menerima komunikasi mengenai transfer dana atau transaksi.

Fitur komunikasi

• Komunikasi palsu – Periksa ejaan dan domain secara menyeluruh pada permintaan pembayaran yang diterima melalui email. Periksa dengan cermat alamat pengirim (email, nomor telepon, dll.) untuk melihat apakah huruf, angka, atau nama domain salah.
• Penggunaan akun pribadi – Pelaku kriminal akan menyamar sebagai pemimpin perusahaan, vendor, atau klien yang menggunakan akun pribadi mereka (email, ponsel, media sosial) daripada akun perusahaan standar mereka.

Fokus pada pengaturan waktu

• Urgensi – Aktor yang menggunakan komunikasi tulis BEC yang meminta tindakan cepat untuk perubahan data, transfer dana, atau menetapkan tenggat waktu yang dipercepat. Garis waktu yang lebih cepat dapat mengakibatkan langkah validasi yang terlewat atau karyawan yang bertindak di luar protokol.
• Mengandalkan respons karyawan terhadap otoritas – Aktor ini bergantung pada karyawan yang dikondisikan untuk segera mematuhi permintaan dari pimpinan eksekutif atau klien dan vendor penting.
• Permintaan datang pada waktu sibuk – Banyak permintaan penipuan akan datang pada akhir hari kerja atau minggu kerja, memberikan tekanan pada karyawan untuk menyelesaikan permintaan sebelum akhir bisnis (atau akhir bulan/kuartal/tahun fiskal) .

Komunikasi dan perilaku

• Komunikasi dari eksekutif – penipu BEC akan menyamar sebagai individu yang sebenarnya, paling sering seorang pemimpin atau eksekutif di perusahaan tempat seseorang bekerja.
• Bentuk komunikasi tunggal – Banyak upaya BEC akan menunjukkan bahwa pengirim sedang rapat atau bepergian dan tidak dapat dihubungi melalui telepon atau sarana lain, dan menuntut agar semua komunikasi terjadi melalui saluran komunikasi tertentu seperti email, teks, atau media sosial.
• Istilah umum dan tata bahasa aneh – Jika email diterima dengan sapaan yang tidak dipersonalisasi seperti “Yang Terhormat” atau “Tuan” atau “Pelanggan”, ini adalah tanda bahaya. Email dengan tata bahasa aneh seperti “baik hati”, tanda baca yang hilang, atau kesalahan ejaan juga merupakan tanda bahaya.
• Dikombinasikan dengan rasa takut dan urgensi, prospek untuk mendapatkan penghargaan dapat mendorong karyawan untuk melewatkan prosedur biasa. Penghargaan ini dapat berwujud atau tidak berwujud, seperti diakui untuk memecahkan masalah atau menyelesaikan tugas yang sangat penting bagi kepemimpinan eksekutif.

Bagaimana perusahaan ditargetkan untuk BEC

Sebelum meluncurkan penipuan BEC, pelaku kriminal dapat meneliti perusahaan, karyawan, dan manajemen senior untuk mengumpulkan informasi sebanyak mungkin untuk membantu mereka membuat permintaan yang meyakinkan. Mereka bahkan dapat memeriksa jadwal perjalanan, membaca email bisnis lainnya, dan meninjau profil media sosial.

Pelaku kriminal paling sering mengidentifikasi diri mereka sebagai eksekutif tingkat tinggi (CFO, CEO, CTO, dll.), pengacara, vendor, pelanggan, atau jenis perwakilan lainnya. Dalam komunikasi, mereka akan mengklaim menangani masalah rahasia atau sensitif waktu dan meminta inisiasi transfer kawat yang mendesak.

Khususnya, permintaan mendesak ini juga mencakup perubahan pada akun penerima atau untuk membuat akun baru (yang pada akhirnya mengarah ke pelaku kriminal). Karyawan yang menerima komunikasi mungkin percaya bahwa permintaan tersebut sah dan melakukan transfer dana, yang mengakibatkan kerugian finansial bagi perusahaan.

BEC adalah penipuan manipulasi psikologis

Bagian yang sulit tentang BEC adalah bahwa hal itu tidak terutama dicapai melalui malware atau peretasan – ia menggunakan rekayasa sosial. Pelaku kriminal ini membuat skenario yang dapat dipercaya yang dapat menipu karyawan untuk mentransfer dana.

Rekayasa sosial adalah penggunaan penipuan untuk memanipulasi individu agar membocorkan informasi rahasia atau mengambil tindakan untuk mendukung aktivitas penipuan.

Sudah menjadi sifat kita untuk percaya dan ingin membantu. Penjahat dunia maya menggunakan psikologi dan sifat manusia untuk membujuk korban agar mengabaikan kontrol keamanan yang penting.

Cara membantu mencegah BEC

Permintaan perubahan pembayaran benar-benar diperiksa

Permintaan pembayaran yang disertai dengan perubahan rekening penerima harus selalu diperiksa dengan cermat.

Hubungi eksekutif, vendor, atau klien menggunakan saluran komunikasi alternatif untuk memverifikasi permintaan dan informasi akun baru. Pastikan kontak dilakukan menggunakan nomor telepon tepercaya yang sudah ada di file untuk kontak yang dikenal di organisasi, bukan nomor telepon yang diberikan dalam email, teks, atau pesan media sosial, dan verifikasi bahwa individu tersebut berwenang untuk membuat permintaan.

Jeda untuk memverifikasi

Saat diminta untuk memverifikasi transfer kawat, tunda transaksi hingga verifikasi tambahan dapat dilakukan, dan perlukan persetujuan ganda untuk setiap permintaan transfer kawat yang memenuhi kriteria berisiko tinggi tertentu.

Tetap sederhana

Batasi jumlah karyawan dalam bisnis yang memiliki wewenang untuk menyetujui dan/atau melakukan transfer kawat.

Buat lingkungan kepercayaan

Banyak penipuan BEC adalah hasil dari pelaku kriminal yang menyamar sebagai pemimpin senior dalam organisasi. Karyawan harus merasa nyaman berhenti sejenak untuk memvalidasi permintaan transfer dana pemimpin senior melalui telepon atau secara langsung tanpa khawatir.

Karyawan harus didorong untuk menolak pengkondisian sifat yang baik untuk membantu dan meredam keinginan untuk memprioritaskan permintaan dari kepemimpinan.

FBI menganggap BEC‡ sebagai penipuan yang paling merugikan secara finansial di AS. Ambil tindakan dalam bisnis Anda untuk memastikan pimpinan dan karyawan memahami ancaman penipuan ini, dan cara mengidentifikasi tanda bahaya BEC dan mengurangi risiko.

Penipuan selalu menjadi masalah bagi bisnis, tetapi bisa jadi lebih dari itu di lingkungan saat ini. Baca selengkapnya tentang cara melindungi perusahaan Anda  di sini atau kunjungi pusat sumber penipuan kami.