Apa itu penyusupan email bisnis (BEC)?

Penyusupan email bisnis (BEC) adalah jenis serangan pengelabuan yang menargetkan organisasi, dengan tujuan mencuri uang atau informasi penting.

Pertahankan diri dari penyusupan email bisnis

Penjelasan tentang penyusupan email bisnis (BEC)

Penyusupan email bisnis (BEC) adalah jenis kejahatan cyber ketika penipu menggunakan email untuk memperdaya seseorang agar mengirimkan uang atau membobol info rahasia perusahaan. Pelaku berpura-pura menjadi figur tepercaya, lalu meminta pembayaran tagihan palsu atau meminta data sensitif yang dapat mereka gunakan di penipuan lain. Penipuan BEC meningkat seiring meningkatnya pekerjaan jarak jauh; ada hampir 20.000 keluhan BEC ke FBI pada tahun lalu.¹

Jenis penipuan penyusupan email bisnis

Email merupakan titik awal pada 91 persen kasus serangan cyber.² Pelajari tentang jenis penyusupan email yang paling umum.

Pencurian data

Terkadang penipu memulai aksinya dengan menargetkan departemen SDM dan mencuri informasi perusahaan seperti jadwal kerja atau nomor telepon pribadi. Dari sini, akan jadi lebih mudah untuk melakukan salah satu penipuan BEC lainnya dan membuatnya tampak lebih dapat dipercaya.

Skema faktur palsu

Dengan menyamar sebagai vendor sah yang bekerja sama dengan perusahaan Anda, penipu mengirim email berupa tagihan palsu yang sering kali menyerupai aslinya. Nomor rekening yang tertera mungkin hanya berbeda satu digit saja. Atau mereka mungkin meminta Anda untuk membayarkannya ke bank lain, dengan dalih bahwa bank Anda sedang diaudit.

Penipuan CEO

Para penipu melakukan spoof atau meretas akun email CEO, lalu mengirim email berisi instruksi kepada karyawan untuk melakukan pembelian atau mengirim uang melalui transfer bank. Penipu bahkan mungkin meminta karyawan untuk membeli kartu hadiah, lalu meminta foto nomor seri.

Penyamaran identitas pengacara

Dalam penipuan ini, penyerang mendapatkan akses tidak sah ke akun email di firma hukum. Kemudian mereka mengirimkan email berisi faktur atau tautan kepada klien untuk membayar secara online. Alamat email ini sah, tetapi tidak dengan rekening banknya.

Penyusupan akun

Penipu menggunakan pengelabuan atau program jahat untuk mendapatkan akses ke akun email karyawan keuangan, seperti manajer piutang akun. Kemudian penipu mengirim email berisi faktur palsu kepada pemasok perusahaan dan meminta pembayaran ke rekening bank palsu.

Bagaimana cara kerja penipuan BEC?

Berikut yang terjadi dalam penipuan BEC:

1. Penipu meneliti target mereka dan mencari tahu cara memalsukan identitas mereka. Terkadang mereka membuat situs web palsu atau bahkan mendaftarkan perusahaan dengan nama yang sama dengan perusahaan Anda di negara lain.

2. Setelah mendapatkan akses, para penipu ini memantau email untuk mencari tahu siapa yang biasa mengirim atau menerima uang. Mereka juga memperhatikan pola percakapan dan faktur.

3. Selama percakapan email, penipu menyamar sebagai salah satu pihak dengan melakukan spoofing domain email. (Alamat email mungkin keliru pada satu atau dua huruf, atau mungkin alamat email tersebut benar “melalui” domain yang berbeda. Misalnya, chris@contoso.com melalui fabrikam.com.)

4. Penipu mencoba mendapatkan kepercayaan target, lalu meminta uang, kartu hadiah, atau informasi.

Target penyusupan email bisnis

Siapa pun dapat menjadi target penipuan BEC. Bisnis, pemerintah, nirlaba, dan sekolah semuanya menjadi target, khususnya peran berikut:

1. Eksekutif dan pimpinan, karena detail tentang mereka sering tersedia untuk umum di situs web perusahaan, sehingga penyerang dapat berpura-pura mengenal mereka.

2. Karyawan keuangan seperti pengontrol dan staf utang yang memiliki detail perbankan, metode pembayaran, dan nomor rekening.

3. Manajer SDM yang memiliki catatan karyawan seperti nomor jaminan sosial, laporan pajak, info kontak, dan jadwal kerja.

4. Karyawan baru atau tingkat pemula yang tidak akan dapat memverifikasi legitimasi email dengan pengirim.

Bahaya BEC

Jika serangan penyusupan email bisnis ini berhasil, organisasi Anda bisa jadi akan:

1. Kehilangan ratusan ribu hingga jutaan dolar.

2. Menghadapi pencurian identitas besar-besaran jika data pribadi sampai dicuri.

3. Secara tidak sengaja membocorkan data rahasia seperti kekayaan intelektual.

Skema BEC terus berkembang, begitu pula dengan strategi perlindungan terhadap ancaman. Bahkan, Microsoft memblokir 32 miliar ancaman email tahun lalu. ³ Pelajari selengkapnya tentang solusi perlindungan terhadap ancaman email Microsoft.

Contoh penyusupan email bisnis

Contoh #1: Bayar tagihan mendesak ini

Katakanlah Anda bekerja di departemen keuangan perusahaan Anda. Anda mendapatkan email dari CFO dengan permintaan mendesak tentang tagihan yang terlambat, tetapi sebenarnya email tersebut bukan dari CFO. Atau penipu berpura-pura menjadi perusahaan perbaikan atau penyedia internet Anda dan mengirimkan faktur dengan yang tampak meyakinkan melalui email.

Contoh #2: Berapa nomor telepon Anda?

Seorang eksekutif perusahaan mengirimkan email kepada Anda, “Saya memerlukan bantuan untuk mengerjakan tugas ringan. Berikan nomor telepon Anda dan saya akan kirim pesan teks.” Mengirim pesan teks terasa lebih aman dan lebih pribadi daripada email, jadi penipu tersebut berharap Anda mengirimkan informasi pembayaran atau informasi sensitif lainnya kepada mereka. Ini disebut “smishing,” atau pengelabuan lewat SMS (teks).

Contoh #3: Sewa Anda akan kedaluwarsa

Penipu mendapatkan akses ke email perusahaan real estat, lalu menemukan transaksi yang sedang berlangsung. Mereka mengirim email kepada klien, "Berikut ini tagihan untuk memperpanjang sewa kantor Anda untuk satu tahun ke depan" atau "Berikut ini tautan untuk membayar deposit sewa Anda.” Penipu baru-baru ini menipu seseorang dengan nilai lebih dari $500.000 dengan cara ini.⁴

Contoh #4: Akuisisi rahasia

Bos Anda meminta uang muka untuk mengakuisisi salah satu pesaing. “Ini rahasia, jangan bilang siapa-siapa,” isi email tersebut, agar Anda tidak memverifikasi permintaan. Karena detail M&A sering kali dirahasiakan hingga semuanya selesai, penipuan ini mungkin tidak tampak mencurigakan pada awalnya.

Tips untuk mencegah BEC

Ikuti lima praktik terbaik berikut untuk menghentikan penyusupan email bisnis:

Gunakan solusi email aman

Aplikasi email seperti Office 365 secara otomatis menandai dan menghapus email yang mencurigakan atau memperingatkan Anda bahwa pengirim tidak diverifikasi. Kemudian, Anda dapat memblokir pengirim tertentu dan melaporkan email sebagai spam. Pertahanan untuk Office 365 menambahkan lebih banyak fitur pencegahan BEC seperti perlindungan pengelabuan tingkat lanjut dan deteksi penerusan yang mencurigakan.

Menyiapkan autentikasi multifaktor (MFA)

Jadikan email Anda lebih sulit disusupi dengan mengaktifkan autentikasi multifaktor, yang memerlukan kode, PIN, atau sidik jari untuk masuk, serta kata sandi Anda.

Ajari karyawan untuk memperhatikan tanda peringatan

Pastikan semua orang paham cara menemukan tautan pengelabuan, domain dan alamat email yang tidak cocok, serta hal mencurigakan lainnya. Simulasikan penipuan BEC agar karyawan mengenalinya saat benar-benar terjadi.

Atur default keamanan

Administrator dapat memperketat persyaratan keamanan di seluruh organisasi dengan mengharuskan semua orang menggunakan MFA sehingga mengamankan akses baru atau berisiko dengan autentikasi, dan menerapkan pengaturan ulang kata sandi jika info bocor.

Gunakan alat autentikasi email

Jadikan email Anda lebih sulit untuk disalahgunakan dengan mengautentikasi pengirim menggunakan Kerangka Kebijakan Pengirim (SPF), DomainKeys Identified Mail (DKIM), serta Autentikasi, Pelaporan, dan Kepatuhan Pesan Berbasis Domain (DMARC).

Mengadopsi platform pembayaran yang aman

Pertimbangkan untuk beralih dari faktur yang dikirim melalui email ke sistem yang dirancang khusus untuk mengautentikasi pembayaran.

Perlindungan dari penyusupan email bisnis

Bantu lindungi organisasi Anda dengan solusi untuk mendeteksi email mencurigakan seperti Pertahanan Microsoft untuk Office 365, yang dapat:

1. Secara otomatis memeriksa standar autentikasi email, mendeteksi spoofing, dan mengirim email ke folder karantina atau sampah.

2. Gunakan AI untuk memodelkan pola email normal setiap orang dan menandai aktivitas yang tidak biasa.

3. Konfigurasikan perlindungan email menurut pengguna, domain, dan kotak surat.

4. Selidiki ancaman, cari tahu siapa yang menjadi sasaran, deteksi positif palsu, dan identifikasi para penipu di Threat Explorer.

5. Periksa pola email di seluruh domain dan sorot aktivitas yang tidak biasa dengan algoritma tingkat lanjut dalam Kecerdasan Deteksi Spoof.

Pelajari selengkapnya tentang Microsoft Security

Enam tips untuk membuat email lebih aman

Ikuti praktik terbaik keamanan email ini untuk membantu melindungi diri dari BEC.

Baca tips

Pahami penipuan kartu hadiah

Baca email aktual dari penipu yang mencoba melakukan penipuan BEC sehingga Anda siap.

Temukan taktik mereka

Cari tahu lebih dalam tentang serangan BEC

Pelajari bagaimana penipu beroperasi dalam penipuan penyusupan email bisnis di kehidupan nyata ini.

Dapatkan detailnya

Cegah serangan password spray

Pelajari cara menghentikan serangan email ini dan cari tahu orang di organisasi Anda yang rentan.

Baca artikel

Hal yang harus diketahui CISO

Pelajari tentang status pelatihan kesadaran keamanan dan cara mengedukasi tim Anda tentang pengelabuan.

Baca selengkapnya

Cara MFA mencegah pengelabuan

Ambil salah satu langkah tercepat dan termudah untuk menggagalkan penipuan BEC: aktifkan autentikasi multifaktor.

Pelajari selengkapnya

Perkenalkan Unit Kejahatan Digital

Pelajari bagaimana tim kejahatan cyber Microsoft melawan BEC dengan inovasi produk, riset, dan AI.

Temukan DCU

Tanya jawab umum

Ajukan keluhan dengan Internet Crime Complaint Center (IC3) FBI. Laporkan email melalui penyedia email Anda dengan menandainya sebagai sampah atau spam. Jika email Anda tidak memiliki opsi tersebut, beri tahu supervisor Anda.
Pengelabuan hanyalah salah satu bagian dari penyusupan email bisnis. BEC adalah istilah yang lebih umum, jenis serangan yang sering mencakup pengelabuan, spoofing, penyamaran, dan faktur palsu.
Lindungi email bisnis dengan mengikuti praktik terbaik keamanan email seperti menggunakan penyedia email aman, mengaktifkan autentikasi multifaktor (MFA), memilih kata sandi email yang kuat dan sering mengubahnya, serta tidak berbagi detail pribadi secara online. Jika Anda seorang administrator, pertimbangkan solusi keamanan email seperti Pertahanan untuk Office 365, konfigurasikan pengaturan keamanan, dan pantau aktivitas untuk menemukan anomali.
Deteksi penipuan dan kecurangan BEC dengan memperhatikan sesuatu yang tidak biasa, seperti email yang dikirim di luar jam kerja, nama yang salah eja, ketidakcocokan antara alamat email pengirim dan alamat balasan, perasaan mendesak, tautan dan lampiran aneh, atau perubahan pembayaran atau informasi penagihan. Anda juga dapat mendeteksi penipuan BEC dengan memeriksa email yang dihapus pada akun email Anda dan aturan penerusan untuk melihat apakah akun Anda telah disusupi. Jika aplikasi email Anda menandai email tertentu sebagai hal mencurigakan atau belum diverifikasi, hal tersebut merupakan cara lain untuk mendeteksi penipuan BEC.
Spoofing email adalah memalsukan alamat email sehingga email tampak berasal dari orang lain. Email spoof dapat terlihat seperti asli tetapi berasal dari domain berbeda yang awalnya tidak mencurigakan sampai Anda memeriksanya (chris@contoso.com melalui fabrikam.com) atau memiliki salah eja yang tidak begitu tampak (chris@cont0so.com) atau berasal dari domain yang benar-benar berbeda (chris@fabrikam.com).

1. FBI. “Laporan Kejahatan Internet 2021.” Internet Crime Complaint Center. 2021.

2. Ganacharya, Tanmay. “Protecting against coronavirus themed phishing attacks.” Blog Microsoft Security. Maret 20, 2020.

3. Microsoft. “Laporan Pertahanan Digital.” Oktober 2021.

4. Departemen Kehakiman AS. “Rhode Island Man Pleads Guilty to Conspiracy to Launder Funds of Email Compromise Fraud Targeting Massachusetts Lawyer.” 15 Juli, 2020.