Mengungkap Kasus Serangan Business Email Compromise (BEC) Yang Merugikan 113 Miliar Rupiah
Email merupakan pintu awal masuk dari serangan siber, 91% serangan siber dimulai melalui email. Email menjadi metode komunikasi nomor satu bagi sebagian besar organisasi ini juga merupakan metode nomor satu yang digunakan oleh penjahat cyber untuk menyusup ke jaringan, mencuri atau merusak data dan merusak reputasi organisasi.
Metode menyerang email tumbuh lebih bertarget, lebih canggih dan lebih berbahaya. Ada bermacam serangan email seperti kampanye spam, scam, credential phishing, malicious attachment dan salah satunya yaitu Business E-mail Compromise (BEC).
Business E-mail Compromise (BEC) juga dikenal sebagai Email Account Compromise atau CEO Fraud adalah penipuan yang manargetkan para manajer keuangan sebuah perusahaan untuk melakukan pembayaran transfer secara legal dengan menyamar sebagai petinggi perusahaan, rekan kerja, ataupun vendor.
Serangan BEC adalah ancaman yang semakin meningkat bagi bisnis karena mereka menyerang kerentanan yang tidak dapat ditambal yaitu manusia. Oleh karena itu security awareness adalah kunci pertahanan yang kuat untuk mencegah serangan ini.
Menurut laporan dari Federal Bureau of Investigation’s (FBI) Internet Crime Complaint Center (IC3) penipuan BEC terus tumbuh, berkembang, dan menargetkan bisnis dari semua ukuran. Sejak Januari 2015, telah ada peningkatan 1.300% dalam kerugian yang teridentifikasi mengakibatkan total kerugian lebih dari $ 3 miliar.
Bagaimana Serangan Business Email Compromise Bekerja?
Cyber criminal melakukan information gathering untuk menemukan orang-orang terbaik dalam organisasi yang menjadi target mereka mempelajari selama berbulan-bulan.
Mempelajari organisasi tersebut bisa melaui media sosial seperti LinkedIn untuk mengetahui orang-orang yang bekerja di organisasi tersebut, jabatan mereka, orang-orang yang pernah bekerja dengan mereka, dan minat mereka.
Jika cyber criminal ingin mencuri uang, maka mereka akan mempelajari siapa yang bekerja pada bagian keuangan pada organisasi tersebut. Sekitar 47% dari email palsu menargetkan Chief Financial Officer.
Jika mereka menginginkan informasi perusahaan atau pribadi yang sensitif, mereka akan mengetahui semua yang mereka bisa tentang sumber daya manusia (SDM). Sekitar 25% dari serangan menargetkan HR.
Melalui linkedin juga mereka akan mencari karyawan baru yang tidak terbiasa dengan kebijakan dan prosedur organisasi yang menjadi target mereka.
Setelah target ditemukan cyber criminal akan melakukan hacking ke email target tersebut bisa dengan cara melakukan phishing, menebak password atau brute force, yang terakhir melakukan email spoofing yang seolah-olah dikirim dari pihak terpercaya seperti rekan kerja atau petinggi perusahaan yang memerintahkan kepada manajer keuangan untuk melakukan transfer.
Kasus Business Email Compromise OPAP Investment Limited
Direktorat Tindak Pidana Siber (Dittipidsiber) Badan Reserse dan Kriminal (Bareskrim) Polri berhasil mengungkap sindikat internasional pelaku penipuan online yang merugikan Rp113 miliar. Pelaku menargetkan OPAP Investment Limited yang berada di Yunani. Pelaku adalah jaringan Nigeria yang memiliki kaki tangan di Indonesia.
OPAP — Greek Organisation of Football Prognostics S.A. (Greek: ΟΠΑΠ — Οργανισμός Προγνωστικών Αγώνων Ποδοσφαίρου Α.Ε.) is a Greek company organizing and conducting games of chance.
Diberitakan kejadian pada tanggal 31 Mei 2019 ketika sedang melakukan Audit Keuangan Bendahara perusahaan OPAP Investment Limited terdapat pembayaran sebesar 4,9 juta Euro pada 16 Mei dan 2 juta Euro pada 23 Mei 2019.
Setelah melakukan pemeriksaan menyeluruh ditemukan bahwa email milik Zisimos Papaioannou selaku bendahara perusahaan OPAP Investment Limited diretas pada tanggal 8 Mei 2019. Dari hasil penelusuran kemungkinan pelaku bisa mengetahui Zisimos Papaioannou sebagai bendahara didapatkan informasi tersebut melalui media sosial linkedin.
Sebelumnya pelaku membuat CV fiktif yang mana nama CV tersebut sama dengan perusahaan yang ditargetkan untuk menampung uang hasil kejahatan yang kemudian ditukarkan menjadi mata uang asing.
Dari hasil pengumpulan infromasi para pelaku pada mailbox Zisimos Papaioannou, ditemukan ada transaksi yang harus dibayarkan dari pihak PPF Banka ke rekening Opap Investment Limited, namun pembayaran itu justru dibayarkan ke rekening bank di Indonesia atas nama CV Opap Investment Limited dengan cara memalsukan form pembayaran yang dikirimkan melaui email Zisimos Papaioannou. PPF Banka adalah bank Ceko yang berfokus terutama pada penyediaan jasa keuangan, investasi dan konsultasi serta perbankan swasta.
Pihak PPF Banka percaya bahwa form pembayaran tersebut dikirim resmi oleh Opap Investment Limited dan mengirimkan uang sebesar 4,9 juta Euro dan 2 juta Euro ke rekening pelaku.
Mencegah Dari Serangan Business Email Compromise
People
Pelatihan kesadaran keamanan informasi tentang serangan BEC dan dasar-dasar tentang cyber security secara umum dapat membantu untuk menghindari serangan siber dan meminimalkan efek serangan yang berhasil.
Melakukan pelatihan phishing secara berkala atau kuratal harus menggunakan teknik social engineering terbaru dalam pelatihan phishing memasukan juga scenario BEC yang menargetkan departemen keuangan.
Process
Membuat aturan prosedur mengenai kontrol setiap ada pembelian atau transaksi melalui proses verifikasi dua langkah. Mengharuskan lebih dari satu orang untuk otorisasi.
Terutama yang bekerja pada departemen keuangan atau akuntansi perusahaan harus memverifikasi keabsahan permintaan transfer dana, terutama yang melibatkan jumlah besar.
Technology
- Menggunakan Email Security Gateway
Email Security Gateway adalah produk atau layanan yang dirancang untuk mencegah pengiriman email yang melanggar kebijakan perusahaan, mencegah malware dan mencegah spam.
Email Security Gateway memiliki banyak fitur seperti Advanced Threat Protection, Spam Protection, Virus Protection, Spam dan Virus Pre-Filtering, Data Loss Prevention (DLP) dan kemampuan enkripsi email untuk email keluar. Kebanayakan Email Security Gateway saat ini didasarkan pada beberapa arsitektur berbasis cloud.
2. Menerapkan Two Factor Authentication
Two Factor Authentication (TFA) merupakan keamanan level kedua. Ketika alamat email dan password user sudah diketahui oleh spammer, maka spammer tidak dapat login pada email server untuk mendapatkan mailbox user tersebut.
TFA akan memaksa user untuk memasukkan kode unik hasil generate aplikasi authenticator seperti Google Authenticator. Cara spammer untuk mendapatkan informasi username dan password salah satunya dengan mengirimkan email phishing.
3. Melakukan Konfigurasi External Email Warning Message
Membuat peringatan ketika ada email diluar organisasi masuk dengan menambahkan pesan peringatan. Email yang berasal dari domain eksternal berisiko dipalsukan. Dan email spoofing membuat risiko organisasi dapat dikompromikan. Untuk mengurangi risiko tersebut, dapat menambahkan pesan peringatan yang ditambahkan di bagian atas badan email.
4. Melakukan Konfigurasi DMARC, SPF dan DKIM
Karena serangan BEC semakin menargetkan mitra dan vendor, harus menyediakan cara untuk memverifikasi bahwa email datang dari pihak yang terpercaya dan bukan penipu atau email spoofing. Email spoofing adalah pemalsuan pada bagian header email, sehingga email yang dikirim seolah-olah dikirimkan dari email yang valid. Terdapat teknologi otentikasi email dapat membantu mengidentifikasi pengirim pesan seperti DKIM, SPF dan DMARC.
DKIM atau DomainKeys Identified Mail adalah metode verifikasi untuk memastikan pesan yang dikirim dapat dipercaya, artinya pesan tersebut tidak berubah sejak pertama kali terkirim dari server email.
Sistem verifikasi DKIM menggunakan kode privat dan kode publik. Pemilik domain mengentrikan kode publik di dns yang nantinya akan digunakan oleh server penerima email untuk memverifikasi pesan email yang diterimanya.
SPF (Sender Policy Framework) suatu mekanisme suatu email yang berasal dari domain tertentu hanya bisa dikirim lewat suatu mail server yang ditunjuk.
DMARC atau Domain-based Message Authentication, Reporting, & Conformance adalah sistem yang menyediakan arahan atau informasi apabila email tidak terautentikasi. Dengan melakukan konfigurasi DMARC, SPF dan DKIM yang tetap dapat mencegah dari serangan email spoofing.
Melaporkan Serangan BEC
Banyak negara memiliki organisasi pemerintah yang menangani penipuan cyber, termasuk serangan BEC. Berikut ini beberapa diantaranya:
- Indonesia — Badan Siber Dan Sandi Negara (https://bssn.go.id/aduan-siber/)
- United States — FBI’s Internet Crime Complaint Center (www.IC3.gov)
- Canada — Canadian Anti-Fraud Centre/Centre Antifraude du Canada (www.antifraudcentre.ca)
- UK — Action Fraud (www.actionfraud.police.uk) Australia Australian Cybercrime Online Reporting Network (www.acorn.gov.au)
- Singapore — Singapore Computer Emergency Response Team (www.csa.gov.sg/singcert)
- Netherlands — Fraud Helpdesk (www.fraudhelpdesk.org)
- Germany — German Federal Criminal Police Office (BKA) (www.bka.de)
