Networking

Pelajaran dari Bawah Tanah: Cara Memerangi Kompromi Email Bisnis

1
pelajaran-dari-bawah-tanah:-cara-memerangi-kompromi-email-bisnis
Pelajaran dari Bawah Tanah: Cara Memerangi Kompromi Email Bisnis

Kompromi Email Bisnis (BEC) sering digambarkan di media hanya sebagai penipuan email, namun kenyataannya, ini adalah bagian dari operasi luas yang terorganisir. Email itu sendiri hanyalah salah satu bagian dari rantai serangan. Untuk mendukung keberhasilan monetisasi penipuan email, penyerang harus bersabar dan mempelajari proses pengadaan di organisasi, serta membangun atau menyewa seluruh infrastruktur dan operasi.

Satu BEC sering kali mencakup mendapatkan akses ke bisnis yang mereka targetkan, mengumpulkan data mentah, menganalisis konteks kotak surat, membangun saluran komunikasi yang andal, mengakses infrastruktur pembayaran yang andal, mengatur segala sesuatunya pada waktu yang tepat, dan menemukan cara untuk memindahkan uang setelah uang itu dicuri.

Suar peneliti mengambil sampel dan menganalisis pos bawah tanah terkait BEC dari tahun lalu; Sorotan dari temuan ini meliputi:

  • BEC yang didukung AI semakin populer, mengurangi waktu pembelajaran dan meningkatkan “kualitas” penipuan.
  • Aktor terutama tertarik pada akun SaaS (seperti O365). Kepemimpinan perusahaan dan karyawan keuangan adalah target yang paling diinginkan.

  • Terdapat pusat panggilan khusus yang dirancang untuk memberikan tekanan pada bisnis yang ditargetkan untuk menyelesaikan pembayaran palsu.

  • Pencairan dana adalah hambatan terbesar dalam BEC, peretas perlu menemukan rekening bank bisnis yang relevan atau mitra pencairan yang relatif dianggap sebagai tugas yang sulit.

BEC Melampaui Batasan Email

BEC dimulai dengan akses ke kotak surat organisasi atau akun SaaS bisnis. Setelah masuk, pelaku ancaman sering kali menganalisis akun, lalu mempelajari dan memetakan organisasi, terutama dengan memahami struktur organisasi dan khususnya hak finansial, proses pengadaan, percakapan internal, komunikasi dengan vendor, dan faktur.

Setelah semuanya dikumpulkan, pelaku ancaman dapat mencoba membuat permintaan palsu.

Gambar menjelaskan proses BEC

Hal inilah yang membuat BEC sulit dideteksi. Email mencurigakan dari pengirim yang tidak dikenal adalah satu hal. Namun pesan yang dikirim dari kotak surat yang disusupi, di dalam percakapan yang sudah ada, menggunakan nama asli, referensi faktur asli, dan kata-kata yang familiar jauh lebih sulit untuk dipertanyakan oleh karyawan.

Tidak mengherankan, data Flare menunjukkan bahwa pelaku ancaman sangat menghargai akun email karyawan dari departemen keuangan, karena akun tersebut adalah alat untuk memahami operasi keuangan.

Di dalam akun-akun ini, pelaku ancaman mencari referensi piutang, hutang, penggajian, faktur, pembayaran yang telah jatuh tempo, dan hubungan pembayaran pelanggan.

Tangkapan layar diambil dari Platform Flare tentang minat pada akun email perusahaan yang terkait langsung dengan fungsi keuangan.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.

Studi Kasus: Diskusi Peretas di BEC

Sebuah thread bernama “Business Email Compromise (BEC) – Experiences & Discussion” yang dibuat oleh pelaku ancaman bernama Bigjack, pada bulan Januari 2026, dengan jelas menggambarkan cara kerja operasi ini.

Tangkapan layar diambil dari postingan Bigjack di forum

Bigjack menjelaskan bagaimana dia menggunakan malware akses jarak jauh untuk mendapatkan akses awal, kemudian menyusupi kotak surat perusahaan dan menggunakannya untuk mengirim faktur. Pertanyaan pelaku kurang fokus pada gangguan teknis dan lebih banyak pada aspek penipuan praktis berdasarkan pengalaman:

  • Kapan harus mengirim faktur

  • Bagaimana menciptakan urgensi

  • Bagaimana cara meminta dalam jumlah besar tanpa menimbulkan kecurigaan

  • Informasi kotak surat apa yang harus digunakan kembali

  • Bukti apa yang bisa diberikan jika ditanya

  • Kesalahan apa yang dapat merusak operasi

Balasannya menunjukkan bagaimana pelaku ancaman lain memandang pengalaman BEC dan sana. Salah satu pelaku ancaman menyoroti pentingnya mencegat proses pembayaran faktur. Yang lain mengatakan bahwa mengidentifikasi siapa yang memvalidasi permintaan pembayaran dan menipu dia adalah aspek yang paling penting. Pelaku ancaman lainnya menekankan pentingnya pembayaran tunai, dengan mengatakan bahwa kolaborasi dan dukungan yang dapat diandalkan adalah aspek yang paling penting.

Korespondensi tunggal ini dengan jelas menggambarkan pola pikir para pelaku ancaman terhadap BEC. Pelaku ancaman belajar dari pengalaman bahwa mereka perlu memahami sepenuhnya proses pengadaan (waktu yang tepat, tekanan yang tepat, konteks keuangan yang tepat, dan rekening penerima yang tepat) sebelum mereka dapat mulai mengirimkan faktur penipuan yang efektif.

Bagian Pencairan Dana Adalah Hambatan

Monetisasi BEC hampir tidak mungkin dilakukan tanpa akun penerima yang dapat diandalkan. pelaku ancaman terhubung ke jaringan bagal dan menggunakan layanan pembayaran tunai. Ini adalah tugas yang sulit karena pelaku ancaman perlu menemukan rekening bank yang andal, operasional, “bersih”, dan relevan untuk menyelesaikan penipuan.

Pelaku ancaman bernama neoresu menekankan bahwa bukan hanya rekening bank tujuan, tetapi orang yang memvalidasi pembayaran juga memerlukan perhatian khusus. Dia menawarkan jasanya dan juga berbicara tentang penggunaan call center untuk meningkatkan tingkat keberhasilan.

Aktor ancaman lainnya bernama “Capita” mengklaim telah menjalankan aktivitas BEC selama enam tahun di Eropa (terutama di Jerman, Finlandia, dan Austria) dan menggambarkan penggunaan pergerakan uang peer-to-peer, dan pusat panggilan untuk menekan perusahaan agar melakukan pembayaran lebih cepat.

Ada juga postingan yang ingin merekrut bagal uang untuk skema BEC. Khususnya melibatkan rekening bank bisnis, dan transfer uang cepat.

Tangkapan layar dari Platform Flare tentang “keledai untuk operasi BEC.”
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.

Mendukung Pusat Panggilan untuk Memberikan Tekanan

Beberapa postingan juga merujuk pada seruan sebagai bagian dari proses BEC. Di thread Bigjack, aktor tersebut menanyakan kapan harus menelepon setelah mengirimkan faktur, sementara peserta lain mengaku mengoperasikan pusat panggilan yang digunakan untuk menekan perusahaan agar melakukan pembayaran lebih cepat.

Hal ini penting karena BEC tidak selalu merupakan penipuan email saja. Panggilan tindak lanjut dapat membuat permintaan tersebut terasa lebih sah dan mendesak. Bagi pembela HAM, saluran kedua tidak boleh dianggap sebagai bukti keaslian jika pemohon memperkenalkan atau mengendalikan saluran tersebut.

Serangan BEC yang Didukung AI

Diskusi rahasia menunjukkan bahwa AI semakin banyak diadopsi untuk meningkatkan efektivitas dan skalabilitas kampanye BEC.

Dalam postingan yang dibuat oleh blackhatpakistan di bawah ini, pelaku ancaman menjelaskan penggunaan AI untuk menghasilkan korespondensi bisnis yang realistis, meniru gaya penulisan eksekutif dan karyawan, dan menghasilkan permintaan pembayaran sadar konteks atau email penipuan faktur yang menyatu dengan komunikasi yang sah.

Daripada mengandalkan satu template, AI memungkinkan pembuatan ribuan variasi email unik, sehingga membuat kampanye lebih sulit diidentifikasi oleh sistem deteksi berbasis konten tradisional.

Alat bawah tanah khusus juga dipromosikan untuk menghasilkan seluruh rantai percakapan email, memungkinkan penyerang membajak diskusi bisnis yang ada dan memasukkan permintaan pembayaran palsu dengan tingkat keaslian yang lebih tinggi.

Tangkapan layar dari Platform Flare tentang bagaimana peretas menggunakan AI dalam serangan BEC.
Mendaftarlah untuk uji coba gratis untuk mengakses jika Anda belum menjadi pelanggan.

Nasihat Praktis untuk Pembela HAM

Diskusi rahasia dengan jelas menunjukkan bahwa kita harus meningkatkan pertahanan BEC. Postur keamanan harus dimulai jauh sebelum tagihan penipuan pertama tiba. Apa yang kami pelajari dari penyerang:

  • Penyerang menargetkan personel tertentu dalam organisasi. Para pembela HAM harus mengidentifikasi target potensial dan menerapkan pelatihan tambahan kepada pimpinan, departemen keuangan, dan siapa pun yang mengambil bagian dalam proses pengadaan.

  • Penyerang kini menggunakan artefak yang didukung AI seperti email, faktur, dokumen, dan pesan. Para pembela HAM perlu mengidentifikasi konten yang dihasilkan AI dan barang-barang palsu.

  • Penyerang memanfaatkan pusat panggilan khusus untuk menekan pengambil keputusan keuangan dan pemberi persetujuan pembayaran agar mengizinkan transaksi penipuan. Para pembela HAM harus mengumpulkan informasi intelijen dan mempelajari teknik apa yang digunakan pusat-pusat tersebut untuk memberikan pendidikan yang lebih baik kepada karyawan mereka yang relevan.

  • Penyerang menyoroti pentingnya titik waktu tertentu, menunggu pemberi persetujuan sedang berlibur, serta tips lain untuk meningkatkan tingkat keberhasilan aktivitas penipuan mereka. Pembela HAM harus mempelajari penanda khusus ini dan menerapkan mekanisme pertahanan lebih lanjut selama periode tertentu, seperti liburan karyawan.

Suar membantu dengan memberikan visibilitas kepada tim keamanan ke dalam pasar bawah tanah ini dan dengan memantau kredensial karyawan yang terekspos, domain perusahaan, portal masuk, aplikasi SaaS, dan indikator terkait di seluruh sumber web yang dalam dan gelap.

Hal ini memungkinkan organisasi untuk mendeteksi kapan titik akses mereka muncul dalam koleksi kredensial atau iklan layanan pencarian, memprioritaskan paparan yang paling relevan, dan merespons lebih cepat dengan pengaturan ulang kata sandi, pencabutan sesi, penegakan MFA, dan penyelidikan kemungkinan penyalahgunaan akun.

Pelajari lebih lanjut dengan mendaftar uji coba gratis kami.

Disponsori dan ditulis oleh Suar.

Exit mobile version