TEMPO.CO, Jakarta - Oktober lalu, Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri berhasil mengungkap kasus penipuan dengan modus Business Email Compromise (BEC) yang merugikan dua perusahaan asing hingga Rp 84 miliar lebih. Lalu, apa sebenarnya Business Email Compromise ini dan bagaimana modusnya?

Karo Penmas Divisi Humas Polri Brigjen Pol Rusdi Hartono mengatakan penipuan dengan modus BEC biasanya ditujukan kepada sejumlah pihak dalam perusahaan yang terlibat langsung dengan keuangan dengan cara menyamar menjadi perusahaan rekan bisnis korban. Tujuannya adalah untuk mendapatkan dana yang seharusnya ditujukan ke rekan bisnis yang sebenarnya. “Tapi dengan penipuan ini, maka transfer dana dilakukan kelompok-kelompok yang melakukan penipuan ini,” kata Rusdi, Jumat, 1 Oktober 2021.

The Federal Bureau of Investigation (FBI) melaporkan, pada 2016, serangan BEC menyebabkan kerugian rata-rata US$ 140 ribu bagi perusahaan secara global. Melansir dari fbi.gov, BEC juga dikenal Email Account Compromise (EAC)—adalah salah satu kejahatan online yang paling merugikan secara finansial. Apalagi mengingat banyak pihak yang mengandalkan email untuk menjalankan bisnis, baik pribadi maupun profesional. Penjahat mengirim pesan email yang terlihat seperti dari rekan bisnis yang resmi kepada korban.

Mengutip dari trendmicro.com, penipuan berbasis BEC menargetkan perusahaan yang melakukan wire transfer dan memiliki pemasok di luar negeri. Akun email perusahaan dipalsukan atau dikompromikan melalui keyloggers atau serangan phishing untuk melakukan transfer penipuan, yang mengakibatkan kerugian ratusan ribu dolar.

Biasanya pelaku mengeksploitasi email korban untuk memperoleh akses ke akun email bisnis dan meniru identitas untuk menipu perusahaan, karyawan, pelanggan, atau mitra. Sering kali penyerang akan membuat akun dengan alamat email yang hampir identik dengan yang ada di jaringan perusahaan, mengandalkan kepercayaan yang diasumsikan antara korban dan akun email mereka.

Melansir dari barracuda.com, pelaku “attack man-in-the-email”, sebutan lain BEC, sangat bergantung pada taktik rekayasa sosial untuk mengelabui karyawan dan eksekutif yang tidak menaruh curiga. Pelaku umumnya menyamar sebagai CEO atau eksekutif mana pun yang diberi wewenang untuk melakukan wire transfer. Selain itu, pelaku juga meneliti dan memantau dengan cermat calon korban sasaran mereka dan organisasi mereka.

Untuk mengelabui korban agar mengungkapkan informasi rahasia, pelaku lazimnya mengirim email spearphishing, atau pesan yang seolah berasal dari pengirim terpercaya. Informasi itu memungkinkan penjahat mengakses akun perusahaan, kalender, dan data yang memberi mereka perincian yang mereka butuhkan untuk menjalankan skema BEC.

Pelaku BEC biasanya juga menggunakan perangkat lunak perusak atau malware. Perangkat lunak berbahaya tersebut dapat menyusup ke jaringan perusahaan dan mendapatkan akses ke rangkaian email yang sah tentang penagihan dan faktur. Informasi itu digunakan untuk meminta waktu atau mengirim pesan sehingga akuntan atau petugas keuangan tidak mempertanyakan permintaan pembayaran. Malware juga memungkinkan penjahat mendapatkan akses tidak terdeteksi ke data korban, termasuk kata sandi dan informasi akun keuangan.

HENDRIK KHOIRUL MUHID

Baca juga: Polri Tangkap Sindikat Internasional Penipuan Pembelian Ventilator Rp 58 Miliar