Waspada! Email dari 'Bos' Bisa Jadi Perangkap Mematikan, Ribuan Perusahaan Hampir Tertipu
- pexels.com/Torsten Dettlaff
Jakarta, VIVA – Selama beberapa minggu terakhir, Kaspersky mendeteksi serangkaian upaya serangan canggih yang bertujuan untuk menipu departemen keuangan organisasi tertentu agar membayar faktur palsu.
Email yang meniru korespondensi antara CEO organisasi dan perusahaan kontraktor dikirim ke departemen keuangan organisasi untuk membujuk mereka membayar "faktur" mendesak yang diduga sebagai "layanan konsultasi".
Upaya serangan ini menyoroti tren dari skema tertarget yang mencatut identitas eksekutif palsu untuk mengeksploitasi kepercayaan perusahaan.
Upaya serangan yang dianalisis adalah contoh serangan kompromi email bisnis (BEC / Business Email Compromise).
Skema umumnya, serangan tersebut dilakukan atas nama perwakilan manajemen dari perusahaan yang ditargetkan.
Paling utama dalam semua kasus yang dianalisis, pengirimnya adalah palsu, di mana alamat asli tempat email berasal tidak memiliki kesamaan dengan nama pengirim yang ditampilkan.
Trik ini digunakan untuk meyakinkan para korban bahwa email itu sah. Beberapa insiden melibatkan email yang meniru korespondensi antara CEO perusahaan dan firma hukum kontraktor yang diduga, mendesak departemen keuangan untuk membayar faktur palsu terlampir.
Korespondensi palsu dengan CEO perusahaan korban digunakan sebagai "bukti" bahwa permintaan pembayaran itu sah.
Dalam serangan ini, nama perusahaan mitra fiktif hanya dicantumkan di kolom nama pengirim, dan alamat email yang sebenarnya berbeda serta berubah dari satu email ke email lainnya.
Insiden lainnya menampilkan email serupa yang meniru komunikasi antara CEO dan perusahaan kontraktor untuk meminta pembayaran mendesak atas faktur palsu, tetapi kali ini faktur itu sendiri tidak dilampirkan.
“Serangan ini menonjol karena perhatiannya terhadap detailnya yang sangat cermat serta eksploitasi hubungan tepercaya. Dengan membuat rangkaian email meyakinkan yang menyamar sebagai eksekutif tingkat tinggi, penyerang mengandalkan rasa sungkan karyawan untuk mempertanyakan permintaan yang tampaknya asli. Perusahaan harus memprioritaskan pelatihan karyawan dan sistem verifikasi email yang kuat untuk melawan ancaman yang terus berkembang ini,” komentar Anna Lazaricheva, analis spam di Kaspersky.