Cyberthreat.id – Biro Investigasi Federal Amerika Serikat (FBI) memperingatkan lembaga pemerintahan negara bagian dan lokal untuk mewaspadai penipuan berbasis peretasan email (Business Email Compromise/BEC) yang menyebabkan kerugian hingga jutaan dollar.

Menurut FBI penipuan BEC ini telah menelan kerugian mulai dari US$ 10.000 hingga US$ 4 juta antara November 2018 hingga September 2020.

Dikutip dari Info Security Magazine, dalam peringatannya FBI mengatakan para penyerang menargetkan entitas pemerintah negara bagian, lokal, suku, dan territorial (SLTT) dengan menyamar sebagai vendor dan juga pemasok. Penyerang akan menggunakan jebakan phising untuk membajak akun email perusahaan dan mengirimkan faktur palsu, menyamar sebagai klien perusahaan.

Serangan ini didukung dengan ketersediaan paket phising di dark web, dan beberapa informasi tentang kontraktor pemerintah, dikombinasikan dengan buruknya kesadaran keamanan di kalangan pegawai pemerintah, membuat mereka lebih mudah diserang.

Alat peretasan (kit phishing) yang digunakan dalam serangan ini, menggabungkan alat dan sumber daya phishing ke dalam perangkat lunak yang gampang digunakan, semakin banyak tersedia untuk dibeli di web gelap, bahkan memungkinkan penjahat dunia maya yang tidak berpengalaman dengan keterampilan teknis minimal untuk melakukan serangan yang lebih canggih.

Selain itu, penyerang juga dapat menentukan entitas SLTT dengan protokol keamanan siber yang tidak memadai, seperti kurangnya pelatihan personel, yang dapat mereka susupi dengan sedikit usaha.

“Sejumlah besar informasi operasi pemerintah SLTT yang tersedia untuk umum yang diperlukan oleh persyaratan transparansi pemerintah memungkinkan penjahat dunia maya memperoleh informasi tentang kepemimpinan SLTT, hubungan vendor dan kontraktor terkait, memungkinkan mereka untuk menyesuaikan serangan langsung kepada korban,” ungkap FBI.

Belum lagi, peluang keberhasilan juga meningkat selama pandemi, di mana pekerja pemerintah berpotensi lebih cenderung mengeklik tautan phishing. Penilaian SLTT tahun lalu oleh Cybersecurity and Infrastructure Security Agency (CISA) mengungkapkan rasio klik hampir 14%, dan serangan BEC merugikan organisasi hampir US$ 1,9 miliar tahun lalu, naik 5% dari angka 2019.

Karena itu, FBI mendesak entitas SLTT untuk meningkatkan pendidikan dan pelatihan kesadaran, memverifikasi semua perubahan pembayaran secara langsung atau melalui nomor telepon yang dikenal, mencegah penerusan email otomatis, serta menerapkan otentikasi multi-faktor dan lapisan keamanan lainnya.[]

Editor: Yuswardi A. Suud