Cyberthreat.id – Penipuan melalui email saat ini sudah semakin canggih. Mereka menggunakan teknik yang “sangat halus” untuk mengelabui perusahaan agar membayar tagihan tertentu.

Serangan ini berbeda dengan serangan Business Email Compromise (BEC). Jika BEC mengandalkan email palsu yang menyamar dari CEO perusahaan, serangan baru ini didasarkan pada rantai pasokan, memata-matai, dan riset.

Pendekatan semacam ini membuat serangan sangat sulit untuk dideteksi. Seringkali korban mengetahui jika mereka telah ditipu, ketika mitra bisnis bertanya: mengapa pembayaran belum juga diterima?.

Para peneliti Agari Data–perusahaan asal California, Amerika Serikat ini bergerak di bidangkeamanan email perusahaan–menjuluki jenis serangan itu dengan: “vendor email compromise” . Mereka mendeteksi penjahat siber yang memakai teknik tersebut diduga berasal dari Nigeria.

Kelompok penjahat siber yang oleh peneliti dikenal dengan nama Silent Starling diyakini telah aktif sejak 2015. Mereka cenderung memulai penipuan dengan email romantis sebelum beralih ke kompromi email bisnis dan permintaan transfer uang.

Sejak akhir 2018, Silent Starling telah mulai menggunakan serangan baru ini lebih dari 500 perusahaan di 14 negara. Sekitar 97 persen korban berasal dari AS, Kanada dan Inggris; lebih dari 700 akun email karyawan yang berhasil dikompromikan dan lebih dari 20.000 email dicuri untuk membantu kampanye penarikan uang.

Serangan Silent Starling dimulai saat peretas mencoba mencuri kredensial email dari vendor dengan menggunakan serangan phishing. Seringkali dilakukan dengan mengarahkan pengguna ke versi palsu dari Office365 dan perangkat lunak perusahaan lain.

Setelah penyerang memiliki kredensial yang mereka inginkan, mereka akan masuk dan membuat aturan penerusan untuk secara otomatis mengarahkan salinan semua email ke akun terpisah yang mereka awasi. Dari situ, mereka akan menunggu dan memantau diam-diam isi email untuk mendapatkan gambaran dari korban.

"Mereka memperhatikan selama berminggu-minggu atau berbulan-bulan untuk mencoba mengidentifikasi ‘kecerdasan pada komunikasi yang dimiliki orang-orang tertentu’," kata Crane Hassold, Direktur Senior Riset Ancaman Agari Data kepada ZDNet, Rabu (2 Oktober 2019).

Penyerang biasanya akan merancang peringatan dengan kata kunci, seperti “faktur” atau “pembayaran”. Dari situ, penjahat mengumpulkan informasi yang mereka perlukan dalam melakukan serangan kompromi email bisnis, menggunakan bahasa yang digunakan oleh pengirim asli dan dalam waktu yang sama oleh peretas.

Peretas juga mendapatkan akses ke semua lampiran dan tautan yang digunakan dalam korespondensi email, yang memungkinkan peretas untuk membuat faktur palsu yang terlihat sepenuhnya asli.

Ketika waktu serangan sudah tepat, pelanggan perusahaan akan mengharapkan faktur. Satu-satunya perbedaan dalam faktur palsu dan asli ini berupa rincian bank. Jadi, alih-alih pembayaran dilakukan kepada pelanggan, uang itu akan dialihkan ke rekening bank penjahat siber.

"Satu-satunya hal yang dilihat pelanggan dalam faktur berbeda adalah informasi rekening bank telah berubah," kata Hassold.

Para peneliti belum dapat menempatkan kerugian keuangan yang tepat terkait kampanye ini, tapi dalam salah satu kasus, penyerang mengajukan faktur untuk pembayaran sebesar US$ 168.000.

Serangan-serangan tersebut membutuhkan lebih banyak waktu dan sumber daya daripada serangan jenis BEC. Memang potensi keuntungan si penyerang jauh lebih besar meski serangan BEC pun ditengarai telah menelan kerugian hingga US$ 1,3 miliar di perusahaan AS selama 2018.

"Ini harus diwaspadai. Kami melihat frekuensi serangan ini mulai meningkat dan mereka pasti akan lebih besar pada tahun depan," kata dia.

Ia menyarankan agar perusahaan untuk selalu melakukan pemeriksaan sekunder setiap pembayaran keluar secara signifikan. Perusahaan juga harus mengajari karyawan terkait dengan email-email yang mencurigakan.

Redaktur: Andi Nugroho