Serangan atas Email Bisnis

Manajemen-ti.com — Serangan atas email bisnis (Business Email Compromise) menunjukkan kecenderungan kenaikan yang luar biasa belakangan ini. Bahkan serangan jenis ini sudah menjadi bisnis bernilai jutaan dolar bagi para kriminal yang memanfaatkan lemahnya kebijakan dan kecerobohan manusia ketika berkomunikasi melalui email ini. Serangan ini tidak pandang bulu. Korbannya meliputi berbagai sektor industri, baik skala kecil maupun besar.

Pada dasarnya serangan atas email bisnis ini menggunakan variasi dari teknik rekayasa sosial (Social Engineering) untuk memanfaatkan celah-celah manusiawi yang dimiliki para pengampu email. Metode Social Engineering ini tidak mudah dideteksi dan dilumpuhkan, sehingga para penjahat bisa sukses melaksanakan misinya walaupun yang mereka minta adalah sesuatu yang tidak biasa sekalipun.

Dengan mengamati rutinitas yang dilakukan oleh calon korbannya, para kriminal mengambil keuntungan dari kelemahan dalam komunikasi-komunikasi yang dilakukan melalui email pada saat bekerja.

(Baca juga: Pesan Penting Snowden bagi Para CIO)

Seringkali tidak jelas mengapa seseorang bisa “terpilih” menjadi korban, walaupun sebelum melakukan penyerangan biasanya perilaku dan kebiasaan dari calon korban tersebut telah dipantau dan dipelajari menggunakan teknik seperti rekayasa sosial tersebut. Sehingga para pelaku tersebut dapat secara akurat mengidentifikasi orang-orang dan hal lain yang dibutuhkan untuk dapat dipercaya oleh korbannya.  Begitu si korban sudah percaya, maka ia pun mau untuk melakukan aksi seperti transfer uang atau hal lain yang merupakan tujuan utama dari sang kriminal. Selain itu sang korban dapat juga menerima penyamaran melalui email (phishing) yang meminta informasi detail tambahan terkait bisnis atau orang yang menjadi target serangan.

Data statistik menunjukkan bahwa pada periode Januari 2015 sampai Desember 2016, jumlah kerugian yang dialami akibat serangan terhadap email bisnis ini melonjak drastis lebih dari 2000 persen, dimana secara geografis merata terjadi pada seluruh negara bagian Amerika dan 131 negara di seluruh dunia.

Di AS saja, selama 3 tahun terakhir, terdapat lebih dari 22 ribu organisasi yang menjadi korban, dengan lebih dari 1,5 milyar dolar kerugian, dengan 346 juta diantaranya terjadi di paruh terakhir 2016. Secara worldwide, dalam periode yang sama, jumlahnya melonjak menjadi 5,3 milyar dolar kerugian yang dialami lebih dari 40 ribu korban.

Serangan terhadap email bisnis ini terjadi dalam sejumlah bentuk, termasuk permintaan transfer dana atau permintaan bisnis lain yang berkenaan dengan informasi personal seseorang. Sejumlah serangan juga meliputi penggunaan akun-akun email yang telah berhasil diretas tersebut untuk melakukan komunikasi bisnis tertentu atau hal lain yang memiliki hubungan dengan korban.

(Baca juga: Revolusi Ransomware)

Menghadapi ancaman ini, banyak organisasi mencoba meresponnya dengan melakukan inisiatif awareness training, termasuk atas ancaman serangan terhadap email bisnis. Tapi –betapapun– tidak ada satu metode yang dapat mengatasi segala situasi. Inisiatif seperti ini juga tidak akan banyak membantu jika budaya buruk yang berlaku di organisasi tidak berubah. Termasuk didalamnya bagaimana mekanisme komunikasi kerja dilakukan menyangkut informasi-informasi yang bersifat sensitif.[af/csoonline/picture:utg]