Perubahan taktik memicu terjadinya lonjakan pada penyusupan email bisnis

Aktivitas kejahatan kriminal seputar penyusupan email bisnis tengah mengalami percepatan. Microsoft memantau tren signifikan dalam penggunaan platform oleh penyerang, seperti BulletProftLink, platform populer untuk membuat kampanye email berbahaya berskala industri. BulletProftLink menjual layanan menyeluruh, termasuk templat, hosting, dan layanan yang terautomasi untuk BEC. Musuh yang menggunakan CaaS ini menerima kredensial dan alamat IP korban.

Pelaku ancaman BEC kemudian membeli alamat IP dari layanan IP residensial sesuai lokasi korban, sehingga terbentuk proksi IP residensial yang akan mendukung penjahat cyber untuk menyamarkan tempat asal mereka. Sekarang, bersenjatakan ruang alamat terlokalisasi untuk mendukung aktivitas berbahaya, ditambah dengan nama pengguna dan kata sandi, penyerang BEC dapat menutupi pergerakan mereka, berkelit dari bendera “perjalanan-tidak-memungkinkan”, dan membuka gateway untuk melancarkan serangan lebih jauh. Microsoft memantau, bahwa pelaku ancaman di Asia dan bangsa Eropa Timur adalah yang paling sering menyebarkan taktik ini.

Perjalanan-tidak-memungkinkan adalah deteksi yang digunakan untuk menunjukkan bahwa akun pengguna mungkin telah disusupi. Peringatan ini memberikan bendera untuk batasan fisik, yang mengindikasikan bahwa tugas tersebut diselenggarakan di dua lokasi tanpa rentang waktu yang memungkinkan untuk bergerak dari satu lokasi ke lokasi lainnya.

Spesialisasi dan konsolidasi sektor ekonomi kejahatan cyber tersebut dapat melonjakkan penggunaan alamat IP residensial untuk menghindari deteksi. Alamat IP residensial yang dipetakan ke lokasi berskala luas akan memberikan jalan dan peluang bagi penjahat cyber untuk mengakses akun dan mengumpulkan kredensial yang disusupi dalam volume besar. Pelaku ancaman menggunakan layanan proksi/IP, dan penyelenggara pasar serta pihak lainnya dapat menggunakan ini untuk meriset skala serangan. Satu penyedia layanan IP, contohnya, memiliki 100 juta alamat IP yang dapat dirotasikan atau diubah setiap detik.

Pelaku ancaman menggunakan pengelabuan-sebagai-layanan, seperti Evil Proxy, Naked Pages, dan Caffeine untuk menyebarkan kampanye pengelabuan serta memperoleh kredensial yang disusupi. Sementara itu, BulletProftLink menawarkan desain gateway yang didesentralisasi, termasuk node blockchain publik Internet Computer untuk hostingpengelabuandan situs BEC, sehingga terbentuk penawaran web terdesentralisasi yang semakin canggih dan kian sulit didisrupsi. Pendistribusian infrastruktur situs ini dilaksanakan di tengah kompleksitas dan perkembangan pesat blockchain publik, sehingga identifikasi dan penyelarasan tindakan penghancuran menjadi semakin rumit. Sekalipun Anda dapat menghapus tautan pengelabuan, konten tersebut tetap ada secara online, dan penjahat cyber akan kembali untuk membuat tautan baru ke konten CaaS yang sudah ada.

Serangan BEC yang berhasil dilakukan membuat organisasi-organisasi merugi hingga ratusan juta dolar setiap tahunnya. Pada tahun 2022, Tim Pemulihan Aset FBI menginisiasi Kill Chain Penipuan Finansial pada 2.838 komplain BEC yang melibatkan transaksi dalam negeri dengan potensi kerugian melampaui USD$590 juta.

Walaupun implikasi finansial terhitung signifikan, kerusakan jangka panjang yang lebih luas dapat merambah ke pencurian identitas jika informasi pengidentifikasi pribadi (PII) disusupi, atau hilangnya data rahasia jika korespondensi sensitif atau properti intelektual terekspos email dan lalu lintas pesan yang berbahaya.

Walaupun pelaku ancaman telah membuat alat khusus untuk memfasilitasi BEC, termasuk kit pengelabuan dan daftar alamat email terverifikasi yang menarget pemimpin C-level, pimpinan utang dagang, dan peran spesifik lainnya, perusahaan dapat menggunakan sejumlah metode untuk mencegah serangan dan memitigasi risiko.

Contohnya, kebijakan autentikasi, pelaporan, dan kepatuhan pesan berbasis domain (DMARC) untuk “menolak” dapat memberikan perlindungan tertinggi dari email tipuan, memastikan bahwa pesan tanpa autentikasi akan ditolak pada server email, bahkan sebelum pengiriman. Selain itu, laporan DMARC memberi organisasi mekanisme untuk menyadari sumber pemalsuan yang tampak jelas, informasi yang biasanya tidak mereka terima.

Walaupun organisasi sudah mengelola tenaga kerja hibrid atau sepenuhnya jarak jauh dalam hitungan tahun, berpikir ulang mengenai kesadaran keamanan di era kerja hibrid masih diperlukan. Karena karyawan bekerja dengan semakin banyak vendor dan kontraktor, mereka akan menerima lebih banyak email “yang dilihat pertama kali”, sehingga merupakan keharusan untuk menyadari bagaimana perubahan ritme pekerjaan dan korespondensi memengaruhi permukaan serangan Anda.

Pelaku ancaman BEC dapat mencoba dalam berbagai bentuk – termasuk panggilan telepon, pesan teks, email, atau pesan media sosial. Meniru pesan permintaan autentikasi, serta impersonasi individu dan perusahaan juga merupakan taktik umum.

Langkah pertama dalam pertahanan yang baik yakni dengan memperkuat kebijakan perakunan, kontrol internal, sistem penggajian, atau departemen sumber daya manusia saat merespons permintaan atau pemberitahuan mengenai perubahan instrumen pembayaran, perbankan, atau transfer kawat (wire transfer) yang diterima. Mempertimbangkan ulang permintaan sampingan yang dicurigai tidak mematuhi kebijakan, atau menghubungi entitas permintaan melalui perwakilan dan situs sah, dapat menyelamatkan organisasi dari kerugian mengejutkan.

Serangan BEC menjadi contoh tepat mengapa risiko cyber perlu ditindaklanjuti secara lintas fungsi oleh eksekutif dan pimpinan, karyawan finansial, manajer sumber daya manusia, dan jajaran lainnya yang memiliki akses ke catatan karyawan, seperti nomor Keamanan Sosial, pernyataan pajak, serta informasi kontak dan jadwal, bekerja sama dengan petugas TI, serta petugas kepatuhan dan risiko cyber.

Pelajari selengkapnya tentang BEC dan pelaku ancaman Iran dengan wawasan dari Simeon Kakpovi, Analis Inteligensi Ancaman Senior.