Intelijen ancaman
Business email compromise: bagaimana perusahaan Indonesia kehilangan miliaran lewat satu email
Ringkasnya
BEC lebih mahal daripada ransomware dan lolos dari firewall Anda. Cara serangan ini menyasar perusahaan Indonesia, dan pertahanan berlapis yang menghentikannya.
Sebagian besar anggaran keamanan dipakai untuk menghentikan malware. Business email compromise mengabaikan itu semua. Tidak ada virus untuk ditangkap dan tidak ada celah untuk ditambal, hanya email meyakinkan yang meminta karyawan sungguhan melakukan hal yang memang boleh ia lakukan: membayar tagihan, mengubah rekening, melepas transfer. Saat ada yang menyadarinya, uang sudah lenyap. Polri pernah mengungkap kasus BEC yang merugikan dua perusahaan hingga puluhan miliar rupiah, dan polanya menjangkau perusahaan dari segala ukuran.
~65%
serangan BEC memakai domain tiruan yang berbeda dari aslinya satu atau dua karakter (analisis Verihubs)
2 sampai 4 minggu
pengintaian biasa sebelum penyerang mengirim pesan pertama
USD 4,8 juta
rata-rata kerugian pelanggaran data yang berawal dari phishing, vektor serangan awal paling umum (IBM Cost of a Data Breach 2025)
Bagaimana serangan ini sebenarnya berjalan
BEC berjalan lambat dan terencana, justru itulah yang membuatnya berhasil. Penyerang mempelajari perusahaan Anda sebelum mengirim satu pun email yang membidik momen uang bergerak.
- 01
Pengintaian
Penyerang membaca LinkedIn, situs web, dan media sosial Anda untuk mengetahui siapa yang menyetujui pembayaran, vendor mana yang aktif, dan kapan tagihan rutin jatuh tempo. Tahap ini sering berjalan dua sampai empat minggu.
- 02
Akses atau penyamaran
Mereka membobol mailbox asli lewat phishing, atau mendaftarkan domain tiruan yang berbeda satu karakter dari milik Anda. Keduanya membuat pesan tampak datang dari dalam atau dari mitra yang dikenal.
- 03
Permintaan yang meyakinkan
Berpura-pura menjadi CEO, CFO, atau vendor tepercaya, mereka mengirim sedikit email dengan waktu yang pas. Nadanya mendesak dan rahasia, dan permintaannya cocok dengan aktivitas bisnis normal sehingga tidak memicu kecurigaan.
- 04
Transfer
Staf keuangan membayar tagihan atau mengubah rekening vendor. Dana mengalir ke rekening penampung dan cepat berpindah, itulah sebabnya pemulihan bergantung pada tindakan dalam hitungan jam.
Mengapa kontrol teknis hanya separuh jawaban
Anda tidak bisa menyaring jalan keluar dari BEC, karena email bersih yang membawa instruksi palsu tetaplah email bersih. Pertahanan harus menutup celah infrastruktur dan celah manusia sekaligus.
Autentikasi email
SPF, DKIM, dan DMARC bersama-sama membuat penyerang jauh lebih sulit memalsukan domain Anda atau menyamar sebagai staf Anda ke pihak luar. DMARC yang ditegakkan adalah kontrol teknis bernilai paling tinggi melawan penyalahgunaan domain.
Perlindungan akun
Autentikasi multifaktor di setiap mailbox membatasi jalur pembajakan akun. Tanpa itu, satu kata sandi yang terphishing memungkinkan penyerang mengirim penipuan dari alamat yang benar-benar tepercaya.
Kebiasaan verifikasi
Setiap perubahan rekening pembayaran atau transfer mendesak dikonfirmasi lewat saluran kedua, misalnya telepon ke nomor yang sudah dikenal. Satu kebiasaan ini menghentikan sebagian besar BEC bahkan ketika emailnya meyakinkan.
Tanda yang harus dianggap rambu berhenti oleh tim keuangan
Pesan BEC punya bentuk yang bisa dikenali. Orang-orang yang menggerakkan uang perlu hafal di luar kepala, karena merekalah garis pertahanan terakhir.
Saat pencegahan gagal: respons dalam hitungan jam, bukan hari
Kalau pembayaran sudah terlanjur keluar, jam-jam pertama menentukan seberapa banyak yang kembali. Hubungi bank untuk mencoba penarikan dana, laporkan ke polisi, simpan email asli beserta header-nya, dan periksa apakah ada mailbox internal yang dibobol agar Anda bisa mereset kredensial sebelum percobaan kedua. Proses respons insiden yang terlatih mengubah kepanikan menjadi rangkaian langkah yang melindungi bukti dan memperbaiki peluang pemulihan.
References
BEC adalah persoalan manusia yang menyamar sebagai persoalan teknis, jadi Alpha Code menanganinya di kedua sisi. Program manajemen risiko SDM kami melatih staf yang menggerakkan uang untuk mengenali dan memverifikasi permintaan, dan tim respons insiden kami siap untuk jam-jam genting saat transfer sudah terlanjur keluar.
Ditinjau oleh Mirna Indriasari, Security Program Manager
Pertanyaan umum
Business email compromise, atau BEC, adalah penipuan ketika penyerang menyamar sebagai eksekutif, vendor, atau rekan kerja lewat email untuk mengelabui seseorang agar mentransfer uang atau membagikan data sensitif. Serangan ini mengandalkan rekayasa sosial, bukan malware, sehingga antivirus dan firewall tidak melihatnya. Pesan palsu itu meminta karyawan sungguhan melakukan hal yang memang menjadi wewenangnya, seperti membayar tagihan.
Terkait
Solusi
Dari blog
Layanan kami
Siap memperkuat keamanan siber Anda?
Bicarakan kebutuhan Anda dengan tim kami di Jakarta.
Tim kami di Jakarta. Kami membalas dalam satu hari kerja.