Langsung ke konten utama

Intelijen ancaman

Business email compromise: bagaimana perusahaan Indonesia kehilangan miliaran lewat satu email

Ringkasnya

BEC lebih mahal daripada ransomware dan lolos dari firewall Anda. Cara serangan ini menyasar perusahaan Indonesia, dan pertahanan berlapis yang menghentikannya.

Threat detection solutions

Sebagian besar anggaran keamanan dipakai untuk menghentikan malware. Business email compromise mengabaikan itu semua. Tidak ada virus untuk ditangkap dan tidak ada celah untuk ditambal, hanya email meyakinkan yang meminta karyawan sungguhan melakukan hal yang memang boleh ia lakukan: membayar tagihan, mengubah rekening, melepas transfer. Saat ada yang menyadarinya, uang sudah lenyap. Polri pernah mengungkap kasus BEC yang merugikan dua perusahaan hingga puluhan miliar rupiah, dan polanya menjangkau perusahaan dari segala ukuran.

~65%

serangan BEC memakai domain tiruan yang berbeda dari aslinya satu atau dua karakter (analisis Verihubs)

2 sampai 4 minggu

pengintaian biasa sebelum penyerang mengirim pesan pertama

USD 4,8 juta

rata-rata kerugian pelanggaran data yang berawal dari phishing, vektor serangan awal paling umum (IBM Cost of a Data Breach 2025)

Bagaimana serangan ini sebenarnya berjalan

BEC berjalan lambat dan terencana, justru itulah yang membuatnya berhasil. Penyerang mempelajari perusahaan Anda sebelum mengirim satu pun email yang membidik momen uang bergerak.

  1. 01

    Pengintaian

    Penyerang membaca LinkedIn, situs web, dan media sosial Anda untuk mengetahui siapa yang menyetujui pembayaran, vendor mana yang aktif, dan kapan tagihan rutin jatuh tempo. Tahap ini sering berjalan dua sampai empat minggu.

  2. 02

    Akses atau penyamaran

    Mereka membobol mailbox asli lewat phishing, atau mendaftarkan domain tiruan yang berbeda satu karakter dari milik Anda. Keduanya membuat pesan tampak datang dari dalam atau dari mitra yang dikenal.

  3. 03

    Permintaan yang meyakinkan

    Berpura-pura menjadi CEO, CFO, atau vendor tepercaya, mereka mengirim sedikit email dengan waktu yang pas. Nadanya mendesak dan rahasia, dan permintaannya cocok dengan aktivitas bisnis normal sehingga tidak memicu kecurigaan.

  4. 04

    Transfer

    Staf keuangan membayar tagihan atau mengubah rekening vendor. Dana mengalir ke rekening penampung dan cepat berpindah, itulah sebabnya pemulihan bergantung pada tindakan dalam hitungan jam.

Mengapa kontrol teknis hanya separuh jawaban

Anda tidak bisa menyaring jalan keluar dari BEC, karena email bersih yang membawa instruksi palsu tetaplah email bersih. Pertahanan harus menutup celah infrastruktur dan celah manusia sekaligus.

Autentikasi email

SPF, DKIM, dan DMARC bersama-sama membuat penyerang jauh lebih sulit memalsukan domain Anda atau menyamar sebagai staf Anda ke pihak luar. DMARC yang ditegakkan adalah kontrol teknis bernilai paling tinggi melawan penyalahgunaan domain.

Perlindungan akun

Autentikasi multifaktor di setiap mailbox membatasi jalur pembajakan akun. Tanpa itu, satu kata sandi yang terphishing memungkinkan penyerang mengirim penipuan dari alamat yang benar-benar tepercaya.

Kebiasaan verifikasi

Setiap perubahan rekening pembayaran atau transfer mendesak dikonfirmasi lewat saluran kedua, misalnya telepon ke nomor yang sudah dikenal. Satu kebiasaan ini menghentikan sebagian besar BEC bahkan ketika emailnya meyakinkan.

Tanda yang harus dianggap rambu berhenti oleh tim keuangan

Pesan BEC punya bentuk yang bisa dikenali. Orang-orang yang menggerakkan uang perlu hafal di luar kepala, karena merekalah garis pertahanan terakhir.

Mendesak dan rahasia dalam satu pesanAlamat pengirim yang hampir, tetapi tidak persis, benarRekening baru atau berubah untuk vendor lamaPermintaan yang melewati langkah persetujuan normalTekanan untuk bertindak sebelum tenggat atau saat atasan sedang bepergianAlamat reply-to berbeda dari pengirim yang terlihat

Saat pencegahan gagal: respons dalam hitungan jam, bukan hari

Kalau pembayaran sudah terlanjur keluar, jam-jam pertama menentukan seberapa banyak yang kembali. Hubungi bank untuk mencoba penarikan dana, laporkan ke polisi, simpan email asli beserta header-nya, dan periksa apakah ada mailbox internal yang dibobol agar Anda bisa mereset kredensial sebelum percobaan kedua. Proses respons insiden yang terlatih mengubah kepanikan menjadi rangkaian langkah yang melindungi bukti dan memperbaiki peluang pemulihan.

References

  1. 1.IBM Cost of a Data Breach Report
  2. 2.Business email compromise, cara kerja dan pencegahan (Verihubs)
  3. 3.Kenali ciri-ciri phishing BEC (OCBC)

BEC adalah persoalan manusia yang menyamar sebagai persoalan teknis, jadi Alpha Code menanganinya di kedua sisi. Program manajemen risiko SDM kami melatih staf yang menggerakkan uang untuk mengenali dan memverifikasi permintaan, dan tim respons insiden kami siap untuk jam-jam genting saat transfer sudah terlanjur keluar.

Ditinjau oleh Mirna Indriasari, Security Program Manager

Pertanyaan umum

Business email compromise, atau BEC, adalah penipuan ketika penyerang menyamar sebagai eksekutif, vendor, atau rekan kerja lewat email untuk mengelabui seseorang agar mentransfer uang atau membagikan data sensitif. Serangan ini mengandalkan rekayasa sosial, bukan malware, sehingga antivirus dan firewall tidak melihatnya. Pesan palsu itu meminta karyawan sungguhan melakukan hal yang memang menjadi wewenangnya, seperti membayar tagihan.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.