Mengenal CEO Scam & Penanggulangannya

Ketika sedang enak-enaknya tidur di rumah ditemani istri, tiba-tiba dini hari pagi menerima pesan email, dan email tersebut mengklaim dirinya adalah direktur keuangan di perusahaan tempat Anda bekerja, meminta transfer dana mendesak untuk menyelesaikan perjanjian bisnis dengan mitra utama, dan transfer harus dikirim secepatnya. Lantas bagaimana menyikapinya situasi seperti ini?

Kasus di atas merupakan bagian dari jenis penipuan yang disebut sebagai penipuan CEO. Tapi sebenarnya apa yang dimaksud dengan penipuan CEO tersebut?

Penipuan CEO adalah bentuk serangan spearphishing yang menargetkan anggota tim keuangan atau akuntan perusahaan. Sementara dalam serangan yang menargetkan manajemen senior. Dalam kasus penipuan CEO, mereka mencoba untuk menyamar sebagai eksekutif untuk meyakinkan penerima email agar dengan segera mentransfer uang untuk operasional perusahaan untuk situasi darurat. Namun, uang itu ditransfer ke akun di bawah kendali penjahat siber.

Mungkin saat membaca ini Anda berpikir tidak akan pernah terjatuh dalam jebakan semacam itu. Apalagi Anda mengenal atasan dengan baik dan akan dengan mudah mengenali alamat email atau nomor telepon mereka. Namun, FBI memperkirakan bahwa, antara 2016 dan 2019, Business Email Compromise (BEC) menghasilkan kerugian US$26 miliar. Menunjukkan bahwa mendengar atau membaca cerita dan berhadapan dengan situasinya langsung adalah dua hal yang berbeda.

Untuk meyakinkan target mereka, scammers menggunakan berbagai skema. Seperti dalam banyak penipuan, penjahat menggunakan social engineering. Mereka membangkitkan rasa urgensi pada target mereka, mendorong karyawan untuk bertindak cepat dan dengan mengajukan sejumlah pertanyaan minimum. Selain itu, dalam situasi penting dan mendesak, memenuhi tugas dari seorang eksekutif dapat menimbulkan rasa bangga. Siapa yang mau mengambil risiko mengecewakan eksekutif yang mempercayakan tugas penting di pundaknya.

Penjahat siber juga bekerja di hulu untuk mencuri identitas yang diperlukan. Menemukan nama-nama eksekutif senior perusahaan biasanya hanya memerlukan pencarian online sederhana, mungkin di situs web perusahaan sendiri. Pencurian nama profil penting dalam perusahaan dapt menunjang rekayasa yang disiapkan sehingga menambah kredibilitas atas upaya mereka.

Langkah selanjutnya melibatkan meniru atau menipu alamat email. Metode yang mudah adalah dengan membuat alamat email palsu yang terlihat seperti yang sah. Misalnya, hadi.winardi.ceo@yourbusiness.com dapat mereka menjadi hadi.winardi.ceo@youbusiness.com (perhatikan ‘r’ yang hilang). Mereka juga dapat menggunakan spoofing email, atau spoofing alamat email. Dalam hal ini, alamat pengirim akan muncul dalam pesan sebagai hadi.winardi.ceo@yourbusiness.com. Dalam kedua kasus, mengklik ‘Balas’ akan mengirim email langsung ke scammer, bukan penerima yang sah (atau email serupa).

Melindungi diri dari penipuan CEO

Langkah pertama yang dapat dilakukan organisasi untuk melindungi diri dari penipuan jenis ini adalah protokol transaksi keuangan yang jelas dan kuat. Misalnya, memerlukan persetujuan dari setidaknya dua orang yang berwenang untuk pemindahan apa pun. Aturan tentang jenis transfer juga bisa diterapkan.

Seperti biasanya dalam kasus pencegahan penipuan, pelatihan kesadaran dan kewaspadaan perlu dilakukan secara rutin. Karena jenis penipuan ini menargetkan departemen perusahaan tertentu, penekanan khusus harus diberikan pada anggota tim yang berkaitan dengan protokol yang ada dan cara mendeteksi penipuan ini. Langkah-langkah dasar untuk mengenali upaya phising tetap sama validnya di sini, tidak menyerah pada tekanan dan rasa urgensi, dengan hati-hati memeriksa detail seperti nama, alamat sumber, dan tanda tangan.

Menekankan pada karyawan untuk tidak langsung membalas email yang mencurigakan, melainkan untuk menghubungi mereka secara langsung melalui telepon, menggunakan nomor resmi, bukan yang ada dalam email dapat mencegah kebobolan. Dalam contoh di atas, target dapat mengkonfirmasi melalui telepon singkat dari rekannya bahwa itu adalah upaya untuk menipu dan bukan permintaan dari pihaknya.