Awas, Ada e-Mail CEO untuk Curi Uang
Jakarta, ID - Kaspersky, perusahaan konsultan dan penyedia solusi sekuriti siber asal Rusia, mengingatkan kita yang banyak menggunakan surat elektronik (electronic mail/e-mail) untuk lebih berhati-hati. Saat ini, tak hanya berupa phishing dan scam, ada modus baru penipuan yang menyamar sebagai pimpinan (chief executive officer/CEO) lewat e-mail. Tapi, pelaku hanya penipu yang ingin mencuri uang kita. Jadi, selama beberapa pekan terakhir, Kaspersky mendeteksi serangkaian upaya serangan canggih yang bertujuan untuk menipu departemen keuangan organisasi tertentu agar membayar faktur palsu. e-Mail yang meniru korespondensi antara CEO organisasi dan perusahaan kontraktor dikirim ke departemen keuangan organisasi untuk membujuk pembayaran faktur mendesak yang diduga sebagai layanan konsultasi. “Serangan ini menonjol karena perhatiannya terhadap detailnya yang sangat cermat serta eksploitasi hubungan tepercaya,” kata analis spam di Kaspersky Anna Lazaricheva, dikutip InfoDigital.co.id, Sabtu (31/5/2025). Upaya serangan tersebut mengindikasikan tren dari skema tertarget yang mencatut identitas eksekutif palsu untuk mengeksploitasi kepercayaan di perusahaan. Salah satu contoh yang dianalisis terkait serangan kompromi e-mail bisnis (business e-mail compromise/BEC). Skemanya, serangan dilakukan atas nama perwakilan manajemen dari perusahaan yang ditargetkan. Modus Operandi Paling utama dalam semua kasus yang dianalisis, pengirimnya palsu, di mana alamat asli tempat e-mail berasal tidak memiliki kesamaan dengan nama pengirim yang ditampilkan. Trik ini digunakan untuk meyakinkan para korban bahwa e-mail asli dan sah. Beberapa insiden melibatkan e-mail pun meniru korespondensi antara CEO perusahaan dan firma hukum kontraktor yang mendesak departemen keuangan untuk membayar faktur palsu terlampir. Korespondensi palsu dengan CEO perusahaan korban digunakan sebagai ‘bukti’ bahwa permintaan pembayaran soalah sah. Namun, nama perusahaan mitra fiktif hanya dicantumkan di kolom nama pengirim, dan alamat e-mail yang sebenarnya berbeda serta berubah dari satu e-mail ke e-mail lainnya. Insiden lain menampilkan e-mail serupa yang meniru komunikasi antara CEO dan perusahaan kontraktor untuk meminta pembayaran mendesak atas faktur palsu, tetapi faktur tidak dilampirkan. Menurut Anna, dengan rangkaian e-mail meyakinkan yang menyamar sebagai eksekutif tingkat tinggi, penyerang mengandalkan rasa sungkan karyawan untuk mempertanyakan permintaan yang tampaknya ‘asli’. “Karena itu, perusahaan harus memprioritaskan pelatihan karyawan dan sistem verifikasi e-mail yang kuat untuk melawan ancaman yang terus berkembang ini,” saran Anna.