Seorang manajer keuangan menerima email dari direkturnya. Nadanya familier, subjeknya relevan dengan proyek yang sedang berjalan, dan permintaannya masuk akal: transfer dana segera ke rekening mitra baru sebelum akhir hari. Ia tidak curiga.
Transfer dilakukan. Baru keesokan harinya, saat ia menanyakan konfirmasi ke direktur yang bersangkutan secara langsung, semua menjadi jelas: direktur itu tidak pernah mengirim email apapun.
Skenario seperti ini bukan kasus langka. Laporan FBI mencatat kerugian akibat Business Email Compromise pada 2023 mencapai lebih dari 2,9 miliar dolar AS, menjadikannya jenis kejahatan siber dengan nilai kerugian tertinggi secara global. Tidak ada malware, tidak ada eksploit teknis, tidak ada kode berbahaya. Cukup sebuah email yang terlihat sangat normal.
Itulah yang membuat BEC berbeda dari ancaman siber lain. Ia tidak menyerang sistem. Ia menyerang kepercayaan.
Apa Itu Business Email Compromise?
Business Email Compromise (BEC) adalah serangan siber di mana pelaku menyamar sebagai pihak yang dipercaya, seperti atasan, vendor, atau rekan bisnis, untuk menipu karyawan agar melakukan transfer dana atau menyerahkan data sensitif. Tidak ada virus, tidak ada tautan jebakan. Hanya email yang terlihat sah.
Bayangkan Anda menerima pesan dari alamat email yang tampilannya persis milik vendor langganan perusahaan, menyebut nama proyek yang sedang berjalan, dan meminta perubahan rekening pembayaran karena “ada masalah di bank mereka.” Tidak ada yang aneh dari permintaan itu. Sampai pembayaran sudah dikirim dan Anda menelepon vendor aslinya.
Apakah BEC Sama dengan Phishing?
BEC sering dikira sama dengan phishing biasa karena keduanya menggunakan email sebagai senjata. Tapi cara kerjanya sangat berbeda.
Phishing biasa menyebar luas tanpa pandang bulu: satu email dikirim ke ribuan orang sekaligus, berisi tautan palsu atau lampiran berbahaya, dan mengandalkan volume untuk mendapatkan korban.
BEC justru sebaliknya: satu organisasi dipelajari secara mendalam sebelum satu pesan pun dikirim. Tidak ada tautan, tidak ada lampiran, tidak ada jejak teknis yang bisa ditangkap sistem keamanan.
| Standard Phishing | BEC | |
|---|---|---|
| Penargetan | Massal, tidak terpilah | Individu atau organisasi tertentu |
| Metode | Tautan atau lampiran berbahaya | Rekayasa sosial saja |
| Tujuan | Mencuri kredensial, menyebarkan malware | Penipuan transfer dana (wire fraud), data sensitif |
| Indikator teknis | Ya (URL, hash file) | Hampir tidak ada |
| Rata-rata kerugian per insiden | Relatif rendah | Puluhan ribu hingga jutaan |
Cara Kerja BEC
BEC bukan serangan yang dilakukan secara sembarangan. Ada tahapan yang dijalankan pelaku sebelum satu pesan pun dikirim. Memahami alur ini penting karena di setiap tahap ada peluang untuk menghentikannya.
Tahap 1 – Pengintaian: Pelaku Belajar Tentang Perusahaan Anda
Sebelum menyerang, pelaku mengumpulkan informasi sebanyak mungkin tentang target. Sumber yang digunakan bisa berupa LinkedIn (untuk mengetahui siapa CFO atau manajer keuangannya), website perusahaan, postingan media sosial, bahkan laporan tahunan yang dipublikasikan.
Contohnya: dari LinkedIn saja, pelaku bisa mengetahui nama direktur, siapa yang melapor langsung kepadanya, dan proyek apa yang sedang dikerjakan tim. Itu sudah cukup untuk membuat email yang terasa sangat personal.
Tahap 2 – Penyamaran: Pelaku Membangun Identitas Palsu
Setelah cukup informasi terkumpul, pelaku membuat identitas yang meyakinkan. Bisa berupa domain yang hampir identik dengan domain asli perusahaan (misalnya adaptist-corp.com menggantikan adaptist.com), atau dalam kasus yang lebih serius, mengambil alih akun email asli yang kata sandinya bocor.
Contohnya: pelaku mendaftarkan domain invoicevendorku.co karena nama vendor aslinya adalah invoicevendorku.com. Perbedaan satu ekstensi itu sering luput dari perhatian saat membaca cepat.
Tahap 3 – Eksekusi: Pesan Dikirim di Momen yang Tepat
Pelaku tidak mengirim email sembarangan waktu. Mereka memilih momen ketika kewaspadaan sedang rendah: Jumat sore menjelang akhir jam kerja, saat eksekutif yang “meminta” sedang dalam perjalanan dinas, atau ketika deadline pembayaran vendor sedang mendekat.
Contohnya: permintaan transfer “mendesak sebelum COB (Coordination of Benefit) hari ini” yang datang tepat di hari tenggat pembayaran vendor membuat penerima email lebih cenderung bertindak cepat tanpa memverifikasi lebih dulu.
Tahap 4 – Monetisasi: Dana Dipindahkan Sebelum Korban Sadar
Segera monetisasi setelah transfer dilakukan, dana tidak dibiarkan diam di rekening tujuan. Pelaku memindahkannya secepat mungkin melalui serangkaian rekening perantara, seringkali berada di luar negeri, sehingga jejak finansial menjadi sangat sulit dilacak bahkan oleh aparat penegak hukum.
Contohnya: dana yang ditransfer korban pada pukul 14.00 bisa sudah berpindah ke tiga rekening berbeda di dua negara dalam hitungan jam. Ketika korban menghubungi bank keesokan harinya, peluang pemulihan sudah sangat kecil.
Jenis-Jenis Serangan BEC
Meski tujuannya sama, pelaku BEC menggunakan pendekatan yang berbeda tergantung pada target dan informasi yang berhasil mereka kumpulkan. Berikut adalah empat jenis yang paling sering dilaporkan.
CEO Fraud
Pelaku menyamar sebagai direktur atau eksekutif senior dan menghubungi staf keuangan dengan permintaan transfer dana mendesak. Instruksinya biasanya disertai alasan yang terdengar masuk akal dan permintaan agar prosesnya tidak didiskusikan dulu dengan orang lain.
Contoh: staf keuangan menerima email “dari direktur” yang sedang dalam perjalanan ke luar kota, meminta transfer Rp 200 juta ke rekening mitra baru untuk menutup kesepakatan yang harus selesai hari itu.
Vendor Impersonation
Pelaku menyamar sebagai vendor atau mitra bisnis yang sudah dikenal perusahaan, lalu mengirimkan invoice atau notifikasi perubahan rekening bank. Karena hubungan dengan vendor sudah ada, penerima email tidak otomatis curiga.
Contoh: vendor langganan yang biasa menagih Rp 50 juta per bulan tiba-tiba mengirim email berisi “informasi rekening terbaru.” Tanpa verifikasi via telepon, pembayaran berikutnya masuk ke rekening pelaku.
Kompromi Akun Email (EAC)
Ini varian yang paling berbahaya. Pelaku tidak membuat identitas palsu, mereka menggunakan akun email asli yang sudah dibobol. Semua pesan dikirim dari alamat yang benar-benar nyata, sehingga tidak ada indikator teknis yang bisa ditangkap sistem keamanan.
Contoh: kata sandi akun email CFO (Chief Financial Officer) bocor dari kebocoran data di platform lain. Pelaku masuk ke akun tersebut, mempelajari pola komunikasinya selama beberapa hari, lalu mengirim instruksi transfer dari akun CFO yang asli.
Penipuan Data Karyawan
Pelaku menargetkan departemen HR dengan meminta data sensitif seperti informasi gaji, data pajak, atau nomor identitas karyawan. Data ini kemudian dijual atau digunakan untuk penipuan identitas.
Jika data karyawan seperti NPWP, alamat, rekening, atau informasi penggajian bocor, perusahaan dapat menghadapi risiko hukum, kewajiban notifikasi insiden, dan dampak reputasi sesuai prinsip dalam UU PDP.
Contoh: seseorang yang mengaku sebagai direktur mengirim email ke HR meminta file Excel berisi data gaji dan NPWP seluruh karyawan, dengan alasan keperluan audit mendadak dari kantor pusat.
Mengapa BEC Sangat Sulit Dideteksi
Sebagian besar ancaman siber meninggalkan sesuatu yang bisa dianalisis: file mencurigakan, tautan ke situs berbahaya, atau domain pengirim yang sudah masuk daftar hitam. Sistem keamanan email konvensional bekerja dengan mencocokkan sinyal-sinyal teknis itu. BEC tidak memberikan sinyal semacam itu.
Email BEC Tidak Mengandung Malware atau Tautan Berbahaya
Mayoritas email BEC hanya berisi teks biasa. Tidak ada lampiran yang perlu dipindai, tidak ada tautan yang perlu diperiksa, tidak ada kode apapun yang berjalan di latar belakang. Sistem keamanan email pada dasarnya tidak punya apa-apa untuk diperiksa.
Bayangkan seperti ini: seorang satpam bisa menghentikan orang yang membawa senjata, tapi tidak bisa menghentikan seseorang yang masuk dengan pakaian rapi, kartu akses valid, dan sapaan yang ramah. Email BEC adalah orang kedua itu.
Pelaku Memanfaatkan Konteks Bisnis yang Sangat Spesifik
Filter otomatis bekerja berdasarkan pola umum: kata-kata mencurigakan, pengirim tak dikenal, atau format yang tidak lazim. BEC membalikkan semua asumsi itu. Pelaku menggunakan nama yang dikenal, menyebut proyek yang nyata, dan meniru gaya komunikasi yang biasa dipakai dalam organisasi target.
Contoh nyatanya: seorang pelaku yang sudah memonitor percakapan email internal selama beberapa minggu tahu bahwa perusahaan sedang menyelesaikan kontrak dengan vendor tertentu. Ia lalu mengirim email yang mengklaim sebagai vendor tersebut, meminta perubahan rekening pembayaran “karena audit internal.”
Tidak ada yang mencurigakan dari pesan itu, karena semua konteksnya benar.
Email BEC Terlihat dan Terasa Seperti Komunikasi Resmi
Di luar konteks bisnis, pelaku juga meniru gaya menulis target secara spesifik: cara menyapa, pola kalimat, bahkan kebiasaan kecil seperti apakah eksekutif tersebut biasa mengakhiri email dengan “Terima kasih” atau langsung ke inti pesan.
Hasilnya adalah pesan yang bukan sekadar terlihat sah secara teknis, tapi terasa autentik bagi penerimanya.
Contohnya: setelah memonitor akun email direktur selama dua minggu, pelaku tahu bahwa direktur tersebut selalu menulis singkat, jarang pakai salam pembuka panjang, dan biasa memberi instruksi mendadak via email. Ketika pelaku akhirnya mengirim permintaan transfer, gayanya persis sama dan tidak ada yang curiga.
Apakah Secure Email Gateway (SEG) Bisa Memblokir BEC?
Secure Email Gateway seperti Proofpoint, Mimecast, atau Microsoft Defender for Office 365 dirancang untuk memfilter email berbahaya berdasarkan reputasi domain, tanda tangan malware, dan pola URL mencurigakan. Dalam konteks BEC, efektivitasnya terbatas.
SEG memang bisa mendeteksi beberapa indikator umum: domain yang mirip tapi tidak identik (misalnya adaptist.co versus adaptlst.co), header email yang tidak konsisten, atau pengirim yang tidak ada dalam direktori internal.
Tapi ketika pelaku menggunakan domain yang sudah berumur, atau lebih buruk lagi, ketika mereka sudah mengambil alih akun email yang sah, SEG tidak punya banyak yang bisa dilakukan.
Ini bukan kelemahan produk. Ini batasan arsitektur. SEG menganalisis sinyal teknis; BEC menyerang pada lapisan kepercayaan manusia. Kedua hal itu tidak bertemu di tempat yang sama.
Cara Mendeteksi Email BEC Sebelum Terlambat
Deteksi BEC lebih bergantung pada kewaspadaan manusia daripada sistem otomatis. Ada beberapa pola yang perlu dilatih untuk dikenali oleh tim, terutama mereka yang menangani transaksi keuangan atau data sensitif.
Berikut adalah tanda-tanda yang paling sering muncul dalam email BEC:
- Urgensi yang dipaksakan: Permintaan transfer “segera” atau “sebelum COB hari ini” tanpa proses verifikasi adalah pola klasik. Urgensi diciptakan untuk memotong prosedur normal.
- Perubahan instruksi pembayaran mendadak: Vendor tiba-tiba meminta pembayaran dikirim ke rekening baru, biasanya dengan alasan “masalah teknis” atau “rekening lama bermasalah.”
- Permintaan di luar saluran komunikasi biasa: Eksekutif yang biasanya berkomunikasi via Slack tiba-tiba mengirim instruksi transfer lewat email pribadi.
- Domain yang hampir mirip tapi ada perbedaan kecil: Satu huruf berbeda, atau penggunaan domain tingkat atas yang berbeda (.com vs .co) bisa luput dari perhatian jika tidak diperiksa teliti.
- Permintaan kerahasiaan: Email yang meminta penerima “tidak mendiskusikan ini dengan siapapun dulu” adalah bendera merah yang jelas.
Langkah-Langkah Mencegah BEC di Perusahaan Anda
Mencegah BEC membutuhkan pendekatan berlapis. Tidak ada satu kontrol tunggal yang cukup karena serangannya beroperasi di dua lapisan sekaligus: teknis dan manusia. Berikut adalah langkah konkret yang bisa diterapkan:
1) Aktifkan Multi-Factor Authentication (MFA) di semua akun email
EAC (Email Account Compromise) adalah varian BEC yang paling berbahaya karena menggunakan akun nyata. MFA (Multifactor Authentication) memblokir akses meski kata sandi sudah bocor.
Misalnya, meski pelaku berhasil mendapatkan kata sandi akun email CFO lewat kebocoran data, mereka tetap tidak bisa masuk tanpa kode verifikasi yang hanya ada di perangkat milik CFO.
2) Terapkan verifikasi dua jalur untuk setiap transfer di atas nominal tertentu
Konfirmasi via telepon ke nomor yang sudah diverifikasi sebelumnya, bukan nomor yang tercantum dalam email permintaan.
Contoh prosedurnya: setiap permintaan transfer di atas Rp 50 juta wajib dikonfirmasi lewat panggilan telepon ke kontak yang sudah terdaftar, terlepas dari seberapa meyakinkan emailnya.
3) Latih karyawan secara berkala dengan simulasi BEC nyata
Pelatihan berbasis teori saja tidak cukup. Simulasi serangan, di mana tim keamanan mengirimkan email BEC palsu ke karyawan lalu mengukur siapa yang “terjebak”, jauh lebih efektif membangun kewaspadaan karena karyawan belajar dari pengalaman langsung, bukan dari slide presentasi.
Contoh: Tim IT mengirim email palsu yang terlihat seperti dari direktur dengan isi: “Saya sedang rapat, tolong segera transfer Rp25 juta ke vendor baru ini hari ini.” Karyawan yang langsung merespons dicatat untuk diberikan edukasi tambahan, sedangkan yang melaporkan email tersebut dianggap berhasil mengenali ancaman.
4) Konfigurasikan DMARC, DKIM, dan SPF pada domain perusahaan
Protokol autentikasi email ini mempersulit pelaku untuk memalsukan domain perusahaan kepada pihak eksternal. Tanpa konfigurasi ini, pelaku bisa mengirim email yang seolah-olah berasal dari domain resmi perusahaan Anda ke vendor atau mitra bisnis.
Contohnya: Pelaku mencoba mengirim email memakai alamat finance@namaperusahaan.com ke vendor dan meminta perubahan rekening pembayaran. Karena DMARC, DKIM, dan SPF sudah aktif, server email vendor menolak atau menandai email tersebut sebagai spoofing sehingga penipuan gagal dilakukan.
5) Buat prosedur eskalasi yang jelas untuk permintaan tidak biasa
Karyawan perlu tahu bahwa mempertanyakan instruksi yang tampak mencurigakan adalah hal yang diharapkan, bukan tanda ketidakpatuhan.
Contoh: tetapkan aturan bahwa permintaan perubahan rekening pembayaran selalu membutuhkan persetujuan dari dua pejabat berbeda, berapapun nominalnya.
6) Pantau aktivitas login email secara aktif
Login dari lokasi atau perangkat yang tidak dikenal perlu memicu peringatan otomatis, terutama untuk akun eksekutif dan tim keuangan.
Misalnya, jika akun direktur tiba-tiba login dari kota lain di luar jadwal perjalanan yang diketahui, itu perlu diverifikasi sebelum akun tersebut bisa digunakan untuk mengirim pesan apapun.
7. Jadikan karyawan sebagai lapisan pertahanan aktif, bukan sekadar peserta pelatihan.
Kontrol teknis melindungi sistem, tapi karyawan adalah yang pertama membaca email tersebut. Mereka perlu dibekali kemampuan mengenali red flag secara refleks: urgensi yang dipaksakan, permintaan kerahasiaan, perubahan rekening mendadak, atau instruksi yang datang lewat saluran tidak biasa.
Contohnya: terapkan kebijakan sederhana yang mudah diingat, seperti “STOP sebelum transfer” di mana setiap permintaan pembayaran yang datang via email wajib dikonfirmasi lewat satu saluran lain sebelum dieksekusi. Aturan ini tidak butuh teknologi, hanya kebiasaan, dan cukup untuk memblokir mayoritas skenario BEC.
BEC hanyalah salah satu bentuk ancaman siber modern yang memanfaatkan celah manusia dan akses. eBook berikut dapat menjadi referensi untuk memahami strategi perlindungan bisnis yang lebih menyeluruh.
Benteng Pertahanan Digital Arsitektur Keamanan Akses yang Tangguh dan Terintegrasi
Eliminasi kerentanan sistem operasional yang terpecah dan berisiko tinggi di era kerja hybrid. Temukan bagaimana orkestrasi Manajemen Identitas Terpadu (IAM) mampu menyederhanakan tata kelola kredensial, memangkas beban operasional IT, dan menetralisir ancaman siber internal maupun eksternal secara proaktif.
Visibilitas Kredensial dan Autentikasi Adaptif
Pelajari bagaimana serangan siber menargetkan celah identitas karyawan serta strategi seperti otomatisasi siklus hidup pengguna, SSO terpusat, dan MFA untuk mencegah pelanggaran data.
Kesimpulan
BEC menunjukkan bahwa keamanan siber bukan hanya soal teknologi. Sistem terbaik sekalipun bisa ditembus jika serangan menargetkan manusia, bukan perangkat lunak. Ancaman ini juga adaptif: pelaku bisa menyamar sebagai CEO, vendor, atau memakai akun email asli yang telah diretas untuk melewati pertahanan yang ada.
Karena itu, respons efektif harus mencakup kombinasi kebijakan verifikasi ketat, pelatihan karyawan berkelanjutan, pemantauan akses proaktif, dan konfigurasi keamanan email yang solid.
Banyak korban BEC sebenarnya sudah tahu ancamannya, tetapi tidak memiliki prosedur yang cukup kuat untuk mencegah satu momen kelalaian yang dapat berujung pada kehilangan dana.
Jika perusahaan Anda sedang mengevaluasi kesiapan terhadap ancaman rekayasa sosial, Adaptist Prime dari Adaptist Consulting bisa menjadi langkah awal yang tepat untuk didiskusikan bersama tim kami.
Siap Mengelola Identitas Digital sebagai Strategi Keamanan Bisnis?
Request demo sekarang dan pelajari bagaimana solusi IAM membantu memusatkan proses login pengguna melalui Single Sign-On (SSO), mengotomatisasi onboarding karyawan, serta melindungi data perusahaan dari akses tidak sah tanpa mengganggu produktivitas akibat login berulang.
FAQ
Phishing menyebar luas ke banyak orang dengan pesan generik, sedangkan BEC menargetkan satu organisasi secara spesifik setelah pelaku melakukan riset mendalam tentang struktur dan prosesnya. Inilah yang membuat BEC jauh lebih sulit dikenali.
Tidak. Perusahaan menengah dan kecil justru sering lebih rentan karena kontrol internal mereka biasanya lebih longgar dan prosedur verifikasi keuangannya kurang ketat.
Segera hubungi bank untuk meminta recall transfer karena jendela pemulihan dana sangat sempit, biasanya kurang dari 72 jam. Setelah itu, laporkan kejadian ke BSSN dan dokumentasikan seluruh komunikasi yang terlibat.
Tidak, karena BEC tidak mencuri pesan yang sudah ada, melainkan membuat pesan baru yang terlihat sah. Enkripsi melindungi privasi data dalam transmisi, bukan dari manipulasi berbasis kepercayaan.
Cukup sering. Varian EAC (Email Account Compromise), di mana pelaku menggunakan akun email asli yang sudah dibobol, menyumbang kerugian terbesar dalam kategori BEC menurut data FBI, karena tidak ada indikator teknis yang bisa mendeteksinya.
