Serangan BEC: Sebagian besar korban tidak menggunakan otentikasi multi-faktor – terapkan sekarang dan tetap aman

Ada peningkatan besar dalam serangan Business Email Compromise (BEC) – dan sebagian besar korban bekerja di organisasi yang tidak menggunakan otentikasi multi-faktor (MFA) untuk mengamankan akun mereka.

Serangan BEC adalah salah satu bentuk kejahatan dunia maya yang paling menguntungkan: menurut FBI, total kerugian gabungan lebih dari $43 miliar dan terus bertambah, dengan serangan yang dilaporkan di setidaknya 177 negara.

Serangan ini relatif mudah dilakukan oleh penjahat cyber – yang mereka butuhkan hanyalah akses ke akun email dan kesabaran saat mereka mencoba mengelabui korban agar melakukan transfer keuangan dengan kehadiran palsu. Ini biasanya melibatkan pengiriman pesan kepada karyawan, konon dari atasan atau kolega mereka, yang menyarankan pembayaran — seringkali sangat besar — ​​harus dilakukan dengan cepat untuk mengamankan kesepakatan bisnis yang penting.

Serangan BEC yang lebih canggih meretas akun perusahaan dan menggunakan alamat email yang sah untuk membuat permintaan pembayaran. 

Penipu bahkan dikenal untuk memantau kotak masuk untuk jangka waktu yang lama, hanya memilih untuk menyerang ketika transaksi bisnis nyata akan dilakukan — pada saat mana mereka memotong dan mengarahkan pembayaran ke akun mereka sendiri.

LIHAT: Ancaman kejahatan dunia maya terbesar juga yang tidak ingin dibicarakan oleh siapa pun

Dengan menghasilkan uang dengan cara ini, penjahat dunia maya semakin beralih ke kampanye BEC dan bisnis menjadi korban. Menurut analis keamanan siber di Serigala Arktik, jumlah serangan BEC yang mereka tanggapi berlipat ganda antara Januari-Maret dan April-Juni – dan serangan ini mencakup lebih dari sepertiga dari semua insiden yang diselidiki.

Ada tema umum di antara banyak korban: menurut responden insiden, 80% organisasi yang menjadi korban serangan BEC tidak memiliki MFA.

Otentikasi multi-faktor memberikan lapisan keamanan ekstra untuk akun email dan suite aplikasi cloud, yang mengharuskan pengguna untuk memverifikasi bahwa memang mereka yang masuk ke akun, membantu melindungi dari penyusupan yang tidak sah — bahkan jika penyerang memiliki nama pengguna yang benar dan kata sandi.

Organisasi yang mengabaikan MFA membiarkan diri mereka terbuka terhadap kampanye BEC dan serangan siber lainnya – meskipun telah berulang kali direkomendasikan oleh lembaga keamanan siber bahwa hal itu harus diterapkan. Jadi mengapa mereka tidak menggunakannya?

“MFA membutuhkan perencanaan dan koordinasi yang hati-hati untuk mengimplementasikan dengan sukses, memastikan bahwa organisasi dapat terus beroperasi tanpa gangguan. Karena pengguna memerlukan pelatihan tentang cara menggunakan sistem MFA, ini mungkin sulit bagi beberapa organisasi,” Adrian Korn, manajer penelitian intelijen ancaman di Arctic Wolf Labs, mengatakan kepada ZDNET. 

“Selain itu, mengonfigurasi dan menguji penerapan MFA baru di seluruh organisasi dapat membebani departemen TI yang sudah tegang,” tambahnya. 

Juga: Masa depan internet yang menakutkan: Bagaimana teknologi masa depan akan menimbulkan ancaman keamanan siber yang lebih besar

Terlepas dari potensi hambatan ini, menerapkan MFA ke semua akun pengguna adalah salah satu hal terpenting yang dapat dilakukan organisasi untuk membantu melindungi karyawan dan jaringan mereka dari serangan dunia maya – jika diatur dengan benar.

“Organisasi harus merencanakan penyebaran MFA mereka jauh sebelumnya untuk memperhitungkan masalah teknis yang mungkin mereka hadapi. Selain itu, organisasi harus meluangkan waktu untuk memastikan bahwa konfigurasi MFA diuji sebelum prime time dan bahwa pengguna terlatih dengan baik tentang cara menggunakan platform pilihan MFA yang baru, ”kata Korn. 

Tapi sementara MFA memang membantu mencegah serangan dunia maya, itu tidak sempurna dan penjahat dunia maya yang gigih mencari cara untuk melewatinya.  

Dengan serangan BEC yang menggunakan rekayasa sosial untuk mengelabui orang agar berpikir bahwa mereka melakukan hal yang benar, penting juga bagi organisasi untuk melatih karyawan mereka untuk mendeteksi ketika sebuah permintaan — bahkan jika itu berasal dari akun yang sah — bisa mencurigakan. 

“Pengguna harus dilatih untuk mengenali permintaan keuangan yang mencurigakan. Jika ada sesuatu yang terasa aneh, pengguna harus memperhatikan insting itu dan bertanya lebih lanjut. Permintaan keuangan yang mendesak harus divalidasi melalui sarana tambahan sebelum menyelesaikan transaksi besar,” kata Korn. 

LEBIH BANYAK TENTANG CYBERSECURITY