Grup kompromi email bisnis (BEC) bernama ‘Crimson Kingsnake’ telah muncul, menyamar sebagai firma hukum internasional terkenal untuk mengelabui penerima agar menyetujui pembayaran faktur yang telah jatuh tempo.
Pelaku ancaman menyamar sebagai pengacara yang mengirimkan faktur pembayaran yang telah jatuh tempo atas layanan yang seharusnya diberikan kepada perusahaan penerima setahun yang lalu.
Pendekatan ini menciptakan dasar yang kuat untuk serangan BEC, karena penerima mungkin diintimidasi saat menerima email dari firma hukum besar seperti yang ditiru dalam penipuan.
Meniru firma hukum
Analis di Abnormal Security, yang pertama kali menemukan aktivitas Crimson Kingsnake pada Maret 2022, melaporkan telah mengidentifikasi 92 domain yang terkait dengan pelaku ancaman, semuanya mirip dengan situs firma hukum asli.
Pendekatan typosquatting ini memungkinkan pelaku BEC untuk mengirim email kepada korban melalui alamat yang tampak asli pada pandangan pertama.
Email berisi logo dan kop surat dari entitas yang ditiru dan dibuat secara profesional, menampilkan penulisan tepat waktu.
Firma hukum yang menyamar sebagai Crimson Kingsnake meliputi:
- Allen & Overy
- Peluang Clifford
- Deloitte
- Denton
- Eversheds Sutherland
- Herbert Smith Freehills
- Hogan Lovells
- Kirkland & Ellis
- Lindsay Hart
- Firma Hukum Manix
- Monlex Internasional
- Morrison Foerster
- Simmons & Simmons
- Sullivan & Cromwell
Ini adalah perusahaan multinasional besar dengan jejak global, sehingga pelaku ancaman menganggap target akan mengenali mereka, yang menambahkan legitimasi ke email.
Serangan Crimson Kingsnake
Email phishing tidak menargetkan industri atau negara tertentu tetapi didistribusikan secara acak dalam apa yang disebut Abnormal Security sebagai “serangan BEC buta”.
Jika ada penerima yang tergiur dan meminta informasi lebih lanjut tentang faktur, Crimson Kingsnake merespons dengan memberikan deskripsi palsu dari layanan yang disediakan.
Dalam beberapa kasus di mana pelaku BEC menghadapi perlawanan, mereka menambahkan “balasan” palsu dari seorang eksekutif di perusahaan yang ditargetkan untuk menyetujui transaksi.
“Ketika kelompok tersebut mendapat perlawanan dari karyawan yang ditargetkan, Crimson Kingsnake kadang-kadang menyesuaikan taktik mereka untuk menyamar sebagai persona kedua: seorang eksekutif di perusahaan yang ditargetkan,” jelas pihak perusahaan. laporan oleh Keamanan Abnormal.
“Ketika aktor Crimson Kingsnake ditanyai tentang tujuan pembayaran faktur, kami telah mengamati contoh di mana penyerang mengirim email baru dengan nama tampilan yang meniru eksekutif perusahaan.”
“Dalam email ini, aktor mengklarifikasi tujuan faktur, sering merujuk pada sesuatu yang seharusnya terjadi beberapa bulan sebelumnya, dan ‘mengotorisasi’ karyawan untuk melanjutkan pembayaran.”
Meskipun email berasal dari luar perusahaan, alamat email eksekutif masih dapat menipu penerima, terutama jika tidak ada filter kotak surat dan sistem peringatan untuk memperingatkan karyawan yang ditargetkan.
Serangan BEC meningkat
Serangan BEC hanyalah sebagian kecil dari semua email phishing harian yang beredar di kotak masuk global, tetapi bahkan dalam volume rendah ini, itu masih merupakan masalah multi-miliar.
Menurut FBIdari tahun 2016 hingga 2019, melaporkan kasus kerugian yang disebabkan oleh BEC sebesar $43 miliar, sedangkan pada tahun 2021 saja, IC3 mencatat kerugian sebesar $2,4 miliar oleh 19.954 entitas akibat penipuan BEC.
Keamanan Abnormal Laporan Ancaman Email H1 2022 juga melaporkan peningkatan serangan BEC sebesar 84% di H2 ’21, mengukur rata-rata 0,82 email per 1.000 kotak masuk.
Menurut laporan yang sama, organisasi dengan lebih dari 50.000 karyawan memiliki peluang 95% untuk menerima email BEC setiap minggu.
