Verihubs Logo
Home Blog Business Email Compromise (BEC): Cara Kerja dan Pencegahannya
7 min read ID Check Published on March 16, 2026

Business Email Compromise (BEC): Cara Kerja dan Pencegahannya

Business Email Compromise (BEC): Cara Kerja dan Pencegahannya

Business Email Compromise (BEC) adalah serangan siber yang memanfaatkan email untuk menyamar sebagai eksekutif atau mitra bisnis terpercaya, lalu memanipulasi karyawan agar mentransfer dana atau membocorkan informasi sensitif. FBI melaporkan kerugian global akibat BEC telah melampaui USD 51 miliar sejak 2013. Di Indonesia, satu kasus BEC tunggal menyebabkan kerugian Rp32 miliar pada tahun 2024.

Definisi Business Email Compromise

Business Email Compromise (BEC) berbeda dari phishing massal karena BEC menargetkan individu spesifik berdasarkan riset mendalam tentang struktur organisasi korban. Penyerang mempelajari pola komunikasi, hierarki jabatan, dan vendor aktif sebelum mengirim satu email yang sangat meyakinkan.

Tingkat presisi BEC yang tinggi menentukan tingkat kerugian finansial yang jauh lebih besar dibandingkan serangan phishing generik.

Perbedaan kunci antara BEC dan phishing konvensional:

DimensiPhishing MassalBusiness Email Compromise
TargetRibuan penerima acakSatu individu spesifik (CFO, Finance)
PersonalisasiRendah, template generikTinggi, menggunakan nama dan konteks nyata
TujuanKredensial loginTransfer dana atau data rahasia
Rata-rata KerugianRatusan ribu rupiahUSD 24.586 per insiden (Verizon, 2025)
DeteksiLebih mudah diblokir filterLolos filter email standar

Penyebab Utama Business Email Compromise Berhasil Menipu Korban

Tiga faktor struktural membuat BEC sulit dideteksi dan mudah berhasil:

1. Kepercayaan pada Nama dan Jabatan Lebih dari 85% kampanye BEC dimulai dengan riset mendalam tentang struktur email dan pola komunikasi target (Gitnux, 2025). Penyerang mempelajari siapa yang berwenang meminta transfer dana sebelum mengirim email palsu.

2. Urgensi Buatan sebagai Pemicu Tindakan Cepat Sebanyak 75% serangan BEC yang berhasil menggunakan bahasa mendesak atau mengancam dalam isi email (Gitnux, 2025). Urgensi memotong proses verifikasi manual yang biasanya dilakukan karyawan.

3. Akun Email yang Benar-Benar Dikompromikan Dalam skema tercanggih, penyerang tidak hanya meniru domain perusahaan tetapi benar-benar mengakses akun email eksekutif melalui phishing sebelumnya, sehingga email terkirim dari alamat asli dan melewati seluruh filter keamanan.

5 Tahap Serangan Business Email Compromise (BEC)

Tahap 1: Pengintaian dan Pengumpulan Informasi

Penyerang mengumpulkan data dari LinkedIn, situs web perusahaan, dan media sosial untuk mengidentifikasi nama eksekutif, vendor aktif, dan jadwal pembayaran rutin. Tahap ini berlangsung antara dua hingga empat minggu sebelum serangan aktif dimulai.

Tahap 2: Kompromi Akun atau Pemalsuan Identitas

Penyerang memilih satu dari dua metode: (a) membobol akun email asli melalui phishing, atau (b) membuat domain tiruan dengan perbedaan satu karakter seperti verihub**z**.com sebagai ganti verihubs.com. Sekitar 65% BEC menggunakan domain palsu yang menyerupai domain asli (Gitnux, 2025).

Tahap 3: Pemantauan Komunikasi Internal

Setelah masuk ke sistem email, penyerang memantau thread percakapan aktif, khususnya terkait invoice, pembayaran vendor, dan perubahan rekening bank. Malware jenis keylogger digunakan untuk memantau akses ke informasi akun keuangan.

Tahap 4: Eksekusi Permintaan Transfer

Penyerang menyisipkan instruksi transfer palsu ke dalam thread email yang sedang aktif, mengganti nomor rekening vendor dengan rekening yang dikontrol penyerang. Perubahan nomor rekening bank menjadi salah satu modus paling umum dalam kasus BEC korporat.

Tahap 5: Pencucian Dana Lintas Yurisdiksi

Dana yang berhasil ditransfer segera dipindahkan ke rekening perantara di berbagai negara untuk menghambat pemulihan. Rata-rata waktu deteksi BEC adalah 28 hari sejak serangan terjadi (Gitnux, 2025), artinya dana sering kali sudah tidak dapat dipulihkan saat insiden teridentifikasi.

Varian Business Email Compromise yang Wajib Diketahui Tim Finance

BEC memiliki lima varian utama yang menargetkan departemen berbeda:

  • CEO Fraud: Penyerang menyamar sebagai CEO dan meminta transfer dana mendesak kepada staf keuangan
  • Invoice Manipulation: Penyerang memodifikasi faktur vendor untuk mengubah nomor rekening pembayaran
  • Vendor Email Compromise (VEC): Penyerang membobol akun email vendor nyata, lalu menyisipkan instruksi pembayaran palsu; VEC meningkat 66% dalam paruh pertama 2024 (Hoxhunt, 2025)
  • Payroll Diversion: Penyerang meminta perubahan data rekening penggajian karyawan kepada tim HR
  • Attorney Impersonation: Penyerang menyamar sebagai kuasa hukum yang meminta informasi rahasia atau pembayaran terkait transaksi hukum

Cara Menerapkan Pencegahan Business Email Compromise di Perusahaan

Langkah Teknis: Proteksi Infrastruktur Email

Protokol autentikasi email berikut harus dikonfigurasi pada domain perusahaan:

  • SPF (Sender Policy Framework): Membatasi server mana yang berwenang mengirim email atas nama domain perusahaan
  • DKIM (DomainKeys Identified Mail): Memberikan tanda tangan kriptografis pada setiap email untuk memverifikasi keaslian pengirim
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): Menentukan kebijakan penanganan email yang gagal verifikasi SPF atau DKIM. Implementasi DMARC yang benar menentukan kemampuan sistem email untuk menolak domain spoofing secara otomatis sebelum email sampai ke inbox penerima.

Langkah Prosedural: Verifikasi Berlapis untuk Transaksi

  • Terapkan dual authorization untuk setiap permintaan transfer di atas nilai tertentu, misalnya Rp10 juta
  • Wajibkan verifikasi telepon langsung ke nomor resmi vendor sebelum mengeksekusi perubahan rekening bank
  • Tetapkan jeda 24 jam untuk semua permintaan transfer yang datang melalui email tanpa konfirmasi melalui saluran komunikasi sekunder

Langkah SDM: Pelatihan Berbasis Skenario Nyata

Pelatihan yang menggunakan simulasi serangan BEC nyata terbukti menurunkan keberhasilan serangan hingga 35% (Gitnux, 2025). Fokus pelatihan harus mencakup cara mengidentifikasi permintaan mendesak yang mencurigakan, verifikasi pengirim sebelum bertindak, dan prosedur pelaporan insiden.

Teknologi Tambahan untuk Memperkuat Pertahanan BEC

Selain protokol email standar, tiga teknologi berikut meningkatkan pertahanan terhadap BEC secara signifikan:

Multi-Factor Authentication (MFA) pada Akun Email Eksekutif

Multi-Factor Authentication mencegah penyerang mengakses akun email asli meskipun kredensial login berhasil dicuri melalui phishing tahap awal.

AI-Powered Email Security

Sistem berbasis AI menganalisis pola penulisan email historis dari setiap pengirim, kemudian mendeteksi anomali bahasa yang menunjukkan akun sedang dikendalikan pihak lain.

Verifikasi Identitas Digital untuk Onboarding Vendor Baru

Proses onboarding vendor baru yang tidak dilengkapi verifikasi identitas yang kuat membuka celah bagi Vendor Email Compromise. Pelajari bagaimana solusi fraud detection berbasis AI dapat memperkuat proses verifikasi vendor secara otomatis.

Kesalahan Umum Perusahaan dalam Mencegah Business Email Compromise

  • Mengandalkan filter spam saja. Sebanyak 55% phishing kit BEC kini mampu melewati filter spam standar (Gitnux, 2025).
  • Tidak memvalidasi perubahan rekening bank secara verbal. Perubahan instruksi pembayaran yang hanya dikonfirmasi via email adalah celah utama yang dieksploitasi BEC.
  • Mengasumsikan BEC hanya menyerang perusahaan besar. Sekitar 45% usaha kecil yang mengalami serangan BEC tutup dalam enam bulan akibat kerugian finansial dan reputasi (Gitnux, 2025).
  • Tidak memiliki prosedur respons insiden yang terdokumentasi. Tanpa prosedur jelas, waktu respons lebih lambat dan peluang pemulihan dana mengecil.

FAQ: Tentang Business Email Compromise

Apa perbedaan Business Email Compromise dengan phishing biasa?

BEC menargetkan individu spesifik berdasarkan riset mendalam dan bertujuan mencuri dana atau data rahasia. Phishing biasa menargetkan banyak orang sekaligus untuk mencuri kredensial login.

Siapa target utama serangan BEC di dalam perusahaan?

Departemen keuangan menjadi target utama dalam 55% kasus BEC, diikuti oleh kantor eksekutif (25%), dan tim pengadaan atau procurement (Gitnux, 2025).

Berapa kerugian rata-rata per insiden BEC?

Rata-rata permintaan transfer wire dalam serangan BEC mencapai USD 24.586 pada awal 2025 (Verizon via Hoxhunt). Kerugian total BEC secara global sejak 2013 telah melampaui USD 51 miliar (FBI/IC3).

Apakah BEC bisa terjadi di perusahaan skala menengah?

Ya. BEC tidak hanya menargetkan korporasi besar. Perusahaan menengah sering menjadi target karena sistem keamanan yang lebih lemah dengan nilai transfer yang tetap signifikan.

Bagaimana cara melaporkan insiden BEC di Indonesia?

Laporkan ke Direktorat Tindak Pidana Siber Bareskrim Polri dan BSSN. Segera hubungi bank untuk meminta penghentian transaksi dalam 24 jam pertama untuk memaksimalkan peluang pemulihan dana.

Gambaran Besar Ancaman Business Email Compromise

Business Email Compromise adalah ancaman yang menargetkan celah paling lemah dalam sistem keuangan perusahaan: kepercayaan manusia terhadap email. Protokol teknis seperti DMARC dan MFA menutup celah infrastruktur, sementara prosedur verifikasi berlapis dan pelatihan SDM menutup celah manusia. Kedua lapisan ini harus berjalan bersamaan karena BEC berevolusi mengikuti celah yang masih terbuka.

Untuk membahas strategi perlindungan identitas digital yang sesuai dengan kebutuhan bisnis Anda, hubungi Verihubs di sini.

facebook twitter linkedin whatsapp
Client Verihubs
Lebih dari 400+ klien mempercayai kami untuk verifikasi yang cepat dan akurat
Coba GRATIS Sekarang
Lihat Blog