Nampaknya hal itu dapat terjadi pada siapa saja. Bahkan mereka yang bekerja di industri keuangan.
Seorang mantan eksekutif Mastercard mengatakan kepada Business Insider bahwa dia hampir kehilangan $100.000 karena penipuan pengambilalihan akun tahun lalu.
Catherine Woneis, mantan wakil presiden CipherTrace, layanan milik MasterCard yang membantu mengamankan transaksi kripto, mengatakan dia hampir kehilangan sebagian besar tabungan hidupnya setelah penipu mengakses email agen real estatnya.
Penipuan pengambilalihan akun terjadi ketika penipu memperoleh akses ke akun media sosial, email, perbankan, atau akun pribadi Anda yang lain. Penjahat biasanya memperoleh akses ke akun dengan kredensial curian yang mereka beli melalui web gelap atau taktik rekayasa sosial yang mengelabui Anda agar membagikan kata sandi Anda, kata Woneis. Mereka kemudian menggunakan akun ini untuk menguras uang hasil jerih payah Anda.
Jumlah penipuan pengambilalihan akun yang diketahui tumbuh sebesar 354% dari tahun ke tahun pada tahun 2023, mengakibatkan kerugian sebesar $13 miliar, menurut layanan deteksi penipuan AI Saring Ilmu Pengetahuan.
Dalam kasus Woneis, Penipu mengakses email agen real estatnya menggunakan “credential stuffing,” sebuah taktik yang menggunakan bot AI untuk mencoba setiap nama pengguna dan kata sandi yang mungkin hingga mereka menemukan jawaban yang benar.
Para penipu menggunakan informasi yang ditemukan dalam email tentang transaksi Woneis untuk menyamar sebagai perusahaan yang mengurusi hak milik atas rumahnya. Perusahaan yang mengurusi hak milik palsu itu kemudian mengirim email kepada Woneis, meminta pembayaran yang “dipercepat”.
“Ini adalah hal yang sangat umum yang digunakan para penjahat dalam penipuan: Mereka mencoba memasukkan alat pengukur waktu,” kata Woneis.
Woneis mengatakan dia memeriksa apakah alamat email itu asli dan mendapati alamat itu ditambahkan dengan alamat lain, tetapi dia berasumsi itu adalah bagian dari sistem email otomatis perusahaan.
“Mereka mengirimi saya instruksi yang sama persis dengan instruksi dari perusahaan yang menerbitkan surat itu. Mereka punya contoh seperti apa bentuknya,” kata Woneis. “Tipografinya sama persis, kop suratnya sama persis, dan lain-lain.”
Satu-satunya perbedaan dari instruksi transfer uang yang asli adalah nomor telepon dan email palsu, beserta informasi bank yang salah. Woneis mengatakan bahwa ia bersyukur telah menghubungi nomor telepon yang awalnya ia terima dari perusahaan yang menangani transfer uang, yang memberitahunya bahwa informasi rekening bank yang tercantum dalam formulir itu salah.
“Jika saya sedang terburu-buru dan menghubungi nomor telepon yang tertera di formulir, itu pasti mereka, dan mereka akan berpura-pura menjadi perusahaan real estate dengan mengatakan, 'Ya, ini asli, dan ini dari kami,'” katanya. “Kami mungkin saja tertangkap dalam penipuan lewat kawat.”
Woneis mengatakan dia akan kehilangan sekitar $100.000 jika transaksi itu berhasil.
Woneis kini bekerja di perusahaan keamanan siber bernama Fingerprint, yang katanya tengah mengembangkan perangkat untuk memerangi maraknya pengambilalihan akun. Beberapa kunci untuk memerangi penipuan semacam ini adalah algoritma yang dapat menentukan lokasi pengunjung situs web (jika mereka menggunakan VPN) dan sistem untuk mengidentifikasi saat bot mencoba mengakses situs web melalui serangan brute force, kata Woneis.
Jika Anda merasa ada akun Anda yang mungkin dibobol, Woneis menyarankan untuk segera mengganti semua nama pengguna dan kata sandi Anda, mengatur autentikasi dua faktor untuk semua akun sensitif, dan melaporkan segala bentuk penipuan kepada pihak berwajib. Pelaporan penipuan FTC situs web.