Karyawan adalah aset terbesar perusahaan, dan para vendor adalah bagian penting dari kesuksesan bisnis. Karena itulah, tidak mengherankan jika pelaku kejahatan siber menargetkan keduanya—memanfaatkan kepercayaan yang sudah terjalin untuk menipu, mencuri, dan mengalihkan dana.
Mirip seperti business email compromise (BEC), vendor email compromise (VEC) juga memanfaatkan identitas yang tampak akrab. Bedanya, yang disamarkan bukanlah karyawan internal, melainkan pihak ketiga (vendor) dari luar perusahaan. Dengan berpura-pura menjadi mitra tepercaya, pelaku mencoba menipu korban agar membayar faktur palsu, melakukan transfer dana penipuan, atau mengubah informasi rekening agar dana masuk ke akun milik penjahat.
Untuk melihat seberapa efektif serangan ini, kami melakukan studi mendalam terhadap perilaku karyawan di dunia nyata. Hasilnya sangat mengejutkan—dan seharusnya menjadi alarm bagi setiap organisasi.
Data Perilaku dari 1.400 Organisasi
Antara Maret 2024 hingga Maret 2025, kami memantau lingkungan email dari lebih dari 1.400 organisasi dengan berbagai ukuran dan industri. Semua perusahaan ini menggunakan platform Abnormal dalam mode pasif (read-only), artinya platform ini terhubung dengan sistem email mereka tapi tidak memblokir email yang masuk.
Hal ini memungkinkan kami untuk melihat perilaku asli karyawan tanpa filter dan menganalisis bagaimana mereka merespons email-email penipuan tingkat lanjut seperti BEC, VEC, pemantauan (reconnaissance), dan pemerasan.
Hasilnya mengejutkan: banyak karyawan yang kesulitan membedakan antara email asli dan penipuan—terutama jika email tersebut tampak datang dari vendor yang sudah mereka kenal.
Serangan VEC secara konsisten menjadi penyebab tertinggi (atau kedua tertinggi) dalam hal respons seperti membalas atau meneruskan email, tanpa memandang ukuran perusahaan, industri, atau lokasi. Sepanjang periode penelitian, total upaya pencurian dana dari serangan VEC mencapai lebih dari $300 juta USD, yang menunjukkan betapa besarnya risiko finansial dari ancaman ini.
Semakin Besar Perusahaan, Semakin Besar Risiko
Karyawan di perusahaan besar (dengan 50.000 karyawan atau lebih) menunjukkan tingkat interaksi kedua tertinggi dengan email VEC: setelah membuka email, 72,3% di antaranya melakukan tindakan lanjutan (seperti membalas atau meneruskan).
Artinya, jika dalam satu perusahaan ada 10 email VEC yang dibaca, setidaknya 2 sampai 7 email tersebut akan ditanggapi oleh karyawan—padahal semuanya palsu.
Menariknya, perusahaan besar justru memiliki tingkat baca email VEC yang paling rendah, jadi masalah utamanya bukan seberapa banyak email masuk, tapi bagaimana reaksi karyawan setelah mereka membuka email tersebut.
Tren Berdasarkan Industri
Jenis industri juga berperan besar dalam tingkat risiko VEC, karena tiap sektor punya cara kerja dan alur komunikasi yang berbeda.
Di industri telekomunikasi, tingkat interaksi lanjutan dengan email VEC mencapai 71,3%, tertinggi dari semua industri—jauh di atas sektor energi/utilitas yang berada di posisi kedua dengan 56%.
Mengapa tinggi? Karena perusahaan telekomunikasi sangat bergantung pada jaringan vendor, reseller, penyedia infrastruktur, dan mitra teknologi untuk menjalankan layanan. Timnya pun tersebar luas—teknisi lapangan, kantor cabang, pusat operasi 24/7—yang membuat email menjadi saluran komunikasi utama antara tim internal dan mitra eksternal.
Dalam lingkungan seperti ini, jika ada email yang tampak penting (misalnya soal gangguan layanan atau kontrak), karyawan akan merasa perlu bertindak cepat—bahkan jika itu berarti melewatkan proses verifikasi.
Siapa yang Paling Sering Tertipu?
Kami juga menemukan bahwa posisi atau peran karyawan memengaruhi seberapa besar kemungkinan mereka berinteraksi dengan email VEC.
Posisi yang berfokus pada penjualan menempati 3 dari 4 posisi teratas dalam hal tingkat interaksi dengan email VEC. Ini masuk akal, karena peran ini sangat bergantung pada email, banyak berhubungan dengan berbagai pihak, dan biasanya mendapatkan insentif berdasarkan performa. Artinya, mereka cenderung merespons cepat untuk menyelesaikan masalah atau menutup peluang bisnis.
Di posisi kedua adalah manajemen proyek, yang juga masuk akal. Tugas utama mereka adalah memastikan proyek berjalan lancar dan selesai tepat waktu. Jadi jika mereka menerima email yang tampaknya penting untuk kelangsungan proyek, mereka akan segera menindaklanjutinya—tanpa sempat mengecek lebih dalam.
Dari Reaktif ke Proaktif: Pendekatan AI untuk Menghentikan VEC
Setiap kali karyawan harus memutuskan apakah sebuah email itu asli atau tidak, risiko kesalahan manusia muncul. Dan jika mereka salah, penjahat siber siap mengambil keuntungan dan menyebabkan kerugian besar bagi perusahaan.
Pelaku kejahatan sekarang tahu cara “meretas manusia”. Mereka memanfaatkan kepercayaan, membajak akun vendor asli, dan menyusup ke dalam alur kerja harian perusahaan.
Masalahnya, perusahaan hanya bisa mengontrol keamanannya sendiri—bukan sistem milik vendor. Pelatihan keamanan memang penting untuk mengurangi risiko, tapi itu saja tidak cukup. Manusia tidak boleh dijadikan garis pertahanan terakhir.
Satu-satunya cara efektif adalah menghilangkan beban deteksi dari tangan karyawan, dan menggantinya dengan solusi keamanan modern berbasis AI. Platform ini bisa menganalisis identitas, konteks, dan isi email, serta membangun pola komunikasi antara setiap karyawan dan vendor. Dengan mengenali pola ini, AI bisa mendeteksi kelainan sekecil apapun yang mungkin luput dari alat konvensional—dan langsung menghentikan ancaman sebelum email sampai ke kotak masuk.
Ketepatan itu penting—karena untuk mengenali yang tidak biasa, kita harus tahu dulu mana yang normal.
Untuk informasi lebih lengkap tentang laporan ini, unduh laporan kami:
“Read, Replied, Compromised: Data Ungkap 44% Tingkat Interaksi Karyawan dengan Serangan VEC.”
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan abnormal indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi abnormal.ilogoindonesia.com untuk informasi lebih lanjut!