Sebagai mantan peretas black hat, konsep rekayasa sosial (social engineering) dan phishing bukanlah hal baru bagi saya. Saya pernah menggunakan teknik-teknik ini di masa lalu, jadi saya tahu betul seberapa efektifnya. Setelah bertahun-tahun mendalami seluk-beluk rekayasa sosial, saya selalu mencari cara baru untuk mengembangkan teknik klasik ini.
Saat ini, untuk tetap mengikuti perkembangan, saya lebih memilih memahami pola pikir para penyerang daripada menerapkannya secara langsung. Oleh karena itu, Anda bisa menemukan saya di acara seperti Social Engineering Village di DEF CON Hacking Conference di Las Vegas.
Menurut Laporan Lanskap Ancaman CyberArk 2024, sembilan dari 10 organisasi telah menjadi korban pelanggaran identitas yang berhasil akibat serangan phishing atau vishing. Angka yang mengejutkan ini menunjukkan bahwa rekayasa sosial tidak akan hilang—bahkan kemungkinan besar akan semakin parah. Vektor serangan ini sangat rentan karena faktor manusia, di mana sering kali tidak ada kontrol perangkat lunak yang dapat mencegahnya, sehingga keamanan bergantung pada keputusan individu yang sedang berada di bawah tekanan.
Sebagai seorang evangelist keamanan, saya tidak memiliki kemewahan untuk hanya membaca tentang teknik-teknik baru di blog—saya justru orang yang diharapkan menulis blog tersebut. Baru-baru ini, saya terkejut ketika seorang teman yang tidak memiliki latar belakang teknis berbagi pengalaman mengerikan. Bayangkan terbangun di tengah malam karena mendengar suara orang terdekat yang mengaku diculik dan meminta uang untuk keselamatannya. Itulah situasi yang dialami teman saya.
Pengalaman Pribadi dengan Penipuan Modern
Teman saya terbangun pukul 4 pagi karena menerima panggilan telepon—di ujung sana, keponakannya menangis dan berteriak ketakutan, mengaku telah diculik. Kemudian, suara pria masuk ke telepon, mengancam akan melakukan pelecehan seksual dan perdagangan manusia jika panggilan diputus.
Dalam kondisi ketakutan, teman saya masih memiliki kesadaran untuk menutupi mikrofon ponselnya dan meminta suaminya menghubungi saudara perempuannya untuk memeriksa keponakannya. Setelah dikonfirmasi bahwa keponakannya aman di tempat tidur, teman saya langsung menutup telepon tersebut.
Sebagai mantan black hat, saya langsung mengenali modus penipuan ini. Pelaku menciptakan situasi yang sulit untuk diverifikasi, membuat korban kesulitan membuktikan kebenaran informasi selama serangan berlangsung.
Mekanisme di Balik Penipuan Deepfake
Salah satu bentuk penipuan deepfake terbaru menggabungkan teknik lama dengan inovasi modern. Pelaku kejahatan mengumpulkan rekaman suara korban dari media sosial. Dengan hanya tiga detik suara, aplikasi deepfake dapat menciptakan tiruan suara yang sangat meyakinkan.
Biasanya, panggilan dilakukan larut malam atau dini hari, dengan suara orang terdekat yang mengaku membutuhkan uang untuk alasan darurat, seperti diculik atau perlu uang jaminan.
Evolusi teknik ini berkembang pesat karena aplikasi deepfake semakin mudah diakses secara komersial. Penipuan deepfake kini menjadi masalah global, dan setiap negara berusaha mencari solusi efektif. Di AS, Federal Communications Commission (FCC) telah merilis panduan konsumen untuk menangani ancaman ini.
Teknologi Deepfake: Trik Lama, Alat Baru
Teknologi deepfake bukanlah hal baru, tetapi awalnya lebih banyak menargetkan korporasi.
Pada 2019, seorang CEO perusahaan energi di Inggris menjadi korban penipuan deepfake audio, mengirimkan €220.000 ke rekening penipu setelah mendengar suara yang sangat mirip atasannya.
Kasus serupa terjadi di Hong Kong, di mana seorang pegawai bank menyetujui transfer dana besar setelah menerima panggilan video deepfake yang meyakinkan, meniru seorang eksekutif senior.
Kasus-kasus ini menunjukkan bagaimana pelaku kejahatan memanfaatkan AI untuk menipu individu maupun organisasi.
Mengenali Kebenaran: Cara Mengidentifikasi Penipuan
Seperti yang saya sebutkan sebelumnya, tidak ada perangkat lunak yang dapat sepenuhnya mencegah phishing atau vishing. Keamanan tergantung pada individu itu sendiri.
Pelaku akan terus memanfaatkan rasa takut dan emosi untuk menipu serta memeras korban. Teknik ini menimbulkan rasa urgensi dan tekanan emosional, menyerang naluri manusia untuk bertindak cepat dalam keadaan darurat.
Di saat seperti itu, jika suara di telepon terdengar seperti orang yang Anda kenal, Anda tidak akan memiliki waktu untuk menentukan apakah itu asli atau palsu. Namun, bertindak tanpa verifikasi juga sangat berisiko.
Salah satu solusinya adalah dengan menggunakan metode verifikasi yang telah disepakati sebelumnya, seperti kata sandi atau kode rahasia. Dengan cara ini, Anda bisa lebih tenang dalam mengambil keputusan di situasi berisiko tinggi.
Saat ini, dua dari tiga orang tidak bisa membedakan suara asli dan suara hasil rekayasa deepfake. Oleh karena itu, menerapkan prinsip Zero Trust—jangan pernah percaya, selalu verifikasi—menjadi langkah yang sangat penting.
Mengadopsi Pola Pikir Keamanan
Keamanan bukan hanya sekadar kondisi, tetapi cara berpikir dan kebiasaan hidup.
Setiap kemajuan teknologi komunikasi selalu berisiko disalahgunakan, dan tren ini tidak menunjukkan tanda-tanda akan berhenti.
Hidup dengan kesadaran keamanan identitas bukan hanya tentang dunia digital, tetapi juga mencakup kehidupan sehari-hari. Dengan memahami dan menerapkan prinsip keamanan, kita dapat melindungi diri sendiri, keluarga, dan organisasi dari ancaman modern seperti deepfake.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. cyberark menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di cyberark.ilogoindonesia.id dan konsultasikan kebutuhan IT Anda dengan kami!