Code Projected Over Woman
|

Social Engineering dan Peran (Jahat) Artificial Intelligence: Hindari Rekening Kering

Saya dan suami sama-sama generasi X, kalau dari segi usia berarti sudah 40 tahun ke atas.

Sama-sama setiap hari pegang komputer dan smartphone. Bedanya, suami saya hanya mempelajari dan jual beli saham serta kripto via laptop. Berbeda dengan saya yang seorang freelancer yang harus paham teknologi digital dan mampu menggunakan berbagai aplikasi online terkini, termasuk menggunakan berbagai sosial media.

Lebih fokus ke saham, suami saya bahkan tidak punya Facebook ataupun sosial media lainnya. Boro boro Tiktok, punya Whatsapp saja itu karena memang kebutuhan komunikasi antar keluarga saja.

Suatu hari, suami saya mendapatkan pesan Whatsapp dari nomor tak dikenal dan attachment surat pemberitahuan tentang himbauan untuk memperbarui informasi terkini terkait data pribadi. Ada link juga yang disertakan di pesan tersebut. Beruntung, kalau beliau kurang paham tentang sesuatu, pasti langsung bertanya ke saya. Benar juga, ternyata suami hampir terkena penipuan melalui Whatsapp. Salah satu dari tipe kejahatan social engineering.

Selain suami saya, saya yakin, banyak sekali orang-orang diluar sana yang tertipu dengan penipuan social engineering seperti ini.

Apa yang perlu kita ketahui tentang social engineering

Saat ini, teknologi digital terus berkembang dan perbankan online telah menjadi bagian penting dari kehidupan kita. Kita dapat mengakses akun online banking, mentransfer dana, menerima dana, dan mengelola keuangan kita hanya dengan membuka smartphone dan menggerakkan jari.

A Person using a Laptop

Seperti dua sisi koin, kemudahan ini juga mempunyai kelemahan – penjahat dunia maya (cyber) yang selalu punya niat jahat untuk mengeksploitasi psikologi manusia, menggunakan rasa percaya dan trust, rasa ingin tahu, dan ketidaktahuan manusia untuk mendobrak sistem keamanan dan mendapatkan manfaat (biasanya uang). Inilah yang disebut serangan social engineering.

Social engineering adalah teknik manipulasi yang mengeksploitasi human error untuk mendapatkan informasi pribadi, akses, atau barang berharga. Dalam kejahatan dunia maya, penipuan social engineering ini cenderung memikat pengguna yang tidak menaruh curiga dan mereka yang gaptek (gagap teknologi) untuk mengekspos data pribadi, menyebarkan virus malware, atau memberikan akses ke sistem yang seharusnya hanya bisa dimasuki oleh orang atau pengguna yang bersangkutan. Serangan social engineering ini dapat terjadi secara online, secara langsung, dan melalui interaksi lainnya.

Bagaimana penjahat siber menggunakan AI dalam serangan social engineering

Seperti yang kita ketahui, saat ini artificial intelligence atau AI sudah sangat berkembang dan digunakan di berbagai bidang.

Saya sebagai freelancer pun sangat terbantu sekali dengan kehadiaran AI. Saya bisa mencari ide konten blog, ide konten sosial media, bahkan membuat website dalam hitungan menit menggunakan AI. Di bidang keuangan, AI juga dimanfaatkan untuk credit scoring yang lebih cepat dan minim prasangka.

Artificial Intelligence (AI) atau kecerdasan buatan adalah cabang ilmu komputer yang berfokus pada pengembangan sistem dan mesin yang dapat meniru kemampuan kognitif manusia. Dengan berbagai teknologi, AI mampu belajar dari pengalaman, menyesuaikan diri dengan input baru, dan melakukan tugas-tugas yang biasanya memerlukan kecerdasan manusia.

Meskipun banyak sekali manfaat yang bisa kita dapatkan dari Artificial Intelligence (AI), salah satu sisi negatifnya adalah penjahat siber juga mampu menggunakan AI untuk melancarkan serangan social engineering.

Social engineering yang dibuat menggunakan AI

Seperti yang sudah sedikit saya singgung diatas, social engineering bisa terjadi secara online (paling bayak terjadi), secara langsung dan melalui interaksi lainnya.

Sebelum melangkah lebih jauh, kita perlu tahu dahulu apa saja jenis-jenis serangan social engineering yang sering menimpa korban penipuan.

Berikut ini adalah beberapa jenis serangan social engineering online yang menggunakan AI:

Pembuatan konten otomatis

AI dapat digunakan untuk menghasilkan email phishing atau pesan teks yang sangat meyakinkan dan dipersonalisasi, sehingga lebih sulit bagi korban untuk mendeteksi penipuan.

Deepfake

Teknologi AI dapat menciptakan audio atau video palsu yang sangat realistis, di mana penyerang dapat berpura-pura menjadi orang yang dikenal oleh korban, seperti atasan atau rekan kerja.

Pernah melihat video atau membaca tentang Pak Jokowi yang fasih berbicara bahasa Mandarin? Yap, video tersebut dibuat dengan menggunakan teknologi deepfake.

Chatbots

AI-powered chatbots dapat digunakan untuk berinteraksi dengan korban dalam percakapan real-time, meniru agen layanan pelanggan atau dukungan teknis yang sah untuk mengumpulkan informasi sensitif.

Jika teman-teman terkendala dengan produk dan layanan perbankan, ada baiknya menelepon ke nomor-nomor layanan customer service yang sudah disediakan oleh bank. Jangan mau menjawab jika customer service menanyakan tentang password atau kode sandi.

Pengumpulan data otomatis

AI dapat memproses dan menganalisis sejumlah besar data dari media sosial dan sumber online lainnya untuk membuat profil rinci tentang target. Informasi ini kemudian digunakan untuk membuat serangan social engineering yang lebih tepat sasaran.

Jadi, jangan terlalu open dan membuka semua rahasia pribadi kita seperti tanggal ulang tahun, tanggal anniversary pernikahan, dan data personal lainnya di media sosial. Batasi informasi pribadi yang dibagikan di media sosial dan platform publik lainnya.

Phishing Otomatis

AI dapat digunakan untuk mengirim email phishing yang sangat meyakinkan dan dipersonalisasi. Algoritma AI dapat menganalisis gaya penulisan email resmi untuk membuat pesan yang sulit dibedakan dari email asli. Contoh: Email yang tampak seperti dari bank atau perusahaan layanan keuangan yang meminta untuk memperbarui informasi login.

Contoh nyata scam dan phising

Beberapa waktu lalu, ada satu peserta kelas online saya yang chat ke saya untuk menanyakan sesuatu. Beliau mendapat job dan sudah selesai dikerjakan. Juga, sudah mengirimkan invoice ke klien yang bersangkutan.

Si klien bilang bahwa dia sudah mengirim pembayaran via Paypal tapi kebanyakan. Harusnya pembayaran invoice hanya $300 tapi di Paypal si klien mengirimkan uang $500 dan minta $200 di refund terlebih dulu.

Alarm saya sudah berbunyi nyaring tapi sepertinya teman saya ini belum sadar bahwa dia nyaris masuk jebakan batman. Kemudian saya minta lah di forward email dari klien atau dari Paypal nya. Dan inilah email yang katanya dari Paypal.

Buat teman-teman yang sudah terbiasa menggunakan Paypal sebagai lalu lintas pembayaran, pasti akan menemukan beberapa hal yang aneh dan janggal seperti saya, diantaranya:

  1. Alamat emal Paypal. Setiap kali ada transaksi menggunakan Paypal, notifikasi email yang masuk adalah dari se*****@in**.com dan bukan pa********************@gm***.com seperti tampilan di atas.
  2. Paypal hanya mengirimkan notifikasi bahwa kita menerima dana atau kita mengeluarkan dana, titik. Tidak pernah ada dalam sejarah Paypal berkirim email panjang lebar seperti ini.
  3. Logonya sekilas memang mirip Paypal, tapi beda banget dengan yang asli. Silakan cek di Paypal langsung atau via Google.

Dengan berat hati saya bilang ke teman saya ini,”abaikan saja mba, #bilangajagak, kamu kan belum terima uangnya yang $500, yang mau di refund apa? lalu cek deh alamat email dari Paypal nya” saya bilang.

Padahal teman saya ini sudah yakin banget mau balikin $200 dulu 😌 beruntunglah tidak jadi kena scam.

Kasus serangan siber menggunakan AI

Pada tahun 2019, sebuah perusahaan energi Inggris menjadi korban penipuan yang melibatkan teknologi deepfake. Penipu menggunakan software AI untuk meniru suara CEO perusahaan induk Jerman dan memerintahkan direktur perusahaan Inggris tersebut untuk mentransfer €220.000 (sekitar USD 243.000) ke rekening bank Hongaria. Direktur tersebut percaya bahwa perintah itu sah karena suara yang terdengar sangat mirip dengan CEO. Artikel selengkapnya bisa dibaca disini.

Penyerang menggunakan teknologi deepfake untuk menciptakan suara CEO yang realistis. Hal ini menunjukkan bagaimana AI dapat digunakan untuk memperkuat teknik social engineering seperti pretexting dan phishing suara (vishing).

Mengapa AI menjadikan serangan social engineering lebih sulit dideteksi?

Tidak hanya perorangan, serangan social engineering juga menyerang perusahaan dan mengakibatkan kerugian dana dalam jumlah yang besar.

Mengapa sulit membedakan dan mendeteksi serangan social engineering yang menggunakan AI? Ini beberapa alasannya:

Personalisasi lebih akurat

AI dapat menganalisis sejumlah besar data dari berbagai sumber seperti media sosial, email, dan aktivitas online untuk mempelajari kebiasaan, preferensi, dan pola perilaku target. Contohnya adalah email phishing yang tampak seperti berasal dari rekan kerja atau atasan, lengkap dengan gaya penulisan yang sesuai dan referensi ke proyek atau peristiwa yang relevan. Korban sulit untuk mengenali penipuan ini karena semuanya “terlihat” original dan asli.

Konten Realistis dengan NLP (Natural Language Processing)

AI yang dilengkapi dengan NLP dapat menghasilkan teks yang sangat mirip dengan tulisan manusia, termasuk slang, idiom, dan gaya penulisan khusus. Contohnya adalah pesan phishing (WA atau SMS) yang bebas typo dan menggunakan terminologi yang akurat dan sesuai konteks.

Pesan yang dibuat oleh AI lebih sulit dibedakan dari komunikasi yang sah karena AI dapat meniru gaya penulisan manusia dengan sangat baik.

Deepfake Audio dan Video

Teknologi deepfake memungkinkan pembuatan audio dan video yang sangat realistis yang dapat meniru suara dan wajah seseorang. Deepfake yang realistis menambah lapisan kepercayaan pada penipuan, membuat korban lebih mungkin untuk mematuhi permintaan palsu tersebut.

Kecepatan dan Ketepatan

AI dapat memproses dan menganalisis data dengan sangat cepat untuk mengidentifikasi peluang serangan dan melancarkan serangan dalam waktu singkat. Pesan phishing yang dihasilkan dan dikirim secara otomatis setelah AI mendeteksi aktivitas online yang relevan dari target. Kecepatan dan ketepatan dalam meluncurkan serangan meningkatkan peluang keberhasilan sebelum korban atau sistem keamanan memiliki kesempatan untuk bereaksi.

Pencegahan

Langkah-Langkah pencegahan dari serangan social engineering berbasis AI

White and Blue Butterflies Illustration

Peran BRI melindungi nasabahnya dari serangan social engineering

Beberapa kasus social engineering yang melibatkan BRI dan nasabahnya antara lain:

  1. Penipuan phising. Beberapa nasabah BRI menerima email phishing yang “tampaknya” berasal dari BRI, meminta mereka untuk mengklik tautan dan memasukkan informasi login. Tautan tersebut mengarah ke situs web palsu yang terlihat seperti situs resmi BRI. Beberapa nasabah yang tidak aware memberikan informasi login mereka, yang kemudian digunakan oleh penyerang untuk mengakses dan mencuri dana dari akun mereka.
  2. Kasus Smishing. Nasabah menerima pesan SMS yang mengklaim bahwa mereka telah memenangkan hadiah dari BRI dan diminta untuk mengklik tautan untuk mengklaim hadiah. Tautan tersebut mengarahkan ke situs phishing.

Aplikasi perbankan BRI, seperti BRI Mobile atau BRImo, dirancang dengan berbagai fitur keamanan untuk melindungi nasabah dari serangan social engineering. Namun, keamanan aplikasi perbankan tidak hanya bergantung pada teknologi yang digunakan, tetapi juga pada kewaspadaan dan tindakan pencegahan yang dilakukan oleh pengguna. Informasi login dari mereka kemudian digunakan oleh penyerang untuk mengakses dan mencuri dana dari akun mereka.

Saya juga nasabah BRI dan pengguna BRImo lo, aplikasi mobile yang sangat membantu banget untuk menerima, transfer, atau melakukan pembayaran lainnya. Suka karena setiap kali transaksi, ada notifikasi dari BRImo.

Beberapa aspek keamanan aplikasi BRI yang #memberimaknaindonesia dan langkah-langkah yang dapat diambil untuk mengurangi risiko social engineering diantaranya:

  1. Otentikasi Dua Faktor (2FA). Aplikasi BRI mendukung otentikasi dua faktor, yang memerlukan verifikasi melalui SMS atau aplikasi autentikator selain dari kata sandi untuk melakukan transaksi penting.
  2. Enkripsi Data. Semua data yang ditransmisikan antara aplikasi dan server BRI dienkripsi untuk mencegah intersepsi oleh pihak ketiga.
  3. Pemberitahuan Transaksi. Nasabah menerima notifikasi instan melalui SMS atau email setiap kali ada transaksi yang dilakukan dari akun mereka, sehingga mereka dapat segera mendeteksi dan melaporkan aktivitas yang tidak sah.
  4. Pembatasan Akses. Aplikasi BRI dilengkapi dengan fitur logout otomatis setelah periode tidak aktif tertentu untuk mencegah akses tidak sah.
  5. Saluran Pelaporan Penipuan. BRI menyediakan saluran khusus bagi nasabah untuk melaporkan penipuan dan aktivitas mencurigakan. Nasabah dapat menghubungi pusat layanan pelanggan BRI atau mengunjungi kantor cabang terdekat.

Akhir kata: Menghadapi era baru kejahatan siber dengan kesiapan dan kesadaran

Di era digital yang semakin berkembang, kejahatan siber, terutama yang melibatkan social engineering, menjadi semakin canggih dan sulit dideteksi. Penggunaan Artificial Intelligence (AI) oleh penyerang telah mengubah lanskap ancaman, membuat serangan lebih personal, otomatis, dan adaptif.

Kesiapan dan kesadaran dari setiap individu dan organisasi (dalam hal ini BRI) menjadi kunci utama dalam melindungi diri dari serangan social engineering. Nasabah harus terus mengedukasi diri mereka tentang risiko yang ada, mengenali tanda-tanda penipuan, dan mengambil langkah-langkah pencegahan yang tepat.

Dengan menggabungkan teknologi keamanan canggih dan peningkatan kesadaran pengguna, kita dapat membangun pertahanan yang lebih kuat terhadap kejahatan siber dan social engineering. Melalui upaya bersama, kita dapat menciptakan lingkungan digital yang lebih aman dan terlindungi dari ancaman yang terus berkembang. BRI #memberimaknaindonesia.