Pergeseran ancaman ini tidak lagi berfokus pada kata sandi tradisional, melainkan menargetkan data sensitif yang tidak dapat diubah (immutable data), termasuk data biometrik, tanda tangan elektronik, dan tanda tangan tulisan tangan. Pelaku kejahatan siber kini mengeksploitasi deepfake, kloning suara, dan platform tepercaya untuk mencuri informasi ini, yang menimbulkan risiko tak terduga bagi individu dan bisnis.
AI telah mengubah phishing menjadi ancaman yang sangat personal. Model bahasa besar (LLM) kini memungkinkan penyerang membuat surel, pesan, dan situs web yang sangat meyakinkan, meniru sumber yang sah dan menghilangkan kesalahan tata bahasa yang sebelumnya sering menjadi petunjuk adanya penipuan.
Selain itu, bot berbasis AI di media sosial dan aplikasi perpesanan menyamar sebagai pengguna asli, bahkan mampu membangun kepercayaan dengan korban melalui percakapan yang berkepanjangan. Bot ini sering memicu penipuan terkait investasi atau hubungan romantis, di mana korban dipikat dengan pesan audio buatan AI atau video deepfake palsu.
Penyerang juga dapat menciptakan tiruan deepfake audio dan video realistis dari tokoh tepercaya, seperti kolega, selebritas, atau pejabat bank, untuk meminta kode autentikasi dua faktor (2FA) atau mengekstrak informasi sensitif lainnya.
Para phisher kini juga menggunakan metode canggih untuk melewati filter keamanan, misalnya dengan mengeksploitasi layanan yang sah. Platform seperti Telegraph dari Telegram, digunakan untuk menghosting konten phishing yang panjang.
Lebih lanjut, fitur terjemahan halaman Google Translate digunakan untuk membuat tautan berbahaya terlihat lebih tepercaya dengan URL seperti https://site-to-translate-com.translate.goog/..., sehingga berhasil mengelabui filter solusi keamanan. Penyerang juga mulai mengintegrasikan CAPTCHA, mekanisme anti-bot yang umum, ke dalam situs phishing mereka, yang membuat algoritma anti-phishing terkecoh karena mengaitkan keberadaan CAPTCHA dengan platform tepercaya.
Fokus serangan kini bergeser dari kata sandi ke biometrik dan tanda tangan. Data biometrik ditargetkan melalui situs-situs palsu yang meminta akses kamera ponsel pintar dengan dalih "verifikasi akun" untuk menangkap pengenal wajah atau biometrik lainnya.
Tanda tangan elektronik dan tulisan tangan juga dicuri melalui kampanye phishing yang meniru platform seperti DocuSign, menimbulkan risiko finansial dan reputasi yang signifikan bagi bisnis.
“Konvergensi AI dan taktik mengelak telah mengubah phishing menjadi tiruan komunikasi sah yang hampir alami, menantang bahkan bagi pengguna yang paling waspada sekalipun,” ujar Olga Altukhova, pakar keamanan di Kaspersky. Altukhova menambahkan bahwa penyerang kini menargetkan data biometrik, tanda tangan elektronik, dan tulisan tangan yang berpotensi menciptakan konsekuensi jangka panjang yang merusak.
Untuk melindungi diri, Kaspersky menyarankan langkah-langkah berikut:
1. Selalu verifikasi pesan, panggilan, atau tautan yang tidak diminta, meskipun tampak sah, dan jangan pernah membagikan kode 2FA.
2. Periksa video untuk menemukan gerakan yang tidak wajar atau penawaran yang terlalu besar, yang dapat mengindikasikan adanya deepfake.
3. Tolak permintaan akses kamera dari situs yang tidak terverifikasi dan hindari mengunggah tanda tangan ke platform yang tidak dikenal.
4. Batasi pembagian detail sensitif secara daring, seperti foto dokumen atau informasi pekerjaan yang sensitif.
5. Gunakan solusi keamanan untuk memblokir upaya phishing.
Cek Berita dan Artikel yang lain di
Google News
Viral! 18 Kampus ternama memberikan beasiswa full sampai lulus untuk S1 dan S2 di Beasiswa OSC. Info lebih lengkap klik : osc.medcom.id
