Bagi ‘hacker’, kepercayaan manusia menjadi sasaran serangan baru
By Justin Fong
Penggunaan kecerdasan buatan (AI) telah mengubah secara drastis modus penipuan melalui email phishing, dengan menghadirkan email dan video palsu yang sangat meyakinkan sehingga menyerang fondasi utama dalam dunia kerja—kepercayaan antarpegawai. Organisasi perlu menyesuaikan strategi keamanannya.

Para peretas yang memanfaatkan AI kini memiliki kemampuan untuk membuat komunikasi palsu yang nyaris tidak dapat dibedakan dari komunikasi asli. Hal ini menggeser titik serangan dari teknologi ke kepercayaan manusia, yang merupakan fondasi utama dalam dunia bisnis. Foto: Canva
Kecerdasan buatan (AI) telah mengubah secara mendasar cara para peretas menjalankan aksi penipuan untuk menyusup ke dalam sistem.
Selama bertahun-tahun, para profesional keamanan siber mengingatkan karyawan agar tidak mengklik tautan yang mencurigakan. Namun, nasihat tersebut kini tidak lagi memadai.
Dengan hadirnya AI, risiko keamanan siber terbesar bukan lagi email yang tampak mencurigakan atau modus penipuan yang mudah dikenali.
Risiko terbesar kini terletak pada kemampuan AI menghasilkan komunikasi palsu yang nyaris tidak dapat dibedakan dari yang asli.
Hal ini telah mengubah sasaran serangan (attack surface). Ancamannya bukan lagi semata-mata persoalan teknologi, melainkan kepercayaan manusia.
Berakhirnya era "mengenali email phishing"
Serangan phishing tradisional mengandalkan skala. Para penyerang mengirim jutaan email dengan harapan sebagian kecil penerima akan memberikan respons.
Menariknya, banyak email tersebut berisi kesalahan ejaan dan tata bahasa yang buruk. Hal itu sering kali dilakukan dengan sengaja.
Alih-alih mencoba menipu semua orang, pelaku menggunakan bahasa yang buruk sebagai penyaring untuk menemukan korban yang paling rentan. Mereka yang mengabaikan tanda-tanda peringatan yang jelas tersebut lebih mungkin melanjutkan interaksi dengan penipu.
AI telah mengubah situasi itu.
Kini, seorang penyerang dapat menghasilkan ribuan email yang ditulis dengan sempurna hanya dalam hitungan detik.
Setiap pesan dapat dipersonalisasi. Setiap kalimat dapat meniru gaya penulisan suatu organisasi, dan setiap email dapat ditulis dalam bahasa Inggris yang sempurna.
Kualitas penipuan meningkat drastis, sementara biaya untuk membuatnya turun secara signifikan. Nasihat lama seperti "perhatikan kesalahan ejaan" kini menjadi sesuatu dari masa lalu.
Setiap eksekutif bisa dipalsukan oleh deepfake
Bayangkan Anda menerima undangan rapat melalui Microsoft Teams dari CEO perusahaan.
Rapat pun dimulai.
CEO Anda muncul di layar. Suaranya terdengar autentik. Ekspresi wajahnya tampak alami. Beberapa rekan kerja Anda juga sudah berada di dalam rapat.
Di tengah diskusi, Anda diminta segera menyetujui pembayaran yang mendesak sebelum penutupan pasar.
Ini bukan lagi fiksi ilmiah.
Teknologi deepfake dan kloning suara berbasis AI telah digunakan dalam berbagai kasus penipuan keuangan di dunia nyata. Kini, seorang karyawan bukan lagi sekadar memutuskan apakah sebuah email terlihat asli, tetapi harus memutuskan apakah ia dapat mempercayai apa yang tampak di depan mata dan terdengar di telinganya sendiri.
Dan itu merupakan tantangan yang jauh lebih sulit.
AI tidak perlu meretas sistem
Selama puluhan tahun, organisasi telah menginvestasikan sumber daya besar untuk melindungi teknologi mereka.
Mulai dari firewall, sistem deteksi ancaman pada perangkat (endpoint detection), manajemen identitas, hingga arsitektur Zero Trust.
Semua kontrol tersebut tetap penting. Namun kini, para penyerang yang memanfaatkan AI semakin sering melewati lapisan pertahanan tersebut begitu saja.
Sebaliknya, mereka mengeksploitasi sesuatu yang selama ini justru dibangun oleh organisasi selama bertahun-tahun:
- Percayalah kepada atasan Anda
- Berikan respons dengan cepat
- Berkolaborasilah secara terbuka
- Utamakan pelanggan
- Bantu rekan kerja Anda
Perilaku-perilaku inilah yang membuat sebuah organisasi dapat berjalan secara efektif. Ironisnya, perilaku tersebut juga semakin menjadi jalur utama keberhasilan penipuan yang didukung AI.
Kepercayaan telah menjadi infrastruktur yang kritis
Pemerintah telah lama mengakui bahwa infrastruktur fisik merupakan aset yang sangat penting, seperti jaringan listrik, pasokan air, jaringan telekomunikasi, dan sistem keuangan.
Namun, pada akhirnya seluruh sistem tersebut bergantung pada keputusan manusia yang didasarkan pada rasa percaya.
Seorang pejabat pengadaan menyetujui kontrak. Seorang eksekutif keuangan mengotorisasi pembayaran. Petugas pusat layanan pelanggan mengatur ulang akun. Seorang pejabat senior membagikan informasi sensitif dalam konferensi video yang tampaknya sah.
Setiap keputusan penting selalu diawali dengan kepercayaan.
Kini AI menyerang kepercayaan tersebut secara langsung.
Dengan demikian, kemampuan manusia dalam mengambil keputusan kini telah menjadi bagian dari infrastruktur kritis kita.
Zero Trust harus mencakup manusia
Dalam dunia keamanan siber, konsep Zero Trust sering dijelaskan sebagai arsitektur teknis yang didasarkan pada satu prinsip sederhana: jangan pernah langsung percaya, selalu lakukan verifikasi.
Mungkin kini filosofi tersebut perlu diperluas, tidak hanya untuk perangkat dan jaringan.
Organisasi perlu membiasakan budaya saling melakukan verifikasi antarmanusia.
Memverifikasi permintaan yang tidak biasa, bahkan jika datang dari pemimpin tertinggi, seharusnya menjadi sesuatu yang wajar—bahkan diharapkan. Menghubungi kembali seseorang melalui nomor yang telah diverifikasi secara independen seharusnya dipandang sebagai bentuk profesionalisme, bukan ketidakpercayaan.
Seorang petugas keuangan yang menghentikan sejenak proses pembayaran mendesak untuk melakukan pengecekan seharusnya dianggap memperkuat ketahanan organisasi, bukan memperlambat bisnis.
Organisasi yang mampu beradaptasi paling cepat adalah mereka yang mengubah budayanya, bukan sekadar teknologinya.
Generasi berikutnya dari keamanan siber
Banyak organisasi masih mengukur ketahanan terhadap phishing berdasarkan tingkat klik (click rate). Namun ukuran tersebut kini semakin tidak memadai.
Pertanyaan yang jauh lebih penting adalah: Apakah karyawan tetap mampu menggunakan penilaian yang baik ketika setiap bentuk komunikasi tampak benar-benar autentik?
Kontrol teknis akan selalu penting. Namun AI telah menggeser medan persaingan, dari mendeteksi kode berbahaya menjadi menilai kredibilitas manusia.
Organisasi yang paling tangguh bukanlah mereka yang sekadar memiliki alat keamanan siber terbaik.
Mereka adalah organisasi yang mampu membangun budaya skeptisisme yang sehat, kebiasaan melakukan verifikasi yang kuat, serta lingkungan kerja yang mendorong karyawan untuk mempertanyakan permintaan yang tidak biasa, alih-alih menghalanginya.
Sebab di era AI, para penyerang tidak lagi berusaha membobol sistem kita.
Mereka mengeksploitasi kepercayaan kita—dan kepercayaan kini telah menjadi sasaran serangan yang paling berharga.
-----------------------------------------------------------------------------------------------------------------
Penulis adalah mantan perwira keamanan militer dan pemimpin senior bidang komunikasi dengan pengalaman lebih dari 30 tahun. Ia pernah bekerja untuk Angkatan Bersenjata Singapura (Singapore Armed Forces), Kantor Perdana Menteri (Prime Minister's Office), dan A*STAR.
-1783304403050.jpg)