DEV Community

Ai Code
Ai Code

Posted on • Originally published at savefilearchive.blogspot.com

Phishing AI dan Deepfake Voice: Serangan Social Engineering Makin Murah

#ai

Phishing AI dan Deepfake Voice: Serangan Social Engineering Makin Murah

Dulu email phishing mudah dikenali: typo banyak, bahasa kaku, dan desain asal. Sekarang AI membuat phishing lebih rapi, lebih personal, dan lebih murah. Tambahkan voice cloning, lalu serangan yang dulu butuh tim khusus bisa dilakukan oleh aktor kecil dengan modal rendah.

Ini sebabnya security awareness model lama mulai kurang efektif. Nasihat "cek ejaan email" tidak cukup ketika email palsu bisa ditulis dengan bahasa kantor yang sangat meyakinkan.

Kenapa AI Membuat Phishing Naik Level?

AI membantu penyerang pada tiga tahap:

  • Riset target: merangkum LinkedIn, website perusahaan, dan posting publik.
  • Personalisasi pesan: membuat email yang cocok dengan jabatan, proyek, dan gaya komunikasi korban.
  • Otomasi variasi: membuat ratusan versi pesan untuk menghindari deteksi template.

Deepfake voice menambah tekanan psikologis. Seseorang bisa menerima pesan suara yang terdengar seperti atasan, meminta transfer, reset MFA, atau akses file penting.

Tanda Bahaya yang Masih Relevan

Walaupun kontennya makin rapi, pola serangannya sering masih sama:

  • ada urgensi tidak wajar,
  • meminta melewati prosedur,
  • meminta secret, OTP, atau approval,
  • memindahkan percakapan ke channel pribadi,
  • domain atau nomor kontak sedikit berbeda dari biasanya.

Kontrol Praktis untuk Tim IT

Solusinya bukan menyuruh semua orang curiga pada semua hal. Buat proses yang tahan terhadap manipulasi.

# Untuk request sensitif
- Wajib verifikasi lewat channel kedua.
- Approval pembayaran minimal dua orang.
- Tidak ada OTP atau recovery code via chat.
- Admin action harus tercatat di audit log.
- Gunakan passkeys atau phishing-resistant MFA.
- Buat kata/verifikasi internal untuk panggilan darurat.
Enter fullscreen mode Exit fullscreen mode

Latihan Awareness Harus Berubah

Simulasi phishing jangan hanya email generik. Masukkan skenario AI: pesan yang memakai konteks proyek, suara palsu, undangan meeting palsu, atau permintaan dari "vendor" yang terlihat familiar.

Tujuan latihan bukan mempermalukan karyawan yang salah klik. Tujuannya membuat pola aman menjadi refleks: berhenti, cek, verifikasi, baru eksekusi.

AI membuat social engineering lebih murah. Pertahanan terbaik adalah proses yang tidak bergantung pada kemampuan manusia menebak mana yang asli saat sedang sibuk.

Artikel ini pertama kali diterbitkan di SavefileArchive.

Top comments (0)