KASUS deepfake via Zoom di sebuah bank di Hong Kong pada Februari 2024, menjadi peringatan ancaman serius dari social engineering (soceng) berbasis generative AI (Artificial Intelligence) di sektor perbankan.
Dalam insiden itu, seorang karyawan bank tertipu oleh deepfake dari rekan kerjanya. Penipu menggunakan teknologi deepfake untuk meniru penampilan dan suara rekan kerja karyawan tersebut dalam panggilan video Zoom.
Modus operandi penipu dimulai dengan mengirim email phishing yang menyamar sebagai rekan kerja korban. Email tersebut berisi undangan untuk bergabung dalam panggilan video Zoom yang mendesak.
Saat panggilan dimulai, penipu menggunakan deepfake untuk menyamar sebagai rekan kerja dan memberikan instruksi palsu kepada korban untuk mentransfer uang. Akibatnya, korban tertipu dan mentransfer sekitar US$25 juta (sekitar Rp407,5 miliar) ke beberapa rekening bank di Hong Kong yang berbeda.
Kasus ini menggarisbawahi kemampuan AI untuk meniru suara, teks, dan bahkan video dengan sangat meyakinkan, membuka peluang bagi pelaku kejahatan untuk melakukan penipuan yang canggih dan sulit dideteksi. Kepolisian Hong Kong sedang menyelidiki kasus ini sebagai kasus penipuan besar pertama yang melibatkan penggunaan deepfake. Hingga saat ini, belum ada penangkapan yang diumumkan secara publik.
Dalam artikel ini, kita akan mengeksplorasi beberapa skenario risiko social engineering berbasis generative AI di perbankan, serta langkah-langkah mitigasi yang dapat diambil untuk menghadapinya, termasuk peran penting dari regulator seperti Otoritas Jasa Keuangan (OJK). Berikut beberapa skenario yang mungkin terjadi, dan mitigasi risikonya.
Kemampuan AI untuk meniru suara, teks, dan bahkan video dengan sangat meyakinkan, membuka peluang bagi pelaku kejahatan untuk melakukan penipuan yang canggih dan sulit dideteksi.
Vishing (voice phishing) dengan deepfake audio
Penipu menggunakan AI untuk meniru suara nasabah atau pejabat bank, kemudian menghubungi korban melalui telepon untuk meminta informasi sensitif seperti nomor rekening, PIN, atau kode OTP.
Tidak hanya nasabah yang bisa menjadi korban, pegawai bank juga dapat tertipu oleh penipuan ini. Misalnya, seorang pegawai bank dapat menerima panggilan dari seseorang yang meniru suara atasan mereka, memberikan instruksi untuk melakukan transfer uang atau memberikan akses ke sistem internal bank.
Untuk mengatasi risiko ini, bank perlu secara proaktif mengedukasi nasabah dan karyawan tentang bahaya social engineering berbasis AI. Karyawan harus dilatih untuk selalu memverifikasi keaslian komunikasi dari atasan atau rekan kerja sebelum mengambil tindakan yang melibatkan informasi sensitif atau transaksi finansial.
Nasabah juga perlu diberi informasi tentang cara memverifikasi komunikasi dari bank dan pentingnya tidak memberikan informasi sensitif melalui telepon yang tidak diminta. Implementasi otentikasi multi-faktor (MFA) yang mengharuskan nasabah dan pegawai bank memberikan lebih dari satu bukti identitas untuk mengakses akun atau sistem internal juga sangat penting.
Bank dapat menetapkan prosedur verifikasi tambahan untuk situasi di mana instruksi diberikan melalui telepon atau email. Misalnya, karyawan harus melakukan verifikasi kedua melalui panggilan balik atau menggunakan metode komunikasi yang sudah diakui dan aman sebelum melaksanakan instruksi penting dari atasan.
Kolaborasi dengan regulator seperti Otoritas Jasa Keuangan (OJK) sangat penting dalam menjaga keamanan sektor perbankan dari ancaman ini. OJK dapat mengeluarkan regulasi dan pedoman keamanan yang ketat, melakukan audit dan inspeksi rutin, serta mendukung pengembangan teknologi untuk mendeteksi dan mencegah serangan social engineering berbasis AI.
Selain itu, bank dapat menggunakan teknologi AI untuk memantau dan menganalisis perilaku pengguna dan mendeteksi aktivitas yang mencurigakan. Jika seorang pegawai tiba-tiba mencoba melakukan transfer besar tanpa ada catatan sebelumnya, sistem bisa memicu peringatan untuk verifikasi tambahan.
Kolaborasi dengan regulator seperti Otoritas Jasa Keuangan (OJK) sangat penting dalam menjaga keamanan sektor perbankan dari ancaman ini. OJK dapat mengeluarkan regulasi dan pedoman keamanan yang ketat, melakukan audit dan inspeksi rutin, serta mendukung pengembangan teknologi untuk mendeteksi dan mencegah serangan social engineering berbasis AI.
Dengan langkah-langkah mitigasi yang komprehensif dan dukungan dari regulator, bank dapat meningkatkan keamanan dan mengurangi risiko dari serangan ini. Edukasi, pelatihan, dan teknologi yang tepat adalah kunci untuk melindungi nasabah dan karyawan dari ancaman social engineering berbasis generative AI.
Phishing dengan email atau SMS palsu yang sangat meyakinkan
Penipu membuat email atau SMS palsu yang terlihat sangat otentik, seolah-olah berasal dari bank, yang berisi tautan ke situs web palsu untuk mencuri informasi login.
Tidak hanya nasabah yang bisa menjadi korban, tetapi juga karyawan bank dapat tertipu oleh penipuan ini. Misalnya, seorang karyawan bisa menerima email yang tampak seperti dari atasan atau departemen IT, yang meminta mereka untuk mengklik tautan dan memasukkan kredensial mereka, yang kemudian dicuri oleh penipu.
Untuk mengatasi risiko ini, bank perlu secara proaktif mengedukasi nasabah dan karyawan tentang cara mengenali tanda-tanda email atau SMS palsu. Edukasi ini harus mencakup informasi tentang praktik phishing yang umum, seperti email dengan tautan atau lampiran yang mencurigakan, dan cara memverifikasi keaslian email atau pesan sebelum mengambil tindakan. Pelatihan berkala juga diperlukan untuk memastikan bahwa nasabah dan karyawan selalu waspada terhadap ancaman ini.
Selain edukasi, bank juga harus mengembangkan dan menerapkan teknologi deteksi dan pencegahan untuk mendeteksi email atau SMS phishing. Teknologi ini dapat mencakup filter spam yang canggih, sistem deteksi penipuan berbasis AI, dan alat analisis yang dapat mengidentifikasi dan memblokir pesan yang mencurigakan sebelum mencapai nasabah atau karyawan. Teknologi ini harus terus diperbarui untuk mengatasi metode phishing yang semakin canggih.
Bank juga dapat menetapkan prosedur verifikasi tambahan untuk situasi di mana karyawan menerima email atau pesan yang meminta informasi sensitif atau tindakan tertentu. Karyawan harus didorong untuk memverifikasi permintaan tersebut melalui saluran komunikasi yang sudah diakui dan aman sebelum mengambil tindakan. Dengan kombinasi edukasi, teknologi deteksi yang canggih, dan prosedur verifikasi yang ketat, bank dapat mengurangi risiko dari serangan phishing yang menargetkan nasabah dan karyawan mereka.
Penipuan melalui media sosial
Penipu membuat akun palsu yang menyamar sebagai perwakilan bank di media sosial, menawarkan bantuan atau hadiah palsu untuk memancing korban memberikan informasi pribadi. Di Indonesia, media sosial yang paling rawan digunakan untuk jenis penipuan ini termasuk Facebook, Instagram, WhatsApp, dan TikTok, karena tingginya jumlah pengguna dan kepercayaan masyarakat terhadap platform tersebut.
Tim keamanan siber bank harus menggunakan alat monitoring yang canggih untuk memindai platform media sosial dan mendeteksi akun-akun yang mencurigakan. Ketika akun palsu ditemukan, bank harus segera melaporkannya ke platform media sosial tersebut untuk dihapus, dan menginformasikan kepada publik melalui saluran resmi bank.
Untuk mengatasi risiko ini, bank perlu secara aktif memantau aktivitas media sosial untuk mendeteksi dan menangani akun-akun palsu yang menyamar sebagai perwakilan bank. Tim keamanan siber bank harus menggunakan alat monitoring yang canggih untuk memindai platform media sosial dan mendeteksi akun-akun yang mencurigakan. Ketika akun palsu ditemukan, bank harus segera melaporkannya ke platform media sosial tersebut untuk dihapus, dan menginformasikan kepada publik melalui saluran resmi bank.
Selain itu, edukasi nasabah sangat penting dalam mitigasi risiko ini. Bank harus secara rutin memberikan informasi kepada nasabah tentang cara memverifikasi keaslian akun media sosial bank. Nasabah harus diberitahu untuk selalu memeriksa tanda verifikasi resmi seperti centang biru pada akun media sosial bank, dan untuk tidak memberikan informasi pribadi melalui pesan langsung di media sosial. Bank juga dapat membuat panduan dan video edukatif yang menjelaskan langkah-langkah untuk mengenali dan melaporkan akun palsu.
Dengan pemantauan yang ketat dan edukasi yang menyeluruh, bank dapat mengurangi risiko dari penipuan yang menyasar nasabah melalui akun palsu di media sosial. Menjaga komunikasi yang transparan dan menyediakan saluran verifikasi yang mudah diakses akan membantu nasabah merasa lebih aman dan waspada terhadap ancaman ini.
Penipuan melalui aplikasi chatbot palsu
Penipu membuat chatbot palsu yang menyerupai layanan pelanggan bank, dirancang untuk mendapatkan kepercayaan korban dan mencuri informasi pribadi mereka. Chatbot palsu ini sering kali diiklankan melalui media sosial, email, atau situs web yang tampak sah. Penipu menggunakan desain antarmuka yang mirip dengan chatbot resmi bank dan bahkan meniru bahasa serta gaya komunikasi layanan pelanggan bank tersebut untuk membuatnya terlihat lebih meyakinkan.
Selain itu, bank harus mengembangkan dan menerapkan teknologi deteksi yang canggih untuk mengidentifikasi dan memblokir chatbot palsu. Teknologi ini dapat mencakup penggunaan AI dan machine learning untuk menganalisis pola komunikasi dan perilaku yang mencurigakan. Bank juga dapat bekerja sama dengan penyedia layanan internet dan platform media sosial untuk cepat menghapus chatbot palsu yang ditemukan.
Untuk mengatasi risiko ini, bank perlu meningkatkan keamanan aplikasi chatbot resmi mereka. Ini termasuk menggunakan enkripsi end-to-end untuk semua komunikasi chatbot dan mengimplementasikan autentikasi dua faktor (2FA) untuk akses ke layanan chatbot. Bank juga harus terus mengedukasi nasabah tentang bagaimana cara mengidentifikasi chatbot resmi, memastikan nasabah hanya mengakses chatbot melalui aplikasi resmi bank atau situs web yang diverifikasi.
Selain itu, bank harus mengembangkan dan menerapkan teknologi deteksi yang canggih untuk mengidentifikasi dan memblokir chatbot palsu. Teknologi ini dapat mencakup penggunaan AI dan machine learning untuk menganalisis pola komunikasi dan perilaku yang mencurigakan. Bank juga dapat bekerja sama dengan penyedia layanan internet dan platform media sosial untuk cepat menghapus chatbot palsu yang ditemukan.
Chatbot palsu sering kali meminta nasabah untuk masuk dengan kredensial bank mereka atau memberikan informasi sensitif seperti nomor rekening, PIN, atau kode OTP. Dengan pemantauan yang ketat, teknologi deteksi yang canggih, dan edukasi nasabah yang berkelanjutan, bank dapat secara efektif mengurangi risiko dari penipuan yang menggunakan chatbot palsu.
Menyediakan saluran komunikasi resmi yang mudah diakses dan menginformasikan nasabah tentang langkah-langkah keamanan dapat membantu mereka merasa lebih aman dan waspada terhadap ancaman ini.
Ini adalah beberapa skenario yang mungkin terjadi dan mitigasi risikonya, namun inovasi dalam social engineering bisa jauh lebih beragam dan kompleks. Oleh karena itu, penting bagi kita untuk terus mengantisipasi berbagai kemungkinan yang bisa muncul.
Nah, pada bagian kedua tulisan ini, kita akan membahas bagaimana Otoritas Jasa Keuangan (OJK) sebagai regulator dapat berkontribusi secara signifikan dalam mengantisipasi dan mengurangi risiko ini. ■
*) Tuhu Nugraha, pengamat teknologi, principal Indonesia Applied Digital Economy & Regulatory Network (IADERN). Tulisan ini merupakan hasil kolaborasi digitalbank.id dengan IADERN yang bertujuan membangun literasi dan narasi AI yang baik untuk Indonesia.
