Image credit: Magnific
Menangkal Pembajakan Akun via Selfie Video AI – Dunia media sosial tengah digemparkan oleh gelombang pembajakan akun Instagram berskala besar.
Yang menyasar deretan akun langka dan bernilai tinggi. Uniknya, serangan kali ini tidak menggunakan teknik peretasan kode biner yang rumit.
Para penjahat siber berhasil mengambil alih kepemilikan akun dengan cara memanipulasi dan mengelabui sistem layanan konsumen berbasis Kecerdasan Buatan (AI) milik Meta hingga robot tersebut percaya bahwa si peretas adalah pemilik akun yang sah.
Ironisnya, setelah pembajakan terjadi, para korban justru terjebak dalam lingkaran setan tanpa akhir. Mereka sama sekali tidak bisa memulihkan akses karena sistem bantuan pemulihan Meta sepenuhnya dijalankan secara otomatis oleh program chatbot AI tanpa adanya intervensi agen manusia (zero humans in the loop).
Sejumlah pemilik akun berharga melaporkan bahwa akun mereka raib seketika pada awal Juni 2026, padahal mereka telah mengaktifkan sistem keamanan ganda yang ketat, termasuk verifikasi pemindaian wajah serta fitur otentikasi dua faktor (2FA).
Menyulap Foto Menjadi Video Animasi AI
Di antara deretan korban yang terkonfirmasi tumbang akibat serangan ini adalah:
- Akun historis yang dulunya digunakan oleh tim Gedung Putih era Presiden Obama.
- Akun milik peneliti aplikasi ternama Jane Manchun Wong.
- Serta akun dengan nama pengguna (username) sangat langka seperti @hey dan @korn.
Pemilik akun @korn (identik dengan nama grup band rock legendaris, meski band tersebut secara resmi menggunakan akun lain) meluapkan frustrasinya di media sosial mengenai betapa buruknya mekanisme pemulihan data Meta yang sangat membuang waktu.
Mekanisme pembajakan ini dinilai para peneliti sangat sepele namun fatal. Aktor ancaman hanya perlu menginisiasi obrolan dengan asisten AI Meta.
Meyakinkannya bahwa mereka adalah pemilik sah yang terkunci dari luar, lalu menjebak robot tersebut untuk mengganti alamat email yang tertaut pada akun target.
|
Baca juga: Double Extortion Targetkan Gamers |
Menyulap Foto Menjadi Video Animasi AI
Proses pengambilalihan akun (account takeover) ini berjalan dengan memanfaatkan fitur pemulihan standar. Peretas sengaja mengaktifkan protokol “lupa kata sandi” dengan alasan akun mereka telah diretas.
Ketika sistem keamanan AI Instagram meminta pengguna mengunggah video selfie untuk memverifikasi wajah (facial scan verification), peretas melancarkan trik licik.
Pelaku mengambil foto wajah target yang tersedia di galeri akun Instagram korban, kemudian memasukkan foto tersebut ke dalam program AI generator video.
Yang menyulapnya menjadi animasi gerakan kepala yang tampak hidup. Video selfie manipulatif bertenaga AI (deepfake) inilah yang kemudian diunggah ke sistem verifikasi Meta.
Rantai Serangan Manipulasi AI Meta
- Peretas Memicu Fitur “Lupa Kata Sandi” pada Akun Target
- Peretas Mengambil Foto Korban & Mengubahnya Jadi Video Animasi
- Menggunakan AI Video Generator (Deepfake Selfie)
- Peretas Menggunakan VPN agar Lokasi Geografis Terlihat Sama dengan Wilayah Operasional Rutin Milik Korban
- AI Dukungan Meta Menerima Video Palsu & Mengganti Email Akun
- Peretas Reset Kata Sandi via Email Baru & Lewati Proteksi 2FA
Sistem kecerdasan buatan milik Meta langsung menerima video tersebut tanpa curiga karena algoritma mereka saat ini belum mampu membedakan dengan akurat.
Perbedaan detil antara video selfie manusia asli dengan video animasi hasil rekayasa AI. Begitu video diterima, AI Meta otomatis mengganti alamat email akun ke email milik peretas.
Dari sana, peretas tinggal melakukan setel ulang kata sandi melalui email baru tersebut dan menerima kode keamanan untuk masuk, melewati seluruh proteksi 2FA yang terpasang sebelumnya.
Guna meloloskan diri dari pemeriksaan geolokasi, peretas juga memanfaatkan layanan VPN agar alamat IP mereka terlihat seolah-olah terhubung dari wilayah geografis rutin milik korban.
|
Baca juga: Serangan Rantai Pasok Incar Jantung Pengembangan Aplikasi |
Nilai Tinggi Akun Satu Huruf di Pasar Gelap
Selain akun-akun di atas, beberapa laporan daring mengklaim bahwa akun super langka satu huruf seperti @e dan @f juga berhasil dikuasai melalui eksploitasi aktif ini.
Meski ada spekulasi lain yang menyatakan bahwa akun-akun satu huruf tersebut berpindah tangan akibat adanya keterlibatan “orang dalam” (internal privileges) di Meta, kebenaran mutlak mengenai klaim tersebut masih dalam tahap investigasi lebih lanjut.
Di pasar gelap kejahatan siber (dark web), nama pengguna satu huruf atau nama panggilan populer (og usernames) memiliki nilai ekonomis yang sangat tinggi.
Karena jumlahnya yang sangat terbatas dan tidak mungkin diproduksi lagi, akun-akun ini kerap diperjualbelikan di forum bawah tanah dengan harga mencapai puluhan ribu dolar AS per akun.
Meskipun Meta belum merilis pernyataan pers resmi, Wakil Presiden Komunikasi Meta, Andy Stone, sempat memberikan respons singkat melalui media sosial.
Respon itu untuk salah satu korban yang terdampak, menyatakan bahwa masalah tersebut sedang ditangani dan pihak perusahaan tengah bergerak.
Ancaman Kerentanan Identitas Biometrik
Sebagai referensi pembanding untuk memperkaya isi artikel, para peneliti keamanan digital menegaskan bahwa insiden ini membuka mata industri teknologi mengenai bahaya laten dari otomatisasi penuh tanpa pengawasan manusia (automated loophole).
Di sepanjang tahun 2026, penggunaan teknologi deepfake berbasis kecerdasan buatan telah mencapai tingkat kematangan yang mengkhawatirkan.
Ketika identitas biometrik seperti wajah dan suara yang awalnya dianggap sebagai benteng pertahanan terakhir kini dapat diduplikasi secara digital hanya dari bermodalkan satu lembar foto statis, maka sistem otentikasi berbasis visual murni sudah tidak lagi aman.
Ketergantungan perusahaan teknologi besar pada chatbot pelayanan mandiri demi menekan biaya operasional justru menjadi bumerang yang mematikan, karena sistem kecerdasan buatan terbukti sangat mudah dijebak menggunakan logika rekayasa sosial (social engineering) terstruktur.
|
Baca juga: Operasi Senyap di Asia Bawa Malapetaka |
Langkah-langkah Melindungi Diri
Guna meminimalisasi risiko menjadi korban dari eksploitasi pengambilalihan akun berbasis AI ini, para peneliti siber dan tim ahli dari ESET membagikan beberapa langkah proteksi praktis yang dapat Anda terapkan:
1. Batasi Publikasi Foto Wajah Close-Up.
Karena peretas membutuhkan foto wajah yang jelas dan menghadap ke depan untuk membuat animasi deepfake selfie.
Pertimbangkan untuk tidak membagikan foto profil dengan resolusi terlalu tinggi atau foto close-up yang sangat jernih di platform publik yang bisa diakses siapa saja.
2. Gunakan Metode Otentikasi Non-SMS.
Untuk mengamankan akun media sosial bernilai tinggi, tinggalkan sistem pengiriman kode lewat SMS. Gunakan aplikasi otentikasi khusus (Authenticator App).
Atau kunci keamanan fisik berbasis perangkat keras (Hardware Security Key) seperti YubiKey yang terikat secara kriptografis pada perangkat fisik Anda.
3. Segera Amankan Dokumen Identitas Cadangan.
Simpan kode pemulihan cadangan (backup codes) yang diberikan saat pertama kali mengaktifkan 2FA di tempat yang aman dan terisolasi dari internet.
4. Gunakan Lapisan Proteksi Proaktif dari ESET.
Solusi perlindungan siber dari ESET memberikan pertahanan perimeter yang komprehensif untuk melindungi kehidupan digital Anda.
Melalui teknologi Anti-Phishing dan modul pengamanan identitas yang terintegrasi, ESET secara aktif memantau jika ada aktivitas mencurigakan atau upaya aplikasi pihak ketiga yang mencoba memanen data kredensial dan token sesi media sosial Anda.
Sistem pertahanan ESET juga dipersenjatai dengan enkripsi tingkat tinggi yang melindungi folder penyimpanan data penting Anda, memastikan peretas tidak dapat mencuri data sensitif.
Maupun metadata perangkat yang biasa Anda gunakan untuk masuk ke akun Instagram, sehingga sistem AI Meta tidak akan mudah terkecoh oleh manipulasi lokasi atau perangkat palsu yang dilancarkan oleh penjahat siber.
Bukan Sekedar Algoritma
Kasus pembajakan akun Instagram melalui manipulasi AI Meta ini menjadi pelajaran berharga bagi perkembangan lanskap keamanan siber global.
Teknologi pertahanan yang terlalu mengandalkan otomatisasi tanpa menyertakan logika pengawasan manusia justru melahirkan celah keamanan baru yang fatal.
Ketika senjata AI berbalik arah digunakan oleh peretas untuk mengelabui pertahanan AI milik penyedia layanan, pengguna akhirlah yang harus menanggung kerugian hilangnya aset digital berharga mereka. Keberhasilan mitigasi ke depan tidak lagi cukup hanya dengan memperkuat algoritma.
Sumber berita:
