Credit image: Freepix
Bentuk Baru Serangan phising
Phising Email dan Pesan yang Dibuat oleh AI
Kemajuan pesat dalam Large Language Models (LLM) telah merevolusi taktik phising. Pada tahun 2025, penjahat siber dapat secara instan menghasilkan pesan phising yang sempurna dan sadar konteks, disesuaikan dengan individu atau organisasi tertentu:
Pesan yang dihasilkan AI secara dinamis menyesuaikan tone dan bahasa untuk meniru gaya komunikasi rekan kerja, vendor, atau eksekutif.
Dengan memvariasikan struktur kalimat dan menghindari kata kunci berbahaya yang diketahui, AI telah secara efektif menghilangkan “tanda bahaya” (red flags) yang dulu membantu pengguna mendeteksi upaya phising tradisional.
Phising Deepfake Suara dan Video
Teknologi deepfake telah berkembang menjadi kloning suara dan video real-time. Penyerang menggunakan AI untuk mereplikasi pola suara dan ekspresi wajah eksekutif tingkat tinggi, menciptakan panggilan video mendesak atau pesan suara yang tampak sepenuhnya autentik.
- Tujuan, meminta transfer uang segera (wire transfers) atau otorisasi akses dokumen sensitif.
- Konsekuensinya meningkatnya realisme deepfake phising membuat “konfirmasi visual” atau “verifikasi suara” menjadi tidak lagi dapat diandalkan tanpa langkah autentikasi tambahan.
Phising Kode QR (Quishing)
Kode QR, yang kini umum digunakan untuk pembayaran contactless, menu, dan kampanye pemasaran, telah menjadi vektor serangan utama. Quishing melibatkan penyematan URL berbahaya ke dalam kode QR:
- Cara Kerja: Mengarahkan korban ke portal login palsu, atau secara otomatis mengunduh malware ke perangkat seluler.
- Ancaman: Karena kode QR menyembunyikan URL tujuan, pengguna seringkali mempercayainya secara implisit, terutama di lokasi fisik seperti kafe, tempat konferensi, atau flyer yang dikirimkan melalui pos.
Phising Media Sosial dan Aplikasi Pesan
Phisher beralih dari saluran email tradisional ke platform media sosial dan aplikasi pesan terenkripsi seperti WhatsApp, Telegram, dan Signal, memanfaatkan sifat informal platform ini untuk:
- Membuat akun influencer atau merek palsu untuk mendistribusikan tautan berbahaya.
- Membajak akun yang terkompromi untuk menyebarkan pesan phising ke kontak tepercaya.
- Mengirim pesan langsung (Direct Messages) bertarget dengan file atau tautan berbahaya.
Phising-as-a-Service (PhaaS)
Ekonomi bawah tanah menawarkan phising kit siap pakai untuk disewa melalui platform PhaaS. Layanan ini menyediakan templat phising yang dapat disesuaikan, hosting untuk situs web palsu, bypass bawaan untuk Autentikasi Multi-Faktor (MFA), dan dashboard analitik. Dengan PhaaS, bahkan penjahat siber berketerampilan rendah pun dapat meluncurkan kampanye canggih.
