Apakah Deepfakes Merupakan Panggilan Spam Baru? Berikut Cara Melindungi Diri dari Mereka

Jika Anda melihat deepfake dari CEO perusahaan Anda, apakah Anda dapat membedakannya dari yang asli? Ini adalah tantangan yang mengkhawatirkan yang dihadapi oleh organisasi di seluruh dunia dengan frekuensi yang sering. Bahkan, baru-baru ini, sebuah raksasa periklanan menjadi target deepfake dari CEO-nya. Sebuah gambar publik dari eksekutif tersebut digunakan untuk mengatur pertemuan Microsoft Teams di mana voice clone dari eksekutif tersebut – yang diambil dari video YouTube – diterapkan. Meskipun serangan ini tidak berhasil, hal ini memperlihatkan gambaran yang lebih besar tentang taktik yang digunakan oleh penjahat siber dengan informasi yang tersedia secara publik – dan ini hanya puncak dari gunung es.

Teknologi telah menjadi sangat canggih sehingga hanya sekitar half of IT leaders today memiliki kepercayaan tinggi dalam kemampuan mereka untuk mendeteksi deepfake dari CEO mereka. Keadaan ini diperburuk oleh penjahat siber yang tidak hanya meniru CEO, tetapi juga seluruh tim kepemimpinan, dengan CFOs menjadi target populer, juga. Deepfakes semakin mudah dibuat. Bahkan, pencarian Google yang cepat tentang “cara membuat deepfake” menghasilkan berbagai artikel dan tutorial YouTube tentang cara membuatnya. Biaya menjadi sangat rendah, yang berarti deepfakes pada dasarnya merupakan panggilan spam baru.

Panggilan spam sangat umum hari ini. Bahkan, Federal Communications Commission (FCC) mengklaim bahwa konsumen AS menerima sekitar 4 billion robocalls per bulan, dan kemajuan teknologi membuatnya sangat murah dan sangat menguntungkan, bahkan dengan tingkat keberhasilan yang rendah. Deepfakes mengikuti jejaknya. Penjahat siber akan menggunakan teknologi deepfake untuk menipu karyawan yang tidak curiga bahkan lebih dari sekarang, dan deepfakes akan menjadi kejadian sehari-hari bagi konsumen rata-rata. Mari kita jelajahi strategi yang dapat diterapkan oleh pemimpin untuk melindungi organisasi, karyawan, dan pelanggan dari ancaman ini.

Tetapkan Pedoman Kuat

Pertama, pemimpin perlu menetapkan pedoman kuat dalam organisasi mereka. Pedoman ini perlu datang dari atas, dimulai dengan CEO, dan dikomunikasikan secara teratur. Misalnya, CEO perlu menjelaskan dengan tegas kepada seluruh perusahaan bahwa mereka tidak akan pernah membuat permintaan aneh atau acak kepada karyawan, seperti membeli beberapa kartu hadiah seharga $100 – taktik phishing yang umum. Serangan ini sering kali berhasil karena mereka berasal dari posisi kepemimpinan dan tidak dipertanyakan. Namun, karena deepfake CEO menjadi lebih umum, kita menjadi lebih sadar bahwa mereka sebenarnya tidak nyata. Sebagai hasilnya, saya antisipasi mereka akan bekerja ke bawah organisasi, termasuk VPs, Direktur, manajer garis depan, dan bahkan rekan.

Coba pikir: memiliki rekan atau manajer langsung Anda meminta permintaan kepada Anda adalah hal yang biasa. Mengapa Anda harus memiliki alasan untuk mempertanyakannya? Pedoman juga dapat terkait dengan penggunaan alat deepfake dalam organisasi Anda, termasuk melarang penggunaan mereka pada teknologi milik perusahaan. Menetapkan pedoman dan pengaman ini hanya langkah pertama.

Konfirmasi Permintaan Melalui Berbagai Saluran

Kedua, ketika permintaan perlu dibuat, harus ada strategi untuk mengkonfirmasi permintaan tersebut melalui berbagai mode komunikasi. Contoh bisa jika permintaan datang dari CEO, permintaan tersebut akan dibagikan melalui email dan akan termasuk follow-up melalui platform pesan instan yang digunakan di tempat kerja. Jika tidak ada follow-up, karyawan harus mengabaikan permintaan atau proaktif mengkonfirmasi melalui Slack, kemudian memberitahu tim keamanan internal sesuai dengan kebijakan keamanan mereka. Serupa, mungkin permintaan dibuat melalui pertemuan Teams, mirip dengan taktik yang digunakan untuk deepfake perusahaan periklanan. Permintaan ini kemudian perlu memiliki konfirmasi email dan/atau konfirmasi Slack. Lebih baik lagi, dikonfirmasi melalui panggilan telepon cepat jika berjalan ke meja mereka secara fisik tidak memungkinkan. Proses ini harus dikomunikasikan secara teratur dan kepada seluruh organisasi untuk menjaga mereka tetap di atas pikiran. Kemudian, ketika upaya diketahui, tetapkan proses untuk membagikan contoh secara luas di seluruh organisasi untuk menciptakan pengenalan pola dari jenis ancaman yang harus diketahui oleh semua orang.

Lakukan Pelatihan Secara Teratur

Ketiga, organisasi harus menerapkan pelatihan perusahaan secara teratur untuk menjaga deepfakes, dan jenis serangan penipuan identitas lainnya, di garis depan pikiran karyawan. Ini berguna untuk beberapa alasan. Karyawan mungkin tidak tahu apa itu deepfake atau tahu bahwa suara dan video bisa dipalsukan. Selain itu, karyawan mungkin mengikuti pola “out of sight, out of mind” – jika deepfakes tidak berada di garis depan pikiran, mereka mungkin dengan mudah menjadi korban serangan. Penelitian menunjukkan bahwa karyawan yang menerima pelatihan keamanan siber menunjukkan kemampuan yang jauh lebih baik untuk mengenali ancaman siber potensial.

Deepfakes tidak akan pergi, dan mereka menjadi semakin sering dan sulit dideteksi. Namun, dengan menetapkan pedoman, memverifikasi permintaan melalui berbagai rute, dan menerapkan pelatihan konsisten di seluruh organisasi, kita dapat lebih siap dan melindungi diri dari ancaman ini. Di dunia digital yang semakin meningkat, ketekunan kita untuk mempercayai lebih sedikit dan memverifikasi lebih banyak akan sangat penting dalam mempertahankan keamanan dan integritas identitas digital kita.