Penipuan Berikutnya: Munculnya Penipuan AI Vishing

Dalam keamanan siber, ancaman online yang ditimbulkan oleh AI dapat memiliki dampak yang sangat nyata pada individu dan organisasi di seluruh dunia. Penipuan phishing tradisional telah berkembang melalui penyalahgunaan alat AI, menjadi lebih sering, canggih, dan sulit dideteksi dengan setiap tahunnya. AI vishing mungkin merupakan teknik yang paling mengkhawatirkan di antara semua teknik tersebut.

Apa itu AI Vishing?

AI vishing adalah evolusi dari voice phishing (vishing), di mana penyerang berpura-pura menjadi individu tepercaya, seperti perwakilan bank atau tim dukungan teknis, untuk menipu korban agar melakukan tindakan seperti mentransfer dana atau memberikan akses ke akun mereka.

AI memperkuat penipuan vishing dengan teknologi seperti voice cloning dan deepfakes yang meniru suara individu tepercaya. Penyerang dapat menggunakan AI untuk mengotomatisasi panggilan telepon dan percakapan, memungkinkan mereka untuk menargetkan sejumlah besar orang dalam waktu yang relatif singkat.

AI Vishing di Dunia Nyata

Penyerang menggunakan teknik AI vishing secara tidak diskriminatif, menargetkan siapa saja dari individu rentan hingga bisnis. Serangan ini telah terbukti sangat efektif, dengan jumlah orang Amerika yang kehilangan uang karena vishing meningkat 23% dari 2023 hingga 2024. Untuk memahami hal ini, kita akan mengeksplorasi beberapa serangan AI vishing yang paling terkenal yang telah terjadi selama beberapa tahun terakhir.

Penipuan Bisnis Italia

Pada awal 2025, penipu menggunakan AI untuk meniru suara Menteri Pertahanan Italia, Guido Crosetto, dalam upaya menipu beberapa pemimpin bisnis Italia yang paling terkenal, termasuk desainer fashion Giorgio Armani dan co-pendiri Prada Patrizio Bertelli.

Dengan berpura-pura sebagai Crosetto, penyerang mengklaim membutuhkan bantuan keuangan darurat untuk pembebasan seorang jurnalis Italia yang diculik di Timur Tengah. Hanya satu target yang terjebak dalam penipuan ini – Massimo Moratti, mantan pemilik Inter Milan – dan polisi berhasil mengambil kembali dana yang dicuri.

Perusahaan Hotel dan Travel dalam Bahaya

Menurut Wall Street Journal, kuartal terakhir 2024 melihat peningkatan signifikan dalam serangan AI vishing pada industri perhotelan dan travel. Penyerang menggunakan AI untuk meniru agen perjalanan dan eksekutif perusahaan untuk menipu staf meja depan hotel agar mengungkapkan informasi sensitif atau memberikan akses tidak sah ke sistem.

Mereka melakukannya dengan mengarahkan staf layanan pelanggan yang sibuk, seringkali selama jam operasional puncak, untuk membuka email atau browser dengan lampiran berbahaya. Karena kemampuan luar biasa untuk meniru mitra yang bekerja dengan hotel melalui alat AI, penipuan telepon dianggap sebagai “ancaman konstan”.

Penipuan Romansa

Pada 2023, penyerang menggunakan AI untuk meniru suara anggota keluarga dalam kesulitan dan menipu orang tua dari sekitar $200.000. Panggilan penipuan sulit dideteksi, terutama bagi orang tua, tetapi ketika suara di ujung lain dari telepon terdengar persis seperti anggota keluarga, mereka hampir tidak terdeteksi. Perlu diingat bahwa insiden ini terjadi dua tahun yang lalu—pencarian suara AI telah berkembang lebih canggih sejak saat itu.

AI Vishing-as-a-Service

AI Vishing-as-a-Service (VaaS) telah menjadi kontributor utama bagi pertumbuhan AI vishing selama beberapa tahun terakhir. Model langganan ini dapat mencakup kemampuan spoofing, prompt kustom, dan agen yang dapat disesuaikan, memungkinkan aktor jahat meluncurkan serangan AI vishing dalam skala besar.

Di Fortra, kami telah melacak PlugValley, salah satu pemain kunci di pasar AI Vishing-as-a-Service. Upaya ini telah memberi kami wawasan tentang ancaman grup dan, mungkin lebih penting, membuat jelas seberapa canggih dan sofistikasi serangan vishing telah menjadi.

PlugValley: AI VaaS Terbongkar

Bot vishing PlugValley memungkinkan aktor ancaman untuk mengirimkan suara yang sangat mirip dengan aslinya dan dapat disesuaikan untuk memanipulasi korban potensial. Bot dapat beradaptasi dalam waktu nyata, meniru pola bicara manusia, spoof ID pemanggil, dan bahkan menambahkan suara latar call center ke panggilan suara. Ini membuat penipuan AI vishing seolah-olah sangat autentik, membantu penjahat siber mencuri kredensial perbankan dan kata sandi satu kali (OTPs).

PlugValley menghilangkan hambatan teknis bagi penjahat siber, menawarkan teknologi penipuan yang dapat diskalakan dengan biaya langganan bulanan yang nominal.

Penyedia AI VaaS seperti PlugValley tidak hanya menjalankan penipuan; mereka mengindustrialisasi phishing. Mereka mewakili evolusi terbaru dari teknik rekayasa sosial, memungkinkan penjahat siber untuk memanfaatkan alat pembelajaran mesin (ML) dan mengambil keuntungan dari orang-orang dalam skala besar.

Melindungi Diri dari AI Vishing

Teknik rekayasa sosial yang didorong AI, seperti AI vishing, akan menjadi lebih umum, efektif, dan canggih dalam beberapa tahun mendatang. Oleh karena itu, sangat penting bagi organisasi untuk menerapkan strategi proaktif seperti pelatihan kesadaran karyawan, sistem deteksi penipuan yang ditingkatkan, dan intelijen ancaman waktu nyata,

Pada tingkat individu, panduan berikut dapat membantu dalam mengidentifikasi dan menghindari upaya AI vishing:

• Bersikap Skeptis terhadap Panggilan yang Tidak Diinginkan: Berhati-hati dengan panggilan telepon yang tidak terduga, terutama yang meminta detail pribadi atau keuangan. Organisasi yang sah biasanya tidak meminta informasi sensitif melalui telepon. ​
• Verifikasi Identitas Pemanggil: Jika pemanggil mengklaim mewakili organisasi yang dikenal, verifikasi identitas mereka secara independen dengan menghubungi organisasi tersebut langsung menggunakan informasi kontak resmi. ​WIRED menyarankan membuat kata sandi rahasia dengan keluarga untuk mendeteksi serangan vishing yang mengaku sebagai anggota keluarga.
• Batasi Berbagi Informasi: Hindari mengungkapkan informasi pribadi atau keuangan selama panggilan yang tidak diinginkan. Berhati-hati jika pemanggil menciptakan rasa urgensi atau mengancam dengan konsekuensi negatif. ​
• Edukasi Diri dan Orang Lain: Tetaplah mendapatkan informasi tentang taktik vishing yang umum dan bagikan pengetahuan ini dengan teman dan keluarga. Kesadaran adalah pertahanan kritis melawan serangan rekayasa sosial.​
• Laporkan Panggilan yang Mencurigakan: Informasikan otoritas yang relevan atau lembaga perlindungan konsumen tentang upaya vishing. Pelaporan membantu melacak dan mitigasi kegiatan penipuan.

Dengan semua indikasi, AI vishing ada untuk tetap ada. Bahkan, kemungkinan akan terus meningkat dalam volume dan eksekusi. Dengan keberadaan deep-fakes dan kemudahan adopsi kampanye dengan model sebagai-layanan, organisasi harus mengantisipasi bahwa mereka akan, pada suatu titik, menjadi target serangan.

Pendidikan karyawan dan deteksi penipuan adalah kunci untuk mempersiapkan dan mencegah serangan AI vishing. Kesofistikasian AI vishing dapat menyebabkan bahkan profesional keamanan yang terlatih percaya pada permintaan atau narasi yang tampaknya autentik. Oleh karena itu, strategi keamanan yang komprehensif dan berlapis yang mengintegrasikan perlindungan teknis dengan tenaga kerja yang terinformasi dan waspada secara konsisten sangat penting untuk mitigasi risiko yang ditimbulkan oleh phishing AI.