Oleh Brian Long, CEO dan Salah Satu Pendiri, Adaptive Security
Pada bulan Maret 2025, seorang direktur keuangan di sebuah perusahaan multinasional di Singapura bergabung dalam panggilan Zoom rutin dengan tim kepemimpinan seniornya. CFO ada di sana. Eksekutif lain muncul di layar. Semua orang tampak benar. Semua orang terdengar benar.
Dia mengizinkan transfer $499.000 sebelum ada yang menandai penipuan tersebut. Setiap wajah dalam panggilan itu dihasilkan oleh AI.
Serangan ini memiliki template. Pada awal tahun 2024, pendekatan yang sama digunakan untuk mencuri $25,6 juta dari Arup, salah satu perusahaan teknik terbesar di dunia, dalam satu sore. Metode ini telah menyebar luas, dan alat di baliknya semakin murah dan mudah digunakan setiap bulannya.
Organisasi-organisasi yang telah menghentikan serangan-serangan ini menemukan jawaban yang sama: latih karyawan Anda untuk berhenti sejenak dan memverifikasi sebelum bertindak.
Alat untuk Menjalankan Serangan Ini Hampir Tidak Membutuhkan Biaya
Mengkloning suara seseorang membutuhkan audio tiga detik dan unduhan gratis.
Tiga detik dari pesan suara, tampilan podcast, panggilan pendapatan, atau video LinkedIn adalah semua yang dibutuhkan model AI saat ini untuk menghasilkan replika suara yang sepenuhnya interaktif secara real-time. Model ini berjalan offline, tidak memerlukan latar belakang teknis dan tidak memerlukan biaya apa pun.
Insiden suara deepfake meningkat 680% dari tahun ke tahun pada tahun 2025. Lebih dari 100.000 serangan tercatat di Amerika Serikat dalam satu tahun. Alat di baliknya tersedia di repositori publik, tidak dimoderasi, dan dijalankan pada perangkat keras konsumen standar.
Apa yang membuat serangan-serangan ini begitu efektif adalah persiapan di baliknya. Sebelum melakukan satu panggilan, penyerang memetakan bagan organisasi organisasi target, mengidentifikasi siapa yang memegang otoritas keuangan, dan mempelajari alur kerja persetujuan standar untuk transfer kawat.
Pada saat telepon berdering, naskahnya sudah ditulis.
Tumpukan Keamanan Anda Dibangun untuk Serangan Berbeda
Serangan deepfake menargetkan orang secara langsung. Itu muncul sebagai percakapan: wajah yang familier di layar Zoom, suara yang cocok, permintaan mendesak yang terdengar seperti permintaan lainnya.
Panggilan telepon, rapat video, dan permintaan suara berada di luar semua hal yang harus diperiksa oleh tumpukan keamanan Anda.
Tumpukan keamanan paling canggih di dunia tidak akan menghentikan serangan ini jika karyawan yang menerima panggilan tersebut tidak pernah dilatih untuk mengenalinya.
Tim Keuangan Adalah Target Utama. Kebanyakan Belum Pernah Dilatih untuk Ini.
Sasaran dalam serangan ini adalah Pengendali, spesialis hutang, dan koordinator SDM yang menangani penggajian. Penyerang deepfake juga menghubungi meja bantuan TI dengan permintaan pengaturan ulang kredensial yang mendesak, yang disampaikan dengan suara yang persis seperti CTO. Karyawan ini memiliki wewenang untuk memindahkan uang dan mengubah data rekening.
Serangan yang terjadi lebih dari yang diperkirakan sebagian besar pemimpin keamanan. Persona AI kini muncul dalam saluran perekrutan, dibuat dari profil LinkedIn yang dicuri dan dirancang untuk lolos wawancara video. Setelah dipekerjakan, mereka mendapatkan akses ke sistem internal, kode sumber, dan data perusahaan.
Ketika saya mulai berbicara dengan CISO tentang ancaman ini delapan belas bulan yang lalu, sekitar satu dari sepuluh orang telah melihat serangan deepfake yang berhasil di organisasi mereka.
Saat ini, jumlah tersebut sudah lebih dari setengahnya. Kebanyakan dari apa yang saya dengar tidak pernah menjadi berita. Perusahaan mempunyai sedikit insentif untuk mengungkapkan bahwa klon suara hanya berharga $500.000.
Skala Finansial dari Masalah Ini Berkembang Pesat
Kerugian akibat penipuan deepfake melebihi $200 juta dalam empat bulan pertama tahun 2025 saja. Setahun penuh pada tahun 2024 mengalami total kerugian sebesar $359 juta. Penipuan deepfake global kini telah melampaui kerugian sebesar $2,19 miliar, dan Amerika Serikat merupakan negara dengan kerugian terbesar.
Di antara organisasi yang kehilangan uang karena serangan deepfake, 61% melaporkan kerugian di atas $100.000. Hampir 19% melaporkan kerugian di atas $500.000.
Ini hanya kerugian yang dilaporkan. Jumlah sebenarnya jauh lebih tinggi.
Menjalankan serangan ini dalam skala besar memerlukan tiga hal: nama, sampel audio berdurasi tiga detik, dan satu karyawan tanpa protokol verifikasi. Kombinasi tersebut ada di hampir setiap organisasi saat ini.
Membangun Refleks Sebelum Panggilan Datang
Perusahaan-perusahaan yang menghentikan serangan ini sebelum uang mengalir semuanya melakukan satu hal: mereka melatih karyawannya untuk melakukan verifikasi sebelum bertindak, terlepas dari seberapa familiar atau mendesaknya permintaan tersebut.
Ada tiga pengendalian yang tidak memerlukan biaya apa pun: kode sandi verbal untuk setiap permintaan keuangan bernilai tinggi, persyaratan panggilan balik pada nomor yang telah disimpan sebelumnya sebelum menyetujui transfer kawat apa pun, dan kebijakan tetap bahwa urgensi dalam setiap permintaan keuangan adalah alasan untuk memperlambat. Saat ini, sebagian besar organisasi tidak menerapkan hal-hal tersebut.
Pada bulan Juli 2025, seorang penyerang menggunakan suara yang dihasilkan AI untuk menyamar sebagai Menteri Luar Negeri Marco Rubio, dan mengirimkan pesan suara melalui Signal kepada menteri luar negeri, senator yang menjabat, dan gubernur. Tidak ada penerima yang menindaklanjuti pesan tersebut.
Permintaan tersebut datang melalui aplikasi pesan konsumen tidak resmi, dan ketidakkonsistenan itu saja sudah cukup untuk memicu pengawasan. Insiden itu dilaporkan ke Departemen Luar Negeri sebelum ada yang menanggapi. Serangan tersebut gagal karena penerimanya berhenti sejenak sebelum bertindak.
Modul kepatuhan setahun sekali tidak akan membangun naluri seperti itu. Audio deepfake dirancang agar terdengar tepat. Seorang karyawan yang belum pernah mengalami serangan klon suara tidak bisa berbuat apa-apa ketika CFO mereka menelepon meminta transfer segera. Refleksnya harus dibangun sebelum panggilan itu datang.
Di Adaptive Security, kami menyimulasikan serangan deepfake yang didukung AI pada suara, SMS, email, dan video. Ketika seorang karyawan menerima panggilan dari versi kloning CFO mereka yang meminta transfer kawat mendesak, itu adalah sebuah ujian.
Jika gagal, platform akan menyesuaikan skor risikonya dan memberikan pelatihan yang dipersonalisasi yang terkait langsung dengan skenario tersebut. Tim keamanan mendapatkan gambaran yang jelas dan real-time tentang tempat-tempat yang paling rentan bagi mereka dan dapat bertindak sebelum penyerang melakukannya.
Kesenjangan antara suara sintetis dan suara manusia semakin mengecil lebih cepat dari apa yang dipersiapkan sebagian besar organisasi. Tim yang menjalankan simulasi dan membangun kebiasaan verifikasi saat ini adalah tim yang akan menerima keputusan sebelum transfer selesai.
Tiga detik suara CEO Anda sudah ada di internet. Pastikan tim Anda tahu apa yang harus dilakukan saat dipanggil.
Untuk mempelajari bagaimana Keamanan Adaptif membantu organisasi mencegah serangan rekayasa sosial yang didukung AI, kunjungi keamanan adaptif.com.
Disponsori dan ditulis oleh Keamanan Adaptif.
