Kecerdasan buatan mengubah cara penjahat dunia maya memanipulasi perilaku manusia.
Tanda-tanda email phishing seperti kalimat yang janggal, sapaan yang umum, dan format yang janggal, kini digantikan oleh pesan yang halus dan sadar konteks yang dibuat oleh model bahasa besar.
Teknologi deepfake bahkan kini dapat mengkloning suara CEO untuk menghasilkan pesan video yang meyakinkan dalam hitungan menit. Teknik ini telah digunakan untuk menipu organisasi sebesar puluhan juta dolar.
Dalam laporan Rekayasa Sosial dan Elemen Manusia LevelBlue, 59% organisasi mengatakan semakin sulit bagi karyawan untuk membedakan antara interaksi nyata dan palsu.
Manajer Riset Keamanan di LevelBlue SpiderLabs.
Sementara itu, semakin banyak musuh yang memadukan rekayasa sosial berbasis AI dengan penyusupan rantai pasokan, pencurian kredensial, dan pengintaian otomatis.
Bersama-sama, vektor-vektor ini mengubah rekayasa sosial dari masalah manusia menjadi risiko bisnis yang sistemik.
Kesenjangan yang semakin besar
Kesenjangan antara kesadaran dan tindakan semakin melebar. Meskipun pengendalian teknis terus berkembang, perilaku manusia tetap menjadi kerentanan yang paling banyak dieksploitasi.
Lagi pula, lebih mudah menambal sistem TI daripada menambal manusia. Penyerang telah belajar bahwa menipu seseorang seringkali lebih mudah daripada meretas sistem, dan AI memberi mereka kecepatan dan ketepatan untuk melakukan keduanya.
Keunggulan taktis baru AI
Peralihan vektor dinamis: Pelaku ancaman dapat memulai dengan email yang tidak berbahaya, mengukur keterlibatan (pembukaan, klik), lalu berputar dalam rangkaian pesan yang sama untuk mengirimkan muatan suara atau video. Ketangkasan ini membuat pelatihan kesadaran statis menjadi kurang efektif.
Pembuatan persona dalam skala besar: Menggunakan data agregat dari media sosial dan pelanggaran dump, musuh dapat membangun persona digital yang kredibel, lengkap dengan nama, peran, dan nada suara, dan menggunakannya untuk menyusup ke organisasi.
Eskalasi deepfake: Audio atau video yang dihasilkan AI dapat disisipkan di tengah percakapan: “Maaf, ponsel saya tertinggal di ruangan lain – hubungi saya di saluran ini,” atau “Ini instruksi transfer kawat yang diperbarui.” Keakraban dengan suara atau wajah yang dikenal mungkin membuat karyawan lengah.
Dorongan permusuhan dan rangkaian cepat: Penyerang menyempurnakan perintah AI generatif secara berulang: “Buat agar terdengar lebih formal,” atau “Sertakan baris tentang kinerja triwulanan.” Setiap iterasi membuat pesan lebih dapat dipercaya dan tepat sasaran.
Teknik-teknik ini mengaburkan tampilan “normal” dalam komunikasi digital. Bahkan berpengalaman keamanan para profesional mungkin merasa sulit untuk menarik garis antara asli dan buatan.
Mengapa manusia masih menjadi engselnya
Pertahanan teknis seperti filter email, zero-trust arsitekturdan deteksi anomali tetap penting, namun serangan yang didukung AI mengeksploitasi penilaian, bukan kode. Setiap kampanye rekayasa sosial pada akhirnya bergantung pada keputusan manusia untuk mengklik, membagikan, menyetujui, atau memberi otorisasi.
Organisasi yang tangguh memahami bahwa keamanan sejati melibatkan penguncian sistem dan membangun penilaian ke dalam alur kerja. Lalu, bagaimana cara mencapai keseimbangan tersebut?
1. Keterlibatan eksekutif dan kesadaran AI
Rekayasa sosial yang digerakkan oleh AI harus diperlakukan sebagai ancaman yang penting bagi bisnis. Eksekutif, pemimpin teknik, dan DevOps semua tim memerlukan visibilitas tentang bagaimana AI dapat menargetkan API, perjalanan pelanggan, atau proses internal.
Ketika dewan memasukkan risiko AI ke dalam tata kelola bersama dengan skalabilitas dan kepatuhan, investasi pada sumber daya manusia meningkat seiring dengan investasi pada teknologi.
2. Simulasikan rantai serangan AI
Uji phishing tahunan tidak lagi mencerminkan lanskap ancaman saat ini. Latihan tim merah modern harus meniru serangan yang disempurnakan dengan AI – menyatukan email, perintah suara, dan deepfake dalam simulasi yang sama.
Lacak titik data seperti kapan pengguna melihat anomali dan cara mereka merespons penipuan yang semakin meningkat. Hal ini membantu mengidentifikasi di mana pelatihan atau penguatan proses paling dibutuhkan.
3. Deteksi lapisan AI dengan filter manusia
Organisasi harus menggabungkan mesin pendeteksi yang didukung AI seperti deepfake, anomali suara, dan analisis perilaku, dengan verifikasi manusia yang terstruktur.
Konten yang mencurigakan harus memicu pemeriksaan respons tantangan atau konfirmasi di luar kebiasaan. AI mungkin menangkap anomali, tetapi manusia memberikan konteks dan maksud. Bersama-sama, mereka menciptakan lingkaran pertahanan yang tertutup.
4. Pembandingan eksternal dan pelatihan evolusioner
Pelaku ancaman terus berinovasi dan pertahanan juga harus melakukan hal yang sama. Bermitra dengan pakar keamanan siber untuk penilaian “red-team-as-a-service” secara berkala membantu mengidentifikasi titik-titik buta (blind spot) dan memperbarui pelatihan berdasarkan taktik AI yang sedang berkembang.
Pembelajaran modular yang berkelanjutan, diperbarui setiap triwulan dengan data ancaman langsung, memastikan tim tetap selaras dengan teknik-teknik terbaru dibandingkan pedoman tahun lalu.
Membangun ketahanan manusia di era AI
AI generatif telah mengaburkan batas antara asli dan buatan, namun juga menegaskan kembali pentingnya penilaian manusia. Teknologi dapat memunculkan anomali, namun hanya manusia yang dapat memutuskan apakah akan memercayai, memverifikasi, atau bertindak.
Organisasi-organisasi yang akan tetap menjadi yang terdepan adalah organisasi-organisasi yang menyadari adanya interaksi ini: menggabungkan pertahanan berbasis AI dengan budaya yang mendorong rasa ingin tahu, verifikasi, dan pemikiran kritis.
Keamanan siber lebih dari sekadar perlombaan melawan teknologi; ini adalah perlombaan untuk memperkuat elemen manusia pada intinya.
Kami telah mencantumkan penyedia email aman terbaik.
Artikel ini dibuat sebagai bagian dari saluran Expert Insights TechRadarPro tempat kami menampilkan para pemikir terbaik dan tercemerlang di industri teknologi saat ini. Pandangan yang diungkapkan di sini adalah milik penulis dan belum tentu milik TechRadarPro atau Future plc. Jika Anda tertarik untuk berkontribusi, cari tahu lebih lanjut di sini: https://www.techradar.com/news/submit-your-story-to-techradar-pro
