Seorang karyawan keuangan di perusahaan rekayasa global Arup mentransfer hampir 25 juta dolar AS setelah bergabung dalam konferensi video yang tampaknya sah dengan kepala keuangan perusahaan dan rekan-rekannya, hanya untuk kemudian mengetahui bahwa hampir semua peserta telah dihasilkan menggunakan AI. Insiden ini berhasil karena penyerang melewati kontrol teknis dengan memanfaatkan kepercayaan manusia melalui suara dan wajah sintetis yang meyakinkan selama panggilan video. Menurut panduan baru yang diterbitkan oleh Resemble AI, kasus ini menjadi contoh utama bagaimana deepfake telah berkembang dari demonstrasi terisolasi menjadi risiko keamanan utama yang mempengaruhi perusahaan, lembaga keuangan, dan lembaga pemerintah, dengan penelitian dari Gartner, FBI, dan Forum Ekonomi Dunia memetakan lanskap ancaman yang semakin berkembang.
Insiden Arup menjadi studi kasus utama industri untuk penipuan deepfake AI. Seorang karyawan keuangan awalnya mencurigai email phishing yang meminta transaksi rahasia. Alih-alih bertindak langsung, karyawan tersebut bergabung dalam konferensi video yang tampaknya dengan kepala keuangan perusahaan dan beberapa rekan. Semua tampak otentik dan terdengar otentik, dan pertemuan tersebut tampak sepenuhnya sah. Mengikuti instruksi yang diterima selama panggilan, karyawan tersebut menyetujui beberapa transfer kawat yang totalnya sekitar 25 juta dolar AS. Baru kemudian penyidik mengetahui bahwa hampir semua peserta dalam panggilan tersebut telah dihasilkan menggunakan AI. Serangan ini berhasil karena melewati kontrol teknis yang telah diperbaiki perusahaan selama puluhan tahun, tanpa malware, endpoint yang terkompromi, atau lampiran berbahaya. Karyawan tersebut telah mengidentifikasi email mencurigakan dengan benar, tetapi penilaian itu diabaikan oleh konfirmasi yang tampak dari wajah dan suara yang dikenal selama pertemuan video.
Menurut riset Gartner yang dikutip dalam laporan Resemble AI, 62% organisasi mengalami serangan deepfake selama 12 bulan terakhir. Hampir tujuh dari sepuluh serangan menargetkan sistem video, sementara 67% menargetkan komunikasi berbasis suara. Laporan Pusat Pengaduan Kejahatan Internet FBI 2025 memperkirakan kerugian sekitar 893 juta dolar AS dari penipuan berbasis AI yang dilaporkan. Peneliti juga memperkirakan bahwa sekitar delapan juta media sintetis beredar online selama 2025, menunjukkan pertumbuhan pesat dari beberapa tahun sebelumnya. Meskipun perkiraan bervariasi tergantung metodologi, setiap studi utama menunjukkan arah yang sama: penipuan yang dihasilkan AI berkembang dengan kecepatan yang tidak pernah dirancang untuk ditangani oleh kontrol keamanan yang ada. Bagi lembaga keuangan, implikasinya jauh melampaui disinformasi media sosial, karena setiap proses yang bergantung pada pengenalan suara, verifikasi video, atau kepercayaan terhadap identitas digital menjadi potensi permukaan serangan.
Laporan Resemble AI berpendapat bahwa organisasi harus berhenti memandang deepfake sebagai kejadian keamanan siber yang terisolasi dan sebaiknya memperlakukannya sebagai masalah identitas. Teknologi kloning suara kini hanya membutuhkan beberapa detik audio yang tersedia secara publik untuk menghasilkan tiruan yang meyakinkan. Presentasi konferensi, panggilan pendapatan, podcast, dan wawancara secara efektif menjadi bahan pelatihan bagi penyerang yang ingin menyamar sebagai eksekutif. Generasi video juga mengalami peningkatan serupa, dengan apa yang dulu memerlukan efek visual mahal kini diproduksi menggunakan alat AI konsumen yang mampu menghasilkan ekspresi wajah yang meyakinkan, ucapan yang sinkron, dan panggilan video yang realistis. Gartner sebelumnya memprediksi bahwa pada 2026, 30% perusahaan tidak lagi menganggap verifikasi identitas dapat diandalkan secara mandiri karena deepfake yang dihasilkan AI, sebuah prediksi yang semakin relevan seiring serangan menjadi lebih canggih.
Meskipun serangan deepfake mempengaruhi berbagai industri, layanan keuangan menghadapi eksposur unik karena banyak keputusan bernilai tinggi bergantung pada komunikasi yang dipercaya. Persetujuan pembayaran, pemulihan akun, onboarding jarak jauh, konsultasi pengelolaan kekayaan, dan interaksi dukungan pelanggan semakin banyak dilakukan melalui saluran digital di mana identitas secara tradisional dibuktikan secara visual atau melalui pengenalan suara. Panduan ini mengidentifikasi beberapa pola serangan berulang yang sudah mempengaruhi organisasi. Impersonasi eksekutif tetap menjadi kategori bernilai tertinggi, menggunakan eksekutif yang dikloning untuk menyetujui pembayaran penipuan. Penipuan investasi terus menggunakan video yang dihasilkan AI dari politisi, selebritas, dan tokoh keuangan yang mempromosikan platform perdagangan palsu atau cryptocurrency. Penipuan perekrutan muncul sebagai kekhawatiran yang berkembang, dengan identitas sintetis dan pelamar yang dihasilkan AI berusaha mendapatkan pekerjaan di dalam organisasi untuk mengakses sistem atau informasi sensitif. Penipuan konsumen terus berkembang melalui suara yang dihasilkan AI yang meniru anggota keluarga selama penipuan penculikan virtual atau serangan impersonasi layanan pelanggan.
Laporan ini berpendapat bahwa sebagian besar investasi keamanan siber berfokus pada deteksi perangkat lunak berbahaya, email mencurigakan, atau perangkat yang terkompromi, tetapi deepfake beroperasi secara berbeda dengan menyerang persepsi daripada jaringan. Ketika seorang karyawan yang sah menyetujui pembayaran menggunakan laptop terpercaya selama yang tampak seperti pertemuan video normal, kontrol keamanan konvensional sering tidak melihat sesuatu yang aneh. Tidak ada lampiran berbahaya untuk dikarantina dan tidak ada perangkat yang terkompromi, hanya manusia yang membuat keputusan bisnis yang tampak sah berdasarkan bukti visual dan audio yang palsu. Perbedaan ini menjelaskan mengapa perusahaan semakin memandang deteksi deepfake sebagai disiplin keamanan terpisah daripada perluasan teknologi anti-phishing yang ada.
Alih-alih mengandalkan satu solusi, laporan ini merekomendasikan pendekatan berlapis yang menggabungkan empat kemampuan pelengkap. Lapisan pertama fokus pada verifikasi identitas melalui deteksi keaktifan dan otentikasi berkelanjutan. Lapisan kedua membangun asal-usul menggunakan teknologi seperti Content Credentials dan watermark digital untuk memverifikasi asal konten. Lapisan ketiga menggunakan sistem deteksi AI yang mampu menganalisis audio, video, dan gambar untuk artefak terkait generasi sintetis sambil memberikan hasil yang dapat dijelaskan yang dapat diselidiki tim keamanan. Lapisan terakhir melampaui deteksi ke pemantauan berkelanjutan, memungkinkan organisasi mengidentifikasi impersonasi eksekutif, penggunaan merek palsu, dan deepfake lain yang beredar secara publik sebelum mereka mendapatkan momentum. Menurut laporan, tidak ada satu lapisan pun yang dapat menghilangkan ancaman sepenuhnya, dan organisasi harus mengasumsikan penyerang akhirnya akan melewati kontrol individual dan merancang program keamanan sesuai.
Apa yang terjadi dalam insiden deepfake Arup?
Seorang karyawan keuangan di perusahaan rekayasa global Arup mentransfer hampir 25 juta dolar AS setelah bergabung dalam konferensi video yang tampaknya melibatkan kepala keuangan perusahaan dan beberapa rekan. Penyelidik kemudian mengetahui bahwa hampir semua peserta dalam panggilan tersebut telah dihasilkan menggunakan AI, dengan penyerang menggunakan suara dan wajah sintetis yang meyakinkan untuk memanfaatkan kepercayaan manusia dan melewati kontrol keamanan teknis.
Berapa banyak organisasi yang mengalami serangan deepfake menurut Gartner?
Menurut riset Gartner yang dikutip dalam laporan Resemble AI, 62% organisasi mengalami serangan deepfake selama 12 bulan terakhir. Hampir tujuh dari sepuluh serangan menargetkan sistem video, sementara 67% menargetkan komunikasi berbasis suara, dengan laporan Pusat Pengaduan Kejahatan Internet FBI 2025 memperkirakan kerugian sekitar 893 juta dolar AS dari penipuan berbasis AI yang dilaporkan.
Strategi pertahanan apa yang direkomendasikan oleh panduan Resemble AI terhadap deepfake?
Panduan Resemble AI merekomendasikan strategi pertahanan berlapis yang menggabungkan verifikasi identitas melalui deteksi keaktifan dan otentikasi berkelanjutan, pembangunan asal-usul menggunakan Content Credentials dan watermark digital, sistem deteksi AI yang mampu menganalisis audio dan video untuk artefak sintetis, serta pemantauan berkelanjutan untuk mengidentifikasi impersonasi eksekutif dan penggunaan merek palsu sebelum mereka menyebar luas.
Berita Terkait
Trader kehilangan 1 juta dolar AS dalam serangan phishing Permit2 Uniswap
C羅 USWR token "deepfake" video dan audio terungkap, sudah menyebar di banyak platform sejak awal Juli
Intuisi Umum Pembiayaan sebesar 320 juta dolar AS, penyempurnaan selama 8 menit mengalihkan otak AI ke anjing robot
Amazon Issues $25B Bonds as Big Tech Debt Raises Wall Street Concerns
Jim Cramer: Laba Kuartal 2 Samsung Tanda Perpindahan Saham AI ke Teknologi Utama