Penjahat dunia maya mengubah taktik untuk tipu daya rekayasa sosial mereka guna meningkatkan kualitas keaslian tipuannya, melewati filter dengan lebih baik, dan lebih terarah dalam penargetan calon korban.

Phising telah lama menjadi sumber utama pelanggaran keamanan, masalah utama yang meskipun telah bertahun-tahun dilatih tentang kesadaran keamanan, tetap menjadi perhatian utama keamanan dunia maya saat ini.

Namun berkat penyempurnaan taktik bersamaan dengan penggunaan kembali teknologi AI yang jahat, teknik rekayasa sosial yang sudah lama ada terus berkembang, dan penjahat dunia maya menemukan cara baru untuk mencoba mengelabui pengguna agar mengeklik tautan yang berbahaya.

Penyerang tidak lagi hanya menyalin logo dan memalsukan domain, mereka juga:

• Membajak utas email yang sah.
• Menyematkan tautan berbahaya dalam percakapan yang sedang berlangsung.
• Bahkan menggunakan email bisnis yang disusupi untuk membuat upaya phising mereka tampak lebih autentik.

Teknologi AI memungkinkan kampanye phising disebarkan lebih cepat dan mudah daripada sebelumnya, sekaligus memfasilitasi ejaan dan tata bahasa yang sempurna beserta berbagai taktik manipulasi, seperti urgensi tersirat atau mengeksploitasi informasi yang sudah dibagikan secara daring untuk meningkatkan relevansi.

Berikut merupakan perubahan taktis utama yang digunakan para pelaku kejahatan dunia maya untuk mengembangkan teknik phising mereka dan bagaimana teknik ini membantu membuat phising lebih terarah dan efektif.

Baca juga: Apa yang Menyebabkan Phising Sulit Diidentifikasi

Mereka Semakin Pintar dengan AI Generatif

Phisher semakin banyak menggunakan AI generatif untuk meniru gaya penulisan, menghindari tanda bahaya phising tradisional, dan bahkan mempersonalisasi email penipuan berdasarkan data yang tersedia untuk umum.

Gen AI sekarang digunakan untuk menulis email phising yang lebih menarik dan menguntungkan. Dengan salah satu fitur utamanya yaitu kemampuan untuk menghasilkan respons secara real-time berdasarkan masukan pengguna, AI ini kini digunakan dalam situasi penipuan di mana orang-orang tertipu dan mengira bahwa mereka sedang berkomunikasi dengan orang sungguhan.

Misalnya, WormGPT memiliki kekuatan Large Language Model (LLM) di baliknya, yang memungkinkan email dikirim tanpa kesalahan yang selama ini dikaitkan dengan penipuan phising.

GhostGPT, chatbot AI lain yang berorientasi pada kejahatan dunia maya telah digunakan untuk membuat email spearphising yang canggih, termasuk permintaan DocuSign palsu, dengan tiruan yang hampir sempurna dari komunikasi merek yang sah.

AI generatif paling sering digunakan untuk menghasilkan ribuan umpan bahasa asli yang unik dengan cepat. Dengan cara ini, teknologi canggih ini dimanfaatkan untuk membuat sejumlah besar email penipuan yang tampak sah, karena bahasanya tampak lebih autentik dan tidak terlalu mencurigakan.

Mereka Memikat dengan Suara dan Video

Pelaku kejahatan juga mengeksploitasi kemampuan AI untuk mengkloning suara dan gambar dari klip audio dan video atau gambar yang ditemukan daring.

Dikombinasikan dengan alat yang meniru ID pemanggil, penjahat dunia maya dapat mengelabui target dengan menelepon mereka dan mengaku sebagai anggota keluarga, teman, atau rekan kerja yang sedang mencari bantuan mendesak. Panggilan tersebut dapat secara meyakinkan meniru suara dan tingkah laku orang yang dipercaya.

Teknologi ini telah digunakan secara luas oleh penyerang, ditambah dengan penjahat dunia maya yang menjadi lebih terdidik dan lebih nyaman menggunakan AI, kita dapat berharap untuk melihat penggunaan AI yang lebih inovatif untuk mendukung serangan dunia maya dalam waktu dekat.

AI juga memungkinkan penjahat dunia maya membuat deepfake suara dan video yang semakin canggih yang dapat memfasilitasi upaya phising.

Mereka Menghidupkan Kembali Utas dan Rantai Balasan Palsu

Utas email “zombie” rantai yang dibangkitkan kembali oleh penjahat dunia maya setelah membajak kotak masuk korban bukanlah hal baru, tetapi kemungkinan akan semakin dipercaya dengan dukungan AI generatif.

Sebelumnya, jenis email ini akan lebih mudah dikenali karena nada suara atau konteksnya akan tampak ‘tidak tepat’ dibandingkan dengan email asli dari pengirim yang ditirunya.

GenAI akan membuatnya jauh lebih mudah untuk menelusuri rantai sebelumnya dan menghasilkan email phising menggunakan nada suara yang tepat, menjadikannya umpan yang jauh lebih dapat dipercaya. Mereka menjalankan serangan ClickFix untuk menipu orang yang tidak tahu apa-apa tentang PowerShell

Serangan ClickFix melibatkan pengiriman email dengan tautan ke situs web berbahaya, yang ketika dikunjungi, meminta korban untuk membuka kotak Dialog Run, dan menyalin-menempelkan sebaris SQL untuk dijalankan di komputer mereka, sering kali dengan kedok memperbaiki masalah yang menjadi dasar email asli.

Dalam enam bulan terakhir, teknik rekayasa sosial ClickFix yang baru telah semakin banyak digunakan oleh pelaku ancaman sebagai bagian dari operasi phising mereka.

Teknik ini melibatkan berbagai umpan untuk meyakinkan pengguna agar menempelkan skrip PowerShell ke perintah Run, yang mengakibatkan infeksi malware. Malware yang diamati dikirimkan menggunakan teknik ini meliputi Lumma Stealer, StealC, NetSupport, dan lainnya.

Meskipun teknik ini sendiri relatif baru, umpan itu sendiri cukup umum, termasuk email phising tentang faktur, dokumen yang harus ditandatangani, atau CAPTCHA palsu.

Baca juga: Operasi Phising Pengguna Seluler

Mereka Meniru Merek Tepercaya dengan Lebih Meyakinkan

Peniruan merek terus menjadi metode yang disukai untuk mengelabui pengguna agar membuka file berbahaya atau memasukkan detail mereka di situs phising. Pelaku biasanya meniru merek besar, termasuk platform berbagi dokumen seperti OneDrive dan SharePoint milik Microsoft dan yang semakin sering, DocuSign.

Penyerang mengeksploitasi kepercayaan bawaan karyawan terhadap aplikasi yang umum digunakan dengan memalsukan merek mereka sebelum mengelabui penerima agar memasukkan kredensial atau menyetujui permintaan dokumen palsu.

Dalam kampanye ini, penyerang mengeksploitasi lingkungan tepercaya dan desain halaman masuk ADFS yang familier untuk mengelabui pengguna agar mengirimkan kredensial dan detail autentikasi faktor kedua mereka. Keberhasilan serangan ini didorong oleh teknik phising yang sangat meyakinkan, termasuk alamat pengirim palsu, pencitraan merek yang sah, dan pengaburan URL.

Korban sering kali tertipu untuk melihat, mengunduh, atau menandatangani dokumen palsu, seperti faktur, dan diminta untuk memasukkan informasi pribadi, yang kemudian dicuri oleh penyerang.

Jenis serangan ini berkembang dengan peniruan domain yang lebih canggih, termasuk domain yang mirip dan serangan homoglif yang menghindari filter email tradisional.

Mereka Menyalahgunakan Layanan Tepercaya

Evolusi phising signifikan lainnya melibatkan penyalahgunaan layanan tepercaya dan platform pengiriman konten.

Penyerang semakin banyak menggunakan layanan penandatanganan dokumen dan hosting file yang sah untuk mendistribusikan umpan phising. Mereka pertama-tama mengunggah konten berbahaya ke penyedia yang memiliki reputasi baik, kemudian membuat email atau pesan phising yang merujuk ke layanan tepercaya dan platform pengiriman konten ini.

Karena layanan ini menjadi tuan rumah konten penyerang, pengguna yang waspada yang memeriksa URL sebelum mengeklik mungkin masih akan disesatkan, karena tautan tersebut tampaknya milik platform yang sah dan terkenal.

Dengan memanfaatkan penyedia tepercaya ini, penyerang memastikan bahwa korban tanpa sadar mengunduh file berbahaya sekaligus melewati sistem keamanan berbasis reputasi dan daftar putih yang seharusnya memblokir upaya phising mereka.

Mereka memanipulasi kode QR

Semakin banyak penjahat dunia maya yang memanfaatkan popularitas kode QR untuk melakukan serangan phising berbasis kode QR.

Maraknya “quishing” (phising kode QR) merupakan respons langsung terhadap peningkatan keamanan email. Penyerang tahu bahwa tautan phising tradisional ditandai oleh filter, jadi mereka beralih untuk menyebarkan kode QR berbahaya, sebagai cara untuk melewati filter keamanan email.

Penyerang dapat menyematkan kode QR berbahaya dalam email dan menyamarkannya sebagai perintah autentikasi multifaktor (MFA), pemberitahuan pengiriman, atau permintaan login perusahaan. Kode-kode ini sering kali dapat mengarah ke situs pengumpul kredensial yang sangat mirip dengan portal yang sah.

Dengan kode QR yang semakin umum digunakan untuk pemasaran, autentikasi, dan transaksi bisnis, pengguna cenderung lebih memercayainya.

Kode QR juga digunakan dalam multi-stage phising, di mana pemindaian pertama mengarahkan pengguna ke halaman yang tampak sah, tetapi setelah penundaan atau setelah memverifikasi jenis perangkat pengguna mereka dialihkan ke situs pengumpulan kredensial. Penyerang juga terlihat menggunakan kode QR yang dibuat secara diam-diam dalam ASCII dalam email phising.

Namun diperkirakan bahwa quishing mungkin hanya tren sementara karena layanan keamanan menyadari triknya, yang berpotensi memaksa penjahat siber untuk mengubah taktik mereka.

Baca juga: Teknik Phising Paling Berbahaya

Mereka mengandalkan gambar untuk melewati filter keamanan

phising berbasis gambar menjadi lebih kompleks. Misalnya, penipu membuat gambar agar tampak seperti email berbasis teks untuk meningkatkan keasliannya, sambil tetap melewati filter email konvensional.

Jenis serangan ini merupakan evolusi dari phising berbasis teks yang lebih tradisional dan merupakan respons penjahat terhadap kemajuan dalam filter keamanan email. Gambar yang disematkan digunakan untuk melewati filter email, dengan gambar yang digunakan untuk menyamarkan konten atau tautan berbahaya.”

Mengikuti gambar-gambar ini akan mengarahkan karyawan yang tidak menaruh curiga ke situs web pengumpul kredensial atau situs web yang penuh eksploitasi.

Penjahat juga dapat terus-menerus mengedit dan mengadaptasi gambar dengan mengubah warna atau ukuran. Hal ini sering dilakukan untuk menjaga gambar tetap segar, sehingga meningkatkan peluangnya untuk menghindari deteksi.

Mereka menggunakan kedok Rusia

KnowBe4 melaporkan lonjakan kampanye phising yang memanfaatkan domain tingkat atas Rusia (.ru) dari Desember 2024 hingga Januari 2025.

Tim Riset Ancaman KnowBe4 mencatat kenaikan 98% dalam kampanye phising ini, yang terutama ditujukan untuk pengumpulan kredensial.

Beberapa domain .ru Rusia dijalankan oleh apa yang disebut penyedia hosting “antipeluru”, perusahaan yang dikenal menjaga domain jahat tetap berjalan dan mengabaikan laporan penyalahgunaan terhadap situs yang dijalankan oleh pelanggan penjahat dunia maya mereka.

Mereka meningkatkan pengumpulan informasi intelijen

Di web gelap dan forum peretas, perangkat yang dibantu AI menjadi semakin umum.

Alat-alat ini dapat mengikis posting media sosial dan bahkan mengidentifikasi lokasi geografis pasti pengguna melalui gambar dan posting, taktik yang semakin lazim.

Alat pengumpulan intelijen lainnya berfokus pada organisasi, bukan individu. Alat ini dapat mengikis LinkedIn, situs perekrutan, catatan DNS, layanan hosting web, dan penyedia layanan pihak ketiga untuk mengungkap wawasan berharga tentang infrastruktur perusahaan, tumpukan perangkat lunak, alat internal, karyawan, lokasi kantor, dan target potensial lainnya untuk rekayasa sosial atau serangan siber.

Penyerang canggih juga menggunakan kembali alat dan platform pemasaran yang sah untuk mengidentifikasi peluang utama untuk pembajakan SEO dan serangan phising, memaksimalkan jangkauan dan efektivitas penipuan.

Baca juga: Social Engineering, Phising dan Psikologi

Mereka memprofesionalkan dengan PhaaS

Perangkat phising-as-a-service (PhaaS) diperkirakan akan mencapai setengah (50%) dari serangan pencurian kredensial pada tahun 2025, naik dari 30% pada tahun 2024.

Diperkirakan platform ini berkembang untuk menyertakan fitur-fitur yang memungkinkan penjahat dunia maya mencuri kode autentikasi multifaktor (MFA) dan menggunakan teknik penghindaran yang lebih canggih, seperti penggunaan muatan berbasis QR.

Platform PhaaS menawarkan rangkaian alat dan layanan berbasis langganan, termasuk dasbor dan penyimpanan kredensial yang dicuri, yang memfasilitasi serangan phising. Perangkat yang memungkinkan kejahatan dunia maya ini dijual melalui Telegram, forum web gelap, dan pasar gelap. Biaya langganan mulai dari $350 per bulan, menurut peneliti keamanan.

Platform yang paling banyak digunakan Tycoon 2FA yang disalahkan atas 89% insiden PhaaS yang diamati memanfaatkan skrip terenkripsi dan karakter Unicode yang tidak terlihat untuk menghindari deteksi, mencuri kredensial, dan mengekstraksi data melalui Telegram.

Sementara Sneaky 2FA menyalahgunakan fitur ‘autograb’ Microsoft 365 untuk mengisi halaman login palsu terlebih dahulu, menyaring yang bukan target, dan melewati 2FA.

 

Baca artikel lainnya:  Phising Kode Perangkat Multi Faktor Autentikasi Anti Phising Metode Serangan Phising DeepFake Evolusi Serangan Phising Serangan Phising Lebih Berbhaya dengan AI Mengidentifikasi 20 Jenis Phising Marko Polo Menjarah Dunia dengan Phising Alasan Melakukan Phising Imbas Buruk Phising pada Perusahaan