Penipuan (semakin) mungkin terjadi: Ada apa di balik maraknya vishing?

Ini bukan malware AI mutakhir atau kerentanan eksekusi kode jarak jauh yang sangat kuat.

Ini adalah panggilan telepon sederhana.

“Kami melakukan kampanye rekayasa sosial untuk klien kami di mana tujuannya adalah untuk menghubungi meja bantuan mereka dan melihat apakah kami dapat menyamar sebagai karyawan untuk mengatur ulang kata sandi mereka,” jelas Carruthers. “Sampai saat ini, kami selalu berhasil setiap kali kami melakukannya.” 

Sebagai anggota tim X-Force IBM®, Carruthers menggunakan kekuatannya untuk kebaikan, dengan meluncurkan serangan tiruan untuk membantu klien mengidentifikasi dan mengatasi kelemahan keamanan. 

Tetapi banyak peretas jahat juga turut melakukan vishing, atau "voice phishing (phishing suara)", dalam beberapa bulan terakhir. Penipuan vishing, yang menggunakan panggilan telepon palsu untuk mengelabui orang agar berbagi informasi sensitif, mengunduh malware, atau mengirim uang ke penjahat, meningkat sebesar 442% pada tahun 2024, menurut laporan CrowdStrike baru-baru ini.

Carruthers dan para pakar keamanan siber lainnya memperkirakan kejadian vishing akan terus melonjak karena para aktor ancaman mencari cara untuk menyiasati pengetatan kontrol keamanan organisasi.

Seperti yang dikatakan oleh Carruthers, "Jauh lebih mudah untuk menyaring email daripada menghentikan seseorang untuk menjawab telepon." 

Dalam dunia keamanan siber, para penyerang dan yang bertahan telah lama terkunci dalam adu kekuatan. Penyerang mengidentifikasi kerentanan dan mengeksploitasi kerentanan tersebut. Mereka yang bertahan memperbaiki kerentanan dan memperkuat perlindungan untuk mencegah serangan serupa di masa depan. Begitu seterusnya.

Namun, seiring dengan kian majunya solusi keamanan, dan kian sempurnanya praktik keamanan, para peretas semakin sulit menemukan kelemahan yang dapat dieksploitasi. 

Akibatnya, banyak penyerang yang mengalihkan perhatian mereka ke target yang lebih mudah ditembus: manusia.

Menurut IBM® X-Force Threat Intelligence Index, saat ini phishing dan penyalahgunaan akun pengguna yang valid adalah dua dari tiga cara paling umum penjahat siber masuk ke jaringan perusahaan. 

Dengan membajak akun yang sah, penyerang dapat berpura-pura menjadi pengguna sungguhan, melewati banyak langkah keamanan saat mereka bergerak secara lateral dan meningkatkan hak istimewa. 

Dan kendati email dan pesan teks pernah menjadi mode default bagi para pelaku phishing di mana aja, metode ini tidak terlalu berguna lagi di era filter spam yang canggih. 

Panggilan telepon adalah cerita yang berbeda. 

“Jika Anda melihat banyak pelanggaran data besar saat ini, Anda akan melihat bahwa sebenarnya panggilan telepon-lah yang mengawali pelanggaran tersebut,” jelas Carruthers. “Seseorang yang menyamar sebagai karyawan menelepon meja bantuan untuk mengatur ulang kata sandi akun. Sekarang mereka memiliki kendali atas akun tersebut, dan mereka dapat mengakses banyak sistem.” 

Penyedia layanan telah meluncurkan filter panggilan spam untuk membantu memerangi penipuan telepon, tetapi filter ini tidak seandal filter email dan teks. 

Selain itu, berkat popularitas program bring your own device (BYOD), karyawan sering menggunakan smartphone pribadi untuk tugas-tugas bisnis. Organisasi sering kali memiliki kontrol yang jauh lebih sedikit atas keamanan perangkat ini dibandingkan dengan akun email perusahaan, misalnya.

Namun, mungkin hal yang paling berbahaya dari vishing adalah, ketika korban menjawab panggilan, tidak banyak yang bisa dilakukan orang lain untuk melakukan intervensi. 

Percakapan telepon tidak memberikan kesempatan untuk pemeriksaan yang tenang seperti halnya email. Penipu menggunakan fakta ini untuk keuntungan mereka, yang meningkatkan rasa urgensi dan membombardir korban dengan permintaan dan informasi. Korban tidak punya ruang untuk berhenti dan berpikir tentang apakah semuanya masuk akal.

Semua faktor ini membuat vishing sangat efektif. Carruthers mengetahui fakta ini secara langsung, baik dari masanya sebagai peretas dan sebagai salah satu fasilitator Social Engineering Community Vishing Competition (SECVC) di DEF CON.

Kompetisi ini mempertemukan 14 tim satu sama lain untuk melihat siapa yang dapat menyelesaikan tujuan terbanyak selama panggilan vishing langsung yang dilakukan dari bilik kedap suara di depan audiens. 

"Tujuannya bukan untuk mengatakan, 'Lihat betapa hebatnya kita dalam hal rekayasa sosial ini,’” jelas Carruthers. "Ini untuk menunjukkan seberapa lazim rekayasa sosial, dan bagaimana hal itu benar-benar terjadi. Banyak orang berpikir itu hanya berbasis email. Mereka melupakan panggilan telepon dan betapa berhasilnya hal tersebut.”

Pada kompetisi terbaru, Carruthers mengatakan, setiap tim berhasil mencapai setidaknya beberapa tujuannya, yang berarti mereka mengekstrak beberapa jenis informasi atau membuat orang mengambil tindakan berisiko.  

Dengan kata lain: Penipuan vishing tampaknya selalu menghasilkan sesuatu dari targetnya. Tak ada tindakan balasan yang sempurna. 

Sebagai anggota X-Force, Carruthers telah membantu banyak organisasi mengubah pelatihan kesadaran keamanan mereka. Dalam pengalamannya, sebagian besar program pelatihan tidak mencakup penipuan vishing sama sekali. Ketika mereka melakukannya, mereka berhenti pada saran tingkat tinggi seperti “Jangan berikan kata sandi Anda melalui telepon”.

“Kami punya trik untuk mengatasinya,” kata Carruthers. “Saya tidak akan meminta kata sandi Anda melalui telepon. Saya akan mengatakan, 'Buka situs web ini dan masukkan nama pengguna dan kata sandi Anda. Jangan berikan pada saya. Itu tidak aman.’”

Tentu saja, ini adalah situs web yang dikendalikan oleh Carruthers atau lebih buruk, aktor ancaman yang nyata, dan sekarang mereka memiliki kredensial Anda.

Meskipun panggilan telepon mungkin merupakan metode berteknologi rendah bagi para peretas, beberapa cara mereka menggunakan panggilan telepon sangat futuristik. 

Dengan lahirnya alat kecerdasan buatan (AI) yang dapat menghasilkan video dan suara manusia, penipu dapat membuat deepfake yang meyakinkan dari orang-orang nyata, yang mengarah ke serangan yang sangat tertarget.

"Mungkin Anda terbiasa melihat pesan video mingguan dari CEO Anda," kata Carruthers. “Sekarang, peretas dapat membuat versi mereka sendiri dari pesan mingguan itu, yang meminta Anda untuk melakukan sesuatu yang spesifik. Apakah Anda mengenalinya?”

Musim panas lalu, penipu mencoba mengelabui seorang peneliti keamanan di Palo Alto Networks dengan menggunakan AI untuk meniru suara putrinya. 

Ketika AI generatif berkembang, beberapa orang khawatir itu mungkin, dalam skenario terburuk, mengarah pada operasi vishing yang otonom dan dapat diskalakan secara besar-besaran. 

Ini spekulasi, tetapi didasarkan pada kenyataan. Carruthers sendiri pernah berhadapan dengan penipu yang menggunakan AI dan hampir menang.

Pada DEF CON tahun lalu, Carruthers dan rekannya mewakili manusia dalam Kompetisi John Henry perdana, yang diambil dari nama pahlawan rakyat Amerika yang mengalahkan bor batu bertenaga uap dalam kontes mengemudikan baja. Lawan mereka: chatbot AI dengan kemampuan sintesis suara yang dirancang khusus untuk skema vishing.

Tujuan dari kompetisi ini adalah untuk melihat siapa yang bisa mencetak poin terbanyak dalam serangkaian panggilan langsung vishing. 

“Saya melakukannya dengan sangat percaya diri,” kenang Carruthers. "Saya berpikir, 'Tentu saja kami akan menang. Suara dari AI mungkin akan mulai terbata-bata, atau mulai mengajukan pertanyaan yang aneh. Pasti ada yang tidak beres. '”

Dan ada yang tidak beres, bagi Carruthers, bukan bot.

“Ketika saya mendengarnya mulai membuat panggilan, saya seperti, 'Oh tidak,’” katanya. 

Chatbot ini, dalam kata-katanya, melakukan hal yang “luar biasa”, menggunakan taktik dan suara yang berbeda untuk panggilan yang berbeda. Ia mampu mengumpulkan informasi tentang sistem seseorang dan bahkan meyakinkan mereka untuk mengambil tindakan seperti mengunjungi situs web tertentu.

“Pikirkan tentang hal ini dari sudut pandang operator manusia,” kata Carruthers. “Jika Anda bisa mundur dan membiarkan komputer melakukan semua hal ini untuk Anda, itu cukup menakutkan,” 

Seperti dalam kisah John Henry, manusia memang menang, meskipun tidak banyak. (Dan di mana mitos Henry meninggal karena kelelahan setelah mengalahkan bor otomatis, Carruthers dan pasangannya masih sangat hidup).

Tapi mereka mungkin tidak terus menang selamanya.

“Saya kira jika kita melanjutkan hal ini dari tahun ke tahun, pasti akan ada satu titik di mana AI akan melampaui manusia,” kata Carruthers.

Dengan banyaknya insiden vishing yang diperkirakan untuk terus meningkat, organisasi perlu menopang pertahanan mereka. Mengingat sifat vishing, fokusnya haruslah pada membekali karyawan secara individu agar dapat melihat dan menanggapi panggilan penipuan dengan lebih baik.

“Penyerang berharap Anda bertindak cepat,” kata Carruthers. “Jadi, benar-benar pelan-pelan dan evaluasi sebanyak mungkin semua jenis komunikasi yang Anda dapatkan.”

Panggilan vishing sering kali muncul sebagai masalah mendesak yang harus ditangani korban dengan cepat, atau lainnya. Seperti yang ditunjukkan oleh Carruthers, bisnis yang sah, bahkan bisnis yang sah yang penting biasanya menunggu untuk diverifikasi. 

Tidak ada vendor yang akan menghentikan akun Anda jika Anda tidak membayar dalam lima menit ke depan. CEO tidak akan pernah membutuhkan kartu hadiah Amazon sehingga Anda tidak dapat meminta detail lebih lanjut. 

Berbicara tentang verifikasi: Munculnya kloning AI telah membuat verifikasi berbasis suara praktis tidak berguna. 

“Katakanlah saya mendapat panggilan telepon dari seseorang yang mengatakan itu nenek saya,” jelas Carruthers. “Nomornya benar. Bahkan suaranya terdengar seperti suaranya. Tapi ada sesuatu yang mencurigakan. Dia bilang dia butuh bantuan dan ingin saya mengirim uang. Apa yang harus saya lakukan?”

Carruthers merekomendasikan untuk membuat kata sandi dengan orang lain, termasuk teman atau kerabat. Tidak harus berupa kode sandi formal. Ini bisa berupa informasi pribadi yang hanya diketahui oleh orang yang bersangkutan, seperti buku yang baru-baru ini mereka rekomendasikan kepada Anda. (Seorang eksekutif di Ferrari menggagalkan penipuan vishing AI tahun lalu dengan menggunakan taktik ini.)

Tim keamanan tingkat perusahaan tidak dapat mengandalkan setiap karyawan yang memiliki hubungan pribadi yang cukup dekat untuk memastikan-rekomendasi-buku untuk bekerja dalam skala besar. Namun organisasi dapat membangun proses verifikasi berlapis yang menggunakan beberapa titik bukti untuk memverifikasi identitas penelepon untuk permintaan apa pun, mulai dari mengatur ulang kata sandi hingga membayar faktur.

“Semakin banyak lapisan yang dapat kita gunakan untuk memverifikasi seseorang, akan semakin baik,” kata Carruthers. "Dan jangan gunakan hal-hal yang dapat dengan mudah ditemukan atau dipalsukan, seperti suara atau tanggal lahir atau jalan tempat seseorang dibesarkan."

Faktor-faktor unik dan sulit dipalsukan yang dilihat oleh Carruthers termasuk merotasi kata-kata kode perusahaan, meminta manajer karyawan untuk menjaminnya, dan mengirimkan kata sandi satu kali ke perangkat yang telah didaftarkan sebelumnya.

(Pendaftaran awal itu penting. Jika tidak, penipu bisa saja menyediakan nomor yang mereka kendalikan).

Apapun faktor yang digunakan oleh sebuah organisasi, organisasi tersebut harus menggunakan lebih dari satu faktor.

“Dengan satu klien yang menggunakan kata kode perusahaan yang bergilir, kami dapat merekayasa kata tersebut dari seseorang, sehingga akhirnya tidak menghentikan kami,” kata Carruthers. “Itulah mengapa saya sangat menyukai memiliki banyak hal.”