Persenjataan realitas: Evolusi teknologi deepfake

Selama beberapa dekade, serangan phishing telah memainkan emosi manusia untuk menipu mereka dari kredensial akun dan uang, dan masih terjadi. Tetapi karena teknologi telah maju pesat sejak kasus phishing pertama pada 1990-an, phishing tidak lagi hanya tentang menemukan pesan penipuan yang jelas dengan kesalahan ketik dan kesalahan tata bahasa. Sekarang phising berarti mempertanyakan apakah panggilan dari teman atau bos Anda itu nyata, bahkan jika itu terdengar persis seperti mereka. Dengan munculnya kecerdasan buatan, aktor jahat semakin tersembunyi dan lebih canggih, dan semua orang perlu memikirkan kembali apa yang nyata, terbiasa mencari sinyal palsu dan belajar cara melindungi identitas mereka dengan lebih baik secara online dan offline.

Rekayasa sosial adalah istilah umum untuk sejumlah besar cara yang digunakan penyerang dan penipu untuk mengelabui orang agar membocorkan informasi yang akan membahayakan identitas dan akun mereka. Ancaman ini juga tetap menjadi salah satu vektor serangan teratas yang mengarah pada pelanggaran data. Ini telah dikurangi sampai batas tertentu oleh pelatihan karyawan dan filter spam lanjutan, tetapi tampaknya tidak berlaku untuk ancaman Deepfake yang sedang tren. Pada tahun 2024, lebih dari 80% perusahaan melaporkan bahwa mereka tidak memiliki protokol untuk melawan serangan berbasis AI, termasuk deepfake.

Selain itu, Laporan Intelijen Suara 2025 Pindrop menemukan peningkatan tajam dalam penipuan deepfake dibandingkan dengan tahun-tahun sebelumnya, melaporkan peningkatan 1300%. Serangan Deepfake mewakili perbatasan baru yang menakutkan, di mana Anda tidak bisa lagi mempercayai apa yang Anda lihat atau—dengar.

Teknologi di balik deepfake disebut Generative Adversarial Network (GAN). Teknologi ini dikembangkan pada tahun 2014 dan diterbitkan dalam sebuah riset oleh peneliti Ian Goodfellow dan rekan-rekannya. GAN adalah jenis model machine learning yang menghasilkan data baru dengan mempelajari pola dari kumpulan data pelatihan. Tapi apa artinya ini sebenarnya? GAN terdiri atas dua neural networks yang terus-menerus bersaing satu sama lain untuk membuat data palsu yang realistis. Satu jaringan adalah Generator, yang lainnya adalah Diskriminator.

Generator membuat konten sintetis, dan Diskriminator menentukan apakah konten itu nyata. Interaksi berulang tersebut akhirnya membuat konten palsu semakin menyerupai yang asli. Ibarat mengasah sebilah pedang dengan menggosokkannya pada batang baja. Setiap kali pedang (Generator) dijalankan terhadap blok baja (Diskriminator), pedang menjadi lebih tajam.

Beberapa tahun kemudian, pada tahun 2017, istilah “deepfake” diciptakan oleh pengguna Reddit yang beroperasi dengan nama “deepfake”. Orang ini dengan jahat menyalahgunakan konsep GAN. Dengan menggunakan akun khusus untuk konten dewasa, ia merilis beberapa video deepfake pertama yang didistribusikan secara publik, menggunakan gambar orang-orang yang tidak terkait untuk membuat konten palsu dan menyebarkannya secara online.

Sementara deepfake awal biasanya berkualitas rendah dan lebih mudah dikenali. Hari ini, itu tidak lagi terjadi. Orang-orang memposting deepfake suara dan gambar yang sangat sulit dikenali sebagai palsu, sehingga menantang konsep identitas dan kepercayaan di dunia virtual.

Deepfakes memasuki arus utama pada tahun 2018, dengan merilis alat deepfake sumber terbuka yang dapat diakses seperti DeepFaceLab. Sejak itu, hambatan teknis untuk menciptakan deepfake yang realistis terus menurun. Pada tahun 2023, pasar alat deepfake meroket, dengan peningkatan 44% dalam pengembangan alat ini. Sayangnya, penciptaan konten eksplisit wanita non-konsensual telah menjadi faktor pendorong untuk mempopulerkan alat deepfake. Masalahnya merajalela, dengan Security Hero melaporkan bahwa pada tahun 2023, sekitar 98% video deepfake online bersifat eksplisit, dan hanya 1% target dalam kategori itu adalah laki-laki.

Dalam beberapa tahun terakhir, deepfake juga telah digunakan untuk memanipulasi politik dan penipuan konsumen. Sebagian besar target deepfake adalah figur publik, sebagian besar karena mereka memiliki banyak sampel media yang tersedia di internet.

Pada awal tahun 2024, konstituen New Hampshire menerima robocall yang menyamar sebagai Presiden Biden untuk mencegah mereka memberikan suara dalam pemilihan pendahuluan Partai Demokrat. Aktor jahat itu bahkan memalsukan ID penelepon untuk tampil sebagai ketua Parti Demokrat. Insiden ini adalah contoh nyata dari phishing suara, a.k.a. "vishing", menggunakan audio deepfake. Sejak saat itu, FCC telah melarang penggunaan suara yang dihasilkan oleh AI dalam robocall untuk menekan pemilih.

Ada juga beberapa video deepfake yang fitur tokoh publik terkemuka seperti Elon Musk, Perdana Menteri Selandia Baru, Christopher Luxon , dan Perdana Menteri Kanada Justin Trudeau. Video deepfake ini mempromosikan berbagai skema mata uang kripto untuk menipu calon investor.

Ada juga penggunaan teknologi deepfake yang lebih sah, dengan para peneliti di Pusat Virtualitas Advanced MIT yang melakukan deepfake Presiden Richard Nixon menyampaikan pidato tentang pendaratan di bulan yang gagal. Proyek ini dibuat oleh siswa untuk memperingatkan tentang pentingnya literasi media di era deepfake. Disney dan studio besar Hollywood lainnya juga telah berinvestasi dalam menggunakan teknologi ini untuk menghilangkan penuaan pada aktor dan menyertakan efek visual yang canggih dalam film.

Di bawah ini adalah empat kasus penting di mana teknologi deepfake digunakan dalam penipuan, penipuan, dan peniruan.

Pada awal 2024, perusahaan teknik multinasional Arup mengkonfirmasi bahwa mereka kehilangan 25 juta USD karena penipuan deepfake.

Seorang karyawan Hong Kong menerima email phishing dari kantor Arup di Inggris yang meminta transaksi "rahasia" . Secara alami, karyawan itu curiga pada awalnya. Kecurigaannya dihilangkan ketika dia bergabung dengan panggilan video dengan Chief Financial Officer dan beberapa karyawan lainnya. Dia mengenali wajah-wajah ini dan suara mereka, jadi dia mengirim 200 juta dolar Hong Kong (25,6 juta USD). Uang tersebut dikirim dalam 15 kali transfer ke lima bank yang berbeda sebelum penipuan tersebut diketahui.

Chief Digital Information Officer Arup, Rob Greig, mendiskusikan insiden tersebut pada saat itu dengan World Economic Forum. Greig menggambarkan insiden itu sebagai "rekayasa sosial yang lebih ditingkatkan teknologi" daripada serangan siber. Tidak ada kompromi sistem atau akses tidak sah ke data. Orang-orang ditipu untuk melakukan apa yang mereka anggap sebagai transaksi asli. Greig bahkan mencoba membuat video deepfake tentang dirinya sendiri, dan butuh waktu kurang dari satu jam. Menurutnya, kejadian seperti ini sebenarnya lebih umum daripada yang dibayangkan banyak orang.

Kasus ini menyoroti kerusakan finansial dahsyat yang dapat ditimbulkan oleh deepfake phishing pada perusahaan. Kasus serupa juga menargetkan individu, dengan warga lanjut usia menerima panggilan darurat yang menyamar sebagai orang yang mereka cintai.

Bahaya deepfake tidak hanya meluas ke tokoh publik dan eksekutif perusahaan. Pada tahun 2024, muncul sebuah kasus tentang seorang kepala sekolah di Baltimore yang kehidupannya berubah karena klip audio yang dibuat oleh AI yang menampilkan dirinya membuat pernyataan rasis dan antisemit.

Sebuah klip audio palsu dari kepala sekolah Pikesville High School, Eric Eiswert, menjadi viral online saat ia tampaknya membuat pernyataan yang berbahaya dan merendahkan. Klip ini menerima lebih dari dua juta penayangan. Ada reaksi besar baik online maupun dalam kehidupan nyata. Komunitas lokal sangat marah karena Pikesville memiliki populasi kulit hitam dan Yahudi yang besar.

Akibat reaksi keras tersebut, Eiswert mengambil cuti, dan polisi ditempatkan untuk menjaga rumahnya karena ia menerima ancaman dan pelecehan yang ganas. Keamanan juga ditingkatkan di sekolah.

Pembelaan awal Eiswert bahwa video tersebut palsu tidak diterima dengan baik dan dianggap sebagai upaya Eiswert untuk menghindari pertanggungjawaban. Klip itu awalnya diposting pada Januari 2024. Butuh waktu hingga April bagi polisi setempat untuk mengkonfirmasi rekaman itu dipalsukan. Polisi menangkap direktur atletik sekolah, Dazhon Darien, atas tuduhan terkait dengan klip palsu itu. Eiswert telah menyelidiki Darien karena pencurian uang sekolah dan masalah kinerja kerja. Pada April 2025, Dazhon Darien mengaku bersalah, setelah membeli alat kloning AI.

Insiden itu berdampak buruk pada reputasi Eiswert, meninggalkan Eiswert untuk pindah pekerjaan dan bekerja di sekolah lain.

Salah satu serangan deepfake besar pertama terjadi pada tahun 2019 ketika audio deepfake digunakan untuk mencuri 243.000 USD dari sebuah perusahaan di Inggris.

CEO perusahaan energi Inggris yang tidak disebutkan namanya menerima telepon dari CEO perusahaan induk Jerman. CEO Inggris mencatat bahwa panggilan tersebut bahkan membawa "melodi" dari CEO Jerman. Para penipu menelepon total tiga kali. Dalam panggilan pertama, penipu meminta CEO Inggris untuk mentransfer 243.000 USD ke rekening bank pemasok Hongaria. CEO mematuhinya. Dalam panggilan kedua, mereka mengklaim transfer itu diganti. Panggilan ketiga dan terakhir, penelepon mencari pembayaran lanjutan. Setelah CEO Inggris menyadari bahwa transfer itu, pada kenyataannya, tidak diganti, dia menolak untuk mengirim pembayaran tindak lanjut. Jumlah pertama ditransfer ke rekening bank Hongaria, kemudian ke Meksiko dan di tempat lain, membuat atribusi menjadi sulit.

Kasus penipuan deepfake awal ini adalah kenari betapa ambisius dan canggihnya skema ini nantinya.

Sebagai salah satu serangan terbaru yang terjadi pada Juni 2025, kelompok aktor ancaman yang berbasis di Korea Utara, BlueNoroff, menggunakan teknologi deepfake untuk menargetkan perusahaan mata uang kripto.

Seorang karyawan perusahaan mata uang kripto menerima tautan Calendly untuk Google Meet. Dua minggu kemudian, karyawan tersebut bergabung dengan panggilan Zoom yang dikendalikan oleh aktor ancaman. Panggilan telepon itu dipenuhi dengan versi palsu dari kepemimpinan senior. Ketika karyawan mengalami masalah audio, penyerang mengirim Ekstensi Zoom yang berbahaya. Ekstensi Zoom sebenarnya adalah skrip yang menerapkan malware untuk membajak dompet kripto yang ditemukan di sistem.

Serangan ini menyoroti bagaimana aktor ancaman sekarang menggabungkan rekayasa sosial tradisional dengan peniruan deepfake real-time, membuat verifikasi secara signifikan lebih sulit bagi pengguna akhir.

Deepfake bukan lagi ancaman potensial; ancaman dan konsekuensinya sangat nyata dan nyata. Deepfake saat ini berada pada titik merusak kepercayaan dalam proses verifikasi identitas online yang diandalkan oleh banyak organisasi, terutama di sektor keuangan. Dengan semakin banyaknya orang yang mengautentikasi diri menggunakan biometrik di seluruh perangkat mereka, pertumbuhan penggunaan deepfake yang berbahaya dapat menyebabkan kebutuhan mendesak untuk memikirkan kembali keamanan autentikasi dalam lima tahun ke depan, atau lebih cepat.

Seperti yang ditunjukkan dalam serangan baru-baru ini, penghalang masuk untuk menciptakan deepfake yang realistis telah menurun secara dramatis. Dari suara kloning hingga peniruan video penuh, deepfake memberdayakan scammer dan penipu dengan cara yang lebih sulit deteksi dan dipertahankan.

Aspek lain yang harus ditanggapi dengan serius adalah penggunaan deepfake oleh pengganggu sekolah yang mengejek dan melecehkan rekan-rekan mereka, menargetkan pendidik atau mencoba menggambarkan diri mereka dalam situasi yang dimaksudkan untuk mengancam dan mengintimidasi orang lain. Tren perundungan siber ini semakin memburuk dari waktu ke waktu, dan menghimbau para orang tua untuk mendidik anak-anak dan sangat waspada terhadap potensi ancaman.

Memahami ancaman adalah langkah pertama untuk bertahan melawannya. Dengan lebih banyak pelatihan keamanan pengguna akhir dan memanfaatkan alat deteksi deepfake yang muncul, organisasi dan individu dapat mulai melawan ancaman baru ini.

Ingin mempelajari selengkapnya? Hubungi pakar X-Force untuk pengarahan 1:1 dan bicarakan tentang deepfake, ancaman deepfake, dan bagaimana tim Anda dapat melatih untuk mengidentifikasi mereka dan menggagalkan aktor ancaman sebelum kerusakan terjadi.

Tim jangkauan siber kami mengundang Anda untuk melatih seperti Anda bertarung di salah satu lokasi global kami, kantor Anda atau virtual. Hubungi kami hari ini.