‘Penipuan semakin canggih, lebih meyakinkan, dan dilakukan dalam skala yang semakin besar,’ kata seorang peneliti.
Jack Phillips
Seorang peneliti keamanan dan CEO dari sebuah perusahaan rintisan teknologi memperingatkan bahwa beberapa pengguna Gmail bisa menjadi korban dari penipuan canggih berbasis AI yang dapat menyebabkan akun mereka diambil alih.
CEO dari perusahaan modal ventura teknologi terkenal, Ycombinator, menulis di X akhir pekan lalu bahwa ada penipuan phishing “cukup rumit” yang menggunakan suara yang dihasilkan oleh AI.
“Anda harus menyadari adanya penipuan phishing yang cukup rumit menggunakan suara AI yang mengaku sebagai Dukungan Google (ID penelepon cocok, tetapi tidak diverifikasi). JANGAN KLIK YA PADA DIALOG INI—Anda akan menjadi korban phishing,” tulis Garry Tan dalam sebuah postingan di X yang disebutnya sebagai “pengumuman layanan publik,” tertanggal 10 Oktober.
“Mereka mengklaim sedang memeriksa apakah Anda masih hidup dan mereka harus mengabaikan sertifikat kematian yang menyatakan bahwa anggota keluarga Anda sedang memulihkan akun Anda. Ini adalah tipu muslihat yang cukup rumit untuk membuat Anda mengizinkan pemulihan kata sandi,” kata Tan.
Seorang peneliti keamanan, dalam sebuah posting blog bulan lalu, menulis tentang upaya penipuan serupa yang menargetkan akun Gmail, yang juga menggunakan suara yang dihasilkan oleh AI.
“Penipuan semakin canggih, lebih meyakinkan, dan dilakukan dalam skala yang semakin besar,” tulis Sam Mitrovic, seorang konsultan IT, dalam postingan tersebut. “Orang-orang sibuk dan penipuan ini terdengar dan terlihat cukup legal sehingga saya akan memberikan nilai A atas usaha mereka. Banyak orang mungkin akan tertipu.”
Menurut postingan tersebut, Mitrovic mengatakan dia menerima notifikasi untuk menyetujui upaya pemulihan akun Gmail, yang pada akhirnya dia tolak. Dia kemudian menerima telepon sekitar 40 menit kemudian dengan ID penelepon sebagai “Google Sydney,” yang juga dia tolak.
“Tepat seminggu kemudian,” tambahnya, “kurang lebih pada waktu yang sama, saya menerima notifikasi lain untuk menyetujui pemulihan akun Gmail saya lagi dari Amerika Serikat.”
Public service announcement: You should be aware of a pretty elaborate phishing scam using AI voice that claims to be Google Support (caller ID matches, but is not verified)
— Garry Tan (@garrytan) October 10, 2024
DO NOT CLICK YES ON THIS DIALOG— You will be phished
They claim to be checking that you are alive and… pic.twitter.com/60zeuS2lL8
“Kamu pasti bisa menebaknya—sekitar 40 menit kemudian saya menerima telepon yang kali ini saya angkat. Suaranya adalah suara orang Amerika, sangat sopan dan profesional. Nomornya adalah nomor Australia. Dia memperkenalkan diri dan mengatakan bahwa ada aktivitas mencurigakan di akun saya,” lanjut Mitrovic.
Orang di telepon tersebut kemudian bertanya apakah Mitrovic sedang bepergian, dan dia menjawab tidak. Orang tersebut kemudian bertanya apakah Mitrovic berada di Jerman, dan dia juga mengatakan tidak.
Mitrovic mengatakan bahwa dia menemukan nomor penelepon tersebut adalah nomor resmi yang tercantum di halaman dukungan IT Google Australia, menambahkan bahwa dia meminta email konfirmasi dan mendapati email tersebut juga tampak sebagai akun resmi yang digunakan oleh tim Google.
“Saya bisa mendengar seseorang mengetik di latar belakang, dan selama panggilan, ada suara latar belakang yang mirip dengan pusat panggilan. Dia mengatakan bahwa dia telah mengirim email. Beberapa saat kemudian, email tersebut masuk dan sekilas terlihat sah—pengirimnya dari domain Google,” tulisnya.
Namun, peneliti tersebut mencatat bahwa “memalsukan alamat email itu mudah, dan saya melihat bahwa bidang ‘To’ berisi alamat email yang secara cerdik diberi nama GoogleMail di InternalCaseTracking dot com,” adalah “domain non-Google.”
“Penelepon berkata Halo, saya mengabaikannya, kemudian sekitar 10 detik kemudian, dia berkata Halo lagi,” tambahnya, dan pada saat itu dia menyadari bahwa suara tersebut dihasilkan oleh AI karena “pelafalan dan jedanya terlalu sempurna.”
Mitrovic menulis bahwa dia menutup telepon dan menelepon kembali nomor tersebut. Dia kemudian menerima pesan yang mengatakan, “This is Google Maps, we are currently unable to take your call.” ( Ini adalah Google Maps, kami tidak dapat menerima panggilan Anda saat ini)
Peneliti tersebut mengatakan bahwa dia bukan satu-satunya yang hampir menjadi korban penipuan, menemukan orang lain yang menulis bahwa mereka juga menjadi target dari skema serupa.
“Ada banyak alat untuk melawan para penipu, namun, pada tingkat individu, alat terbaik masih berupa kewaspadaan, melakukan pemeriksaan dasar seperti di atas, atau meminta bantuan dari seseorang yang Anda percaya,” Mitrovic memperingatkan.
Menurut posting blog tersebut, peneliti mengatakan ada beberapa petunjuk yang menunjukkan bahwa itu mungkin merupakan upaya untuk mengambil alih akun Google atau Gmail-nya.
Mitrovic mencatat bahwa tanda-tanda penipuan termasuk dia menerima pesan pemulihan akun yang tidak dia inisiasi, Google tidak menelepon pengguna kecuali mereka memiliki Profil Bisnis Google, email yang dia terima memiliki “alamat email penerima yang tidak terhubung ke domain Google,” tidak ada sesi Google lain yang aktif selain miliknya, header email menunjukkan “bagaimana email itu dipalsukan,” dan pencarian nomor terbalik menunjukkan orang lain yang menerima panggilan penipuan yang sama.
“Meskipun banyak tanda bahaya setelah diperiksa lebih lanjut, panggilan ini tampak cukup legitimit untuk menipu banyak orang,” dia memperingatkan.
“Dugaan saya adalah bahwa tingkat keberhasilan mereka dari panggilan yang diangkat akan relatif tinggi.”
