Penjelasan Phishing-as-a-Service: AI, Deepfake & Pertahanan

Q: Apa itu scamming vibe dan mengapa ini menjadi ancaman bagi keamanan perusahaan?

Scamming vibe mengeksploitasi platform AI no-code seperti Lovable untuk menghasilkan halaman phishing yang berfungsi penuh dari prompt bahasa alami sederhana. Guardio Labs menemukan Lovable hanya mendapat skor 1,8/10 dalam menolak permintaan berbahaya, dibandingkan dengan 8/10 untuk ChatGPT. Proofpoint mengamati puluhan ribu URL phishing yang dihasilkan Lovable mendistribusikan malware aktif pada awal tahun 2025.

Q: Bagaimana Quishing melewati gateway keamanan email perusahaan?

Quishing menyematkan URL berbahaya di dalam gambar kode QR di email atau PDF, yang tidak dapat diurai oleh Gateway Keamanan Email. Korban memindai kode dengan ponsel cerdas pribadi, melewati perlindungan endpoint perusahaan sebelum situs phishing dimuat di browser seluler. Vektor serangan ini tumbuh 25% dari tahun ke tahun dan semakin sulit untuk dideteksi.

Q: Apa yang terjadi dalam kasus penipuan deepfake Arup dan apa artinya bagi verifikasi identitas?

Pada tahun 2024, penyerang meyakinkan seorang karyawan Arup untuk mengotorisasi 15 transfer kawat dengan total 200 juta HKD (25,6 juta USD) dengan mengadakan panggilan video di mana CFO dan beberapa kolega semuanya adalah deepfake real-time. Insiden tersebut menunjukkan bahwa konfirmasi visual dan audio pada panggilan video tidak dapat lagi berfungsi sebagai metode verifikasi yang andal tanpa saluran konfirmasi out-of-band sekunder.

Q: Mengapa kunci sandi FIDO lebih tahan terhadap serangan PhaaS daripada SMS atau MFA aplikasi autentikator?

Kunci sandi FIDO terikat secara kriptografis ke perangkat spesifik pengguna dan domain asal yang sah, sehingga proksi balik dalam serangan AiTM tidak dapat menangkap atau memutarnya ulang. Tidak seperti kode SMS atau token OTP, kunci sandi tidak pernah mengirimkan rahasia yang dapat dibagikan, membuatnya tidak efektif untuk dicegat bahkan untuk platform canggih seperti Tycoon 2FA.

Q: Berapa tingkat pelaporan phishing yang harus ditargetkan oleh sebuah organisasi untuk mengukur budaya keamanan yang kuat?

Menurut artikel tersebut, organisasi kelas dunia mencapai tingkat pelaporan phishing di atas 20%. Organisasi dengan program pelatihan yang efektif juga dapat mengurangi kerentanan phishing secara keseluruhan sebesar 86% selama satu tahun, menjadikan budaya pelaporan sebagai indikator utama postur keamanan bersama dengan kontrol teknis.

Halaman ini diterjemahkan secara otomatis. Baca versi asli berbahasa Inggris di sini.

Whitepaper Passkey Enterprise. Panduan praktis, pola peluncuran, dan KPI untuk program passkeys.

Dapatkan whitepaper

Fakta utama

Tycoon 2FA mendominasi 89% pasar PhaaS dengan harga sekitar 120 dolar AS/10 hari, menggunakan obfuskasi sandi Caesar dan karakter Unicode Hangul Filler untuk menghindari filter keamanan email yang menargetkan Microsoft 365 dan Gmail.
Serangan Adversary-in-the-Middle (AiTM) melewati MFA dengan mencegat cookie sesi secara real time melalui proksi balik, memberikan akses akun penuh tanpa memutar ulang kredensial atau token.
Spear phishing yang dihasilkan AI melewati ambang kritis pada awal 2025: Data Hoxhunt menunjukkan AI bergerak dari 31% kurang efektif dibandingkan ahli rekayasa sosial manusia pada tahun 2023 menjadi 24% lebih efektif pada Maret 2025.
Rata-rata biaya pelanggaran phishing mencapai 4,88 juta dolar AS pada tahun 2024, peningkatan hampir 10%. Pelanggaran layanan kesehatan rata-rata 9,77 juta dolar AS, yang tertinggi dari industri mana pun.

1. Pengantar: Phishing-as-a-Service#

Phishing bergerak menjauh dari ledakan email bervolume tinggi yang luas dan menuju serangan yang lebih tertarget yang masih dapat dijalankan dalam skala besar. Kit phishing siap pakai sekarang memungkinkan penyerang yang relatif tidak berpengalaman untuk mencapai tingkat efektivitas yang dulunya dikaitkan terutama dengan ancaman lanjutan persisten (APT) dan kelompok yang didukung negara.

Dampak dari masalah ini semakin memburuk: studi Cost of a Data Breach IBM/Ponemon 2024 melaporkan bahwa rata-rata biaya tahunan insiden phishing meningkat hampir 10% menjadi 4,88 juta dolar AS, salah satu lonjakan paling signifikan sejak pandemi. Pada saat yang sama, teknologi deepfake membuka jalan baru untuk penipuan: Right Hand Cybersecurity melaporkan peningkatan aktivitas media sintetis sebesar 680% dari tahun ke tahun, yang memungkinkan serangan yang dapat melewati protokol verifikasi tradisional. Lebih dari 3,4 miliar email phishing beredar setiap hari (sekitar 1,2% dari lalu lintas email global) dan Google memblokir sekitar 100 juta di antaranya setiap hari. Anti-Phishing Working Group mencatat 1.003.924 serangan pada Q1 2025 saja, tingkat tertinggi sejak akhir 2023. Phishing tetap menjadi pendorong utama kerusakan dunia nyata, berkontribusi pada 36% pelanggaran data AS dan berperan dalam lebih dari 80% serangan siber. Rata-rata biaya pelanggaran berada di 4,88 juta dolar AS, kerugian akibat kompromi email bisnis mencapai 2,7 miliar dolar AS setiap tahun, dan ransomware (sering kali dimulai melalui phishing) muncul dalam 44% pelanggaran.

Dalam artikel ini, kita akan membahas aspek terpenting terkait bagaimana phishing berubah dalam beberapa tahun terakhir dengan pendekatan baru seperti Phishing-as-a-Service dan penggunaan AI. Secara khusus, ini adalah pertanyaan yang akan kita bahas dalam artikel:

Apa itu Phishing-as-a-Service (PhaaS)?
Apa peran kecerdasan buatan dalam serangan phishing modern?
Bagaimana organisasi dapat bertahan dari phishing modern (kontrol teknis, manajemen risiko manusia, dan tata kelola/kebijakan)?

Artikel terbaru

2. Apa itu Phishing-as-a-Service (PhaaS)?#

Kejahatan siber tidak lagi dikhususkan untuk peretas ahli. Kebangkitan Phishing-as-a-Service (PhaaS) telah membuat keterampilan teknis jauh lebih tidak diperlukan untuk melancarkan serangan yang sukses. Dengan meniru model bisnis perusahaan perangkat lunak yang sah, menawarkan langganan, dukungan pelanggan, dan pembaruan rutin, pengembang kriminal telah membuat phishing dapat diakses oleh hampir semua orang.

2.1 Komoditisasi Akses ke Alat Phishing#

Pasar PhaaS telah matang menjadi ekosistem berjenjang. Di tingkat pemula, penyerang amatir ("script kiddie") dapat menyewa akses ke infrastruktur canggih dengan biaya rendah, sementara operator tingkat lanjut dapat membeli tingkat "enterprise" yang menawarkan hosting khusus dan kemampuan penghindaran kustom.

Struktur ekonomi ini telah menyebabkan lonjakan aktivitas yang masif. Dalam dua bulan pertama tahun 2025 saja, lebih dari satu juta serangan berbasis PhaaS terdeteksi, menandakan basis pengguna yang kuat dan berkembang untuk layanan kriminal ini. Pasar untuk kit ini terutama dihosting di Telegram, yang berfungsi sebagai bidang kontrol terenkripsi dan berketersediaan tinggi untuk penjualan dan dukungan.

Analisis Platform PhaaS paling populer (2025)

Platform	Pangsa Pasar (Perkiraan)	Model Harga	Diferensiator Teknis Utama	Target Utama
Tycoon 2FA	89%	~$120 / 10 hari	Obfuskasi Sandi Caesar; Eksfiltrasi WebSocket	Microsoft 365, Gmail
EvilProxy	8%	$400 -$ 600 / bln	Pemeriksaan pengguna terverifikasi; Node proksi bereputasi tinggi	C-Suite, Admin TI, Pengembang
Sneaky 2FA	3%	$150 / bln (Dasar)	"Pusat Kontrol" untuk manipulasi sesi manual	VPN Perusahaan, Office 365
Greatness	< 1%	Bervariasi	Fokus pada umpan berbasis lampiran (HTML/PDF)	Departemen Keuangan UKM

Grafik berikut mengilustrasikan dominasi pasar yang luar biasa dari Tycoon 2FA dibandingkan pemain lain di ekosistem:

Bagan pai yang menunjukkan Tycoon 2FA mendominasi 89% pasar PhaaS pada tahun 2025

2.2 Tycoon 2FA: Analisis Detail Kit Phishing#

Tycoon 2FA adalah platform Phishing-as-a-Service (PhaaS) canggih yang dirancang untuk melewati autentikasi dua faktor (2FA) dan multi-faktor (MFA). Ini terutama menargetkan akun Microsoft 365 dan Gmail menggunakan teknik "Adversary-in-the-Middle" (AiTM). Pada awal 2025, Tycoon 2FA menjadi pemain utama di pasar, terhitung hampir 9 dari 10 insiden phishing. Keberhasilannya didorong oleh kemampuannya untuk tetap tidak terlihat oleh filter keamanan modern. Dalam pembaruan besar tahun 2025, pengembang mengganti taktik lama dengan enkripsi tingkat lanjut untuk menyembunyikan kode berbahaya mereka.

Secara khusus, mereka sekarang menggunakan "sandi Caesar" untuk mengacak kode dan menyisipkan karakter "Hangul Filler" (Unicode 3164) yang tidak terlihat. Karakter-karakter ini disembunyikan dari pengguna tetapi berfungsi untuk membingungkan pemindai otomatis yang mencari "tanda tangan" digital dari ancaman yang diketahui. Untuk mendistribusikan kit ini, Tycoon menggunakan strategi "Living off the Land", dengan menampung perangkapnya di layanan tepercaya dan bereputasi tinggi seperti Amazon S3, Canva, dan Dropbox.

Karena Secure Email Gateways (SEG) diprogram untuk memercayai domain-domain terkenal ini, email phishing sering kali melewati filter sepenuhnya. Terakhir, untuk memastikan mereka tidak diawasi oleh bot keamanan, penyerang mengirim pengguna melalui rantai pengalihan yang kompleks dan CAPTCHA Cloudflare sebelum mereka pernah melihat halaman login palsu.

2.3 Mekanika Adversary-in-the-Middle (AiTM)#

Kemampuan yang menentukan dari kit PhaaS modern adalah serangan Adversary-in-the-Middle (AiTM). Teknik ini membuat pengambilan kredensial tradisional menjadi usang dengan mencegat sesi autentikasi langsung, sehingga melewati Autentikasi Multi-Faktor (MFA).

Arsitektur serangan AiTM pada dasarnya berbeda dari situs klon.

Inisiasi Proksi: Ketika korban mengakses URL phishing, server PhaaS (bertindak sebagai proksi balik) memulai koneksi ke Penyedia Identitas (IdP) yang sah, seperti login.microsoftonline.com.
Pencerminan Lalu Lintas: Proksi mengambil konten login yang sah dan meneruskannya ke korban. Korban melihat halaman login Microsoft yang sebenarnya, meskipun dirender pada domain berbahaya.
Relay Real-Time: Saat korban memasukkan kredensial mereka, proksi menangkapnya dan meneruskannya ke IdP.
Pencegatan MFA: Ketika IdP meminta faktor kedua (misalnya, kode SMS atau prompt Autentikator), proksi mencerminkan permintaan ini ke korban.
Pencurian Sesi: Korban memberikan token MFA. Proksi meneruskannya ke IdP. IdP memvalidasi sesi dan menerbitkan cookie sesi (misalnya, ESTSAUTH atau ESTSAUTH_PERSISTENT).
Pelanggaran: Secara krusial, proksi mencegat cookie sesi ini. Ia tidak meneruskannya kembali ke korban (atau meneruskan salinannya sambil menyimpan yang asli). Penyerang sekarang memiliki cookie sesi terautentikasi yang valid yang memungkinkan mereka mengakses akun korban dari perangkat apa pun, melewati kebutuhan kata sandi atau token MFA, hingga token kedaluwarsa.

Kit seperti Sneaky 2FA semakin menyempurnakan ini dengan menawarkan panel administratif yang memungkinkan penyerang untuk melakukan intervensi manual dalam sesi, secara efektif mengelola serangan secara real-time.

2.4 Infrastruktur Penyedia Phishing-as-a-Service#

Menghapus infrastruktur PhaaS sangat sulit karena sifatnya yang terdesentralisasi. Sementara panel "admin" inti mungkin di-hosting di server di yurisdiksi dengan undang-undang siber yang longgar, node "edge" (halaman phishing sebenarnya) berumur pendek. Tycoon 2FA, misalnya, menggunakan Domain Generation Algorithm (DGA) untuk menjalankan ribuan domain sekali pakai. Cloudflare Turnstile juga memblokir pemindai keamanan dan membuat situs phishing terlihat resmi. Karena orang terbiasa melihat pemeriksaan ini di situs web asli, mereka lebih mungkin memercayai halaman tersebut.

Halaman Tycoon 2FA sering didistribusikan melalui "Quishing" (Phishing Kode QR). Kode QR berisi URL berbahaya, yang secara efektif menjaga ancaman dari pemindai keamanan email yang tidak dapat mengurai data gambar. Vektor ini telah mengalami peningkatan 25% dari tahun ke tahun, yang secara khusus menargetkan perangkat seluler yang sering kali kekurangan kontrol perlindungan endpoint dari stasiun kerja perusahaan.

Berlangganan Passkeys Substack kami untuk berita terbaru.

3. Phishing di Era Kecerdasan Buatan#

Jika PhaaS menyediakan infrastruktur untuk eksploitasi massal, Kecerdasan Buatan telah menyediakan kecerdasan dan konten. Integrasi AI Generatif (GenAI) ke dalam siklus hidup kejahatan siber telah menyelesaikan dua tantangan terbesar bagi penyerang: skala dan kredibilitas. Hari-hari di mana "tata bahasa yang buruk" dan "salam generik" bertindak sebagai indikator yang dapat diandalkan dari phishing telah berakhir.

3.1 "Scamming Vibe" dan Persenjataan Alat No-Code#

Perkembangan signifikan pada tahun 2025 adalah munculnya "scamming vibe". Tren ini mengeksploitasi cita-cita "vibe coding", di mana pengguna membangun perangkat lunak menggunakan prompt bahasa alami, untuk menghasilkan aset berbahaya.

Platform sah seperti Lovable, yang dirancang untuk mendemokratisasi pembuatan perangkat lunak, telah menjadi mesin kejahatan siber. Guardio Labs melakukan tolok ukur ketahanan agen AI terhadap penyalahgunaan, menemukan bahwa sementara model mapan seperti ChatGPT mendapat skor yang relatif tinggi (8/10) dalam menolak permintaan berbahaya, platform yang lebih baru seperti Lovable mendapat skor yang sangat rendah (1,8/10). Penyerang cukup meminta alat-alat ini, misalnya, "Buat portal login yang terasa seperti bank besar, gunakan merek resmi berwarna biru dan merah, dan miliki bidang untuk nomor jaminan sosial", dan AI menghasilkan kode phishing yang berfungsi penuh dan sempurna secara piksel.

Kemampuan ini memungkinkan penyerang untuk melewati "kelelahan templat" dari kit PhaaS yang lebih lama. Daripada menggunakan templat Microsoft standar yang telah disidikjari oleh pembela, seorang scammer vibe dapat menghasilkan halaman login unik yang diadaptasi untuk setiap kampanye tunggal, atau bahkan untuk setiap korban tunggal. Proofpoint mengamati puluhan ribu URL yang dihasilkan Lovable yang mendistribusikan Tycoon dan malware lainnya di awal tahun 2025, yang menegaskan bahwa ini bukan ancaman teoritis melainkan vektor aktif yang masif.

3.2 AI Agen mendorong Spionase otonom#

Selain menghasilkan konten, AI kini juga digunakan untuk menjalankan serangan. Pergeseran dari AI Generatif ke "AI Agen" ini merupakan momen kunci bagi rekayasa sosial:

Sebuah insiden terjadi pada akhir 2024 yang melibatkan kelompok yang disponsori negara Tiongkok. Musuh ini menggunakan agen "Claude Code" dari Anthropic (ditujukan untuk pengembangan perangkat lunak otomatis) untuk melakukan kampanye spionase siber berskala besar. Dengan mengabaikan batasan etisnya, para penyerang mampu menugaskan AI dengan tujuan tingkat tinggi. Agen AI secara mandiri melakukan pengintaian, menulis kode eksploitasi kustom untuk menargetkan kerentanan tertentu, mengambil kredensial, dan bergerak melintasi jaringan.

Penggandaan kekuatan ini memungkinkan tim operator kecil untuk menargetkan ratusan organisasi secara bersamaan dengan kedalaman dan ketekunan dari tim merah manusia yang berdedikasi.

Eksperimen yang dilakukan oleh Hoxhunt antara tahun 2023 dan 2025 mengungkapkan evolusi yang cepat dari kemampuan AI. Seperti yang ditunjukkan pada garis waktu di bawah ini, agen AI melampaui ambang batas efektivitas manusia pada awal 2025, bergerak dari 31% kurang efektif menjadi 24% lebih efektif daripada ahli rekayasa sosial.

Garis waktu yang menunjukkan efektivitas phishing AI melampaui pakar manusia pada tahun 2025

Selanjutnya, studi menunjukkan bahwa kampanye spear phishing yang didukung AI dapat mencapai rasio klik-tayang yang melebihi 50%, dibandingkan dengan rasio yang jauh lebih rendah untuk kampanye generik. Pengurangan biaya juga sama dramatisnya. Kampanye yang digerakkan oleh AI menelan biaya sekitar 1/30 dari kampanye manual sambil memberikan hasil yang superior.

3.3 Studi Kasus: Deepfake dalam "Pencurian Arup"#

Salah satu dampak paling langsung dari AI terhadap keamanan adalah kebangkitan deepfake, audio dan video yang dihasilkan komputer dan sangat realistis. Alat-alat ini dirancang untuk menipu indra kita, membuat orang sulit untuk memercayai mata dan telinga mereka sendiri ketika mencoba memverifikasi identitas seseorang. Pencurian 25 juta dolar AS pada tahun 2024 dari firma teknik Arup berfungsi sebagai studi kasus definitif untuk era penipuan baru ini.

Insiden Arup (Kerugian 25 Juta Dolar AS)

Persiapan: Seorang karyawan di kantor Arup Hong Kong menerima email yang berpura-pura berasal dari Chief Financial Officer (CFO) yang berbasis di Inggris, yang meminta transaksi keuangan rahasia. Karyawan yang curiga dengan permintaan tersebut berhenti sejenak. Ini adalah prosedur yang benar dalam model kesadaran keamanan standar.
Bypass: Untuk meredakan kekhawatiran karyawan, para penyerang memulai panggilan konferensi video.
Penipuan: Karyawan tersebut bergabung dengan panggilan dan tidak hanya menemukan CFO, tetapi juga beberapa kolega lain yang dikenal. Semuanya adalah deepfake, avatar yang dihasilkan AI yang digerakkan oleh kloning suara real-time dan teknologi pemeragaan wajah. Konfirmasi visual dan pendengaran yang diberikan oleh "CFO" dan bukti sosial dari "kolega" lainnya sepenuhnya mematahkan pertahanan karyawan tersebut.
Hasilnya: Yakin bahwa mereka bertindak atas perintah yang sah, karyawan tersebut mengotorisasi 15 transfer kawat dengan total 200 juta dolar Hong Kong (25,6 juta dolar AS) ke rekening palsu.

Teknologi deepfake telah menjadi komoditas. Pasar web gelap sekarang menawarkan "Deepfake-as-a-Service" dengan harga semurah 50 dolar AS untuk video dan 30 dolar AS untuk kloning suara. Teknologi ini telah maju untuk mendukung interaksi real-time dengan latensi rendah, membuat panggilan phishing langsung menjadi layak. Serangan phishing deepfake telah melonjak 1.633% pada kuartal pertama tahun 2025 saja.

4. Quishing (Phishing Kode QR)#

Meskipun sering dibayangi oleh AI, "Quishing" (Phishing Kode QR) telah tumbuh secara paralel, dengan memanfaatkan celah keamanan seluler. Serangan yang menggunakan kode QR berbahaya meningkat 25% dari tahun ke tahun.

Mekanika Quishing dirancang untuk melewati pertahanan perusahaan. Seperti yang diilustrasikan dalam alur proses di bawah ini, serangan tersebut memanfaatkan "celah keamanan" di mana pengguna memindai kode QR yang tertanam dengan perangkat pribadi mereka, yang melewati Secure Email Gateway (SEG) dan perlindungan endpoint perusahaan sebelum mengeksekusi serangan di browser seluler.

Diagram proses 4 langkah dari serangan Quishing yang melewati pertahanan perusahaan

Penyerang semakin menggunakan AI untuk menghasilkan kode QR "artistik" yang berbaur dengan materi pemasaran, yang semakin menurunkan kecurigaan pengguna.

Lihat berapa banyak orang yang benar-benar memakai passkeys.

Lihat data adopsi

5. Analisis Ancaman Industri & Regional#

Dampak dari ancaman ini tidak seragam. Sektor-sektor yang berbeda menghadapi variasi yang berbeda dari serangan yang digerakkan oleh AI dan PhaaS berdasarkan nilai aset dan irama operasional mereka.

5.1 Phishing-as-a-Service di Perbankan dan Keuangan#

Sektor keuangan tetap menjadi industri yang paling banyak ditargetkan, yang menyumbang volume serangan phishing tertinggi.

Portal VibeScamming: Penyerang menggunakan alat seperti Lovable untuk membuat klon dengan fidelitas tinggi dan berumur pendek dari portal login bank regional. Situs-situs ini sering kali aktif kurang dari 24 jam, yang membuat penghapusan tidak efektif.
Penipuan Verifikasi Deepfake: Tren yang sedang berkembang melibatkan penyerang yang menggunakan kloning suara untuk melewati verifikasi keamanan telepon perbankan. Dengan meniru pemegang akun, mereka mengotorisasi transfer atau menyetel ulang kata sandi. Warga lanjut usia telah mengalami peningkatan 40% dalam serangan vishing, yang menyoroti sifat predatori dari kampanye ini.

5.2 Phishing-as-a-Service di Layanan Kesehatan#

Untuk layanan kesehatan, phishing pada dasarnya adalah vektor akses awal untuk ransomware.

Dampak Biaya: Rata-rata biaya pelanggaran di layanan kesehatan adalah 9,77 juta dolar AS, yang tertinggi di industri mana pun.
Umpan Operasional: Penyerang menargetkan staf rumah sakit dengan umpan yang terkait dengan "Penjadwalan Giliran Kerja", "Admin Portal Pasien", atau "Pembaruan Penggajian". Urgensi lingkungan klinis membuat staf sangat rentan terhadap umpan operasional ini.
Rantai Pasokan: Serangan sering kali berasal dari akun vendor yang disusupi (misalnya, pemasok perangkat medis), dengan memanfaatkan hubungan tepercaya untuk menghindari kecurigaan.

5.3 Phishing-as-a-Service di Ritel dan Manufaktur#

Organisasi manufaktur melihat jumlah insiden ransomware tertinggi pada tahun 2024, menentang tren penurunan global.

Teknologi Lama: Manufaktur sering mengandalkan Teknologi Operasional (OT) lama dan sistem Windows yang lebih lama, membuatnya rentan terhadap eksploitasi yang diketahui setelah akses awal diperoleh melalui phishing.
Peniruan Merek: Pengecer menghadapi "Brandjacking", di mana penyerang menggunakan AI untuk menghasilkan ulasan produk palsu, faktur penipuan, dan pemberitahuan pengiriman palsu (misalnya, "Paket Anda tertunda") untuk mengelabui konsumen.
Lonjakan APAC: Kawasan Asia-Pasifik mengalami peningkatan serangan sebesar 13% pada tahun 2024, yang sebagian besar didorong oleh serangan pada pusat manufaktur yang penting bagi rantai pasokan global.

Coba passkeys dalam demo live.

Coba passkeys

6. Pertahanan Strategis dan Ketahanan terhadap PhaaS#

Pertahanan dekade lalu (deteksi berbasis tanda tangan, daftar hitam, dan pelatihan pengguna dasar) gagal melawan serangan berbasis proksi yang digerakkan oleh AI. Peralihan ke Pertahanan yang Berpusat pada Identitas dan Analisis Perilaku diperlukan.

6.1 Kontrol Teknis terhadap Phishing-as-a-Service#

Untuk mengatasi masalah phishing, beberapa vektor harus ditangani secara bersamaan

1. MFA yang Tahan Phishing#

Pertahanan: Administrator harus menegakkan Kebijakan Akses Bersyarat yang memblokir metode autentikasi warisan. Jika browser pengguna mencoba melakukan penurunan kelas ke alur kata sandi/SMS, login harus diblokir.
Enkripsi Tertinggi: Kunci sandi FIDO menawarkan perlindungan tertinggi karena secara fisik mengikat kredensial ke perangkat, yang membuat serangan putar ulang jarak jauh hampir tidak mungkin.

2. AI Visual dan Perilaku:#

Visi Komputer: Alat keamanan harus menganalisis tampilan yang dirender dari halaman web. Bahkan jika kodenya diobfuskasi dengan sandi Caesar, halaman yang dirender terlihat seperti login Microsoft. Model visi komputer dapat mengidentifikasi kesamaan visual ini dan memblokir situs tersebut.
Garis Dasar Perilaku: Platform seperti Check Point dan Proofpoint bergerak menuju garis dasar perilaku. Mereka menganalisis niat dan konteks email (misalnya, "Apakah normal jika CFO meminta transfer kawat pada pukul 11 malam di hari Minggu?"). Anomali memicu peringatan terlepas dari reputasi pengirim.

6.2 Manajemen Risiko Manusia (HRM)#

Latihan Deepfake: Pelatihan kesadaran keamanan kini harus mencakup paparan terhadap audio dan video deepfake. Karyawan perlu merasakan kualitas pemalsuan ini di lingkungan yang aman untuk memahami ancamannya.
Protokol "Tantangan-Respons": Organisasi harus menerapkan protokol verifikasi out-of-band untuk transaksi keuangan. Jika panggilan video meminta transfer dana, karyawan harus memverifikasinya melalui saluran sekunder (misalnya, aplikasi obrolan terenkripsi atau panggilan telepon ke nomor internal yang diketahui).
Budaya Pelaporan: Metrik paling efektif untuk budaya keamanan adalah tingkat pelaporan. Organisasi kelas dunia mencapai tingkat pelaporan di atas 20%. Organisasi dengan program pelatihan yang efektif dapat mengurangi kerentanan phishing hingga 86% selama satu tahun.

6.3 Kebijakan dan Tata Kelola#

Pengungkapan SEC: Aturan pengungkapan keamanan siber SEC yang baru (Form 8-K) memerlukan pelaporan insiden material secara cepat. Pelanggaran F5 Networks pada tahun 2024/2025, yang dikaitkan dengan aktor negara bangsa, menyoroti kompleksitas pengungkapan ini, di mana Departemen Kehakiman dapat meminta penundaan karena alasan keamanan nasional.
Arahan NIS2: Di Eropa, arahan NIS2 mengamanatkan pelaporan insiden yang ketat dan langkah-langkah manajemen risiko, yang memaksa organisasi untuk mengambil kepemilikan atas risiko rantai pasokan, termasuk yang diperkenalkan oleh phishing.

Dapatkan assessment passkey gratis dalam 15 menit.

Pesan konsultasi gratis

7. Bagaimana Corbado dapat membantu#

Dengan mengganti kata sandi dan MFA berbasis OTP dengan kunci sandi berbasis FIDO yang tahan phishing, Corbado memastikan bahwa autentikasi terikat secara kriptografis ke perangkat dan asal pengguna, yang membuat serangan adversary-in-the-middle dan pemutaran ulang sesi tidak efektif. Kunci sandi tidak dapat digunakan kembali, diproksikan, atau dieksfiltrasi, bahkan oleh kit PhaaS yang sangat canggih seperti Tycoon 2FA.

Corbado dirancang untuk lingkungan perusahaan dunia nyata: Corbado terintegrasi ke dalam tumpukan autentikasi yang ada, mendukung peluncuran bertahap, dan memungkinkan MFA yang kuat tanpa menambah gesekan bagi pengguna. Hasilnya adalah keamanan yang jauh lebih tinggi, tingkat keberhasilan login yang lebih baik, dan pertahanan yang tahan lama terhadap phishing yang digerakkan AI dalam skala besar.

Igor Gjorgjioski

Head of Digital Channels & Platform Enablement, VicRoads

We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.

See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.

Read the case study

8. Kesimpulan: Phishing-as-a-Service#

Lintasan lanskap ancaman phishing mengarah ke adaptasi otonom. Kita bergerak melampaui serangan "otomatis" menuju serangan "otonom". Agen AI di masa depan tidak hanya akan menjalankan skrip yang telah ditentukan sebelumnya; mereka akan belajar dari respons pembela. Jika pembela memblokir IP, AI akan merotasinya. Jika pembela menambal kerentanan, AI akan menulis ulang eksploitasi.

Dalam artikel ini kami juga menjawab pertanyaan-pertanyaan kunci berikut:

Apa itu Phishing-as-a-Service (PhaaS)? Phishing-as-a-Service adalah ekosistem kriminal bergaya SaaS di mana kit phishing siap pakai, infrastruktur, dan dukungan dijual melalui langganan, memungkinkan bahkan penyerang dengan keterampilan rendah untuk meluncurkan serangan yang sangat efektif dan terukur, sering kali mampu melewati MFA melalui teknik adversary-in-the-middle.
Apa peran kecerdasan buatan dalam serangan phishing modern? Kecerdasan buatan memungkinkan phishing berskala dan beradaptasi dengan menghasilkan umpan pesanan yang sangat meyakinkan ("scamming vibe"), memberdayakan serangan agen otonom, dan mengaktifkan penipuan audio dan video deepfake real-time yang dapat mengalahkan verifikasi manusia dan kontrol keamanan tradisional.
Bagaimana organisasi dapat bertahan dari phishing modern (kontrol teknis, manajemen risiko manusia, dan tata kelola/kebijakan)? Organisasi harus menggabungkan autentikasi tahan phishing, berdukungan perangkat keras (misalnya, kunci sandi FIDO) dan deteksi AI perilaku/visual dengan manajemen risiko manusia seperti kesadaran deepfake dan protokol verifikasi out-of-band, yang diperkuat oleh tata kelola dan kepatuhan yang kuat dengan peraturan pelaporan insiden dan risiko rantai pasokan (misalnya, aturan SEC dan NIS2).

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Apa itu scamming vibe dan mengapa ini menjadi ancaman bagi keamanan perusahaan?#