Deepfake dan AI-generated Threats: Ancaman Baru bagi Perusahaan di Indonesia
Semakin hari, AI semakin canggih. Manfaatnya sudah kita rasakan di banyak hal, mulai dari otomatisasi kerja sampai mempermudah tim service desk dalam menjawab pesan. Namun, di balik semua itu, ada sisi lain yang tidak kalah menyeramkan: ancaman siber berbasis AI atau AI-generated attack. Salah satu ancaman yang paling sering dibicarakan adalah deepfake.
Deepfake ini sangat berbahaya karena media yang dihasilkan bisa sangat mirip dengan manusia asli. Hanya bermodalkan foto dan sampel suara, identitas seseorang bisa ditiru habis-habisan. Kalau teknologi ini dimanfaatkan oleh cybercriminal, bisa digunakan untuk fraud, pencurian identitas, sampai kejahatan finansial dalam skala besar. Bukan hanya individu yang bisa kena, tetapi juga perusahaan.
Tidak heran jika laporan dari platform threat intelligence InSights menemukan peningkatan 43% diskusi tentang serangan deepfake di forum dark web sejak 2019. Artinya, ancaman ini memang sedang naik daun di kalangan penjahat siber.
Artikel ini akan membahas lebih dalam soal AI-generated threat seperti deepfake. Seperti apa ancaman ini bekerja, risiko apa yang mengintai, dan langkah apa saja yang bisa dilakukan untuk mengatasinya—semuanya bisa Anda temukan di sini.
Apa itu deepfake dan AI-generated threat?
Deepfake adalah gabungan kata dari "deep learning" dan "fake". Singkatnya, deepfake adalah versi palsu dari foto, video, atau audio yang dibuat sedemikian rupa agar terlihat atau terdengar seperti aslinya. Proses pembuatannya menggunakan deep learning mendalam dan software AI untuk memanipulasi atau menghasilkan konten multimedia yang sangat realistis.
Jika digunakan untuk tujuan jahat, deepfake berfungsi sebagai alat manipulasi. Deepfake threat akan meniru identitas seseorang, mulai dari wajah, gerak bibir, atau suara. Biasanya, identitas yang dicuri adalah identitas orang penting seperti CEO, pejabat pemerintahan, atau selebritas. Dengan berpura-pura sebagai orang yang dipercaya, penyerang dapat membujuk korban melakukan tindakan merugikan.
Karena deepfake melibatkan penggunaan AI dalam pembuatannya, maka serangan berbasis deepfake termasuk dalam kategori AI-generated threat. Ini adalah ancaman siber yang diciptakan, ditingkatkan, atau dijalankan dengan bantuan AI. Dengan AI, serangan siber jadi lebih cepat, meyakinkan, dan adaptif untuk menghindari deteksi.
Selain deepfake, bentuk lain dari AI-generated threat yaitu:
Polymorphic malware: malware yang menulis ulang kodenya untuk mengelabui antivirus
Ransomware adaptif: misalnya ransomware yang bisa mengubah teknik enkripsi untuk menghindari deteksi
Website palsu: kloning situs untuk mencuri kredensial, clickjacking, dan browser fingerprinting
Phishing berbasis AI: email phishing dengan pesan yang lebih natural dan sulit dibedakan dari komunikasi asli.
Apa risiko deepfake dan AI-generated threat untuk perusahaan?
Deepfake dan AI-generated threat memiliki risiko yang berbahaya bagi perusahaan, yaitu:
1. Ancaman semakin sulit dikenali
Kemajuan teknologi AI telah membuat deepfake dan AI-generated threat semakin sulit dikenali. Semakin lama, ekspresi wajah, suara, hingga gaya bicara seseorang bisa ditiru dengan meyakinkan. Kini, banyak orang tidak menyadari bahwa mereka sedang berinteraksi dengan hasil manipulasi AI.
Kecanggihan AI juga bisa kita temukan dalam email phishing. Kini, pelaku kejahatan siber memanfaatkan AI untuk menulis email phishing dengan bahasa yang lebih alami, personal, dan bebas kesalahan. Akibatnya, email palsu jadi sulit dibedakan dari email resmi.
2. Kerugian finansial yang signifikan
Menurut laporan Indonesia Anti-Scam Centre (IASC), sektor keuangan di Indonesia mengalami kerugian lebih dari Rp700 miliar (sekitar USD 44 juta) hanya dalam waktu tiga bulan (November 2024–Februari 2025). Kerugian ini terjadi akibat berbagai kasus penipuan berbasis deepfake.
3. Kerugian terhadap reputasi perusahaan dan kepercayaan publik
Siapa pun bisa menjadi target deepfake, termasuk eksekutif perusahaan seperti CEO. Jika identitas mereka dimanipulasi, dampaknya bisa sangat merugikan perusahaan.
Pelaku kejahatan siber dapat menggunakan identitas palsu tersebut untuk membuat video pengumuman yang tidak benar, misalnya terkait PHK massal atau permintaan transfer dana. Tindakan semacam ini bisa memengaruhi harga saham dan mencoreng reputasi perusahaan.
4. Risiko pada operasional perbankan
Industri perbankan yang mengandalkan call center operations (baik internal maupun outsourcing) berisiko menerima panggilan dari AI-generated voice yang meniru suara nasabah atau pimpinan perusahaan untuk tujuan penipuan.
Apa contoh kasus deepfake dan AI-generated threat?
Ancaman AI, termasuk deepfake, semakin sering digunakan pelaku kejahatan siber untuk memperdaya korban dengan cara yang lebih meyakinkan. Beberapa kasus nyata berikut menunjukkan bagaimana AI-generated threat bisa menimbulkan kerugian besar di berbagai sektor.
Di sektor pemerintahan, kasus deepfake pernah menimpa Wakil Gubernur Sulawesi Barat, Salim S. Mengga (September 2025). Videonya dimanipulasi menggunakan teknologi deepfake sehingga menjadi video hoaks tentang program pemutihan pajak. Dalam video palsu tersebut, Wagub Salim digambarkan seakan menyampaikan kebijakan pemutihan pajak, meliputi balik nama kendaraan, pelunasan pajak kendaraan bermotor, pembuatan SIM, hingga penggantian plat nomor.
Lainnya dari sektor pemerintahan, kasus deepfake juga dialami Gubernur Jawa Timur, Khofifah Indar Parawansa. April 2025 lalu, sebuah video dirinya dimanipulasi seolah-olah beliau menawarkan penjualan sepeda motor beserta dokumen lengkap dengan harga sangat murah, yakni Rp500.000. Untuk mendapatkan sepeda motor ini, pembeli harus melakukan proses pembayaran secara COD (cash on delivery).
Dalam 5 bulan pertama tahun 2025, sebanyak 27.000 usaha serangan siber berhasil ditangkal oleh platform jual beli aset kripto Tokocrypto. Banyak dari upaya serangan siber ini erupakan serangan berbasis deepfake. Modusnya mencakup penyalahgunaan identitas, pemalsuan wajah dan suara, serta spoofing.
Contoh kasus berikutnya bukan datang dari Indonesia. Maret 2025, seorang finance director perusahaan multinasional di Singapura menerima pesan Whatsapp dari penipu yang menyamar sebagai CFO. Ia diminta mengikuti video conference untuk membicarakan suatu proyek dan menandatangani NDA. Tanpa sadar, korban mentransfer lebih dari US$494.000 ke rekening perusahaan fiktif yang ternyata merupakan akun mule dan dialihkan ke bank di Hong Kong. Untungnya, dana yang sudah ditransfer berhasil ditahan oleh Anti-Deception Coordination Centre (ADCC) Hong Kong.
Seperti apa strategi mitigasi untuk deepfake dan AI generated-threat di perusahaan?
Ancaman dari deepfake dan AI-generated threat tidak bisa diatasi hanya dengan satu solusi teknis. Diperlukan pendekatan menyeluruh yang melibatkan teknologi, kebijakan keamanan, hingga perubahan budaya perusahaan. Berikut beberapa langkah strategis yang dapat diterapkan:
1. Terapkan prinsip Zero Trust
Gunakan prinsip "never trust, always verify" (jangan pernah langsung percaya pada siapa atau apa pun, selalu verifikasi). Semua akses, klaim, atau komunikasi internal harus diverifikasi terlebih dahulu, termasuk permintaan yang berasal dari pihak senior, seperti CEO atau direktur. Dengan Zero Trust, Anda bisa terhindar dari serangan yang memanfaatkan rekayasa sosial atau kredensial palsu.
Dalam praktiknya, Zero Trust bukan cuma aturan akses, tetapi juga strategi menyeluruh dalam keamanan IT. Perusahaan bisa mulai dengan mengidentifikasi dan mengklasifikasi data sensitif, membatasi akses menggunakan prinsip least privilege, serta memantau aktivitas jaringan dan endpoint secara real-time.
2. Gunakan safe-word untuk komunikasi internal
Sebagai salah satu bentuk verifikasi, Anda bisa menerapkan sistem safe word. Ini adalah kata sandi unik yang hanya diketahui orang-orang tertentu di perusahaan. Cara ini membantu mengonfirmasi identitas pengirim pesan ketika terjadi komunikasi mendesak atau mencurigakan, misalnya saat diminta melakukan transfer dana. Sehingga, jika ada yang mencoba menipu, dia tidak akan berhasil sebab tidak mengetahui safe word.
3. Manfaatkan AI detection tool
Anda mungkin sering melihat konten deepfake yang terlihat sangat nyata, hampir tidak ada tanda yang menunjukkan konten tersebut adalah palsu. Ekspresinya alami, suaranya sama persis seperti orang aslinya, dan gerak bibirnya juga sinkron. Namun, sebenarnya, konten deepfake pun masih meninggalkan pola digital (trace) yang bisa diidentifikasi oleh sistem deteksi berbasis machine learning.
Dengan menggunakan teknologi ini, perusahaan bisa lebih cepat mengenali dan memblokir konten berbahaya seperti video deepfake, audio palsu, atau gambar hasil rekayasa AI. Biasanya, tim IT akan menggunakan tool deteksi AI untuk menganalisis file atau komunikasi yang mencurigakan. Sehingga, perusahaan bisa menekan risiko misinformasi, social engineering, dan penipuan berbasis AI.
4. Gunakan MFA
MFA (Multi-Factor Authentication) wajib diterapkan, terutama untuk akun yang memiliki akses ke data sensitif atau transaksi keuangan. Lapisan verifikasi tambahan ini membantu mencegah pencurian kredensial akibat serangan phishing berbasis AI.
Untuk mendukung penerapan MFA yang kuat dan mudah diintegrasikan, perusahaan dapat memanfaatkan solusi seperti ManageEngine ADSelfService Plus. Solusi ini bisa mewajibkan penerapan MFA di berbagai perangkat pengguna atau saat login ke aplikasi yang penting.
5. Audit keamanan berkala
Melakukan audit keamanan berkala sangat penting, karena ancaman siber terus berubah dan bisa muncul dari hal-hal yang tidak terduga. Bisa jadi, sistem yang awalnya aman punya celah baru saat ada update atau penambahan fitur.
Dengan audit secara rutin, tim IT dapat menemukan potensi kerentanan sejak dini. Mulai dari konfigurasi yang salah, perangkat lunak yang belum diperbarui, hingga kebocoran data internal. Hasilnya, sistem jadi lebih siap menghadapi serangan dan risiko kebocoran data pun bisa diminimalkan.
6. Edukasi karyawan
Bukan sekali dua kali serangan siber terjadi karena manusia. Itulah mengapa, penting untuk memberi edukasi ke karyawan tentang cara mengenali dan menghadapi ancaman seperti phishing atau social engineering. Hal-hal yang diajarkan misalnya jangan asal klik link sembarangan, selalu cek email pengirim, prosedur verifikasi komunikasi internal, dan mekanisme pelaporan jika terjadi ancaman siber berbasis deepfake dan AI.
Dengan edukasi yang berkelanjutan, karyawan jadi lebih waspada dan tidak mudah tertipu oleh taktik penyerang. Kalau semua orang di perusahaan paham perannya dalam menjaga keamanan, sistem pun jadi jauh lebih kuat.
7. Gunakan teknologi blockchain
Teknologi blockchain bisa menjadi salah satu metode autentikasi untuk memastikan keaslian konten digital. Hal ini dilakukan dengan mekanisme smart contract dan hashing. Setiap kali sebuah video dibuat, sistem akan otomatis mencatat metadata serta atribut penting lainnya, kemudian menghasilkan hash unik. Smart contract ini juga bisa membatasi siapa saja yang boleh mengakses atau membagikan video, sehingga setiap perubahan atau distribusi bisa terlacak secara otomatis.
Selain itu, untuk konten video, penerapan digital watermark berbasis blockchain juga dinilai efektif. Dengan digital watermark, identifikasi video asli bisa dilakukan lebih mudah, sekaligus mendeteksi perubahan atau manipulasi.
Tetap waspada dengan ancaman di era AI
Era deepfake dan serangan berbasis AI menuntut perusahaan untuk lebih dari sekadar waspada, kita perlu resilient. Ancaman seperti pencurian identitas, penipuan finansial, atau penyebaran informasi palsu kini bisa dilakukan hanya dengan konten deepfake. Dalam situasi seperti ini, berpikir kritis dan selalu verifikasi sama pentingnya dengan keamanan sistem itu sendiri.
ManageEngine membantu melindungi perusahaan dari ancaman deepfake dan berbasis AI. Melalui ADSelfService Plus, Anda bisa menerapkan MFA di seluruh aplikasi dan endpoint untuk memastikan hanya pengguna sah yang bisa mengakses sistem penting.
Dengan ADAudit Plus, perusahaan bisa melakukan audit AD secara berkala dan memantau setiap perubahan atau aktivitas yang mencurigakan di lingkungan Active Directory secara real-time.
Lalu, solusi seperti Log360 dan ADManager Plus membantu Anda mengontrol akses berbasis least privilege, memverifikasi identitas, serta memastikan setiap permintaan dan aktivitas pengguna diverifikasi terlebih dahulu sebelum diberikan akses. Hal ini dapat memperkuat penerapan Zero Trust.
Tertarik mempelajari lebih lanjut tentang solusi ManageEngine? Jadwalkan sesi khusus dengan tim kami untuk mempelajari fitur-fiturnya lebih dalam!