Penyalahgunaan AI: Media Sintetik Pembobol Rekening Rp 400 M

Kali ini tak tanggung-tanggung, seorang perempuan pejabat keuangan di Hongkong tertipu, dan melakukan transfer 25,6 juta dollar AS atau setara dengan lebih dari Rp 401 miliar kepada pelaku kejahatan dari rekening perusahaan.

Luar biasanya, seperti dilansir South China Morning (1/4/2024), bahwa semua orang dalam modus vide conference penipuan itu tampak nyata, yang menyebabkan kerugian kantor perusahaan multinasional di Hong Kong itu.

Karyawati itu tertipu setelah melihat “jelmaan” versi digital Chief Financial Officer perusahaan, dan beberapa pihak lainnya.

Deepfaker berhasil menipu melalui multi individu dalam panggilan video call deepfake. Pelaku dengan canggih melakukan rekayasa sosial, dan menggunakan metode deepfake nyaris sempurna.

Memang, pekerja tersebut awalnya mulai ragu, karena permintaan transaksi dilakukan secara rahasia. Namun hadirnya orang lain yang terlihat dan terdengar nyata seperti rekan kerja yang dia kenal dalam video conference yang menyaru menjadi staf perusahaan sukses memupus keraguan itu, sehingga ia mengikuti semua instruksi penipu.

Tulisan ini adalah bagian dari riset Academic Leadership pada Center of Cyberlaw dan Digital Transformation Fakultas Hukum Universitas Padjadjaran. Mengingat pentingnya materi ini, maka saya bagikan juga kepada pembaca Kompas.com.

Kekhawatiran global

Dilansir CNN (4/2/2024), peristiwa ini telah memicu kekhawatiran makin tinggi berbagai pihak akan potensi bahaya dan kerusakan yang ditimbulkan oleh teknologi Akal Imitasi (AI) atau Artificial Intelligence.

Deepfake terus berkembang. Penipuan yang awalnya dilakukan seorang sosok, kini terus direkayasa menjadi multi individu. Penjahat dalam hal ini selalu bermain dengan kerentanan psikologis korbannya.

Teknologi deepfake berbasis pembelajaran mendalam AI untuk membuat konten palsu secara online, adalah hal meresahkan di era digital (Kina Viola 'Another Body' documentary exposes harm of deepfake tech, Cornell University, 25/1/2024).

“Deepfake" merupakan terminologi umum yang mencakup konten sintetik. Modelnya bisa berupa teks, gambar, audio, atau video.

Sintesis dikerjakan oleh AI atau algoritma pembelajaran mesin (CLTC Berkeley, “What? So What? Now What?”: A Video on Deepfakes featuring Prof. Hany Farid" 2021).

Sintesis bisa berupa audio ucapan orang lain, atau ketika seseorang mengatakan dan melakukan sesuatu dalam video yang tidak pernah mereka lakukan.

Modus baru itu tampak dari hadirnya "beberapa orang palsu" dalam vicon deepfake. Hal ini tentu berbeda jika lawan bicara hanya satu orang.

Melakukan deepfake vicon dengan banyak manusia palsu sekaligus menggunakan AI bisa sangat mengelabui, bahkan mengintimidasi korban.

Kejahatan ini dilakukan lintas negara. Maka penerapan yurisdiksi ekstra teritorial semakin penting tidak hanya tertulis di UU, tetapi secara nyata harus diimplementasikan.

Laporan FBI

Di AS, Biro Investigasi Federal (FBI) dalam rilis terbarunya telah melaporkan lonjakan kerugian finansial yang signifikan akibat kejahatan dunia maya, dengan peningkatan yang mengejutkan sebesar 12,5 miliar dollar AS dibanding tahun-tahun sebelumnya (Yeo & Yeo :FBI Reports $12.5 Billion Increase in Losses from Cybercrime Amid Ongoing Phishing Attacks, 8/4/2024).

Peningkatan yang mengkhawatirkan ini disebabkan serangan phishing yang terus berlanjut, mengeksploitasi kerentanan dalam pertahanan keamanan organisasi siber.

Menurut laporan ini penjahat dunia maya memanfaatkan taktik phishing yang kian canggih untuk menyusup ke jaringan, membahayakan data sensitif, dan menipu individu dan bisnis.

FBI memperingatkan bahwa serangan phishing tetap menjadi metode umum yang dimanfaatkan penjahat dunia maya untuk mengeksploitasi korban yang tidak menaruh curiga.

FBI mendesak organisasi untuk memprioritaskan kesadaran keamanan siber dan menerapkan pertahanan yang kuat terhadap serangan phishing.

Langkah meliputi mendidik karyawan, menerapkan langkah-langkah keamanan berlapis, dan tetap waspada terhadap ancaman yang terus berkembang.

Dunia usaha perlu memitigasi risiko korban kejahatan dunia maya dan melindungi aset berharga serta informasi sensitif mereka.

Di sisi lain, sebagai negara pengembang AI paling depan, Pemerintah AS melalui berbagai institusi seperti, NSA, FBI, dan CISA pada 12 September 2023 merilis laporan bertajuk "NSA, FBI, and CISA Release Cybersecurity Information Sheet on Deepfake Threats".

Rilis itu menyatakan bahwa kekhawatiran masyarakat terhadap media sintetik mencakup operasi disinformasi, dengan memanfaatkan media sintetik untuk modus kejahatan di bidang keuangan, pelanggaran privasi dan pencemaran nama baik.

Laporan Pemerintah AS juga mencatat bentuk penyebaran informasi palsu terkait isu-isu politik, sosial, militer, atau ekonomi yang menyebabkan kebingungan, keresahan, dan ketidakpastian.

Lembaga-lembaga itu mendesak organisasi untuk melakukan langkah-langkah dan praktik terbaik dalam mempersiapkan, mengidentifikasi, mempertahankan diri, dan merespons ancaman deepfake.

Media sintetik

Meskipun penipuan telah menjadi masalah di sektor jasa keuangan sejak lama, namun industri ini menghadapi ancaman berbeda, berupa deepfake (Alan Perregini, American Banker: "BankThink In banks' battle against deepfake fraud, we need all hands on deck", 12/3/2024).

Ia menyebut insiden di Hong Kong adalah peringatan keras. Industri harus melengkapi diri dengan alat, teknologi, dan proses, yang didukung oleh regulasi proaktif.

Semua variabel itu penting untuk memastikan bahwa penipuan deepfake tidak membebani lembaga keuangan global atau perekonomian secara keseluruhan.

Ian Sample dalam laporannya bertajuk “ What are deepfakes-and how can you spot them?” yang diterbitkan The Guardian (13/1/2020) dan diperbaharui (3/3/2023), menyatakan bahwa deepfake lahir pada tahun 2017.

Kasus menghebohkan, ketika seorang pengguna Reddit, dengan nama yang sama, mem-posting klip porno hasil rekayasa. Video tersebut menukar wajah selebriti Gal Gadot, Taylor Swift, Scarlett Johansson dan lainnya menjadi artis porno.

Ancaman dari media sintetis, seperti deepfake, telah meningkat secara eksponensial dan menimbulkan tantangan yang semakin besar bagi pengguna teknologi dan komunikasi modern.

Shannon Murphy, dalam laporan berjudul “A Deepfake Scammed a Bank out of $25M — Now What? Trend Business (7/2/2024), membagikan beberapa kiat antisipasif menghadapi serangan deepfake.

Shanon mengilustrasikan insiden yang dipicu AI ini lebih mirip alur cerita film fiksi ilmiah daripada peristiwa dunia nyata, tetapi ia buru-buru menyatakan bahwa ini bukan sekadar teori karena sudah faktual.

Shanon menyebut, AI memengaruhi tiga kategori utama kejahatan dunia maya: rekayasa sosial dan penipuan, layanan GPT yang di-jailbreak, serta pembajakan dan model poisoning. Di antara ketiga kategori ini, penipuan adalah yang terdepan.

Menghadapi ancaman kejahatan teknologi AI, pendekatan teknologi saja tidaklah cukup. Karena bisnis prosesnya menyangkut unsur humaniora, rekayasa sosial, dan kesiapan regulasi. Karakter hukum yang seringkali tertinggal dari kecepatan teknologi harus diatasi.

Secara teknologi, kejahatan ini bisa terus berkembang karena kemudahan aksesibilitas terhadap teknologi dan instrumen deepfake sebagai perangkat lunak open souce yang bisa diperoleh siapa saja, sementara regulasinya tidak tersedia secara komprehensif.

Regulasi dan pengadilan

Berbagai kalangan mulai memperingatkan interferensi deepfake ke dalam dunia peradilan. Ketika teknologi menjadi lebih mudah diakses, deepfake dapat menjadi media sintetik peristiwa dan bukti palsu.

Mengutip referensi sebelumnya, Ian Sample mengingatkan risiko di mana deepfake dapat meniru data biometrik, dan berpotensi mengelabui sistem yang mengandalkan pengenalan wajah, suara, iris wajah, atau cara berjalan.

Jika prediksi Ia Sample terbukti, maka risiko penegakan hukum berbasis AI menjadi persoalan besar. Pemerintah perlu segera membuat regulasi terkait AI komprehensif.

Regulasi harus memastikan bahwa sistem AI yang diterapkan aman, melindungi data pribadi, menghormati hak-hak dasar, dan mendorong pengembangan teknologi, ekonomi, sosial budaya berbasis AI.

Undang-undang harus pula menetapkan pendekatan berbasis risiko. Perlu diterapkan klasifikasi AI yang dinilai berdasarkan tingkat risiko, dan menerapkan persyaratan sesuai.

Merujuk UU AI Eropa, terdapat AI yang dilarang karena dapat menimbulkan risiko yang tidak dapat diterima.

Seperti sistem AI untuk identifikasi biometrik jarak jauh secara real-time di ruang publik, sistem penilaian sosial, dan penggunaan teknik pengaruh bawah sadar yang mengeksploitasi kerentanan kelompok tertentu.

Terdapat pula klasifikasi sistem AI berisiko tinggi. Meskipun diizinkan, tetapi harus mematuhi berbagai persyaratan dan menjalani penilaian kesesuaian, dan diregistrasi sebelum sistem dirilis ke pasar.

Sistem AI berisiko tinggi juga memerlukan sistem manajemen risiko yang tepat, kemampuan logging, dan pengawasan manusia.

Mengingat AI Generatif tergantung pada data pelatihan, maka tata kelola data yang tepat, pengujian dan validasi serta kontrol yang menjamin keamanan siber, ketahanan dan keadilan sistem adalah keniscayaan.

Untuk sistem AI risiko terbatas atau minimal, tetap diperlukan transparansi di mana pengguna atau pengadilan (jika digunakan sebagai bukti) harus diberi tahu bahwa interaksi mereka dihasilkan oleh AI atau AI berada di baliknya.

Mengingat aksesabilitas terhadap teknologi sudah sedemikian mudahnya dan bisa dilakukan siapapun, maka, saya mengingatkan sekali lagi, Indonesia perlu segera memiliki regulasi AI komprehensif.

Produk hukum yang diperlukan adalah berupa Undang-undang yang mendukung penggunaan dan pengembangan AI di satu sisi, serta menekan, meminimalisasi, melindungi masyarakat dan mencegah penyalahgunaan AI di sisi yang lain.