Evolusi kejahatan siber dan klaim rekayasa sosial

Seorang warga Australia melaporkan kejahatan siber setiap enam menit. Pada tahun 2024 saja, kerugian penipuan yang dilaporkan mencapai AUD 2,74 miliar. Di antaranya, Business Email Compromise (BEC), atau yang dikenal sebagai penipuan rekayasa sosial, mencapai AUD 91,6 juta. Angka-angka ini menyoroti skala dan kecanggihan kejahatan siber yang terus berkembang - dan meningkatnya tantangan yang ditimbulkannya bagi perusahaan asuransi, bisnis, dan individu.

Dari hoodies hingga struktur perusahaan

Ketika kita membayangkan penjahat siber, gambarannya sering kali berasal dari film: sosok tunggal dalam hoodie, bekerja dalam kegelapan dengan layar yang bersinar. Meskipun para pelaku kejahatan ini masih ada, penjahat siber modern terlihat sangat berbeda.

Saat ini, banyak yang beroperasi dalam organisasi terstruktur yang mencerminkan bisnis yang sah. Penjahat direkrut, dibayar gaji, dan bahkan menerima bonus dan liburan. Proses perekrutan terjadi di web gelap, di mana penjahat siber harus menunjukkan referensi dan lulus tes keterampilan, seperti halnya di dunia korporat. 

Kelompok-kelompok yang disponsori negara, yang paling terkenal di Korea Utara dan Rusia, membawa hal ini ke tingkat yang lebih tinggi, berinvestasi besar-besaran dalam teknologi dan penelitian untuk menyempurnakan kemampuan mereka. Evolusi ini telah memungkinkan mereka untuk meluncurkan penipuan yang semakin kompleks dan meyakinkan dalam skala besar.

Munculnya rekayasa sosial yang canggih

Satu dekade yang lalu, klaim rekayasa sosial biasanya melibatkan email yang tidak jelas yang penuh dengan kesalahan pengejaan, instruksi yang tidak jelas, dan alamat email yang tidak cocok. Penipuan ini relatif mudah dikenali.

Saat ini, penjahat siber menggunakan penggalian data, penelitian sumber terbuka, dan informasi bisnis yang dicuri untuk membuat serangan yang jauh lebih meyakinkan. Dengan menjelajahi platform seperti LinkedIn, para penjahat mengidentifikasi para profesional keuangan yang memiliki wewenang untuk memindahkan uang dan menyesuaikan komunikasi yang sesuai. Email-email ini sekarang meniru korespondensi yang sah, mengadopsi nada, bahasa, dan bahkan nama panggilan yang digunakan dalam bisnis.

Dalam beberapa kasus, para penjahat menghabiskan waktu berminggu-minggu di dalam jaringan yang disusupi, mempelajari alur kerja, hubungan pemasok, dan faktur yang akan datang untuk membuat penipuan yang sangat ditargetkan. Hasilnya: lebih sedikit tanda bahaya dan peluang keberhasilan yang lebih besar.

Peran AI dan deepfake

Kecerdasan buatan telah secara dramatis mempercepat evolusi rekayasa sosial. Teknologi deepfake sekarang memungkinkan penjahat untuk meniru suara dan bahkan wajah para eksekutif secara meyakinkan.

Dalam sebuah kasus terkenal, seorang karyawan perusahaan multinasional di Hong Kong mengesahkan pembayaran sebesar HKD 200 juta (sekitar AUD 39,5 juta) setelah menghadiri panggilan Zoom dengan apa yang tampak seperti manajemen senior. Satu-satunya masalah? Para eksekutif itu adalah pemalsuan yang dibuat oleh AI.

Deepfakes bukan lagi pemalsuan yang kikuk dan robotik seperti beberapa tahun yang lalu. Sekarang ini, deepfake sangat realistis, sehingga sulit-bahkan bagi para profesional yang terlatih sekalipun-untuk membedakannya. Dikombinasikan dengan rekaman suara dan klip video curian yang dapat dikumpulkan dari internet, para penjahat sekarang dapat membuat peniruan yang sangat meyakinkan.

Dari perspektif klaim, hal ini menimbulkan tantangan yang signifikan. Penipuan melalui suara dan video hanya meninggalkan sedikit jejak kertas, sehingga menyulitkan verifikasi. Selain itu, korban mungkin tidak menyadari bahwa mereka telah tertipu hingga beberapa waktu kemudian, sehingga mengurangi kemungkinan berhasil mendapatkan kembali dana melalui bank.

Ancaman yang muncul: Agen AI

Perbatasan kejahatan dunia maya berikutnya diantisipasi menjadi agen AI - sistem otonom yang mampu menalar, belajar, dan membuat keputusan tanpa campur tangan manusia. Tidak seperti asisten AI saat ini, yang membutuhkan perintah, agen AI dapat bertindak secara mandiri.

Dalam konteks kejahatan siber, ini berarti agen AI dapat melakukannya:

• Cari target di internet
• Membangun basis data CRM untuk para profesional keuangan
• Menyusun korespondensi yang meyakinkan
• Mengirimkan ribuan email penipuan dalam skala besar

Dan semuanya tanpa pengawasan manusia. Biayanya minimal, jangkauannya sangat luas, dan bahkan jika hanya satu kali percobaan yang berhasil, hasilnya bisa signifikan.

Tanggapan legislatif dan perbankan

Pemerintah dan lembaga keuangan merespons. Pada bulan Februari 2025, RUU Kerangka Kerja Pencegahan Penipuan disahkan di Australia, yang mengharuskan bank menerapkan kontrol yang lebih kuat untuk mendeteksi, mencegah, dan menangkal penipuan.

Perkembangannya termasuk Asosiasi Perbankan Australia yang membentuk Scam-Safe Accord, termasuk investasi senilai $100 juta dalam teknologi pengecekan nama, yang memverifikasi apakah nama akun sesuai dengan BSB dan nomor akun yang dimasukkan. Inisiatif lain termasuk peningkatan peringatan, penahanan pembayaran ke rekening bank baru dan pertanyaan keamanan tambahan.

Kami mengantisipasi bahwa untuk UKM, kontrol ini dapat menimbulkan tantangan operasional yang harus dipertimbangkan dan jika memungkinkan, direncanakan sebelumnya. Penundaan pembayaran, misalnya, dapat mengganggu arus kas pemasok.  

Implikasi untuk klaim asuransi

Dari perspektif asuransi, kata-kata dalam polis juga telah berkembang. Banyak polis sekarang menyertakan pengecualian atau deductible yang lebih tinggi jika kontrol verifikasi tertentu tidak ada atau tidak diikuti. Sebagai contoh, perusahaan asuransi mungkin mensyaratkan:

• Verifikasi melalui telepon atas setiap perubahan pada detail rekening bank pemasok
• Pemisahan tugas dalam memproses faktur
• Prosedur terdokumentasi untuk persetujuan pembayaran

Pengadilan telah menggemakan sikap ini. Pada tahun 2025, pengadilan di Australia Barat meminta pertanggungjawaban sebuah perusahaan untuk membayar faktur palsu setelah metode verifikasinya dianggap tidak memadai. Harapannya jelas: bisnis harus mengambil langkah yang wajar untuk melindungi diri mereka sendiri.

Apa yang dapat dilakukan organisasi

Terlepas dari kecanggihan serangan, bisnis dapat secara signifikan mengurangi risiko mereka dengan proses yang tepat:

• Protokol verifikasi: Selalu konfirmasikan perubahan detail bank melalui telepon, dengan menggunakan nomor telepon yang bersumber secara independen.
• Pemberdayaan staf: Dorong karyawan untuk mempertanyakan permintaan yang tidak biasa, bahkan dari "eksekutif senior."
• Pelatihan: Secara teratur memperbarui staf tentang ancaman yang muncul dan tanda bahaya.
• Kontrol TI: Menerapkan autentikasi multi-faktor, membatasi hak akses admin, dan menerapkan perubahan kata sandi secara teratur.

Pada akhirnya, kewaspadaan di tingkat individu dan organisasi tetap menjadi pertahanan terkuat.

Bagaimana Sedgwick dapat membantu

Maraknya kejahatan siber yang canggih menyoroti semakin kompleksnya pengelolaan klaim. Setiap kasus memerlukan analisis yang cermat-tidak hanya kerugian finansial tetapi juga kesesuaian dengan ketentuan polis, proses verifikasi, dan prospek pemulihan.

Di Sedgwick, tim akuntansi forensik kami memiliki keahlian untuk mengatasi tantangan ini. Sebagai salah satu kelompok akuntan forensik terbesar di Australia, kami mendukung perusahaan asuransi, korporat, dan klien hukum dengan kuantifikasi yang akurat, komprehensif, dan penyelesaian klaim siber dan rekayasa sosial. Selain kejahatan siber, para spesialis kami bekerja di berbagai macam klaim khusus, memastikan kejelasan, keakuratan, dan hasil yang tepercaya dalam situasi yang kompleks.

Jika Anda ingin mengetahui lebih lanjut tentang bagaimana Sedgwick dapat mendukung Anda dalam hal cyber, rekayasa sosial, atau klaim khusus, hubungi Beth Fieldhouse [email protected], Lucy Tang [email protected] atau Emma Levett [email protected]