Elyse Betters Picaro / ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Kesimpulan Penting ZDNET
Alat pemeriksa penipuan baru NordVPN menggunakan AI untuk mendeteksi konten mencurigakan.
Anda butuh lebih dari sekadar layanan mandiri untuk aman dari scam.
Begini cara mengidentifikasi penipuan yang semakin meyakinkan.
Banyak dari kita tumbuh bersama penipuan daring, namun yang kita hadapi sekarang jauh berbeda dari skema deposit palsu, kemenangan undian, atau pesan dari kerabat lama yang ingin mewariskan jutaan dolar.
Tentu saja, email phishing dan spam yang generik itu masih ada—jika Anda seperti saya, ratusan di antaranya memenuhi folder spam setiap minggu. Namun, ketika penipu meluangkan waktu untuk menargetkan konten dan menggunakan teknologi baru untuk meningkatkan email umpan mereka, itu bisa sulit dikenali.
Masalahnya, AI dapat disalahgunakan untuk menghasilkan penipuan yang meyakinkan tanpa ciri khas kampanye phishing masa lalu. Diperkirakan 82,6% email phishing menggunakan suatu bentuk AI. Tapi, bisakah kita membalikkan keadaan dan menggunakan AI untuk melawan tren ini?
Pemeriksa Penipuan Gratis NordVPN
Minggu ini, NordVPN meluncurkan alat pemeriksa penipuan berbasis AI. Alat ini gratis dan berbasis web, memungkinkan Anda dengan cepat memeriksa tautan, file, atau teks untuk menemukan indikasi penipuan. Anda juga dapat mengunggah gambar atau tangkapan layar.
Anda tidak perlu akun untuk mendaftar—cukup kunjungi halamannya, kirimkan informasi yang ingin diperiksa, dan klik analisis.
Layanan NordVPN kemudian memeriksa URL, alamat email, dan nomor telepon terhadap basis data dan sumber berbahaya yang diketahui. Jika Anda ingin menganalisis sebuah teks, algoritma AI akan memeriksa konten untuk pola "yang umum digunakan dalam penipuan, seperti taktik menakut-nakuti dan rasa urgensi buatan," menurut perusahaan tersebut.
Saya ingin melihat seberapa efektif detektor penipuan berbasis AI ini. Saat menguji layanan web tersebut, saya pertama membandingkan sebuah penipuan undian biasa yang diambil dari kotak masuk saya.
Berhasil. Cukup berguna juga untuk mengetahui alasannya, karena pemeriksa penipuan itu menjelaskan indikator mana yang menandakan pesan ini palsu.
"Pesan ini mengandung beberapa tanda bahaya yang mengindikasikan penipuan, termasuk kemenangan undian yang tidak terduga, sejumlah besar uang, dan permintaan informasi pribadi atau biaya untuk mengklaim hadiah. Pesan juga menyebutkan bank yang tidak terverifikasi dan sponsor yang biasanya tidak mengadakan undian, seperti Coca-Cola. Unsur-unsur ini adalah taktik umum yang digunakan dalam scam phishing untuk menipu korban agar memberikan informasi sensitif atau mengirim uang."
Banyak dari kita tentu akan mengenali ini sebagai penipuan—tapi bagaimana dengan sesuatu yang lebih canggih?
Bangkitnya Penipuan Rekrutmen
Hampir tak ada hari tanpa kita mendengar tentang putaran PHK lainnya. Banyak yang khawatir tentang dampak AI terhadap pekerjaan dan prospek masa depan mereka, dan akibatnya, para penipu mengambil keuntungan dari ketakutan kita.
Penipuan pekerjaan dapat berupa lowongan palsu, pesan, skema bayar-untuk-akses dan pelatihan, dan, mungkin belakangan ini, penipuan rekrutmen yang ditargetkan untuk peran tingkat tinggi.
Selama beberapa minggu terakhir, saya dikirimi setidaknya satu atau dua email tidak diminta setiap hari dari "perekrut" yang lolos dari filter spam dan phishing email Google—kesempatan sempurna untuk menguji apakah alat pertahanan AI dapat mendeteksinya, ketika Google tidak bisa.
Seperti yang dialami pengguna Reddit, ada tanda bahaya yang mengindikasikan ini penipuan. Posisi yang terlalu bagus untuk jadi kenyataan, permintaan informasi yang generik, kurangnya alamat email atau situs web profesional (setiap pesan dikirim via Gmail), dan tidak ada nomor telepon.
Uji Coba
Saya sudah ‘bermain’ dengan penipu rekrutmen ini beberapa lama, dan mereka tampaknya telah melakukan pekerjaan rumah. Informasi diambil dari LinkedIn saya lalu disatukan, dan menurut ChatGPT, "frasa yang terlalu padat dan terkesan dijahit" serta "hiper-personalisasi"—dengan menyebutkan banyak bagian latar belakang saya dalam satu kalimat panjang—adalah tipikal AI yang mengambil data dari profil.
Tambahkan kalimat tentang proses selektif untuk memuji ego, dan mungkin Anda akan merespons peluang yang menggiurkan ini.
Saya ingin tahu bagaimana scam ini bekerja, karena tidak sering saya menemukan upaya yang ditargetkan dan bisa menyelinap ke kotak masuk saya.
Tanda Bahaya dan Hal yang Perlu Diwaspadai
Penipuan ini fokus pada membangun kepercayaan. Tidak ada tekanan untuk menyerahkan informasi apa pun, dan saya hanya harus memberikan CV jika tertarik dengan posisinya—seorang direktur riset Gartner dalam strategi keamanan siber dengan gaji $270.000 – $350.000, plus insentif.
Namun, tanda bahaya berikut mengukuhkan keyakinan saya bahwa ini adalah penipuan rekrutmen:
- Alamat email: Meskipun beberapa perekrut independen dan headhunter mungkin tidak menggunakan email kerja profesional, penggunaan Gmail langsung membuat saya waspada. Meski email ini menggunakan nama lengkap, saya juga menemukan banyak yang menggunakan frasa seperti "rekrutmen" dan "solusi perekrutan."
- Tidak diminta: Saya tidak menghubungi perekrut mana pun, juga tidak menunjukkan tanda-tanda sedang mencari peran baru.
- Tidak ada jejak daring: Perekrut ini tidak memiliki LinkedIn, situs web, atau riwayat daring, sejauh yang saya lihat.
- Nama: "Roberts Jordan" (atau maksudnya Jordan Roberts?) terdengar aneh. AI mungkin digunakan untuk isi emailnya sendiri, tetapi terjadi kesalahan di sini dengan nama.
- Tidak ada metode komunikasi lain: Di luar alamat email, tidak ada alamat situs web, alamat fisik, atau nomor telepon yang diberikan.
Yang saya anggap sangat menarik sebagai indikator penipuan adalah email berikutnya yang berisi spesifikasi pekerjaan Gartner lengkap. Meskipun peran di Gartner itu benar-benar ada dan telah diposting daring, spesifikasi yang saya terima disesuaikan dengan pengalaman saya—kemungkinan besar melalui AI, yang ditunjukkan melalui kalimat daftar harapan berikut:
"Pengalaman 7-15+ tahun di bidang jurnalisme keamanan siber, pelaporan investigatif, penelitian, atau peran penasihat."
Jebakannya
Saya mengirimkan CV palsu, dan itu diterima dengan baik. Tapi, untuk memiliki peluang terbaik memasuki proses, saya perlu melengkapi bio eksekutif, surat lamaran eksekutif, dan penilaian SWOT—yang terakhir adalah penilaian bisnis tentang Kekuatan dan Kelemahan, serta Peluang dan Ancaman—sesuatu yang biasanya tidak Anda minta dari kandidat pekerjaan, tanda bahaya lain.
Dan sekarang, kuncinya, dibumbui dengan urgensi:
"Mengingat garis waktu yang dipercepat untuk pencarian ini, posisi ini diperkirakan akan ditutup dalam dua hari ke depan, jadi pengiriman tepat waktu akan membantu memastikan kandidat Anda terus berjalan lancar.
Untuk mendukung Anda dalam menyiapkan materi ini, saya bekerja dengan seorang spesialis yang membantu profesional senior dalam mengembangkan dokumentasi eksekutif tingkat tinggi. Mereka dapat membantu memastikan semuanya diartikulasikan dengan jelas, terstruktur secara profesional, dan selaras dengan apa yang dicari secara spesifik oleh tim perekrutan. Jika Anda mau, saya akan dengan senang hati memperkenalkan Anda sehingga Anda dapat bekerja sama langsung dan menyelesaikan materi dengan efisien."
Di sinilah Anda terjebak. Asisten, "Rachel," akan membantu saya menyiapkan materi—tapi dengan bayaran.
Bisakah AI Mendeteksi Penipuan AI?
Saya menguji alat NordVPN. Saya menjalankan empat pesan email utama yang dikirim oleh perekrut melalui sistem, dan saya menerima peringatan untuk satu di antaranya, yang menyertakan alamat email asisten, yang ditandai sebagai mencurigakan.
Saya juga membandingkan temuan ini dengan pemeriksa penipuan daring dari F-Secure dan AskSilver. F-Secure menandai email pertama sebagai phishing tetapi tidak menjelaskan alasannya, dan AskSilver menolak untuk menganalisisnya.
Saya melakukan tes ini lagi dengan beberapa email penipuan rekrutmen serupa yang baru-baru ini saya terima, dan hasilnya sama.
Cara Tetap Terlindungi
Pemeriksa penipuan NordVPN bekerja baik untuk penipuan dan konten phishing standar, tetapi kesulitan dengan kampanye yang lebih canggih dan ditargetkan—meskipun tim terus menyempurnakan dan meningkatkan alatnya. Ini tidak mengejutkan, karena aktor ancaman merancang cara baru untuk mengelabui kita setiap hari, dan para pembela berada di bawah tekanan untuk tetap unggul dari tren penipuan dan phishing.
"Penipuan rekrutmen itu rumit karena mereka sering menghindari tanda bahaya tipikal," kata Domininkas Virbickas, direktur produk di NordVPN, kepada ZDNET. "Biasanya, tidak ada tautan mencurigakan atau bahasa mengancam di awal. Cara terbaik untuk mengidentifikasinya adalah dengan memperhatikan prosesnya sendiri.
Perekrut sah tidak menawarkan pekerjaan tanpa wawancara yang tepat. Mereka tidak langsung mendorong Anda ke platform lain seperti WhatsApp atau email pribadi. Dan mereka pasti tidak meminta informasi pribadi sensitif atau uang sebelum Anda dipekerjakan secara resmi. Baik itu ‘biaya pelatihan’, pembelian peralatan, atau menyetorkan cek, setiap peluang pekerjaan yang meminta Anda mengeluarkan atau memindahkan uang hampir pasti adalah penipuan."
Penipuan rekrutmen saat ini mungkin berlangsung berhari-hari atau berminggu-minggu untuk menciptakan tingkat kepercayaan sebelum jebakan dipasang. Anda harus selalu memperlakukan email yang tidak diminta dengan hati-hati dan mencatat alamat email yang digunakan—terutama jika tidak ada situs web, nomor telepon, atau profil daring yang sesuai.
Bahkan menyerahkan CV Anda bisa berisiko, karena mungkin berisi informasi pribadi seperti alamat dan nomor telepon Anda. Jangan pernah membayar layanan konsultasi kecuali Anda tahu itu sah, dan jika suatu peran ditawarkan kepada Anda, ada baiknya memeriksa buktinya secara daring atau bahkan menghubungi HR untuk verifikasi.
Pada saat ini, terlepas dari pengaruh AI, tetap menjadi tanggung jawab kita untuk melindungi diri sendiri, informasi kita, dan dompet kita dengan mengikuti aturan dasar: jika sesuatu terlihat terlalu bagus untuk menjadi kenyataan, kemungkinan besar memang begitu.