Layanan Keuangan dan E-commerce di Indonesia Paling Diincar Hacker, Ini Alasannya

Liputan6.com, Jakarta - Dalam laporan State of the Internet/Security dari Akamai bertajuk "Digital Fortresses Under Siege", selama periode Januari 2023 sampai Juni 2024, industri layanan keuangan dan e-commerce di kawasan Asia Pasifik (termasuk Indonesia), paling banyak terkena dampak serangan aplikasi web dan API.

Reuben Koh selaku Director, Security Technology & Strategy APJ dari Akamai, mengatakan layanan keuangan dan e-commerce juga merupakan dua jenis industri yang paling banyak diincar di Asia Pasifik. Untuk diketahui, dua indusri tersebut menjadi dua pendorong terbesar bagi ekonomi digital Indonesia.

"Kesamaan atau hal yang paling umum dari kedua industri ini adalah sama-sama berurusan dengan transaksi keuangan," ujar Reuben dalam sesi Media Roundtable bertajuk Akamai's Year inReview 2024 & Notable Issues in 2025 yang digelar secara virtual, Jumat (24/1/2025).

Bagi peretas, hal ini menguntungkan karena jika mereka dapat memperoleh akses ke data pembayaran seperti nomor kartu kredit atau informasi pribadi yang sensitif, dan sebagainya. Pada dasarnya ini adalah uang yang dapat dihasilkan oleh hacker jahat.

"Meskipun kedua industri ini mendorong ekonomi digital di Indonesia, keduanya juga merupakan dua industri yang paling banyak menjadi target serangan aplikasi dan API," Reuben menambahkan.

Masih menurut laporan Akamai, organisasi dalam industri perdagangan mengalami volume serangan web tertinggi (164 miliar), dengan jumlah serangan lebih dari dua kali lipat dari sektor teknologi (59 miliar), dari Januari 2023 hingga Juni 2024.

Industri perdagangan kemungkinan tetap berada di posisi teratas karena dua faktor: Pertama, organisasi dalam vertikal ini sangat bergantung pada aplikasi web dan API.

Kedua, tekanan kecepatan ke pasar dapat menyebabkan beberapa organisasi perdagangan menyediakan solusi perlindungan yang tidak memadai saat aplikasi web baru diterapkan.

Kombinasi kedua faktor ini menjadikan industri perdagangan sebagai target yang terus-menerus dapat diandalkan dan menguntungkan bagi para penjahat siber. Di posisi ketiga adalah layanan keuangan dengan 55 miliar serangan web yang tercatat selama periode pelaporan.

Serangan dalam vertikal ini sering kali menjadi masalah bagi organisasi dan pelanggan, karena berpotensi menyebabkan informasi akun pengguna bocor.

Hal itu membuka peluang bagi hacker untuk melakukan pencurian kredensial dan bentuk penyalahgunaan lainnya di seluruh lanskap aplikasi organisasi.

Reuben menjelaskan, penjahat siber tidak hanya akan mengejar perusahaan besar. Mereka juga akan menyerang pelaku Usaha Kecil dan Menengah (UKM), karena penyerang tidak membeda-bedakan.

"Jika melihat serangan ransomware yang telah terjadi di seluruh dunia, banyak dari hacker tidak menyerang perusahaan terbesar. Banyak dari mereka benar-benar menyerang perusahaan menengah dan yang lebih kecil. Sebab, mereka tidak memiliki anggaran sistem keamanan yang besar untuk keamanan, ujarnya.

Oleh karena itu, mereka menjadi target yang sempurna bagi penyerang. Reuben menilai, UKM bisa dibilang adalah target yang mudah bagi hacker.

"Jadi, jika saya penyerangnya, apakah saya ingin menyerang bank yang sangat sulit dibobol, karena mereka memiliki semua keamanan terbaru dan terbaik? Atau apakah saya ingin menyerang perusahaan fintech kecil?," ucapnya.

Bagi penyerang, kata Reuben, mereka akan beralih ke fintech kecil karena lebih mudah. Mereka tidak ingin membuang banyak waktu dan mencoba membobol jaringan bank, karena mereka tahu itu jauh lebih sulit.

Di sisi lain, AI juga lebih banyak digunakan untuk melakukan serangan siber. Banyak di antaranya difokuskan pada phishing, seperti business email compromise (BEC).

"Kami melihat banyak serangan yang memanfaatkan AI dalam hal deepfakes, phishing suara, penipuan, dan sebagainya. Dan banyak di antaranya cukup efektif dibandingkan dengan manusia yang melakukannya secara manual," tutur Reuben.

"Karena AI, seperti yang kita ketahui, telah berkembang sangat cepat dan sangat banyak sehingga menjadi sangat sulit untuk membedakan antara gambar asli dan palsu atau antara video asli dan palsu," ia melanjutkan.

Karena tahun lalu adalah tahun pemilihan umum di seluruh Asia Pasifik, AI sebenarnya banyak digunakan untuk menghasilkan informasi palsu, email phishing, atau hal-hal yang bersifat menyesatkan bagi konsumen, korban dan masyarakat umum.

"Saya berbicara tentang bagaimana aktor yang disponsori suatu negara semakin terlibat. Dan tahun lalu kami melihat banyak situasi di mana para hacktivist benar-benar menyerang situs web, aplikasi web, dan penyedia infrastruktur penting karena alasan geopolitik," ucapnya.

Konflik di Eropa yang masih berlangsung saat ini, konflik di Timur Tengah, dan bahkan ketegangan di belahan dunia kita seperti Laut Cina Selatan, misalnya, memunculkan cukup banyak aktivitas hacktivisme atau hacktivist.

Reuben menyebut, 2024 adalah tahun di mana para hacker dan pelaku ancaman benar-benar melakukan langkah maju dan menjadi lebih efektif dengan bantuan AI.

Hal ini terutama terjadi ketika peretas pemula atau pada dasarnya peretas amatir, yang tidak benar-benar memiliki keterampilan tingkat lanjut, ingin melakukan serangan yang sangat canggih terhadap korban dan mereka dapat melakukannya dengan bantuan Gen AI.

"Jadi, misalnya, peretas amatir memanfaatkan Gen AI, seperti Gemini atau ChatGPT dan sebagainya, model Gen AI yang tersedia secara terbuka untuk mempelajari apa saja titik lemah dalam perangkat lunak tertentu, apa saja titik lemah dalam sistem tertentu yang dapat mereka gunakan untuk mengarahkan serangan," Reuben menerangkan.

Jadi, alih-alih mempelajari keterampilan, dengan cara yang sulit, di mana mereka benar-benar melatih diri mereka sendiri dan membaca buku dan semacamnya, seperti yang mereka lakukan di masa lalu, AI sebenarnya mempersingkat waktu bagi pelaku ancaman amatir atau peretas amatir untuk menjadi lebih canggih secara cepat karena AI.

Pada saat yang sama, pelaku ancaman yang sudah sangat terampil, memanfaatkan AI dengan cara yang benar-benar membuat diri mereka menjadi lebih efektif.

"Artinya, pekerjaan yang biasanya mereka lakukan yang membutuhkan banyak waktu, seperti memindai kerentanan atau menemukan cara terbaik untuk menyerang perangkat lunak tertentu, menjadi lebih singkat karena AI," Reuben memungkaskan.