Pada bulan Juni 2025, seorang karyawan Google menerima apa yang tampaknya merupakan panggilan rutin dari dukungan TI.
Suara di telepon terdengar profesional, percaya diri, dan sangat akrab.
Teknisi meminta karyawan tersebut untuk menyetujui aplikasi baru dalam sistem Salesforce perusahaan.
Dalam hitungan menit, para penyerang berhasil mengakses dan mencuri 2,55 juta catatan pelanggan dari CRM Google.
Yang memungkinkan hal ini terjadi adalah penggunaan teknologi audio deepfake, dengan suara yang dihasilkan oleh AI yang begitu meyakinkan sehingga menipu salah satu bentuk otentikasi yang paling tepercaya, yaitu mengenali suara rekan kerja.
Insiden ini, yang terkait dengan kelompok ShinyHunters, menunjukkan bagaimana penyerang sekarang menggunakan kecerdasan buatan untuk membobol sistem perusahaan.
Sebagai tulang punggung manajemen hubungan pelanggan bagi jutaan organisasi di seluruh dunia, Salesforce telah menjadi salah satu target utama serangan rekayasa sosial bertenaga AI generasi baru.
Mengapa Salesforce Menjadi Target Deepfake
Pertumbuhan Salesforce juga telah mengubahnya menjadi target besar pencurian data.
Karena semuanya terpusat, satu pelanggaran dapat mengekspos jutaan catatan pelanggan dari berbagai perusahaan.
Seperti yang dicatat oleh Kepala Intelijen Ancaman WithSecure, Tim West:
Jangan Pernah Khawatir Tentang Penipuan AI Lagi. TruthScan Dapat Membantu Anda:
- Mendeteksi AI yang dihasilkan gambar, teks, suara, dan video.
- Hindari penipuan besar yang digerakkan oleh AI.
- Lindungi sebagian besar sensitif aset perusahaan.
"Kelompok peretasan seperti Scattered Spider menggunakan rekayasa sosial untuk mendapatkan akses ke lingkungan SaaS. Serangan mereka mungkin terlihat sederhana secara teknis, tetapi itu tidak membuat mereka kurang berbahaya."
Menurut penelitian terbaru WithSecure, aktivitas berbahaya di dalam lingkungan Salesforce meningkat tajam pada kuartal pertama tahun 2025, dengan peningkatan deteksi sebesar dua puluh kali lipat dibandingkan dengan akhir tahun 2024.
Bagaimana Deepfakes Memicu Pelanggaran Tenaga Penjualan
Apa yang membuat serangan baru-baru ini sangat berbahaya adalah bagaimana teknologi deepfake telah bergeser dari alat khusus menjadi sesuatu yang dapat digunakan siapa saja sebagai senjata.
Tidak seperti pembobolan data tradisional yang membobol langsung ke dalam basis data, penjahat siber sekarang menggunakan rekayasa sosial berbasis suara, atau "vishing." Dengan munculnya deepfakes dan kloning suara AI, serangan ini menjadi lebih sulit untuk dikenali.
Kampanye ShinyHunters terhadap pelanggan Salesforce mengikuti pedoman yang efektif yang menggabungkan rekayasa sosial tradisional dengan penipuan AI yang canggih:
Tahap 1: Pengumpulan Kecerdasan Suara
Penyerang mulai dengan memanen sampel audio dari sumber-sumber publik, presentasi eksekutif, panggilan konferensi, video perusahaan, atau postingan media sosial.
Hanya dengan 20-30 detik audio yang jernih, mereka dapat menciptakan klon suara yang meyakinkan.
Tahap 2: Panggilan Vishing Deepfake
Selama panggilan vishing, penyerang meyakinkan korban untuk membuka halaman pengaturan aplikasi yang terhubung dengan Salesforce dan menyetujui versi palsu dari aplikasi Data Loader, yang disamarkan dengan merek yang sedikit diubah.
Dengan itu, korban tanpa sadar membiarkan penyerang mencuri data sensitif dari Salesforce.
Kecanggihannya luar biasa. Dalam beberapa kasus, penyerang menggunakan audio deepfake untuk menyamar sebagai karyawan dan membujuk staf meja bantuan untuk mengotorisasi akses jahat.
Ini merupakan evolusi yang signifikan dari phishing suara tradisional, di mana penyerang hanya berpura-pura menjadi figur otoritas, menjadi peniruan yang disempurnakan dengan AI, di mana mereka benar-benar dapat terdengar seperti individu tertentu.
Fase 3: Eksploitasi OAuth
Setelah aplikasi berbahaya diotorisasi, penyerang akan mem-bypass autentikasi multi-faktor sepenuhnya.
Setelah aplikasi palsu disetujui, penyerang mendapatkan token OAuth yang berumur panjang, yang memungkinkan mereka untuk melewati otentikasi multi-faktor dan beroperasi tanpa memicu peringatan keamanan normal.
Tahap 4: Ekstraksi Data Senyap
Threat Intelligence Group Google memperingatkan bahwa pelaku ancaman menggunakan alat Python untuk mengotomatiskan proses pencurian data untuk setiap organisasi yang menjadi target, dan para peneliti mengetahui lebih dari 700 organisasi yang berpotensi terkena dampak.
Mengapa Kita Rentan terhadap Suara AI
Keberhasilan serangan ini mengeksploitasi sifat dasar manusia: kecenderungan kita untuk mempercayai apa yang kita dengar.
Menurut sebuah penelitian global baru-baru ini, 70 persen orang mengatakan bahwa mereka tidak yakin dapat mengidentifikasi suara asli atau suara tiruan.
Kerentanan ini diperparah di lingkungan perusahaan di mana staf meja bantuan dilatih untuk membantu dan akomodatif, dan pekerjaan jarak jauh telah menormalkan interaksi audio saja.
Menurut Laporan Ancaman Global 2025 dari CrowdStrike, terdapat peningkatan 442% dalam serangan phishing suara (vishing) antara paruh pertama dan kedua pada tahun 2024, yang didorong oleh taktik phishing dan peniruan yang dibuat oleh AI.
Panggilan Bangun $25 Juta
Implikasi dari serangan yang disempurnakan dengan deepfake jauh melampaui Salesforce.
Pencurian deepfake senilai $25 juta di perusahaan teknik Arup pada awal tahun 2024, di mana penyerang menggunakan AI untuk menyamar sebagai beberapa eksekutif dalam sebuah panggilan video, menunjukkan bahwa tidak ada organisasi yang kebal terhadap ancaman ini.
Serangan serupa juga telah menargetkan para eksekutif di berbagai industri, termasuk upaya untuk menyamar sebagai CEO Ferrari Benedetto Vigna menggunakan panggilan suara yang ditiru oleh AI yang menirukan aksen Italia selatannya.
Insiden-insiden ini mewakili apa yang disebut oleh para ahli keamanan sebagai "penipuan CEO 2.0", serangan yang lebih dari sekadar peniruan email sederhana untuk menciptakan penipuan multi-sensorik yang dapat menipu para eksekutif yang sudah berpengalaman sekalipun.
Keamanan Platform vs Kerentanan Manusia
Salesforce dengan cepat menekankan bahwa pelanggaran ini tidak mewakili kerentanan dalam platform mereka sendiri.
Salesforce mengakui kampanye UNC6040 pada bulan Maret 2025, memperingatkan bahwa penyerang menyamar sebagai dukungan TI untuk mengelabui karyawan agar memberikan kredensial atau menyetujui aplikasi yang terhubung berbahaya.
Perusahaan menekankan bahwa insiden ini tidak melibatkan atau berasal dari kerentanan apa pun dalam platformnya.
Hal ini menunjukkan tantangan besar bagi semua penyedia SaaS: mencari cara untuk menghentikan serangan yang mempermainkan kepercayaan manusia dan bukannya kelemahan teknis.
Salesforce telah menerapkan beberapa langkah pertahanan:
- Pengerasan aplikasi yang terhubung: Secara otomatis menonaktifkan aplikasi terkoneksi yang tidak diinstal untuk pengguna baru
- Pembatasan aliran OAuth: Menonaktifkan koneksi yang diperoleh dengan menggunakan proses otorisasi tertentu
- Pemantauan yang ditingkatkan: Deteksi yang lebih baik dari pola otorisasi aplikasi yang mencurigakan
- Pendidikan pengguna: Menerbitkan panduan untuk mengenali upaya rekayasa sosial
Pada bulan Agustus 2025, Salesforce menutup semua integrasi dengan teknologi Salesloft, termasuk aplikasi Drift, setelah menemukan bahwa token OAuth telah dicuri dalam serangan terkait.
Pakar keamanan sekarang memperingatkan bahwa tim perlu mendengarkan petunjuk halus, seperti jeda yang aneh, kebisingan latar belakang, atau gangguan audio, yang dapat mengungkapkan kapan suara telah dihasilkan oleh AI.
Tanggapan Perusahaan: Melampaui Solusi Teknologi
Organisasi mulai menyadari bahwa mempertahankan diri dari serangan yang disempurnakan dengan deepfake membutuhkan lebih dari sekadar solusi teknologi; hal ini menuntut pemikiran ulang yang mendasar tentang kepercayaan dan proses verifikasi.
Komunikasi Tanpa Kepercayaan
RealityCheck dari Beyond Identity memberikan setiap peserta lencana identitas yang terlihat dan terverifikasi yang didukung oleh otentikasi perangkat kriptografi dan pemeriksaan risiko berkelanjutan, yang saat ini tersedia untuk Zoom dan Microsoft Teams.
Solusi semacam itu mewakili pergeseran ke arah model "jangan pernah percaya, selalu verifikasi" untuk komunikasi perusahaan.
Program Pelatihan yang Disempurnakan
Organisasi yang menggunakan platform simulasi deepfake Resemble AI melaporkan hingga 90% pengurangan serangan yang berhasil setelah menerapkan platform tersebut, yang menggunakan simulasi hiper-realistis untuk mengilustrasikan bagaimana serangan deepfake terjadi di dunia nyata.
Verifikasi Multi-Saluran
Organisasi-organisasi terkemuka menerapkan protokol yang memerlukan verifikasi melalui berbagai saluran untuk setiap permintaan berisiko tinggi, terlepas dari seberapa otentiknya komunikasi awal yang muncul.
Ketika Suara Bukan Lagi Kebenaran
Ancaman deepfake terhadap Salesforce dan sistem perusahaan lainnya merupakan titik balik dalam sejarah keamanan siber.
Untuk pertama kalinya, penyerang tidak hanya dapat menyamar sebagai tokoh otoritas; mereka dapat benar-benar terdengar seperti mereka, terlihat seperti mereka, dan meyakinkan profesional keamanan yang terlatih untuk mengambil tindakan yang membahayakan keamanan organisasi.
Di era penipuan yang disebabkan oleh AI, kepercayaan harus diperoleh melalui verifikasi, bukan diasumsikan melalui keakraban.
Perusahaan yang memahami hal ini dan berinvestasi pada alat, proses, dan budaya yang tepat akan berada di posisi terbaik untuk melindungi keamanan dan kepercayaan di dunia digital yang semakin tidak pasti.
Dalam realitas baru ini, suara di ujung telepon mungkin tidak seperti yang terlihat.
Di era deepfakes, kewaspadaan yang konstan adalah harga keamanan.