2 hours ago
2
Selular.id – Para peneliti keamanan siber dari Varonis mengungkap kemunculan SpamGPT, sebuah platform profesional yang dirancang khusus untuk pelaku kejahatan siber.
Alat ini memungkinkan penjahat digital merancang, menjadwalkan, dan memantau operasi spam serta phishing dalam skala besar dengan keahlian teknis minimal.
Platform ini meniru antarmuka dashboard pemasaran yang sah, sehingga memberikan kemudahan layaknya yang diharapkan oleh pemasar Fortune 500, namun diadaptasi untuk keperluan kriminal.
SpamGPT mengintegrasikan alat kecerdasan buatan (AI) langsung ke dalam platform, memungkinkan pembuatan konten phishing yang meyakinkan, penyempurnaan baris subjek, serta saran optimasi untuk penipuan.
Hal ini mengubah phishing dari keahlian yang membutuhkan keterampilan menjadi proses yang dapat dijalankan bahkan oleh pelaku kejahatan tingkat rendah.
Rob Sobers, CMO di Varonis, menyatakan, “SpamGPT pada dasarnya adalah CRM untuk pelaku kejahatan siber, mengotomatisasi phishing dalam skala besar, mempersonalisasi serangan dengan data yang dicuri, dan mengoptimalkan tingkat konversi seperti yang dilakukan oleh pemasar berpengalaman.”
Platform ini juga dilengkapi dengan modul bawaan yang menangani pengaturan SMTP/IMAP, pemantauan kotak masuk, dan pengujian kemampuan pengiriman.
Penyerang dapat mengimpor kredensial SMTP secara massal, memvalidasinya melalui pemeriksa bawaan, dan memutar beberapa server untuk menghindari pembatasan.
Pemantauan IMAP memungkinkan mereka mengamati balasan, pantulan, dan penempatan pesan di kotak masuk.
Fitur pemeriksaan kotak masuk otomatis mengirim pesan uji dan langsung memverifikasi apakah pesan tersebut sampai ke kotak masuk atau folder spam, memberikan umpan balik waktu nyata sebelum kampanye diluncurkan.
Fungsi-fungsi ini, dikombinasikan dengan analitik kampanye, mencerminkan CRM pemasaran yang sah tetapi dialihfungsikan untuk memfasilitasi phishing, ransomware, atau muatan berbahaya lainnya.
Pengembang SpamGPT memasarkan toolkit ini sebagai solusi spam-as-a-service yang serba ada. Dengan menawarkan antarmuka grafis yang mudah dipahami dan dokumentasi terperinci, alat ini mengurangi kebutuhan akan keahlian khusus atau pengetahuan mendalam tentang protokol email.
Fitur seperti tutorial “SMTP cracking mastery” mengajarkan pembeli cara memperoleh atau membobol server, sementara opsi header khusus memungkinkan pemalsuan merek atau domain tepercaya.
Kemunculan SpamGPT menunjukkan bahwa insiden phishing dan ransomware dapat menjadi lebih sering dan canggih.
Kampanye ini juga dapat mengirimkan malware yang disamarkan sebagai korespondensi tidak berbahaya dengan melewati filter spam dan menyatu dengan lalu lintas email yang sah.
Meski terdengar mengkhawatirkan, ada beberapa langkah yang dapat diambil individu dan perusahaan untuk tetap aman.
Untuk memperkuat keamanan, disarankan untuk menerapkan autentikasi email dengan DMARC, SPF, dan DKIM guna mencegah pemalsuan domain.
Alat bertenaga AI juga dapat digunakan untuk mendeteksi email phishing yang dihasilkan oleh model bahasa besar.
Selain itu, penting untuk mempertahankan prosedur penghapusan malware yang kuat dan menjaga cadangan data yang teratur dan diperbarui.
Penerapan autentikasi multi-faktor pada semua akun dapat membatasi penyalahgunaan kredensial yang dicuri.
Pelatihan kesadaran phishing yang berkelanjutan juga diperlukan agar karyawan dapat mengenali email mencurigakan. Segmentasi jaringan dan kontrol akses dengan hak istimewa minimum dapat membatasi penyebaran malware.
Memperbarui semua perangkat lunak dan patch keamanan secara teratur dapat menutup kerentanan yang dapat dieksploitasi.
Menguji dan menyempurnakan rencana respons insiden juga penting untuk memastikan pemulihan yang cepat dan efektif.
Seperti yang terjadi pada kasus pencurian NFT OpenSea senilai Rp 24 miliar melalui serangan phishing, penting bagi pengguna untuk selalu waspada terhadap ancaman digital yang terus berkembang.
Serangan phishing tidak hanya terjadi melalui email, tetapi juga melalui berbagai platform lainnya.
Seperti yang terjadi pada toko online dan bahkan dalam aktivitas kencan online, modus operandi penjahat siber terus beradaptasi dengan tren terkini. Kehadiran alat seperti SpamGPT semakin mempermudah pelaku kejahatan untuk menjalankan aksinya.
Dengan meningkatnya kecanggihan alat kejahatan siber, kolaborasi antara individu, perusahaan, dan otoritas keamanan menjadi semakin penting.
Edukasi dan kesadaran akan ancaman digital harus terus ditingkatkan untuk meminimalkan risiko dan dampak dari serangan siber di masa depan.
