Di hampir semua organisasi, mulai dari usaha kecil hingga perusahaan global, email masih menjadi alat komunikasi utama dalam menjalankan bisnis. Namun, di sisi lain, email juga menjadi pintu masuk paling mudah bagi para pelaku kejahatan siber.
Mengapa email begitu efektif bagi penyerang? Karena email langsung berhubungan dengan manusia. Karyawan setiap hari membuka inbox, membaca pesan, dan berinteraksi dengan berbagai informasi. Hal ini membuka banyak peluang bagi penyerang untuk memanfaatkan kebiasaan, kepercayaan, dan rutinitas pengguna melalui pesan yang terlihat normal.
Inilah yang membuat serangan berbasis email semakin berbahaya—karena sering kali terlihat seperti komunikasi bisnis biasa.
Berikut adalah beberapa jenis serangan canggih yang diprediksi akan semakin meningkat di tahun 2026.
1. Phishing QR Code Multi-Tahap
Beberapa tahun lalu, serangan menggunakan QR code sudah mulai banyak digunakan. Biasanya sederhana: korban menerima email berisi QR code, lalu setelah dipindai akan diarahkan ke halaman login palsu untuk mencuri akun.
Namun sekarang, teknik ini menjadi jauh lebih kompleks.
Dalam serangan multi-tahap, penyerang tidak langsung mengarahkan korban ke halaman berbahaya. Mereka membuat beberapa langkah agar terlihat lebih meyakinkan. Misalnya:
-
Penyerang memulai dengan mengirim permintaan informasi melalui website perusahaan
-
Karyawan merespons secara normal (ini membuat percakapan terlihat asli)
-
Penyerang kemudian berpura-pura menjadi vendor atau rekan bisnis
-
Mereka menyisipkan QR code dengan alasan tertentu (misalnya untuk melihat dokumen)
Saat QR code dipindai:
-
Korban diarahkan ke halaman “verifikasi manusia”
-
Lalu ke halaman login palsu yang terlihat seperti sistem perusahaan
-
Email korban bahkan sudah otomatis terisi
Karena prosesnya bertahap dan terlihat wajar, korban cenderung tidak curiga.
2. Penipuan Vendor dengan Thread Email Palsu
Jenis serangan ini disebut thread-spoofed vendor impersonation.
Dalam metode ini, penyerang membuat rangkaian email palsu yang terlihat seperti percakapan asli antara karyawan dan vendor. Mereka lalu mengirim email baru yang berisi “bukti” percakapan tersebut.
Tujuannya adalah meyakinkan korban bahwa permintaan tersebut valid.
Biasanya serangan ini digunakan untuk:
-
Mengubah data rekening pembayaran
-
Meminta pembayaran invoice palsu
-
Mengklaim ada tagihan yang harus segera dibayar
Ciri-cirinya:
-
Menggunakan nama atasan atau pihak penting
-
Bahasa terlihat profesional tapi agak umum
-
Ada tekanan untuk segera bertindak
-
Menyertakan dokumen palsu seperti invoice atau formulir pajak
Jika korban mengikuti instruksi, uang bisa langsung dikirim ke rekening penyerang.
3. Penipuan Payroll dengan Bantuan AI
Serangan ini termasuk dalam kategori Business Email Compromise (BEC), yaitu penipuan yang menargetkan proses bisnis internal.
Contohnya adalah penipuan payroll (gaji).
Penyerang berpura-pura menjadi karyawan atau eksekutif, lalu mengirim email ke bagian HR atau payroll dengan permintaan seperti:
-
Mengubah rekening gaji
-
Memperbarui data pembayaran
Yang membuatnya berbahaya:
-
Tidak ada link atau lampiran mencurigakan
-
Bahasa sangat rapi dan profesional
-
Terlihat seperti email internal
Dengan bantuan AI, penyerang bisa:
-
Meniru gaya bahasa seseorang
-
Menyesuaikan pesan sesuai jabatan target
-
Membuat email tanpa kesalahan penulisan
Akibatnya, email terlihat sangat meyakinkan.
Jika berhasil, gaji karyawan bisa dialihkan ke rekening penyerang tanpa disadari.
Kenapa Serangan Ini Sulit Dideteksi?
Semua serangan di atas memiliki satu kesamaan: mereka terlihat seperti aktivitas normal.
Penyerang:
-
Menggunakan akun asli yang sudah diretas
-
Meniru komunikasi bisnis sehari-hari
-
Memanfaatkan kepercayaan antar karyawan
-
Menghindari tanda-tanda mencurigakan
Ini membuat sistem keamanan lama (seperti filter email tradisional) kesulitan mendeteksi serangan.
Karena sistem lama biasanya hanya mencari:
-
Link berbahaya
-
File mencurigakan
-
Domain yang dikenal jahat
Sementara serangan modern justru terlihat “normal”.
Cara Menghadapi Ancaman Ini
Untuk menghadapi ancaman yang semakin canggih ini, perusahaan perlu mengubah pendekatan keamanan.
Beberapa langkah penting:
1. Gunakan keamanan berbasis AI
Sistem keamanan modern harus mampu memahami:
-
Pola perilaku pengguna
-
Cara komunikasi normal dalam perusahaan
-
Perubahan yang mencurigakan
2. Tingkatkan kesadaran karyawan
Karena manusia adalah target utama, edukasi sangat penting:
-
Jangan mudah percaya pada email mendesak
-
Selalu verifikasi permintaan keuangan
-
Waspadai QR code yang tidak jelas
3. Validasi proses bisnis penting
Untuk hal seperti:
-
Perubahan rekening
-
Pembayaran invoice
-
Akses data sensitif
Harus ada verifikasi tambahan (misalnya melalui telepon atau sistem internal).
Kesimpulan
Ancaman siber di tahun 2026 akan semakin canggih, terutama yang berbasis email. Serangan tidak lagi terlihat mencurigakan, tetapi justru menyamar sebagai aktivitas bisnis normal.
Mulai dari phishing QR code, penipuan vendor, hingga manipulasi payroll dengan AI—semuanya dirancang untuk menipu manusia, bukan sistem.
Oleh karena itu, perusahaan tidak bisa lagi hanya mengandalkan teknologi lama. Dibutuhkan kombinasi antara:
-
Teknologi AI yang cerdas
-
Proses keamanan yang ketat
-
Kesadaran pengguna
Karena pada akhirnya, keamanan bukan hanya soal sistem—tetapi juga tentang bagaimana manusia berinteraksi dengan teknologi setiap hari.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan abnormal indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi abnormal.ilogoindonesia.com untuk informasi lebih lanjut!