Modus Baru! Penipuan AI Racuni Situs Resmi via Nomor Palsu

Harianjogja.com, JOGJA—Riset Aura Labs milik Aurascape mengungkap teknik penipuan AI baru bernama phone number poisoning yang meracuni situs resmi untuk menampilkan nomor layanan palsu dan menipu pengguna.

ZDNET, Rabu (10/12/2025) mengungkapkan, berdasarkan pelacakan perusahaan keamanan siber, teknik ini menyasar sistem berbasis model bahasa besar (LLM) seperti AI Overview dari Google dan peramban Comet milik Perplexity.

Melalui sistem tersebut, penipu secara licin merekomendasikan nomor telepon layanan pelanggan atau reservasi maskapai palsu, yang ditampilkan seolah-olah sebagai detail kontak resmi dan terpercaya.

Aurascape menjelaskan bahwa teknik ini tidak menyerang LLM secara langsung. Sebaliknya, penipu meracuni konten-konten yang diambil (scrape) dan diindeks oleh LLM. Konten yang sudah teracuni itu kemudian menjadi sumber konteks dan informasi yang digunakan LLM untuk menjawab pertanyaan pengguna, sehingga menghasilkan rekomendasi yang menyesatkan.

Selama ini publik mengenal Search Engine Optimization (SEO) untuk mengoptimasi peringkat di mesin pencari tradisional. Di era AI, muncul teknik baru yaitu Generative Engine Optimization (GEO) dan Answer Engine Optimization (AEO). Teknik ini berfokus menjadikan suatu situs atau konten sebagai sumber rujukan utama bagi alat rangkuman dan jawaban berbasis AI. Sayangnya, dalam kasus ini, penipu mengeksploitasi GEO dan AEO untuk mempromosikan phishing generasi baru yang lebih sulit dideteksi.

Begini cara kerja modus penipuan tersebut:

1. Konten spam diunggah ke situs web berotoritas tinggi yang telah diretas, seperti situs pemerintah dan universitas, serta domain WordPress berkualitas.

2. Layanan publik yang mengizinkan konten buatan pengguna, seperti YouTube dan Yelp, disalahgunakan untuk menanam teks dan ulasan yang dioptimalkan untuk GEO/AEO, seringkali melalui komentar bot.

3. Pelaku kemudian menyuntikkan informasi penipuan—seperti nomor telepon dan jawaban palsu—ke dalam domain-domain tersebut. Informasi ini disusun secara khusus agar mudah diambil dan didistribusikan oleh LLM.

Dengan sumber informasi palsu yang seolah-olah kredibel ini, asisten AI dan fitur peringkasan kemudian mengolahnya menjadi jawaban 'terpercaya' yang disajikan kepada pengguna. "Dengan menyebarkan konten berbahaya di situs-situs pemerintah dan universitas yang telah diretas, blog WordPress populer, deskripsi YouTube, dan ulasan Yelp, mereka mengarahkan jawaban pencarian AI ke pusat panggilan palsu," jelas para peneliti. Pusat panggilan ini berusaha mengambil uang dan data sensitif dari korban yang tidak curiga.

Penemuan modus ini menjadi peringatan keras bagi semua pengguna. Berhati-hatilah ketika meminta informasi kontak tertentu kepada asisten AI. Nomor telepon pusat layanan atau institusi resmi yang ditampilkan bisa saja palsu dan menjadi pintu masuk penipuan untuk menguras rekening dan mencuri data pribadi.

Cek Berita dan Artikel yang lain di Google News