Teknologi verifikasi identitas digital atau Know Your Customer (KYC) yang saat ini digunakan industri perbankan, pinjaman online, hingga layanan pemerintahan ternyata sangat rentan terhadap serangan deepfake.

Sebuah riset komprehensif pada 2022 mengungkap fakta mengkhawatirkan: hampir semua penyedia layanan verifikasi biometrik komersial dapat dibobol menggunakan teknologi deepfake. Laporan dirilis oleh Sensity AI berjudul “Deepfakes VS Biometrics KYC Verification“.

KYC adalah praktik verifikasi identitas individu untuk mematuhi hukum dan regulasi, terutama untuk mencegah pencucian uang. Proses ini melibatkan tiga tahap utama:

1. Verifikasi ID – Pengguna menunjukkan KTP, paspor, atau SIM untuk dikenali dan diverifikasi
2. Pencocokan Wajah – Sistem mencocokkan foto selfie dengan foto di dokumen identitas
3. Deteksi Kehidupan (Liveness) – Memastikan pengguna adalah orang sungguhan, bukan foto atau video rekaman

Riset yang dilakukan Sensity AI menguji sepuluh penyedia layanan verifikasi biometrik KYC yang paling banyak digunakan secara komersial. Hasilnya sangat mengkhawatirkan:

Semua Sistem Rentan (2022)

• 100% sistem deteksi kehidupan aktif dapat dibobol deepfake
• 80% sistem deteksi kehidupan pasif gagal mendeteksi deepfake
• 100% layanan pencocokan wajah dapat ditipu dengan face swap
• 100% layanan verifikasi ID rentan terhadap manipulasi face swap

Model deteksi kehidupan terbaik di dunia akademis menunjukkan tingkat penerimaan palsu (False Acceptance Rate) melonjak dari 17,3% menjadi 86% ketika berhadapan dengan deepfake. Ini berarti hampir 9 dari 10 serangan deepfake berhasil melewati sistem keamanan.

Riset terbaru Trend Micro (2024) mengkonfirmasi ancaman terhadap sistem eKYC masih sangat signifikan. Meskipun berbagai langkah keamanan telah diterapkan, verifikasi dari penyedia eKYC terkemuka masih dapat dilewati menggunakan teknik deepfake, legal maupun ilegal.

Mengamankan eKYC dari deepfake diperkirakan butuh investasi puluhan ribu hingga jutaan dolar tergantung skala perusahaan dan kompleksitas teknologi yang diadopsi, termasuk biaya perangkat keras, perangkat lunak AI, langganan layanan, dan pelatihan staf.

Investasi ini sejalan dengan peningkatan risiko fraud dan potensi kerugian besar yang ditanggung jika sistem tidak memadai. Jadi, ongkos amankan eKYC dari deepfake sebanding dengan risiko dan dampak finansial dari serangan deepfake yang semakin canggih.

Eskalasi Ancaman Meningkat Drastis

Kerugian Finansial yang Melonjak

Kerugian finansial akibat penipuan berbasis deepfake telah melampaui $200 juta hanya dalam kuartal pertama 2025, menurut laporan Resemble AI yang dirilis Variety. Kasus penipuan deepfake melonjak 1.740% di Amerika Utara antara 2022 dan 2023.

Dalam enam bulan pertama 2025 saja, kerugian mencapai $410 juta, dibandingkan dengan $359 juta untuk seluruh tahun 2024, dan $128 juta total sepanjang periode 2019-2023. Percepatan eksponensial ini menunjukkan ancaman yang semakin serius.

Kasus-Kasus Nyata

Kasus Hongkong – Kerugian $25 Juta (2024) Seorang karyawan keuangan tertipu dalam konferensi video deepfake yang sangat canggih, mengakibatkan transfer dana $25 juta kepada penipu. Si penipu menyaru senior eksekutif dari perusahaan tersebut.

Penipuan Brad Pitt (2024-2025) Penipu menyamar sebagai Brad Pitt, menipu seorang wanita Prancis berusia 53 tahun bernama Anne untuk mentransfer €830.000 (sekitar $850.000) melalui skema romance scam dari 2023 hingga 2024.

Penipu mengirimkan foto-foto AI palsu “Brad Pitt” dalam berbagai pose sehari-hari dan bahkan video deepfake yang sangat meyakinkan.

Bagaimana Serangan Dilakukan?

Para peneliti mengembangkan Deepfake Offensive Toolkit (DOT) buatan Sensity AI, alat penetrasi pertama di industri untuk menguji sistem KYC. Prosesnya sederhana namun efektif:

1. Penyerang mengambil foto target dari media sosial
2. Menggunakan webcam untuk menampilkan wajah sendiri
3. Software deepfake mengganti wajah penyerang dengan wajah target secara real-time
4. Video deepfake tersebut diinjeksi ke sistem verifikasi

Yang mengkhawatirkan, teknologi ini tidak memerlukan pelatihan model yang memakan waktu – satu foto target sudah cukup untuk menghasilkan deepfake secara langsung.

Mengapa Sistem Begitu Rentan?

Kelemahan Deteksi Kehidupan Aktif

Sistem yang meminta pengguna tersenyum, berkedip, atau menggerakkan kepala mudah dibobol karena deepfake real-time dapat mereproduksi gerakan landmark wajah dengan detail. Meski ciri wajah berubah, gerakan kepala dan ekspresi tetap mengikuti instruksi dengan sempurna.

Kelemahan Verifikasi ID

Sistem hanya memeriksa kesesuaian dengan template resmi, watermark, dan pencocokan teks dengan barcode MRZ. Tidak ada pemeriksaan apakah foto wajah di ID telah dimanipulasi.

Kelemahan Pencocokan Wajah

Penelitian akademis sudah lama menunjukkan bahwa sistem pengenalan wajah open-source rentan terhadap serangan deepfake dengan tingkat penerimaan palsu mencapai 95%. Bahkan layanan cloud korporat memiliki tingkat penerimaan palsu antara 78% hingga 99,9%.

Industri yang Paling Terancam

Berdasarkan riset, sekitar 24% pangsa pasar global dimiliki oleh solusi-solusi yang diuji. Industri yang paling rentan meliputi:

• Perbankan
• E-commerce dan marketplace
• Perusahaan pinjaman
• Perjudian online
• Layanan pemerintah

Jutaan pelanggan di berbagai industri bergantung pada solusi verifikasi yang ternyata rentan ini.

Implikasi dan Langkah ke Depan

Temuan ini menggarisbawahi kesenjangan serius antara persepsi keamanan sistem biometrik dengan realitas kerentanannya. Industri keamanan siber telah mulai merespons ancaman ini:

1. Deteksi Deepfake Khusus: Perusahaan seperti Reality Defender, KYC-Chain, dan lainnya telah mengembangkan teknologi deteksi deepfake real-time yang dapat diintegrasikan dengan infrastruktur KYC yang ada
2. Peningkatan Liveness Detection: Penyedia KYC kini mengembangkan metode “deteksi kehidupan” yang lebih canggih, menggabungkan analisis mendalam terhadap tanda-tanda manipulasi AI
3. Identitas Digital Reusable: Tren “verify once, reuse often” mulai berkembang di 2024 dan diprediksi akan meluas di 2025, mengurangi kebutuhan verifikasi berulang yang rentan
4. Regulasi Lebih Ketat: Regulator diprediksi akan memperketat persyaratan untuk operasi keuangan jarak jauh sepenuhnya

Apa yang Harus Dilakukan

1. Urgensi Pembaruan Sistem: Industri perlu segera mengintegrasikan teknologi deteksi deepfake spesifik, bukan hanya mengandalkan deteksi kehidupan tradisional
2. Verifikasi Multi-Lapis: Diperlukan pendekatan berlapis yang menggabungkan biometrik dengan metode verifikasi lain
3. Investasi Teknologi Anti-Deepfake: Organisasi keuangan harus berinvestasi dalam solusi deteksi deepfake khusus
4. Edukasi dan Kesadaran: 77% korban penipuan deepfake kehilangan uang, dan sekitar sepertiga kehilangan lebih dari $1.000 – edukasi publik sangat penting
5. Kolaborasi Industri: Perlu ada standarisasi deteksi deepfake yang lebih baik di seluruh industri

Tiga tahun sejak laporan Sensity AI 2022, ancaman deepfake terhadap eKYC tidak hanya bertahan, tetapi meningkat secara eksponensial. Kerugian finansial melampaui $200 juta hanya di kuartal pertama 2025, dan upaya penipuan dengan meningkat 2.137% dalam tiga tahun terakhir.

Meskipun industri keamanan siber telah mulai mengembangkan solusi deteksi deepfake khusus, penelitian terbaru mengkonfirmasi bahwa proses verifikasi dari penyedia eKYC terkemuka masih dapat dilewati menggunakan teknik yang tersedia secara komersial.

Industri keuangan, pemerintah, dan penyedia teknologi harus bertindak lebih cepat menutup celah keamanan ini. Perlombaan antara teknologi keamanan dan metode serangan terus berlanjut, dan investasi dalam teknologi deteksi serta standarisasi keamanan sudah sangat mendesak.

Pesan untuk konsumen juga jelas: sistem verifikasi identitas digital yang kita andalkan saat ini masih memiliki kerentanan serius. 77% korban penipuan deepfake kehilangan uang, dengan sepertiga kehilangan lebih dari $1.000.

Kewaspadaan dan literasi digital menjadi pertahanan penting di tengah ancaman yang terus berkembang ini.

^{*Photo by Derek Lee via Unsplash}