Kasus terbaru menunjukkan betapa cepatnya scammer di Indonesia beradaptasi. Jika sebelumnya kita sudah membahas bagaimana mereka memanfaatkan multi-stage social engineering, fake customer service di Instagram, simulated UI (fake dashboard), hingga sextortion job traps, kini mereka sudah masuk ke ranah yang lebih subtil: mereka memanipulasi jalur informasi (forum dukungan, thread komunitas) sehingga fitur ringkasan AI seperti Google AI Overview maupun Microsoft Copilot ikut menampilkan instruksi yang telah mereka susun.
Google baru saja meluncurkan fitur AI Overview untuk memberi ringkasan instan dari hasil pencarian. Di mata pengguna, ini sangat membantu: tidak perlu lagi klik banyak link, cukup baca jawaban singkat. Tapi di mata scammer, ini adalah saluran kepercayaan baru. Jika mereka bisa membuat jawaban palsu di forum-forum publik, besar kemungkinan AI Overview akan merangkumnya dan menampilkan langsung ke hasil pencarian.
Hal yang sama kini juga terjadi di ekosistem Microsoft. Dari hasil pengujian, Bing Search dan Copilot kerap menampilkan nomor WhatsApp palsu dari sumber yang tidak resmi. Bahkan Copilot merangkumnya dengan gaya bullet point rapi, seolah-olah itu adalah instruksi resmi dari customer service. Ini memperkuat pola bahwa serangan tidak terbatas pada satu vendor: selama AI assistant mengandalkan indexing terbuka, ia sama-sama rentan dijadikan amplifier penipuan.
Dari Forum Komunitas ke Ringkasan AI
Modusnya berawal dari hal sederhana: thread di forum support. Scammer membuat akun-akun baru dan bertanya, “Bagaimana cara membatalkan Spinjam Shopee?” — pertanyaan yang memang sering muncul dari pengguna. Jawaban kemudian mereka isi dengan langkah-langkah yang tampak meyakinkan: hubungi nomor WhatsApp “resmi”, siapkan KTP untuk verifikasi, lalu ikuti instruksi customer service.
Akun lain, juga milik mereka, ikut membalas: menyetujui jawaban, menambahkan komentar, bahkan memberi testimoni palsu. Bagi moderator forum, jawaban itu mungkin terlihat biasa saja. Tapi bagi crawler Google maupun Bing, thread tersebut punya engagement, punya struktur step-by-step, dan mengandung kata kunci yang relevan.
Hasilnya, ketika pengguna mencari “cara membatalkan Spinjam Shopee”, AI Overview atau Copilot menampilkan ringkasan yang persis mengambil instruksi dari thread itu. Korban tidak pernah sampai ke aplikasi resmi Shopee, mereka langsung diarahkan ke nomor palsu.
AI Sebagai Amplifier Penipuan
Kalau kita kembali ke seri tulisan sebelumnya, benang merahnya selalu sama: eksploitasi trust. Di multi-stage attack, trust dibangun lewat peran berlapis. Di fake CS accounts, trust dibangun lewat identitas palsu di media sosial. Di simulated UI, trust dibangun lewat tampilan layar yang meyakinkan. Di sextortion job traps, trust dibangun lewat channel yang tampak sahih.
Tidak hanya Copilot, bahkan Bing Search snippet ikut menampilkan nomor yang sama, seolah-olah itu adalah nomor resmi customer service. Sama persis seperti di Google AI Overview, korban tidak perlu mengklik link — jawaban berbahaya itu langsung disajikan di layar.
Fenomena ini memperkuat analisis kita: vektor serangan ini bersifat lintas platform. Scammer cukup menanam konten di forum atau blog yang terbuka untuk indexing. Baik Google maupun Microsoft sama-sama menyerapnya, lalu AI mereka merangkum tanpa verifikasi sumber resmi. Akhirnya, jawaban yang salah dipublikasikan kembali oleh mesin pencari dengan stempel “otoritas AI”.
Dari sisi pengguna awam, perbedaan antara Google AI dan Microsoft Copilot mungkin tidak relevan. Yang mereka lihat hanyalah jawaban instan dari AI, yang seolah datang dari “pihak resmi”. Padahal, jalur trust itulah yang sedang dimainkan.
Sekarang trust itu datang dari AI. Korban melihat Google AI Overview atau Microsoft Copilot memberikan jawaban singkat, dan bagi banyak orang, itu sudah cukup untuk dianggap “valid”. AI tidak lagi sekadar mesin, tapi tampil sebagai otoritas yang membenarkan langkah-langkah palsu yang ditanam scammer.
Pandangan dari Sisi Cybersecurity
Dari perspektif teknis, ini kombinasi dari tiga hal:
Search engine manipulation: konten di forum dipoles agar terindeks tinggi.
Data poisoning: informasi palsu ditanam agar dikonsumsi oleh model AI.
Social engineering: korban diarahkan ke nomor WhatsApp dengan narasi otoritas, urgensi, dan verifikasi palsu.
Masalahnya, berbeda dengan kasus Google Business atau profil Maps, serangan ini lebih sulit dilacak. Tidak ada dashboard bisnis yang bisa kita cek, tidak ada QRIS yang bisa kita report. Yang ada hanyalah potongan konten yang tampak biasa di forum, tapi ketika diakumulasi, menjadi input berbahaya untuk AI. Dan karena kini muncul di dua ekosistem besar sekaligus (Google dan Microsoft), skalanya makin masif.
Psikologi yang Tetap Sama
Meski medianya berubah, prinsip psikologinya masih berulang. Authority kini bukan lagi akun polisi atau logo aplikasi palsu, melainkan Google AI maupun Microsoft Copilot. Social proof datang dari banyaknya akun forum yang sepakat dengan jawaban palsu. Urgency diciptakan dengan ancaman blokir akun. Commitment dijaga agar korban tetap lanjut setelah menyerahkan sebagian data.
Inilah bukti bahwa pola Cialdini tetap relevan, hanya medium dan konteksnya yang terus berevolusi.
Refleksi Tegalsec
Kasus ini memperlihatkan bagaimana scammer Indonesia semakin lihai bukan hanya dalam menyerang korban, tapi juga dalam menunggangi sistem informasi global. Mereka tidak perlu meretas server atau menembus aplikasi, cukup memanipulasi cara AI belajar dari data.
Bagi kita di Tegalsec, ini menegaskan kembali misi yang sejak awal kita tulis di seri-seri sebelumnya: bahwa perang melawan penipuan bukan hanya soal patch teknis, tapi soal memahami dinamika psikologi, informasi, dan ekosistem.
Jika dulu kita fokus pada modus scamming jadul maka kasus ini adalah bab baru: AI poisoning lintas platform. Dan seperti biasa, yang pertama kali jadi korban adalah masyarakat awam yang hanya mencari bantuan sederhana di internet.
Penutup
Scammer Indonesia sekali lagi menunjukkan adaptasi yang cepat. Mereka berhasil membuat AI menjadi amplifier penipuan. Dari perspektif cybersecurity, ini bukan sekadar tren kecil, tapi sinyal bahwa kita harus melihat lebih jauh: bagaimana model AI bisa dieksploitasi, bagaimana forum publik bisa jadi ladang planting konten, dan bagaimana trust digital terus diuji.
Di Tegalsec, kita akan terus mendokumentasikan pola ini, bukan hanya untuk mempelajari modus terbaru, tapi juga untuk refleksi komunitas agar lebih siap menghadapi serangan yang semakin subtil. Karena pada akhirnya, pertahanan terbaik tetap sama: kesadaran, kritis terhadap informasi, dan kemampuan mengenali kapan trust sedang dimainkan.
Source case from : https://www.instagram.com/ecommurz/
