Sistem keamanan email konvensional punya satu titik lemah yang jarang disadari. Ia hanya mengenali ancaman yang sudah pernah ada. Setiap email masuk dibandingkan dengan database ancaman yang sudah diketahui, lalu diblokir jika cocok. Selama ancaman mengikuti pola yang bisa dipelajari, sistem ini solid. Masalahnya, serangan email berbasis AI tidak mengikuti pola yang bisa dipelajari. Setiap serangan dibuat baru, unik, dan dirancang persis untuk tidak cocok dengan referensi apapun yang sudah ada.
Di Mana Filter Bawaan Mulai Gagal
Filter email bawaan Google Workspace maupun Microsoft 365 sangat efektif untuk ancaman yang sudah dikenal. Link berbahaya diblokir berdasarkan daftar URL yang pernah dilaporkan. Attachment dipindai berdasarkan signature malware yang terdaftar. Domain mencurigakan ditolak berdasarkan reputasi yang sudah terbangun.
Untuk spam massal, malware dengan signature dikenal, atau template phishing yang sudah beredar luas, proteksi ini bekerja dengan baik. Masalah muncul ketika ancaman yang datang belum pernah terlihat sebelumnya. Filter konvensional tidak bisa memblokir apa yang tidak ia kenali, dan itulah celah yang dieksploitasi serangan berbasis AI.
Skala Serangan Email Berbasis AI Saat Ini
Hoxhunt dalam Phishing Trends Report 2026, menganalisis lebih dari 50 juta data dari 4 juta pengguna, mencatat lonjakan 14x serangan phishing berbasis AI di Desember 2025, dari 4% menjadi 56% dari seluruh serangan yang terdeteksi. KnowBe4 dalam laporan terpisah mencatat 82,6% email phishing kini mengandung elemen yang dihasilkan AI.
AI generatif memungkinkan setiap email phishing dibuat unik secara teknis. Yang membuat ini berbahaya bukan hanya volumenya, tapi cara serangan itu bekerja. Tidak ada dua email yang identik, sehingga tidak ada signature yang bisa dicocokkan. Lebih dari itu, AI bisa memindai profil LinkedIn, website perusahaan, dan media sosial untuk menyusun email yang sangat spesifik, menyebut nama rekan kerja, mereferensikan proyek yang sedang berjalan, meniru gaya komunikasi atasan. Email yang datang terlihat sah, terasa relevan, dan tidak meninggalkan jejak teknis yang mencurigakan.
Business Email Compromise adalah bentuk serangan yang paling memanfaatkan kondisi ini. Tidak ada attachment, tidak ada link — hanya teks yang menyamar sebagai eksekutif atau vendor yang meminta transfer dana atau persetujuan akses. Filter konvensional tidak melihat apapun yang mencurigakan, karena memang tidak ada payload teknis yang bisa dipindai. FBI dalam IC3 Annual Report 2025 yang dirilis April 2026 mencatat BEC mengakibatkan kerugian USD 3,04 miliar dalam satu tahun, menjadikannya kategori kejahatan siber kedua terbesar secara finansial.
Kecepatan Serangan yang Tidak Bisa Diimbangi
Riset IBM X-Force menunjukkan AI dapat menghasilkan email phishing yang meyakinkan dalam lima menit. Operator manusia berpengalaman butuh 16 jam untuk hal yang sama. Artinya serangan bisa diluncurkan dalam skala yang tidak bisa diimbangi sistem yang mengandalkan pembaruan database manual.
Ini bukan berarti solusinya adalah memperbarui database lebih cepat. Masalah fundamentalnya berbeda. Serangan berbasis AI dirancang untuk selalu terlihat baru. Tidak ada database yang bisa mengejar sesuatu yang memang dibuat untuk tidak pernah terlihat dua kali.
IBM dalam Cost of a Data Breach 2025 melaporkan perusahaan yang menggunakan AI dalam sistem keamanan mereka mendeteksi ancaman 60% lebih cepat dan menghemat rata-rata USD 2,2 juta dibanding yang tidak. Bukan karena AI lebih pintar mengenali pola lama, tapi karena AI bekerja di dimensi yang berbeda dari sekadar pencocokan signature.
Pendekatan Berbeda yang Dibutuhkan
Ada perbedaan mendasar antara cara filter konvensional dan sistem email security berbasis AI bekerja.
Filter konvensional mencocokkan email masuk dengan ancaman yang sudah dikenal. Jika tidak cocok dengan apapun di database, email lolos. Sistem berbasis AI tidak bertanya apakah email ini cocok dengan ancaman yang dikenal, tapi apakah email ini berperilaku normal untuk mailbox ini.
Setiap mailbox punya pola komunikasi uniknya sendiri. Siapa yang biasanya mengirim, topik apa yang dibahas, jenis permintaan apa yang wajar. Ketika ada email yang menyimpang dari pola itu, sistem mendeteksinya, meski email itu terlihat sempurna dari luar dan tidak cocok dengan signature apapun.
Pendekatan ini tidak membutuhkan penggantian platform email yang sudah berjalan. Inilah yang diterapkan Ironscales, membangun baseline perilaku per mailbox lalu mendeteksi anomali, termasuk BEC, quishing, dan serangan berbasis AI generatif yang tidak meninggalkan jejak teknis. Untuk bisnis yang menggunakan Google Workspace maupun Microsoft 365, koneksinya via API tanpa mengubah konfigurasi yang sudah berjalan. Untuk keamanan data email yang lebih menyeluruh, Dropsuite melengkapi dengan archiving independen dari infrastruktur platform.
Pertanyaan yang Sering Diajukan
Apakah filter bawaan GWS dan Microsoft 365 sudah tidak berguna?
Tidak. Keduanya masih sangat efektif untuk ancaman yang memang dirancang untuk mereka tangani. Celahnya ada di serangan yang tidak meninggalkan jejak teknis, BEC tanpa attachment, phishing yang dibuat unik setiap kali dikirim, atau email yang ditulis AI untuk terlihat sah secara konteks. Lapisan berbasis AI melengkapi, bukan menggantikan.
Apa yang membuat serangan email berbasis AI lebih sulit dideteksi?
Setiap email dibuat unik secara teknis sehingga tidak cocok dengan signature yang sudah ada. Ditambah personalisasi berbasis data publik seperti nama, konteks proyek, dan gaya komunikasi yang membuat email terlihat sangat sah bahkan bagi penerima yang sudah waspada.
Apakah solusi ini cocok untuk SMB tanpa tim IT khusus?
Justru di sini relevansinya. Platform seperti Ironscales beroperasi otonom — deteksi dan remediasi berjalan otomatis tanpa membutuhkan tim keamanan yang besar. Setup via API tidak membutuhkan perubahan konfigurasi besar dan tidak mengganggu alur email yang sudah berjalan.
Seberapa besar risiko BEC untuk bisnis skala menengah?
BEC menyasar bisnis dengan transaksi finansial aktif, terlepas dari ukurannya. FBI IC3 mencatat USD 3,04 miliar kerugian BEC di 2025, dan angka itu hanya dari insiden yang dilaporkan. Bisnis kecil dan menengah sering jadi target justru karena dianggap memiliki pertahanan yang lebih lemah.
Pertanyaan yang relevan bukan lagi apakah bisnis Anda akan menjadi target, tapi seberapa cepat sistem yang ada sekarang bisa mendeteksi serangan yang memang dirancang untuk tidak terlihat.
Punya pertanyaan atau butuh solusi IT?
Hubungi tim Pixa Teknologi untuk konsultasi gratis.
Hubungi Kami →