:strip_icc()/kly-media-production/medias/1305596/original/086117500_1470137056-linkedin-01.jpg)
Pakar keamanan siber dan pengguna LinkedIn di seluruh dunia menyerukan kewaspadaan tinggi terhadap gelombang serangan _phishing_ terbaru yang menyusup melalui kolom komentar dan balasan, sebuah evolusi taktik rekayasa sosial yang memanfaatkan platform profesional untuk mencuri kredensial. Kampanye ini, yang mulai terdeteksi secara luas pada awal Januari 2026, menampilkan akun bot yang menyamar sebagai sistem peringatan otomatis LinkedIn, mengeluarkan notifikasi palsu mengenai pelanggaran kebijakan atau pembatasan akun untuk memancing korban agar mengklik tautan berbahaya.
Ancaman ini menandai pergeseran signifikan dalam lanskap serangan _phishing_. Secara tradisional, upaya _phishing_ lebih sering melalui email atau pesan pribadi yang tidak terduga. Namun, penyerang kini menyisipkan jebakan mereka langsung ke dalam percakapan publik di LinkedIn, memanfaatkan reputasi platform sebagai ruang tepercaya dan profesional. SOC Analyst William Pfeiffer mengamati bahwa komentar palsu tersebut terlihat sangat meyakinkan karena menggunakan bahasa yang mirip LinkedIn, _branding_ yang familier, dan bahkan tautan pendek "lnkd.in" resmi. Tautan ini mengarahkan pengguna ke situs _phishing_ yang meniru halaman masuk LinkedIn, dirancang untuk mencuri _username_ dan _password_ korban.
Max Gannon, Manajer Tim Intelijen Siber di Cofense, menyoroti bagaimana penggunaan kecerdasan buatan (AI) memungkinkan penyerang untuk meniru merek tepercaya di platform sosial dengan efisiensi yang belum pernah terjadi sebelumnya. “Kampanye _phishing_ LinkedIn terbaru ini menyoroti evolusi taktik rekayasa sosial yang mengganggu, di mana penyerang menanamkan diri mereka langsung ke ruang digital tepercaya dan mengeksploitasi kepercayaan pengguna dengan meniru komunikasi yang sah,” ujar Chance Caldwell, Direktur Senior Phishing Defense Center di Cofense. Dia menambahkan bahwa dengan memposting komentar yang tampak berasal dari LinkedIn, lengkap dengan _branding_ resmi dan bahkan pemendek URL yang sah seperti 'lnkd.in', pelaku ancaman mampu mendapatkan kepercayaan dari pengguna dan mengalihkan mereka ke aktivitas _phishing_ berbahaya.
Evolusi ini bukan tanpa preseden. Pada tahun 2023, taktik serupa terlihat di Twitter/X, di mana penyerang menyamar sebagai bank dalam balasan terhadap keluhan pelanggan. Pergeseran ke taktik dalam platform yang lebih terlihat, menjauh dari pesan pribadi dan email, merupakan indikasi adaptasi penjahat siber terhadap pertahanan yang lebih baik di saluran tradisional. LinkedIn telah mengonfirmasi bahwa mereka mengetahui aktivitas ini dan timnya sedang berupaya mengambil tindakan. Perusahaan menegaskan bahwa LinkedIn tidak pernah mengomunikasikan pelanggaran kebijakan kepada anggota melalui komentar publik, dan mendorong anggota untuk melaporkan perilaku mencurigakan.
Dampak rekayasa sosial, termasuk _phishing_, sangat signifikan. Pada tahun 2024, kesalahan manusia, termasuk rekayasa sosial, menyebabkan 68% pelanggaran data. Sebanyak 89% serangan rekayasa sosial bermotivasi finansial, dengan _phishing_ menjadi metode utama dalam 65% kasus. Keberhasilan kampanye _phishing_ yang didukung AI memiliki tingkat keberhasilan 42% lebih tinggi dibandingkan skema email konvensional saja. Industri manufaktur tetap menjadi sektor yang paling banyak ditargetkan, menyumbang 26% dari insiden. Kerugian finansial akibat serangan rekayasa sosial juga substansial; pada tahun 2024, rata-rata kerugian dari serangan tersebut adalah $130.000.
Fenomena ini menggarisbawahi tantangan mendalam dalam mengelola risiko manusia di era digital. Platform profesional seperti LinkedIn menjadi target menarik karena sifatnya yang berorientasi pada kepercayaan. Kemampuan penyerang untuk membuat pesan yang sangat personal pada skala besar, didukung oleh AI yang mengolah data dari media sosial dan catatan publik, akan menjadi norma, bukan lagi pengecualian. Eran Barak, salah satu pendiri dan CEO MIND, menyatakan bahwa "Tidak peduli seberapa maju pertahanan kita, manusia akan terus menjadi klik pertama dalam pelanggaran."
Meskipun _phishing_ melalui komentar adalah taktik baru, prinsip pertahanan tetap konsisten: verifikasi langsung. Pengguna harus selalu mengarahkan kursor ke tautan untuk memeriksa URL tujuan dan menghindari mengklik tautan yang terlihat mencurigakan. LinkedIn menyarankan pengguna untuk mengaktifkan autentikasi multifaktor dan melaporkan konten yang mencurigakan. Ancaman _phishing_ yang terus berkembang ini menuntut adaptasi berkelanjutan dari strategi keamanan siber, dengan fokus yang lebih besar pada kesadaran pengguna dan deteksi kontekstual untuk melindungi aset digital dan reputasi profesional.
