Waspada, Kode QR Pakai Teknik 'ASCII Art' Bisa Lolos Sistem Keamanan
Uzone.id– Peneliti keamanansiber Kaspersky kembali mengungkap metode penipuan daring baru yang menggunakankode QR berbahaya.
Berbeda dari teknik biasanya yang menggunakan gambar, pelakukini membuat kode QR menggunakan rangkaian karakter teks atau yang dikenalsebagaiASCII art.
ASCII art ini kemudian dimanfaatkan oleh pelaku kejahatansiber untuk menyembunyikan kode QR berbahaya.
Temuan ini muncul setelah Kaspersky mencatat peningkatansignifikan serangan phishing berbasis kode QR. Pada paruh kedua 2025, jumlahserangan QR phishing yang terdeteksi meningkat hingga lima kali lipatdibandingkan periode sebelumnya.
Menurut Kaspersky, penggunaan karakter teks untuk membentukkode QR menjadi cara baru buat pelaku untuk melewati sejumlah sistem keamananemail yang biasanya men-scan gambar atau tautan mencurigakan.
Akibatnya, email berbahaya masih bisa lolos dari prosesdeteksi dan sampai ke kotak masuk korban.
Teknik ini sebenarnya bukan sebuah teknik yang sepenuhnyabaru. Di era awal komputer, gambar sering dibuat menggunakan kombinasi karakterteks karena perangkat saat itu belum mampu menampilkan grafis secarapenuh.
Bahkan, di tahun 2000-an, pengirim spam sudah menggunakangambar yang dibuat dari simbol teks dimana mereka memakai grafik berbasis teksuntuk menghindari mekanisme deteksi yang menganalisis gambar untuk URLtersembunyi.
Dalam skenario serangan yang ditemukan Kaspersky, korbanmenerima email yang tampak berasal dari mitra bisnis atau layananpenandatanganan dokumen digital.
Email tersebut menginformasikan adanya dokumen rahasia yangperlu ditinjau atau ditandatangani, lalu meminta penerima memindai kode QR yangdisusun dari karakter teks.
Setelah dipindai, korban diarahkan ke situs web palsu yangmenyerupai layanan resmi. Di halaman tersebut, pengguna diminta memasukkankredensial perusahaan seperti alamat email dan kata sandi, yang kemudian dapatdicuri oleh pelaku.
Pakar Anti-Spam Kaspersky, Roman Dedenok, mengatakan parapelaku terus mencari cara untuk menghindari teknologi keamanan yang ada.
“Ketika kode QR dibentuk menggunakan seni ASCII tekstual,hampir pasti itu adalah upaya phishing atau umpan ke URL berbahaya. Trik inihanya memiliki satu tujuan: melewati teknologi keamanan,” kata Roman.
Ia menambahkan, "Sebelumnya kita telah melihat pelakuphishing mencoba menghindari pemindaian tautan dengan menyembunyikan URL dalamgambar. Sekarang mereka mencoba menghindari pemindaian berbasis gambar dengankembali ke teks – kali ini untuk menampilkan kode QR.”
Ia pun menghimbau masyarakat untuk waspada jika menemukankode QR yang meminta login menggunakan akun perusahaan melalui perangkatseluler karena hal itu patut dicurigai sebagai upaya phishing.
Masyarakat juga diimbau untuk selalu memverifikasi keaslianemail, tidak sembarangan memindai kode QR dari sumber yang tidak dikenal, sertamemastikan alamat situs tujuan sebelum memasukkan informasi pribadi atau dataakun