QRIS Malah Jadi Miris, Bagaimana QR Code Bisa Dipalsukan?

Uzone.id — Ada-ada saja ide jahat pelaku penipuan siber untuk mengelabui korbannya. Segala macam celah teknologi digunakan untuk menjebak korban ke dalam perangkap mereka, salah satunya adalah QRIS palsu yang sedang ramai ditemukan di masjid-masjid daerah Jakarta.

QRIS sendiri sudah menjadi pilihan masyarakat untuk melakukan pembayaran cashless secara lebih mudah dan fleksibel. Teknologi kode QR juga sering digunakan untuk aktivitas lainnya, seperti membuka tautan, situs tertentu, atau kode QR untuk pengunjung di tempat wisata.

Selain itu, beberapa aplikasi dirancang untuk membuat kode QR yang memberikan informasi tertentu kepada siapa saja yang memindainya. Misalnya, kata sandi jaringan Wi-Fi tamu, atau bahkan detail rekening bank.

Melihat adanya modus penipuan menggunakan kode QR, kok bisa sih teknologi QRIS atau QR Code ini dipalsukan para penjahat siber?

Menurut pakar keamanan Kaspersky, Kode QR hanyalah barcode versi yang lebih canggih namun tetap memiliki celah keamanan yang cukup banyak. 

“Manusia tidak bisa begitu saja membaca kode QR atau memeriksa proses pemindaiannya, maka, pengguna hanya dapat mengandalkan integritas penciptanya,” ujarnya.

Sistem dari kode QR ini disebut sangat mudah untuk dieksploitasi oleh orang-orang tak bertanggung jawab. Berikut beberapa modusnya.

Tautan palsu menggunakan kode QR

 Penjahat siber akan membuat kode QR yang mengarah ke situs phishing, dimana situs ini terlihat seperti halaman login jaringan sosial atau bank online.

Mereka akan mengelabui pengguna agar melakukan kesalahan dalam pengunduhan aplikasi. Contohnya, dengan mengunduh aplikasi berisi malware, bukan aplikasi atau game yang sesuai dengan isi tautan yang asli.

Pada titik itu, malware dapat mencuri kata sandi, mengirim pesan berbahaya ke kontak Anda, dan masih banyak lagi.

Perintah berkode QR

Selain menautkan QR Code ke situs-situs phishing, penjahat siber juga biasanya memasukkan perintah ke QR Code untuk melakukan tindakan tertentu.

Kaspersky menuliskan beberapa perintah yang biasanya disusupkan ke kode QR, berikut diantaranya:

• Menambahkan kontak;
• Melakukan panggilan keluar;
• Membuat draft email dan mengumpulkan baris penerima dan subjek;
• Mengirim teks;
• Membagikan lokasi Anda dengan aplikasi;
• Membuat akun media sosial;
• Menjadwalkan acara kalender;
• Tambahkan jaringan Wi-Fi pilihan dengan kredensial untuk koneksi otomatis.

Dengan adanya kemampuan ini, kode QR bisa sangat mudah dimanipulasi, contohnya menambah info kontak pelaku ke kontak korban dengan nama yang mencatut sebuah bank.

Ini dilakukan untuk memberikan kredibilitas pada panggilan yang mencoba menipu kalian, atau bisa jadi mencari tahu lokasi di mana kalian berada.

Selanjutnya, setelah modus-modus ini siap untuk diterapkan ke target dan korban mereka, penjahat siber kemudian melakukan beberapa trik untuk menjebak mereka.

Pertama, mereka menautkan sumber berbahaya. 

Pelaku kejahatan siber ini akan menempatkan kode QR berisi sumber berbahaya di situs web, banner, email, atau bahkan di iklan di sebuah kertas.

Tujuannya, agar korban dengan mudah mengunduh aplikasi berbahaya di dalam QR. Dalam banyak kasus, logo Google Play Store dan App Store disematkan di samping kode agar korban semakin percaya.

Kedua, trik substitusi atau pengganti.

Bukan hal yang aneh bagi pelaku siber untuk ‘numpang eksis’ ke pihak yang sah, mereka akan mengganti kode QR asli pada poster, banner atau tempat yang ramai pengunjung menggunakan kode QR palsu.

Contoh nyatanya adalah yang baru-baru ini terjadi, dimana pelaku mengganti QR Code di kotak amal masjid menjadi QR kode berisi dompet elektronik pribadi milik si pelaku.

Tak hanya pelaku siber saja, aktivis sosial tak bertanggung jawab juga bisa menggunakan kode QR untuk menyebarkan narasi kepentingan mereka.

Contohnya di Australia, seorang pria ditangkap karena diduga merusak kode QR pada tanda check-in di pusat COVID-19 dan mengarahkan pengunjung ke situs anti vaksinasi.

Lalu, bagaimana cara untuk menghindari tren kejahatan kode QR ini?

Pakar keamanan di Kaspersky menyarankan untuk selalu memeriksa tautan sebelum mengetuk atau mengeklik Kode QR. Penyerang sering kali menggunakan tautan pendek, sehingga lebih sulit untuk menemukan kode yang palsu saat ponsel cerdas meminta konfirmasi.

Kalian juga bisa melakukan beberapa langkah berikut ini:

• Jangan memindai kode QR dari sumber yang jelas mencurigakan;
• Perhatikan tautan yang ditampilkan saat memindai kode.
• Berhati-hati jika URL telah dipersingkat, karena dengan kode QR, tidak ada alasan kuat untuk mempersingkat tautan apa pun.
• Sebaiknya gunakan mesin telusur atau toko resmi untuk menemukan apa yang kalian cari.
• Lakukan pemeriksaan fisik cepat sebelum memindai kode QR pada poster atau tanda untuk memastikan kode tidak ditempelkan di atas gambar asli.