Waspada, Kode QR Pakai Teknik 'ASCII Art' Bisa Lolos Sistem Keamanan

Uzone.id – Peneliti keamanan siber Kaspersky kembali mengungkap metode penipuan daring baru yang menggunakan kode QR berbahaya. 

Berbeda dari teknik biasanya yang menggunakan gambar, pelaku kini membuat kode QR menggunakan rangkaian karakter teks atau yang dikenal sebagai ASCII art.

ASCII art ini kemudian dimanfaatkan oleh pelaku kejahatan siber untuk menyembunyikan kode QR berbahaya.

Temuan ini muncul setelah Kaspersky mencatat peningkatan signifikan serangan phishing berbasis kode QR. Pada paruh kedua 2025, jumlah serangan QR phishing yang terdeteksi meningkat hingga lima kali lipat dibandingkan periode sebelumnya.

Menurut Kaspersky, penggunaan karakter teks untuk membentuk kode QR menjadi cara baru buat pelaku untuk melewati sejumlah sistem keamanan email yang biasanya men-scan gambar atau tautan mencurigakan.

Akibatnya, email berbahaya masih bisa lolos dari proses deteksi dan sampai ke kotak masuk korban.

Teknik ini sebenarnya bukan sebuah teknik yang sepenuhnya baru. Di era awal komputer, gambar sering dibuat menggunakan kombinasi karakter teks karena perangkat saat itu belum mampu menampilkan grafis secara penuh. 

Bahkan, di tahun 2000-an, pengirim spam sudah menggunakan gambar yang dibuat dari simbol teks dimana mereka memakai grafik berbasis teks untuk menghindari mekanisme deteksi yang menganalisis gambar untuk URL tersembunyi.

Dalam skenario serangan yang ditemukan Kaspersky, korban menerima email yang tampak berasal dari mitra bisnis atau layanan penandatanganan dokumen digital. 

Email tersebut menginformasikan adanya dokumen rahasia yang perlu ditinjau atau ditandatangani, lalu meminta penerima memindai kode QR yang disusun dari karakter teks.

Setelah dipindai, korban diarahkan ke situs web palsu yang menyerupai layanan resmi. Di halaman tersebut, pengguna diminta memasukkan kredensial perusahaan seperti alamat email dan kata sandi, yang kemudian dapat dicuri oleh pelaku.

Pakar Anti-Spam Kaspersky, Roman Dedenok, mengatakan para pelaku terus mencari cara untuk menghindari teknologi keamanan yang ada.

“Ketika kode QR dibentuk menggunakan seni ASCII tekstual, hampir pasti itu adalah upaya phishing atau umpan ke URL berbahaya. Trik ini hanya memiliki satu tujuan: melewati teknologi keamanan,” kata Roman.

Ia menambahkan, "Sebelumnya kita telah melihat pelaku phishing mencoba menghindari pemindaian tautan dengan menyembunyikan URL dalam gambar. Sekarang mereka mencoba menghindari pemindaian berbasis gambar dengan kembali ke teks – kali ini untuk menampilkan kode QR.”

Ia pun menghimbau masyarakat untuk waspada jika menemukan kode QR yang meminta login menggunakan akun perusahaan melalui perangkat seluler karena hal itu patut dicurigai sebagai upaya phishing.

Masyarakat juga diimbau untuk selalu memverifikasi keaslian email, tidak sembarangan memindai kode QR dari sumber yang tidak dikenal, serta memastikan alamat situs tujuan sebelum memasukkan informasi pribadi atau data akun