youngster.id - Kejahatan siber QR Code bukanlah kejahatan baru di negara-negara maju. Tapi buat Indonesia kejahatan ini sedang naik daun dan merupakan salah satu metode phising yang sedang berkembang di Tanah Air.
Baru-baru ini terjadi kejahatan phising memanfaatkan Quick Response Code Indonesian Standard atau disingkat QRIS. Pelaku dipergoki melalui CCTV di masjid Nurul Iman Blok M dan masjid Kalibata City mengganti QRIS pada kotak amal.
IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh melihat fenomena kejahatan phising belakangan ini di Indonesia mengatakan, kejahatan phising di Indonesia sedang berkembang pesat, trik-trik phising yang biasanya terjadi di negara maju kini diadopsi oleh pelaku kejahatan siber lokal.
“Pada kasus phising QR Code, pengguna harus tahu bahwa QR Code juga bisa dimodifikasi untuk menyusupkan informasi yang salah yang bisa membawa banyak hal buruk pada korban. Umumnya bertujuan pada penipuan keuangan,” kata Yudhi.
QRIS lahir sebagai jawaban atas banyaknya metode pembayaran digital di Indonesia. QRIS merupakan solusi menyatukan sistem pembayaran digital, sehingga transaksi dapat diawasi pemangku kebijakan. QRIS menggunakan teknologi QR Code yang mampu menyimpan data numerik, alphabet, Kanji, Kana, Hiragana, symbols, binary dan kode kontrol lain yang dapat dikodekan dalam satu gambar yang mengandung maksimum 7089 karakter alphanumrik.
Seiring dengan berkembangnya teknologi, terlebih sejak masa pandemi, menyumbang tidak lagi harus menggunakan uang tunai, menyumbang non tunai dengan scan QR Code juga bisa dilakukan seperti dengan QRIS.
Untuk mendapatkan QRIS secara resmi wajib melalui proses yang cukup ketat. Seseorang atau perusahaan harus menjadi Merchant dari sebuah sistem pembayaran digital sebelum QRIS digenerate.
Lantas bagaimana cara phising QRIS ini dilakukan? Secara umum caranya semudah mengganti gambar QRIS pemilik sebenarnya dengan QRIS penipu.
Penyalahgunaan QRIS dapat dilakukan melihat perkembangan di lapangan. Pertama, jual-beli-sewa akun QRIS beserta rekening penampung. Umumnya berasal dari Merchant yang sudah tutup usaha. Metode ini mirip dengan jual-beli-sewa akun Ojol yang sempat marak beredar.
“Metode ini sebenarnya mudah dideteksi, karena saat membayar akan muncul nama Merchant. Pastikan sebelum membayar kita membaca nama Merchant yang muncul di aplikasi dan sesuai dengan nama penerima,” saran Yudhi.
Kedua, dengan menggunakan mesin pencari online, dengan mudah didapatkan jasa pembuatan QRIS secara cepat via online dengan metode verifikasi yang lemah, hanya menyertakan Foto KTP dan Pose memegang KTP.
Dalam prakteknya ada beberapa metode penipuan berbasis QR Code. Pertama, mengarahkan ke situs web berbahaya untuk mencuri informasi sensitif. Serangan phising tidak hanya menyebar melalui email, pesan instan, atau teks. Sama seperti peretas yang dapat menggunakan iklan jahat dan teknik lain untuk mengarahkan korban ke situs penipuan, mereka juga dapat melakukan hal yang sama dengan QR Code. Kedua, unduh file berbahaya di perangkat. Banyak restoran menggunakan QR Code untuk mengunduh menu format PDF atau memasang aplikasi yang memungkinkan pelanggan melakukan pemesanan. Pelaku dapat dengan mudah mengutak-atik QR Code untuk mengelabui pengguna agar mengunduh file PDF berbahaya atau aplikasi seluler jahat.
Ketiga, memicu tindakan di perangkat Anda. QR Code dapat memicu tindakan langsung di perangkat Anda, dengan tindakan ini bergantung pada aplikasi yang membacanya, seperti menghubungkan perangkat ke jaringan Wi-Fi, mengirim email atau pesan SMS dengan teks yang telah ditentukan sebelumnya, atau menyimpan informasi kontak di perangkat. Keempat, mengalihkan pembayaran atau meminta uang. Sebagian besar aplikasi keuangan saat ini memungkinkan pembayaran melalui QR Code yang berisi data milik penerima uang. Banyak toko menampilkan kode ini kepada pelanggan mereka sehingga memudahkan transaksi. Namun, penjahat dunia maya dapat memodifikasi QR ini dengan data mereka sendiri dan menerima pembayaran ke akun mereka.
Kelima, mencuri identitas pengguna. Banyak QR Code digunakan sebagai sertifikat untuk memverifikasi informasi seseorang. Dalam kasus ini, QR Code mungkin berisi informasi yang sama sensitifnya dengan informasi yang terdapat dalam ID atau rekam medis mereka, yang dapat diperoleh dengan mudah oleh pelaku dengan memindai QR Code. Keenam, akses ke suatu aplikasi. Aplikasi seperti WhatsApp, Telegram atau Discord, terkadang menggunakan QR Code untuk mengautentikasi sesi pengguna sehingga memungkinkan pengguna untuk mengakses akun mereka. Seperti yang telah terjadi dengan WhatsApp, dengan serangan seperti QRLjacking, pelaku dapat mengelabui pengguna dengan meniru identitas layanan dan mengelabui pengguna agar memindai QR yang disediakan oleh pelaku.
Sejatinya, kejahatan QR Code ini tidak terbatas hanya pada QRIS di kotak amal, pelaku memilih kotak amal karena dianggap sebagai target empuk serta minim kecurigaan dan kebiasaan orang Indonesia yang suka menyumbang.
Di tempat lain, banyak pedagang memanfaatkan QRIS untuk mempermudah pembayaran. Mereka ini sasaran empuk para penjahat siber. Berikut beberapa tindak pencegahan yang dapat dilakukan. Pertama, jika Anda menerima QR Code dalam pesan yang tidak diinginkan, hindari. Jika seseorang yang Anda kenal mengirimi Anda kode melalui pesan teks atau media sosial, hubungi mereka untuk memastikan kode tersebut sah dan tidak diretas. Kedua, sebelum mengeklik, Anda dapat memeriksa URL situs web untuk memastikannya terlihat asli dan tidak ada kesalahan ketik atau huruf yang salah tempat.
Ketiga, secara harfiah. Waspadai tanda-tanda bahwa seseorang merusak QR Code fisik, seperti stiker yang diletakkan di atas kode asli. Keempat, berhati-hatilah saat mengisi formulir online yang meminta informasi login, pribadi, atau keuangan dari situs web yang dinavigasi dari QR Code. Kelima, tidak memposting dokumen dengan QR Code di media sosial. Besar kemungkinan QR Code tersebut mengandung informasi rahasia terkait dokumen, misalnya nomor invoice. Keenam, yang tidak kalah penting, jika melakukan pembayaran, bertanyalah kepada penjaga apakah benar nama tujuan pengiriman sama dengan yang tertera pada tampilah hasil pemindaian QRIS yang muncul pada applikasi pembayaran. (*AMBS)
Discussion about this post