TEMPO.CO, Jakarta - Pakar keamanan siber Kaspersky membeberkan risiko dari penggunaan Quick Response Code (Kode QR) yaitu menjadi pintu masuk phishing (upaya mendapatkan informasi data seseorang dengan teknik pengelabuan). Menurut Kaspersky, pada dasarnya, ada cukup banyak celah pada Kode QR yang bisa dimanfaatkan para pelaku kejahatan siber atau hacker untuk melakukan aksinya. Salah satunya adalah karena pengguna tidak bisa begitu saja membaca Kode QR atau memeriksa proses pemindaiannya.

“Maka, pengguna hanya dapat mengandalkan integritas penciptanya. Kami juga tidak dapat mengetahui semua yang disertakan Kode QR, bahkan saat kami membuatnya sendiri. Sistemnya sangat mudah untuk dieksploitasi,” ujar pihak Kaspersky dalam keterangan tertulis pada Selasa, 11 April 2023.

Saat ini Kode QR banyak ditemui di berbagai tempat mulai dari kemasan makanan hingga pameran museum, dari tagihan utilitas hingga tiket lotre. Orang-orang menggunakannya untuk membuka situs web, mengunduh aplikasi, mengumpulkan poin program loyalitas, melakukan pembayaran dan mentransfer uang, bahkan beramal.

Teknologi tersebut memang mudah untuk diakses dan praktis, serta memberikan kenyamanan bagi banyak orang. Termasuk bagi hacker yang telah meluncurkan berbagai skema berbasis Kode QR.

Kode QR yang dibuat oleh pelaku kejahatan siber mungkin mengarah ke situs phishing yang terlihat seperti halaman login jaringan sosial atau bank online. “Itulah mengapa pakar keamanan di Kaspersky menyarankan untuk selalu memeriksa tautan sebelum mengetuk atau mengeklik."

Hacker Gunakan Tautan Pendek sehingga Lebih Sulit Temukan Qris Palsu

Lebih jauh, Kaspersky menyatakan hacker sering menggunakan tautan pendek, sehingga lebih sulit untuk menemukan QRIS palsu saat ponsel cerdas meminta konfirmasi. Skema serupa dapat mengelabui pengguna agar melakukan kesalahan dalam pengunduhan aplikasi, misalnya, dengan mengunduh malware, dan bukanlah game atau alat yang dimaksudkan.

“Pada titik itu, malware dapat mencuri kata sandi, mengirim pesan berbahaya ke kontak Anda, dan masih banyak lagi,” ucap Kaspersky.

Selain menautkan ke situs web, Kode QR mungkin berisi perintah untuk melakukan tindakan tertentu. Misalnya, menambahkan kontak, melakukan panggilan keluar, membuat draf email dan mengumpulkan baris penerima dan subjek, mengirim teks, membagikan lokasi dengan aplikasi; membuat akun media sosial, menjadwalkan acara kalender serta tambahkan jaringan Wi-Fi pilihan dengan kredensial untuk koneksi otomatis.<!--more-->

Kemampuan QRIS yang Luas Mudah Dimanipulasi

Kemampuan luas itu membuat kode QRIS siap dan sangat mudah untuk dimanipulasi. Perusahaan keamanan siber yang berkantor pusat di Rusia itu mencontohkan penipu online dapat menambahkan info kontak mereka ke buku alamat korbannya dengan nama ‘Bank’ untuk memberikan kredibilitas pada panggilan yang mencoba mengelabui. “Atau hubungi nomor tol. Atau cari tahu di mana Anda berada,” tutur Kaspersky.

Cara Hacker Lakukan Phishing Kode QR

Kaspersky mengungkap bagaimana pelaku kejahatan siber atau hacker memanfaatkan Kode QR. Agar bisa melancarkan aksinya, hacker harus membujuk calon korban untuk memindai Kode QR terlebih dahulu.

“Untuk melakukan itu, mereka memiliki beberapa trik,” ujar Kaspersky.

Pertama, Kaspersky menjelaskan, hacker dapat menempatkan Kode QR dengan tautan ke kreasi mereka di situs web, di banner, di email, atau bahkan di iklan di sebuah kertas. Intinya adalah membuat korban mengunduh aplikasi berbahaya.

“Dalam banyak kasus, logo Google Play dan App Store ditempatkan di samping kode untuk menambah kredibilitas,” ucap dia.

Kedua, adalah bukan hal yang aneh bagi hacker untuk menunggangi reputasi pihak yang sah dengan cara mengganti Kode QR asli pada poster atau tanda dengan yang palsu. Salah satunya seperti Quick Response Indonesian Standard atau QRIS palsu yang ditemukan di sejumlah masjid belakangan ini.

Sebelumnya, ramai pemberitaan soal pemalsuan QRIS dilakukan di kotak amal sejumlah masjid di Jakarta. Beberapa masjid itu di antaranya adalah Masjid Nurul Iman Blok M Square, Masjid Al Azhar Pusat Kebayoran Baru, dan Masjid Istiqlal.

Dalam rekaman CCTV diketahui seorang pria mengganti stiker kode batang (barcode) QRIS di kotak amal masjid dengan barcode palsu. Barcode palsu tersebut kemudian ditempel dan diberi nama yang mirip dengan barcode aslinya sehingga jemaah terkecoh.

Namun, Kaspersky lebih lanjut menjelaskan, kerusakan Kode QR tidak terbatas dilakukan hacker, kelompok yang menyaru sebagai aktivis sosial juga mulai menggunakan substitusi Kode QR untuk menyebarkan narasi kepentingan mereka.

Di Australia, misalnya, seorang pria baru-baru ini ditangkap karena diduga merusak Kode QR pada tanda check-in di pusat Covid-19 sehingga mereka mengarahkan pengunjung ke situs anti-vaksinasi.

“Sekali lagi, kemungkinannya secara praktis tidak terbatas. Kode QR adalah hal umum,” ucap Kaspersky.<!--more-->

Kaspersky Catat Ada 356 Ribu Serangan di Sektor Keuangan

Berdasarkan statistik terbaru Kaspersky, sebanyak 356.786 phishing terkait keuangan (finansial) terdeteksi dan telah diblokir terhadap pengguna di Indonesia selama paruh pertama tahun ini. Dari jumlah itu, total 166.857 insiden menargetkan sistem pembayaran.

Pada paruh pertama tahun ini, kata Yeo Siang Tiong, pembatasan sosial di Asia Tenggara telah dibuka kembali, tapi kebiasaan pandemi tampaknya tetap konsisten. Meskipun kebebasan tatap muka telah kembali, tapi masyarakat masih lebih menyukai melakukan aktivitas perbankan, belanja, dan keuangan secara online. “Karena kenyamanannya yang tak tertandingi,” kata Yeo Siang Tiong.

Regulator dan para pelaku industri di kawasan ini, menurut dia, semuanya mendukung untuk Asia Tenggara lebih maju secara digital. Faktanya, negara-negara di sini siap untuk menghubungkan sistem pembayaran Kode QR sebelum tahun berakhir untuk menghilangkan kerepotan pertukaran mata uang.

General Manager untuk Asia Tenggara di Kaspersky Yeo Siang Tiong menuturkan, hal itu merupakan perkembangan yang disambut baik dengan kesempatan keuntungan ekonomi yang besar. Dengan sebagian besar pengguna di sini menyadari ancaman yang menargetkan uang online, sekarang saatnya untuk bertindak segera dan mengamankan perangkat seluler masing-masing.

“Demi menikmati keuntungan dari ekosistem keuangan regional yang lebih terhubung,” ucap Yeo Siang Tiong lewat keterangan tertulis dikutip Selasa, 11 April 2023.

MOH. KHORY ALFARIZI

Pilihan Editor: Ramai QRIS Palsu di Masjid: Ini Definisi, Jenis, hingga Cara Kerja QRIS