Kemampuan QRIS yang Luas Mudah Dimanipulasi
Kemampuan luas itu membuat kode QRIS siap dan sangat mudah untuk dimanipulasi. Perusahaan keamanan siber yang berkantor pusat di Rusia itu mencontohkan penipu online dapat menambahkan info kontak mereka ke buku alamat korbannya dengan nama ‘Bank’ untuk memberikan kredibilitas pada panggilan yang mencoba mengelabui. “Atau hubungi nomor tol. Atau cari tahu di mana Anda berada,” tutur Kaspersky.
Cara Hacker Lakukan Phishing Kode QR
Kaspersky mengungkap bagaimana pelaku kejahatan siber atau hacker memanfaatkan Kode QR. Agar bisa melancarkan aksinya, hacker harus membujuk calon korban untuk memindai Kode QR terlebih dahulu.
“Untuk melakukan itu, mereka memiliki beberapa trik,” ujar Kaspersky.
Pertama, Kaspersky menjelaskan, hacker dapat menempatkan Kode QR dengan tautan ke kreasi mereka di situs web, di banner, di email, atau bahkan di iklan di sebuah kertas. Intinya adalah membuat korban mengunduh aplikasi berbahaya.
“Dalam banyak kasus, logo Google Play dan App Store ditempatkan di samping kode untuk menambah kredibilitas,” ucap dia.
Kedua, adalah bukan hal yang aneh bagi hacker untuk menunggangi reputasi pihak yang sah dengan cara mengganti Kode QR asli pada poster atau tanda dengan yang palsu. Salah satunya seperti Quick Response Indonesian Standard atau QRIS palsu yang ditemukan di sejumlah masjid belakangan ini.
Sebelumnya, ramai pemberitaan soal pemalsuan QRIS dilakukan di kotak amal sejumlah masjid di Jakarta. Beberapa masjid itu di antaranya adalah Masjid Nurul Iman Blok M Square, Masjid Al Azhar Pusat Kebayoran Baru, dan Masjid Istiqlal.
Dalam rekaman CCTV diketahui seorang pria mengganti stiker kode batang (barcode) QRIS di kotak amal masjid dengan barcode palsu. Barcode palsu tersebut kemudian ditempel dan diberi nama yang mirip dengan barcode aslinya sehingga jemaah terkecoh.
Namun, Kaspersky lebih lanjut menjelaskan, kerusakan Kode QR tidak terbatas dilakukan hacker, kelompok yang menyaru sebagai aktivis sosial juga mulai menggunakan substitusi Kode QR untuk menyebarkan narasi kepentingan mereka.
Di Australia, misalnya, seorang pria baru-baru ini ditangkap karena diduga merusak Kode QR pada tanda check-in di pusat Covid-19 sehingga mereka mengarahkan pengunjung ke situs anti-vaksinasi.
“Sekali lagi, kemungkinannya secara praktis tidak terbatas. Kode QR adalah hal umum,” ucap Kaspersky.