Beberapa tahun lalu, orang masih waspada terhadap link mencurigakan yang dikirim lewat email atau pesan singkat atau yang biasa kita kenal dengan “Phishing”. Namun sekarang, ancamannya makin halus dan kreatif, bukan lagi sekadar link yang diklik, tapi gambar kecil berbentuk kotak yang tampak polos dan seringkali kita pakai: QR code. Fenomena Phishing dengan menggunakan QRCode ini disebut quishing, singkatan dari QR phishing. Teknik serangan ini memanfaatkan kebiasaan kita yang sudah terbiasa memindai kode QR di mana saja: membayar di supermarket, mall, restoran, bahkan warteg pun sekarang sudah banyak yang menerima pembayaran melalui QRCode (QRIS) selain pembayaran, QR juga dipakai untuk melakukan scan pada menu, info di acara kampus, hingga undangan digital. Tanpa sadar, kebiasaan yang terlihat aman ini justru jadi celah baru bagi pelaku kejahatan siber.

Bagaimana Quishing Bekerja?

Secara sederhana, quishing adalah serangan phishing yang dikemas dalam bentuk QR code. Saat kamu memindai kode tersebut, hasilnya bisa bermacam-macam, seperti diarahkan ke situs palsu, mengunduh aplikasi berbahaya, atau mencuri data login dari halaman tiruan, Karena kode QR tidak menampilkan isi link secara langsung, korban tidak bisa tahu apakah URL tersebut berbahaya atau tidak sebelum benar-benar membukanya. Di sinilah letak bahayanya. Bahkan yang lebih jahatnya, QRIS untuk pembayaran di toko tertentu diganti oleh orang lain, sehingga Ketika kamu memabayar, kamu tidak membayar ke rekening toko tersebut, melainkan ke rekening penjahatnya.

Situasi di dunia nyata yang dapat terjadi adalah seperti ini, kamu datang ke sebuah kafe untuk WFC (Work From Café), melihat QR code untuk “free Wi-Fi”. Kamu scan, diarahkan ke halaman login yang mirip portal resmi penyedia internet. Kamu masukkan email dan password, lalu koneksi gagal. Kamu pikir hanya error biasa. Padahal, data login-mu sudah dicuri dan dikirim ke server penyerang.

Figure 1: QRCode Scan (Source: id.kaspersky.com)

Ada beberapa alasan kenapa quishing efektif menjadi salah satu metode penyerangan:

  1. Kepercayaan visual: Orang lebih mudah percaya pada QR code karena terlihat profesional dan tidak bisa “dibaca” oleh mata manusia.
  2. Kebiasaan cepat: Pengguna ponsel terbiasa scan tanpa berpikir panjang. Tidak ada klik konfirmasi, tidak ada preview.
  3. Sulit dilacak: QR code bisa ditempel di mana saja: stiker, spanduk, brosur, meja restoran, bahkan di atas QR resmi yang sudah ada.

Dalam banyak kasus, pelaku tidak perlu kemampuan teknis tinggi. Cukup buat halaman phishing sederhana dan ubah URL-nya jadi QR code. Sisanya tinggal memancing rasa penasaran pengguna dengan digabungkan dengan informasi-informasi yang sedang hangat. Misalkan terkait dengan kasus politik yang sedang terjadi, lalu ada tulisan “Scan QR Code berikut untuk informasi lebih lanjut”

Di beberapa negara, termasuk Indonesia, kasus quishing mulai meningkat. Salah satu contohnya terjadi di area parkir publik. Pelaku menempelkan QR code palsu bertuliskan “Scan untuk bayar parkir”. Begitu discan, pengguna diarahkan ke halaman pembayaran tiruan yang meminta detail kartu debit atau e-wallet. Korban baru sadar setelah saldo mereka berkurang. Karena QR code bisa dibuat siapa saja dan ditempel di mana saja, pelaku bisa beroperasi tanpa meninggalkan banyak jejak fisik.

Cara Melindungi Diri dari Quishing

Untuk menghindari jadi korban, ada beberapa langkah sederhana tapi efektif:

  1. Jangan asal scan. Pastikan sumber QR code jelas dan berasal dari pihak resmi. Jika QR code ditempel di tempat publik, cek apakah ada tanda-tanda tempelan baru atau stiker di atas QR lama.
  2. Gunakan aplikasi pemindai yang menampilkan URL terlebih dahulu. Beberapa aplikasi kamera modern bisa menampilkan link sebelum membuka situs. Jangan langsung klik perhatikan domain-nya. ( gabungan huruf r dan n terlihat mirip seperti m, jadi harus ekstra teliti dalam melihat link )
  3. Aktifkan proteksi keamanan di browser dan perangkat. Browser modern biasanya punya fitur peringatan jika situs dicurigai sebagai phishing.
  4. Biasakan verifikasi manual. Kalau kamu dapat QR dari email, spanduk, atau pesan broadcast, lebih baik cari link resmi lewat search engine seperti google
  5. Edukasi orang sekitar. Banyak korban bukan karena tidak tahu teknologi, tapi karena terlalu percaya. Semakin banyak orang yang sadar, semakin kecil peluang penipu berhasil.

Kita hidup di era di mana batas antara dunia digital dan fisik semakin tipis. QR code awalnya diciptakan untuk mempermudah hidup, tapi sama seperti teknologi lainnya, ia juga bisa dimanfaatkan dengan cara yang salah. Menjadi aware bukan berarti menjadi paranoid. Justru dengan kesadaran sederhana seperti memeriksa link sebelum klik, kita sudah melindungi diri dari banyak potensi serangan. Bukan artinya kita jadi sama sekali tidak mau menggunakan QRCode sebagai metode yang bisa membantu kita. Menjadi aware justru berarti kita semakin paham dan bisa memanfaatkan perkembangan teknologi dengan baik, dan membuat kita menjadi susah untuk menjadi korban.

Jadi, lain kali kamu menemukan QR code di tempat umum, jangan langsung scan. Ingat: bukan semua kotak hitam putih itu hadiah, bisa jadi itu perangkap.

Penulis:

Yohan “DeepSnow” Muliono, S.Kom., M.TI., CND, CEHmaster, eMAPT, CAP, EHE, DFE, CBP, CTIA, C-ML/AI-PEN

Referensi:

  1. https://www.cloudflare.com/learning/security/what-is-quishing/
  2. https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/what-is-quishing-qr-phishing/