Seberapa sering Anda memindai QR code tanpa berpikir panjang? Bagaimana jika tindakan sederhana tersebut justru membuka peluang bagi ancaman siber yang semakin menjamur di dunia digital?
QR code – singkatan dari quick response codes –kini semakin populer dan telah menjadi elemen penting di era digital. Awalnya, QR code digunakan untuk kebutuhan pelacakan industri karena kemudahan penggunaannya dalam berbagi informasi. Namun, kini QR code lebih dikenal sebagai metode pembayaran digital menggunakan smartphone. Dengan QR code, transaksi dapat dilakukan lebih cepat.
Terdapat dua tipe QR code, yaitu dynamic QR code dan static QR code. Dynamic QR code dapat diperbarui secara berkala namun rentan terhadap kejahatan siber. Di sisi lain, static QR code bersifat tetap dan stabil, namun juga bisa menjadi target kejahatan siber.
Ketika kita menjelajahi dunia QR code, penting untuk memahami dinamika dan potensi risikonya, sekaligus mengungkap sisi gelap dari popularitasnya yang semakin meluas. Anda dapat menemukannya dalam artikel ini.
Apa itu QR code phishing attack?
Quishing, yang juga dikenal dengan sebutan QR code phishing attack, merupakan tipe serangan siber di mana pelakunya menggunakan kode QR untuk menipu korban agar memberikan informasi pribadi atau mengunduh konten berbahaya. Mereka membuat kode QR yang terlihat realistik, menggunakan teknik social engineering, dan mengeksploitasi celah di aplikasi aplikasi QR code reader.
Quishing vs. serangan phishing biasa
Serangan phishing melibatkan penipuan untuk memaksa seseorang mengungkapkan informasi pribadinya seperti username, password, atau data keuangan. Pelaku berpura-pura menjadi entitas tepercaya dan melakukan serangan melalui saluran komunikasi yang kelihatannya resmi, seperti email atau pesan instan. Tujuan utamanya tentu saja untuk memperoleh akses ilegal atau melakukan pencurian.
Berbeda dengan phishing biasa, quishing adalah serangan menggunakan kode QR yang memungkinkan distribusi lebih mudah melalui berbagai saluran seperti materi cetak atau email. Tak hanya itu, quishing juga memanfaatkan kemampuan kode QR yang dapat menyatu dengan konteks sehari-hari.
Metode ini memberikan cara cepat yang tersamarkan untuk mengarahkan korban ke situs palsu, di mana korban tanpa sadar memberikan informasi pribadi mereka. Pelaku quishing memanfaatkan kepercayaan orang terhadap kode QR dan kenyamanan orang yang sudah terbiasa menggunakannya. Karena kode QR sering dianggap tepercaya, korban mungkin lupa memeriksa URL yang mengarah ke situs penipuan.
Tahapan proses dari serangan quishing
1. Pembuatan kode QR palsu
Pelaku membuat kode QR yang terlihat resmi. Kode QR ini akan mengarahkan korban ke situs penipuan atau mengunduh file berbahaya.
2. Teknik social engineering
Pelaku phishing sering kali menggunakan pesan persuasif untuk memanipulasi korban agar mau memindai kode QR mereka. Pesan ini biasanya berisi tawaran hadiah, diskon, atau peringatan mendesak yang menciptakan rasa urgensi atau ketertarikan.
3. Saluran distribusi QR code
QR code palsu biasanya disebarkan melalui berbagai saluran komunikasi, termasuk email phishing, iklan palsu, poster, atau flyer. Penggunaan saluran yang beragam ini menargetkan pelaku di ruang online maupun offline tanpa disadari.
4. Teknik kamuflase
Kode QR palsu sering dibuat semirip mungkin dengan kode QR resmi menggunakan teknik kamuflase. Teknik ini melibatkan peniruan branding, logo, dan elemen design untuk menipu korban yang tidak bisa membedakan QR code resmi dan palsu.
5. Mengarahkan ke website penipuan
Setelah QR code dipindai, korban akan diarahkan ke website penipuan yang menyerupai halaman resmi. Di situs ini, korban biasanya diminta untuk memasukkan informasi pribadi seperti username, password, atau data keuangan.
6. Mengunduh file jahat
Dalam beberapa kasus, memindai kode QR berbahaya juga dapat memicu unduhan malware ke perangkat korban. Hal ini tidak hanya mengancam keamanan perangkat, tetapi juga dapat menyebabkan serangan siber yang lebih kompleks.
7. Pengambilan data dan pencurian identitas
Pelaku phishing mengambil informasi yang dimasukkan oleh korban pada situs palsu. Dampaknya bisa berupa pencurian identitas, kerugian finansial, hingga akses tanpa izin ke akun pribadi korban.
Contoh nyata serangan QR code phishing attack
Pada Februari 2022 di Atlanta, banyak pengemudi menemukan kertas tilang di mobil mereka. Kertas tilang tersebut mencantumkan QR code yang dapat digunakan untuk membayar denda tilang. Namun, setelah diselidiki, pihak berwenang segera memperingatkan masyarakat bahwa kertas tilang yang asli sebenarnya tidak pernah menggunakan QR code.
Di tahun yang sama, QR code phishing attack terjadi di Tiongkok, di mana pelaku menyamar sebagai bagian dari Kementerian Keuangan. Pelaku yang menyamar menginstruksikan korban untuk mendaftar program bantuan pemerintah. Korban diminta memindai kode QR yang terlampir dalam email menggunakan aplikasi WeChat. Setelah dipindai, korban diarahkan ke website palsu, di mana mereka memasukkan informasi kartu kredit dan akun banknya, dengan keyakinan palsu bahwa mereka akan menerima bantuan yang sebenarnya tidak pernah ada.
Cara melindungi diri dari scam dengan QR code
-
Pastikan sistem operasi dan fitur keamanan hp Anda selalu update dengan versi terbaru.
-
Gunakan MFA sebagai lapisan keamanan tambahan untuk melindungi informasi pribadi Anda.
-
Berhati-hati ketika menemukan QR code di email, sebab bisa jadi itu adalah phishing.
- Filter web menggunakan software keamanan terpercaya untuk memblokir website berbahaya dan potensi ancaman.
-
Tetap mengikuti perkembangan jenis ancaman yang berhubungan dengan QR code melalui sumber-sumber threat intelligence tepercaya.
