Pengantar
QR Code sudah menjadi bagian penting dari kehidupan digital kita — dari pembayaran e-wallet, login aplikasi, hingga akses menu restoran. Praktis, cepat, dan tanpa kontak. Namun, seiring meningkatnya penggunaan QR Code, muncul pula teknik serangan baru yang memanfaatkan kode ini sebagai vektor untuk mencuri data atau saldo digital penggunanya. Salah satu yang belakangan ramai dibicarakan adalah “Quising” — singkatan dari QR Code Phishing.
Quising adalah bentuk serangan phishing yang dilakukan dengan memanipulasi atau mengganti QR Code asli dengan versi berbahaya. Korban yang tidak curiga memindai QR Code itu dapat diarahkan ke situs palsu yang mencuri informasi login atau memicu transaksi yang merugikan, seperti pengiriman saldo e-wallet ke akun penyerang.
Apa Itu Quising dan Bagaimana Cara Kerjanya?
Definisi Quising
Quising adalah teknik serangan cyber di mana penyerang memodifikasi QR Code sehingga ketika dipindai membawa pengguna ke situs palsu atau menjalankan aksi berbahaya seperti redirect ke halaman login palsu atau langsung mengeksekusi transaksi yang tidak diinginkan.
Dalam banyak kasus, pengguna tidak menyadari bahwa QR Code yang mereka scan telah dipalsukan, terutama jika tampilan fisik atau digital QR Code tersebut tampak mirip atau terletak di posisi strategis.
Skema Serangan Dasar Quising
-
Penyerang membuat QR Code palsu yang mengarahkan ke situs phishing atau tautan berbahaya.
-
QR Code palsu ini dipasang di tempat publik, seperti poster, brosur, atau bahkan menggantikan QR Code asli di menu restoran atau undangan digital.
-
Korban memindai QR Code menggunakan kamera atau aplikasi e-wallet.
-
Halaman web palsu muncul, meminta login atau izin akses, atau langsung memproses permintaan pembayaran.
-
Saldo e-wallet atau data pengguna bocor tanpa peringatan sebelumnya.
Contoh Quising dalam Pembayaran Digital
A. QR Code Palsu di Fasilitas Umum
Beberapa peneliti keamanan menjelaskan bahwa QR Code palsu sering ditempel di dekat kode pembayaran yang sah di fasilitas umum, seperti kafe atau tempat parkir. Korban memindainya karena mengira itu adalah kode resmi, dan akhirnya diarahkan ke tautan palsu yang meminta input kredensial e-wallet mereka.
B. SMS atau Pesan Elektronik dengan QR Code
Penyerang juga dapat mengirimkan QR Code melalui SMS, email, atau pesan aplikasi yang tampak berasal dari institusi sah seperti bank atau layanan pembayaran. Ketika dipindai, korban diarahkan ke domain yang sangat mirip dengan situs asli, namun sebenarnya adalah perangkap phishing.
Mengapa QR Code Rentan Disalahgunakan?
1. Tidak Ada Visualisasi Tautan Sebelum Dipindai
QR Code biasanya hanya terlihat sebagai gambar kotak hitam putih. Tidak ada cara visual bagi pengguna untuk mengetahui tautan apa yang akan dibuka sebelum melakukan pemindaian. Hal ini membuat korban lebih gampang tertipu.
2. Kurangnya Edukasi Keamanan Pengguna
Hingga saat ini, banyak pengguna yang belum memahami bahwa QR Code dapat menjadi vektor serangan. Mereka lebih fokus pada manfaat praktisnya daripada mempertimbangkan risiko siber.
3. QR Code Berubah Bentuk Mudah
QR Code yang ditampilkan secara digital (misalnya di aplikasi atau poster online) dapat dengan mudah disalin dan diganti dengan versi berbahaya jika tidak dijaga dengan baik.
Dampak Quising bagi Pengguna E-Wallet dan Aplikasi Digital
A. Kehilangan Saldo atau Dana
Jika QR Code palsu memproses permintaan pembayaran atau transfer, saldo pengguna dapat berkurang tanpa sepengetahuan mereka.
B. Kebocoran Informasi Login dan Data Pribadi
Beberapa halaman phishing akan meminta kredensial login atau data pribadi lain, yang kemudian dapat disalahgunakan untuk mengakses akun dan layanan lain.
C. Kerusakan Kepercayaan Digital
Ketika korban menjadi target quising, kepercayaan terhadap layanan digital (khususnya e-wallet atau aplikasi keuangan) bisa menurun, yang berdampak pada adopsi teknologi dalam jangka panjang.
Cara Mencegah dan Mengurangi Risiko Quising
1. Verifikasi URL Setelah Dipindai
Selalu periksa alamat website atau tautan yang muncul setelah memindai QR Code. Pastikan domain benar dan menggunakan protokol aman (https).
2. Jangan Masukkan Kredensial di Situs yang Mencurigakan
Jika situs meminta login setelah scan QR, pastikan itu adalah situs resmi layanan yang Anda pakai. Jika ragu, buka aplikasi atau situs resmi secara manual.
3. Gunakan Aplikasi dengan Keamanan Tambahan
Beberapa aplikasi e-wallet atau keamanan memiliki fitur deteksi tautan berbahaya atau proteksi built-in yang dapat memblokir domain mencurigakan.
4. Edukasi Diri dan Tim Kerja
Terutama bagi pengguna yang bekerja dengan banyak transaksi digital atau QR Code (misalnya UMKM, restoran, event), penting untuk memahami risiko quising dan mempertahankan saluran resmi untuk semua QR Code publik.
Kesimpulan
QR Code bisa menjadi alat yang sangat efektif dan nyaman untuk transaksi. Namun, seperti teknologi lain, jika tidak digunakan dengan kesadaran keamanan yang tinggi, ia dapat dimanfaatkan oleh peretas untuk menipu dan mencuri saldo e-wallet atau data Anda melalui teknik seperti quising.
Kesadaran terhadap risiko, verifikasi tautan sebelum memasukkan data, dan penggunaan aplikasi dengan fitur keamanan dapat membantu mengurangi risiko yang tumbuh seiring meningkatnya adopsi QR Code dalam transaksi digital.
1 Comment
Hacker vs AI: Bagaimana Peretas Menggunakan AI untuk Membuat Malware yang Tidak Bisa Terdeteksi Antivirus - buletinsiber.com
1 month ago[…] baca juga : QR Code Menipu: Kenali ‘Quising’, Modus Baru Peretas Mencuri Saldo E-Wallet Tanpa Anda Sadari […]