Waspada Aplikasi Berbahaya dari QR Code Palsu, Ini Cara Menghindarinya

Liputan6.com, Jakarta - Perusahaan keamanan siber Kaspersky mengingatkan pengguna kode QR untuk kebutuhan sehari-hari, untuk waspada terhadap QR code yang disalahgunakan.

Seperti kita tahu, saat ini QR Code sudah banyak digunakan untuk kebutuhan sehari-hari mulai dari mengisi survei, mengunjungi situs web, hingga melakukan transaksi.

Nonton Konser Ed Sheeran, Pria Berkaus Kode QR yang Mengarah ke Profil Aplikasi Kencan Jadi Viral
Turis Malaysia Lewati Imigrasi Singapura via Jalur Darat Hanya Pindai Kode QR Mulai 19 Maret 2024
Kemenkeu: KAP Tak Terbitkan LAI Tanpa Kode QR Kena Sanksi

Melakukan pemindaian QR code semacam ini pun jauh lebih mudah ketimbang harus mengetikkan URL yang sangat panjang.

Namun, menurut Kaspersky, ada kerentanan yang signifikan. Dibandingkan dengan tautan reguler, jebakan penjahat siber dapat ditemukan dengan mudah.

Di tautan biasa, tanda bahayanya sudah diketahui seperti kesalahan ketik atau karakter tambahan di alamat situs, pengalihan terselubung, zona domain aneh, dan sebagainya.

Namun untuk kode QR, mengutip siaran pers Kaspersky, Rabu (6/9/2023), tidak ada yang bisa menebak ke mana itu akan membawa pengguna.

Kaspersky mencontohkan, seorang warga Singapura berusia 60 tahun yang memindai stiker QR code di kaca pintu kedai kopi untuk mendapatkan bubble tea gratis, harus terkena serangan siber.

Stiker ini ternyata sudah dieksploitasi. Kode penipuan ini berisi tautan untuk mengunduh aplikasi berbahaya Android pihak ketiga, yang menurutnya dipakai untuk mengikuti survei.

Namun, aplikasi ini ternyata berbahaya. Program itu meminta akses ke kamera dan mikrofon untuk mengaktifkan layanan aksesibilitas Android.

Layanan Android bawaan ini memungkinkan penjahat siber melihat dan mengontrol layar korban, menonaktifkan pengenalan wajah dan sidik jari, memaksa korban mengetikkan kata sandi aplikasi perbankan secara manual, jika diperlukan.

Para penjahat siber hanya perlu menunggu korban masuk, mencegat kredensialnya, kemudian menggunakannya untuk mentransfer seluruh uang ke rekening mereka.

Beredar sebuah video yang memperlihatkan aksi seorang pria yang nekat mengganti tempelan Qris kotak amal sebuah masjid di kawasan Pancoran, Jakarta Selatan.

2 dari 4 halaman

Tips Biar Tak Tertipu QR Code Palsu

BI Luncurkan QR Code Indonesia — Karyawan BI melakukan transaksi menggunakan QR Code Indonesian Standard (QRIS) di kantor BI, Jakarta, Sabtu (17/8/2019). QRIS merupakan transformasi digital pada Sistem Pembayaran Indonesia sangat membantu percepatan pengembangan ekonomi dan keuangan digital di Indonesia. (Liputan6.com/HO/Rizal)

Maka dari itu Kaspersky pun memberikan beberapa rekomendasi agar pengguna tidak menjadi korban dari penipuan kode QR palsu:

Teliti alamat situs

Periksa dengan cermat alamat situs yang tertaut di dalam kode QR, dan cari tanda bahaya yang umum.

Pastikan konten di situs sesuai

Pastikan konten yang diharapkan dan aktual sesuai. Misalnya, jika kode tersebut seharusnya mengarah ke survei, secara logis harus ada semacam formulir dengan pilihan jawaban. Jika tidak, segera tutup situs tersebut.

Namun meski halaman tersebut tidak menimbulkan kecurigaan, Anda tetap harus berhati-hati, halaman tersebut mungkin palsu namun sangat mirip dengan aslinya.

Jangan asal unduh aplikasi

Jangan mengunduh aplikasi melalui kode QR. Aplikasi yang bonafide biasanya dapat ditemukan di Google Play, App Store, atau platform resmi lain. Aplikasi dari sumber pihak ketiga tidak boleh dipasang dalam hal apa pun.

Lindungi perangkat

Lindungi perangkat Anda dengan solusi keamanan yang andal. Pemindai QR internal memungkinkan Anda memeriksa tautan yang terkubur di labirin kotak.

3 dari 4 halaman

Cara Pelaku Kejahatan Siber Memanfaatkan QR Code

Tarif QRIS — Dengan QRIS, pelanggan dapat membayar langsung menggunakan dompet digital yang terhubung dengan kode QR yang dihasilkan oleh pedagang atau penyedia jasa. (Liputan6.com/Johan Tallo)

Sebelumnya, Kaspersky mencatat ada cukup banyak potensi celah keamanan yang memanfaatkan kode QR. Menurut mereka, sistemnya pun mudah dieksploitasi dengan beberapa cara.

Berikut ini beberapa cara pelaku kejahatan siber dalam memanfaatkan QR Code, untuk aksi kejahatan:

Tautan Palsu

QR Code yang dibuat pelaku kejahatan siber mungkin mengarah ke situs phishing yang terlihat seperti halaman login jaringan sosial atau bank online.

Oleh karena itu, pakar Kaspersky menyarankan untuk selalu memeriksa tautan sebelum mengklik. Para penyerang sering menggunakan tautan pendek sehingga lebih sulit menemukan yang palsu ketika smartphone meminta konfirmasi.

Skema ini bisa mengelabui pengguna agar melakukan kesalahan dalam download aplikasi, misalnya dengan mengunduh malware, alih-alih gim atau aplikasi. Di titik itu, malware dapat mencuri kata sandi, mengirim pesan berbahaya, dan lain-lain.

4 dari 4 halaman

Menipu Pengguna

Perintah Berkode QR

Selain menautkan ke situs web, QR Code bisa berisi perintah untuk melakukan tindakan tertentu, seperti menambahkan kontak, membuat panggilan, mengirim pesan, membagikan lokasi, dan lain-lain.

Kemampuan ini membuat kode QR sangat mudah untuk dimanipulasi. Misalnya penipu online bisa menambahkan informasi kontak mereka ke buku alamat pengguna dengan nama "Bank" untuk mengelabui pengguna.

Tipu Pengguna

Agar pelaku kejahatan siber bisa melancarkan aksi menggunakan kode QR, mereka perlu membujuk pengguna untuk memindainya terlebih dahulu. Ada beberapa trik pelaku kejahatan siber.

Pertama, pelaku kejahatan menempatkan kode QR dengan tautan ke kreasi mereka di situs web, banner, email, hingga iklan. Dalam banyak kasus, logo Google Play dan App Store ditempatkan di samping kode untuk menambah kredibilitas.

Kedua, pelaku kejahatan siber menunggangi reputasi pihak yang sah, mengganti kode QR asli pada poster, dengan yang palsu.