Cara Menghindari Email Penipuan Berbentuk QR Code dari Hacker

Liputan6.com, Jakarta - Email penipuan menggunakan kode QR atau QR code saat ini menjadi salah satu cara hacker, atau pelaku kejahatan siber meneretas akun korbannya.

Modus email berbentuk QR Code ini pertama kali diungkap oleh tim keamanan siber, Kaspersky. Lewat laporannya, korban ditipu lewat email berasal dari perusahaan besar.

Tak tanggung-tanggung, hacker menggunakan nama perusahaan besar seperti Microsoft atau layanan cloud Office 365 untuk menipu korban.

Dalam aksinya, pelaku sengaja mengirim email QR Code berpura-pura dari Microsoft atau perusahaan lainnya berisi ajakan mencurigakan.

Dalam email tersebut, penjahat siber meminta pengguna untuk memindai kode QR di email bila tidak ingin password korban kadaluwarsa.

Pelaku juga mengancam, jika kode QR tidak dipindai maka pengguna akan kehilangan akses ke email-nya, sebagaimana tertulis di siaran pers, Selasa (9/1/2024).

Email palsu lainnya mungkin memperingatkan penerima bahwa “sesi pengautentikasi telah berakhir hari ini”.

Untuk menghindari hal ini, pengguna diminta "segera pindai Kode QR di bawah ini dengan smartphone Anda untuk mengautentikasi ulang keamanan kata sandi Anda" atau akses ke kotak surat bisa hilang.

Kaspersky pun mengingatkan dan memberikan tips agar tidak menjadi korban penipuan email bermodus memindai kode QR.

Pengguna Harus Lakukan Ini Saat Terima Email QR Code

Roman Dedenok, pakar keamanan di Kaspersky, mengingatkan pengguna tidak ada sistem autentikasi sah dan menyarankan pemindaian kode QR sebagai satu-satunya pilihan.

"Oleh karena itu, jika Anda menerima email meminta untuk, mengatakan, mengkonfirmasi sesuatu, atau masuk ke akun, atau mengatur ulang kata sandi, atau melakukan tindakan serupa, dan email ini hanya berisi kode QR, Anda mungkin berurusan dengan penipuan," kata Dedenok.

"Anda dapat mengabaikan dan menghapus email tersebut dengan aman," imbuhnya.

Apabila perlu memindai kode QR tidak dikenal, Kaspersky juga merekomendasikan penggunaan solusi keamanan, dapat memeriksa isi QR, lalu memperingatkan pengguna apabila ada sesuatu mencurigakan di dalam kode QR palsu.

2 dari 4 halaman

Kaspersky Ingatkan Pengguna Untuk Berhati-hati

Ilustrasi kode QR dalam email (Kaspersky)

Kaspersky juga mengingatkan pengguna agar lebih waspada terhadap email yang diberikan cap "terverifikasi", dan tetap harus diperlakukan dengan hati-hati.

Menurut perusahaan, pengirim email-email dengan modus di atas, ingin mencoba mengelabui pengguna yang tidak waspada.

Mereka juga mungkin memperkirakan bahwa penerima sudah familiar dengan aplikasi autentikator, yang biasanya menggunakan kode QR.

Dalam temuannya, Kaspersky melaporkan memindai kode QR di email phishing, akan membawa pengguna ke laman login akun Microsoft palsu, dengan tampilan yang meyakinkan.

Menurut mereka, menariknya adalah beberapa tautan phishing dalam kode QR mengarah ke sumber daya IPFS (Inter Planetary File System), sebuah protokol komunikasi, untuk berbagi file yang memiliki banyak kesamaan dengan torrent.

Ini memungkinkan Anda mempublikasikan file apa pun di internet tanpa registrasi domain, hosting, atau komplikasi lainnya.

Dengan kata lain, halaman phishing terletak langsung di komputer pelaku phishing dan dapat diakses melalui tautan melalui gateway IPFS khusus.

Pelaku menggunakan protokol IPFS karena lebih mudah dipublikasikan dan lebih sulit menghapus halaman phishing, dibandingkan memblokir situs web berbahaya “biasa”. Jadi, tautannya akan bertahan lebih lama.

3 dari 4 halaman

Waspada Aplikasi Berbahaya dari QR Code Palsu

Ilustrasi Email (tsl.texas.gov)

Sebelumnya, Kaspersky mengingatkan pengguna kode QR untuk kebutuhan sehari-hari, untuk waspada terhadap QR code yang disalahgunakan.

Seperti kita tahu, saat ini QR Code sudah banyak digunakan untuk kebutuhan sehari-hari mulai dari mengisi survei, mengunjungi situs web, hingga melakukan transaksi.

Melakukan pemindaian QR code semacam ini pun jauh lebih mudah ketimbang harus mengetikkan URL yang sangat panjang.

Namun, menurut Kaspersky, ada kerentanan yang signifikan. Dibandingkan dengan tautan reguler, jebakan penjahat siber dapat ditemukan dengan mudah.

Di tautan biasa, tanda bahayanya sudah diketahui seperti kesalahan ketik atau karakter tambahan di alamat situs, pengalihan terselubung, zona domain aneh, dan sebagainya.

Namun untuk kode QR, mengutip siaran pers Kaspersky, Rabu (6/9/2023), tidak ada yang bisa menebak ke mana itu akan membawa pengguna.

4 dari 4 halaman

Tips Biar Tak Tertipu Email QR Code

<p>Ilustrasi Email. (Photo by Justin Morgan on Unsplash)</p>

Maka dari itu Kaspersky pun memberikan beberapa rekomendasi agar pengguna tidak menjadi korban dari penipuan kode QR palsu:

Teliti alamat situs

Periksa dengan cermat alamat situs yang tertaut di dalam kode QR, dan cari tanda bahaya yang umum.

Pastikan konten di situs sesuai

Pastikan konten yang diharapkan dan aktual sesuai. Misalnya, jika kode tersebut seharusnya mengarah ke survei, secara logis harus ada semacam formulir dengan pilihan jawaban. Jika tidak, segera tutup situs tersebut.

Namun meski halaman tersebut tidak menimbulkan kecurigaan, Anda tetap harus berhati-hati, halaman tersebut mungkin palsu namun sangat mirip dengan aslinya.

Jangan asal unduh aplikasi

Jangan mengunduh aplikasi melalui kode QR. Aplikasi yang bonafide biasanya dapat ditemukan di Google Play, App Store, atau platform resmi lain. Aplikasi dari sumber pihak ketiga tidak boleh dipasang dalam hal apa pun.