KONTAN.CO.ID - JAKARTA. Kode QR sudah jamak digunakan,
terutama di daerah urban, beberapa waktu belakangan ini. Biasanya, kode QR
digunakan untuk melakukan transaksi secara digital atau menuju situs tertentu
dengan cara yang lebih mudah.
Namun ternyata, kode QR memiliki potensi
ancaman kejahatan siber. Firma riset keamanan siber Kaspersky menemukan
bahwa kode QR bisa dimanfaatkan untuk kejahatan phishing.
Phising adalah sebuah upaya menjebak korban
untuk mencuri informasi pribadi, seperti nomor rekening bank, kata sandi, dan
nomor kartu kredit. Biasanya, aksi phising dilancarkan melalui
berbagai media, seperti e-mail, media sosial, panggilan telepon, dan SMS, atau
teknik rekayasa sosial dengan memanipulasi psikologis korban.
Pelaku kejahatan siber bisa sengaja membuat kode QR berisi
situs phishing. Situs itu dibuat semirip mungkin dengan halaman log-in sebuah
media sosial atau bank online.Tujuannya tidak lain adalah menjebak korban untuk
memasukan kredensial.
Biasanya, salah satu cara untuk memastikan apakah sebuah
situs tersebut phishing atau asli adalah dengan memeriksa alamat situs.
Terkadang, alamat situs dibuat semirip mungkin dengan versi asli dengan
beberapa perbedaan yang minim. Misalnya mengganti huruf dengan angka atau
mengganti domain.
Sayangnya, situs phishing yang tersimpan di kode QR
biasanya menggunakan tautan pendek. Sehingga lebih sulit untuk mengecek apakah
tautan itu asli atau hanya jebakan phishing. Selain situs phishing, kode QR
juga kerap digunakan penjahat siber untuk menyisipkan malware yang bisa mencuri
password atau mengirim pesan berbahaya ke kontak korban.
Kaspersky menemukan beberapa skenario lain kejahatan siber
melalui kode QR, seperti melakukan panggilan keluar, membuat draft e-mail dan
menghimpun penerima dan subyek, mengirim teks, membagi lokasi pengguna, membuat
akun media sosial, atau menambahkan jaringan WiFi dengan kredensial agar
terkoneksi otomatis.
Penipu juga bisa menambahkan info kontak penipu ke buku
kontak korban dengan nama sebuah bank. Tujuannya adalah untuk memanipulasi
korban agar yakin bahwa nomor tersebut adalah nomor resmi bank sehingga korban
lebih mudah dikelabuhi.
Cara penipu menyamarkan kode QR Untuk melancarkan aksinya,
penjahat siber akan membujuk korban agar mau memindai kode QR lebih dulu. Ada
beberapa trik yang biasa digunakan. Misalnya, penipu menempelkan kode QR berisi
tautan buatan mereka di situs web, banner, e-mail, atau selebaran iklan.
Dalam banyak kasus, logo Google Play Store dan App Store ditempatkan
di samping kode QR untuk lebih meyakinkan korban bahwa kode QR tersebut adalah
tautan unduhan aplikasi yang tentunya hanya jebakan semata. Untuk
menghindarinya, ada baiknya mencari langsung aplikasi yang dikehendaki langsung
di toko aplikasi Google Play Store atau App Store.
Cara berikutnya, penipu tak segan-segan menutup atau
mengganti kode QR asli yang biasa ada di poster atau tempat lain dengan kode QR
palsu buatannya. Kaspersky juga menemukan bahwa kode QR tidak melulu digunakan
para penjahat siber. Ada pula oknum yang memanfaatkan kode QR untuk menyebarkan
propaganda berisi narasi kepentingan mereka.
Di Australia misalnya, seorang pria ditangkap karena diduga
"merusak" kode QR pada tanda tangan check-in di pusat Covid-19.
Setelah dipindai, ternyata korban diarahkan ke situs anti-vaksinasi.
Cara menghindari bahaya kode QR palsu
Kaspersky memberikan beberapa tip yang bisa dilakukan untuk
menghindari jebakan kode QR palsu.
Pertama, jangan pindai kode QR dari sumber yang
mencurigakan.
Kedua, perhatikan betul-betul tautan yang
muncul saat memindai kode QR.
Apabila URL berisi tautan pendek, tidak ada salahnya untuk
lebih berhati-hati. Sebab, menurut Kaspersky tidak ada alasan apapun untuk
mempersingkat tautan di kode QR. Sebaiknya cari situs yang dikehendaki melalui
browser agar lebih aman.
Ketiga, lakukan cek fisik lebih dulu untuk kode
QR yang ada di poster, pamflet atau sejenisnya untuk
memastikan bahwa kode QR yang terpasang bukan tempelan. Terakhir, sebisa
mungkin jangan sembarangan untuk menyebarkan kode QR di media sosial karena
umumnya kode berisi informasi sensitif, seperti nomor tiket elektronik.
Sumber : Kontan, 12.05.2021.
Tidak ada komentar:
Posting Komentar