Image credit: Freepix
Penipuan QR Code Surat Tilang – Metode penipuan melalui pesan singkat atau smishing kini memasuki babak baru yang lebih visual dan sulit dideteksi oleh sistem keamanan otomatis.
Para penjahat siber mulai menyebarkan pesan teks palsu berupa “Notice of Default” atau pemberitahuan pelanggaran lalu lintas yang mencatut nama aparat penegak hukum.
Tidak lagi hanya menggunakan tautan teks biasa, kampanye terbaru ini menggunakan gambar pemberitahuan resmi yang di dalamnya tertanam kode QR (sebuah teknik yang dikenal sebagai Quishing).
Strategi ini dirancang untuk menciptakan kepanikan pada penerima pesan dengan klaim bahwa kendaraan mereka terlibat dalam pelanggaran lalu lintas yang telah memasuki tahap penegakan formal.
Dengan tekanan waktu dan ancaman denda atau kewajiban hadir di pengadilan, korban digiring untuk memindai kode QR yang pada akhirnya berujung pada pencurian data pribadi dan finansial secara masif.
Evolusi dari Penipuan Tagihan Tol 2025
Ancaman ini merupakan variasi baru dari kampanye penipuan tagihan tol dan tiket parkir yang sempat marak pada tahun 2025.
Jika tahun lalu penipu menyamar sebagai agen penagihan tol, kini mereka meningkatkan level ancaman dengan berpura-pura menjadi institusi peradilan.
Perubahan taktik dari tautan teks sederhana menjadi gambar dengan kode QR tersemat menandakan upaya serius penyerang untuk melewati filter keamanan pada perangkat ponsel yang biasanya mampu memblokir URL mencurigakan dalam badan pesan.
|
Baca juga: Penyusup di Balik Centang Resmi |
Penggunaan Gambar dan Kode QR
Penyerang mengirimkan pesan teks yang berisi gambar surat pemberitahuan pengadilan yang terlihat sangat meyakinkan.
Di dalam gambar tersebut, tertulis peringatan mendesak bahwa penerima memiliki tunggakan pelanggaran lalu lintas yang harus segera diselesaikan.
Rantai serangan teknis yang terjadi meliputi:
- Korban menerima instruksi untuk memindai kode QR guna menyelesaikan sisa saldo yang tidak dibayar agar tidak perlu hadir di persidangan.
- Setelah memindai kode QR, korban tidak langsung diarahkan ke halaman pembayaran, melainkan ke situs perantara yang meminta penyelesaian captcha. Penggunaan captcha ini bertujuan untuk membuktikan bahwa pengunjung adalah manusia, sekaligus menghalangi perangkat lunak keamanan otomatis dan peneliti keamanan dalam menganalisis kampanye phishing tersebut.
- Setelah lolos captcha, korban diarahkan ke situs phishing yang meniru Departemen Kendaraan Bermotor (DMV) atau agensi negara bagian lainnya.
- Di situs palsu tersebut, saldo tunggakan yang ditampilkan biasanya berjumlah kecil, yakni sekitar $6,99. Nominal yang rendah ini digunakan untuk membuat korban merasa tidak keberatan membayar demi “menyelesaikan masalah” dengan cepat.
Risiko Pencurian Identitas dan Penipuan Finansial
Meskipun nominal yang diminta sangat kecil, tujuan utama penyerang bukanlah uang tersebut, melainkan data sensitif yang dimasukkan korban pada formulir pembayaran.
Data yang dikumpulkan melalui formulir palsu ini mencakup:
- Nama lengkap dan alamat rumah.
- Nomor telepon dan alamat email.
- Informasi kartu kredit lengkap (nomor kartu, tanggal kedaluwarsa, dan kode CVV).
Data-data ini memiliki nilai tinggi di pasar gelap digital. Penyerang dapat menggunakannya untuk berbagai aktivitas ilegal, mulai dari:
- Serangan phising lanjutan yang lebih personal.
- Penipuan finansial dengan menguras limit kartu kredit.
- Hingga pencurian identitas secara menyeluruh.
Selain itu, basis data ini sering kali dijual kembali ke aktor ancaman lain untuk kampanye kejahatan siber yang berbeda.
|
Baca juga: Musang Berbulu Ayam Ransomware Crazy |
Strategi Perlindungan dan Rekomendasi
Keberhasilan teknik quishing ini sangat bergantung pada faktor psikologis manusia yang terdesak oleh ancaman hukum. Oleh karena itu, langkah perlindungan utama adalah kewaspadaan terhadap saluran komunikasi resmi.
Langkah-langkah mitigasi yang disarankan
- Abaikan SMS Penagihan: Sebagai aturan umum, jika Anda menerima pesan teks dari nomor yang tidak dikenal yang meminta pembayaran tagihan atau denda, abaikan saja.
- Verifikasi di Saluran Resmi: Agensi pemerintah secara resmi telah menyatakan bahwa mereka tidak menggunakan pesan teks untuk meminta informasi pribadi atau informasi pembayaran. Jika Anda merasa memiliki tunggakan, kunjungi situs web resmi instansi terkait secara manual melalui peramban atau hubungi nomor telepon layanan pelanggan resmi mereka.
- Waspada Terhadap Kode QR: Jangan pernah memindai kode QR dari sumber yang tidak tepercaya, terutama jika kode tersebut dikirimkan melalui pesan singkat yang mendesak.
- Periksa Nama Host (URL): Perhatikan dengan teliti alamat situs web yang muncul. Penipu sering menggunakan nama domain yang mirip namun salah, seperti menggunakan .gov-skd[.]org alih-alih .gov yang asli.
Kewaspadaan Terhadap Manipulasi Visual
Penipuan tilang berbasis kode QR ini membuktikan bahwa penjahat siber terus berinovasi untuk mencari celah di antara kecanggihan teknologi keamanan dan perilaku manusia.
Dengan menyembunyikan ancaman di dalam gambar dan situs perantara ber-captcha, mereka berhasil meningkatkan tingkat keberhasilan serangan phishing.
Di era digital saat ini, insting untuk memverifikasi kebenaran informasi sebelum melakukan tindakan adalah perlindungan terbaik yang bisa dimiliki oleh setiap pengguna ponsel pintar.
Sumber berita:
