Credit image: Pixabay
Kode QR adalah kotak sederhana ini sudah ada sejak tahun 1994, tetapi baru pada era COVID-19 nama mereka menjadi semakin tenar dan ramai digunakan. Saat ini, Anda dapat menemukannya di mana-mana, kode yang digunakan untuk semuanya, mulai dari menampilkan menu restoran hingga memfasilitasi transaksi nirsentuh.
Sama seperti teknologi populer lainnya, meluasnya penggunaan kode QR juga menarik perhatian scammers yang telah mengkooptasinya untuk tujuan jahat. Tren ini bahkan telah memicu peringatan dari Biro Investigasi Federal Amerika Serikat (FBI). Dalam artikel ini, kita akan melihat bagaimana penipu menggunakan kode untuk keuntungan dan apa yang harus diwaspadai saat memindai kode QR.
|
Baca juga: Begini Cara Peretas Mencuri Data Perusahaan |
Kode QR dan cara kerjanya
Singkatan dari ‘Quick Response’, kode QR adalah jenis kode batang yang dapat dipindai mesin, dirancang untuk dibaca dan ditafsirkan secara instan oleh perangkat digital. Kode QR dapat menyimpan hingga 4.296 karakter alfanumerik, meskipun yang umum digunakan cenderung berisi lebih sedikit karakter sehingga memungkinkan penguraian kode dengan mudah oleh kamera ponsel cerdas.
String teks yang dikodekan dalam kode QR mungkin berisi berbagai data. Tindakan yang diminta dengan membaca kode QR bergantung pada aplikasi yang berinteraksi dengan kode tersebut. Kode dapat digunakan untuk membuka situs web, mengunduh file, menambahkan kontak, menyambung ke jaringan Wi-Fi, dan bahkan melakukan pembayaran, di antara banyak tindakan lainnya. Kode QR sangat fleksibel dan dapat disesuaikan untuk menyertakan logo. Versi dinamis kode QR bahkan memungkinkan Anda untuk mengubah konten atau tindakan kapan saja. Namun, keserbagunaan ini yang kemudian menjadi pedang bermata dua.
Bagaimana kode QR dapat dieksploitasi
Banyaknya kasus penggunaan kode QR dan potensi penyalahgunaannya. Inilah cara penjahat dapat mengeksploitasi kode untuk mencuri data dan uang:
1. Mengarahkan ke situs web jahat untuk mencuri informasi sensitif
Serangan phising tidak hanya menyebar melalui email, pesan instan, atau teks. Sama seperti peretas dapat menggunakan iklan berbahaya dan teknik lain untuk mengarahkan korban ke situs penipuan, mereka juga dapat melakukan hal yang sama dengan kode QR.
Hal ini terutama menjadi perhatian jika kode tersebut dipasang di iklan di daerah sibuk atau dekat bank atau lembaga keuangan lainnya. Dalam satu kasus baru-baru ini yang dilaporkan secara luas, scammers menempatkan stiker kode QR palsu di meteran parkir umum di beberapa kota di Texas, mengarahkan orang ke situs pembayaran palsu.
|
Baca juga: Berselancar Bahu Trik Pencurian Data Klasik Peretas |
2. Unduh file berbahaya di perangkat
Banyak bar dan restoran menggunakan kode QR untuk mengunduh menu format PDF atau memasang aplikasi yang memungkinkan pelanggan melakukan pemesanan. Hacker dapat dengan mudah mengutak-atik kode QR untuk mengelabui pengguna agar mengunduh file PDF berbahaya atau aplikasi seluler jahat.
3. Memicu tindakan di perangkat
Kode QR dapat memicu tindakan langsung di perangkat Anda, dengan tindakan ini tergantung pada aplikasi yang membacanya (hati-hati dengan aplikasi pemindaian kode batang palsu). Namun, ada beberapa tindakan dasar yang dapat ditafsirkan oleh setiap pembaca QR dasar, seperti menghubungkan perangkat ke jaringan Wi-Fi, mengirim email atau pesan SMS dengan teks yang telah ditentukan, atau menyimpan informasi kontak di perangkat. Meskipun tindakan ini sendiri tidak berbahaya, tindakan tersebut dapat digunakan untuk menghubungkan perangkat ke jaringan yang disusupi atau mengirim pesan atas nama korban.
4. Alihkan pembayaran atau buat permintaan uang
Sebagian besar aplikasi keuangan saat ini memungkinkan melakukan pembayaran melalui kode QR yang berisi data milik penerima uang. Banyak toko menampilkan kode ini kepada pelanggan mereka sehingga memudahkan transaksi.
Namun, peretas dapat memodifikasi QR ini dengan data mereka sendiri dan menerima pembayaran ke akun mereka. Itu juga bisa menghasilkan kode dengan permintaan pengumpulan uang untuk menipu pembeli, seperti yang terjadi pada pengguna yang melaporkan bahwa mereka ditipu oleh kode QR pembayaran palsu.
|
Baca juga: Pencurian Data Basis Serangan SIM Swap |
5. Mencuri identitas pengguna atau akses ke aplikasi
Banyak kode QR digunakan sebagai sertifikat untuk memverifikasi informasi seseorang, seperti ID atau izin vaksin mereka. Dalam kasus ini, kode QR mungkin berisi informasi yang sama sensitifnya dengan informasi yang terkandung dalam ID atau catatan medis mereka, yang dapat dengan mudah diperoleh peretas dengan memindai kode QR.
Yang pasti, banyak aplikasi, seperti WhatsApp, Telegram, atau Discord, terkadang menggunakan kode QR untuk mengautentikasi sesi pengguna sehingga memungkinkan pengguna mengakses akun mereka. Seperti yang telah terjadi dengan WhatsApp, dengan serangan seperti QRLjacking, pelaku dapat mengelabui pengguna dengan meniru identitas layanan dan menipu pengguna agar memindai QR yang disediakan oleh pelaku.
Dalam sebagian besar skenario, pelaku perlu membuat kode QR berbahaya yang akan menggantikan kode asli. Dengan kata lain, serangan tersebut melibatkan rekayasa sosial dan mengandalkan pembodohan korban untuk mengambil tindakan naas.
Inilah yang harus dipertimbangkan sebelum memindai kode QR, berikut kiat untuk tetap aman saat menggunakan kode QR:
- Sebelum memindai kode QR, pastikan kode tersebut tidak diubah, misalnya verifikasi bahwa itu tidak menutupi kode QR lain.
- Menahan diri dari memindai kode QR atau kode yang ditemukan secara acak dalam pesan yang tidak diminta.
- Berhati-hatilah dengan kode seperti saat menangani tautan atau lampiran di email atau aplikasi perpesanan.
- Berhati-hatilah saat menggunakan kode QR untuk membayar tagihan atau melakukan transaksi keuangan jenis lain. Pertimbangkan untuk menggunakan opsi pembayaran lain.
- Nonaktifkan opsi untuk melakukan tindakan otomatis saat memindai kode QR, seperti mengunjungi situs web, mengunduh file, atau menyambung ke jaringan Wi-Fi.
- Setelah memindai, lihat URL untuk memastikan bahwa itu sah. Meski begitu, mungkin lebih baik untuk menghindari memasukkan login atau informasi pribadi di situs yang Anda kunjungi melalui kode QR. Jika ada yang tidak beres, buka browser dan ketik sendiri URL-nya.
- Jangan membagikan kode QR yang berisi informasi sensitif, seperti yang digunakan untuk mengakses aplikasi atau yang disertakan dalam dokumen dan sertifikat kesehatan.
- Saat membuat kode QR, gunakan layanan yang memiliki reputasi baik. Layanan semacam itu juga dapat memverifikasi bahwa QR itu asli dan melakukan tindakan yang diinginkan.
- Selalu perbarui aplikasi dan gunakan perangkat lunak keamanan.
|
Baca lainnya: |
