Analisis

Peranan QR Code, Ancaman Keamanan di Balik Kemudahan

Jonathan Patrick, CNN Indonesia | Kamis, 29/11/2018 09:56 WIB
Peranan QR Code, Ancaman Keamanan di Balik Kemudahan Ilustrasi. (Istockphoto/manfeiyang)
Jakarta, CNN Indonesia -- "Sini mama transferin pakai QR code di aplikasi mobile banking ya," ujar mama kepada saya.

Tawaran yang diucapkan pada Oktober lalu membuat saya mengernyitkan dahi. Ada dua hal yang membuat saya mengernyit.

Pertama, sosok ibu yang berumur kepala lima sudah paham betul penggunaan teknologi kode QR untuk mengirimkan uang. Padahal saya yang termasuk generasi milenial tak mengetahui sama sekali penggunaan teknologi tersebut.


Kedua, teknologi perbankan memunculkan kekhawatiran dalam diri saya terkait masalah sistem keamanan.
Sedikit penjelasan mengenai transfer uang dengan cara baru ini. Nasabah beberapa bank saat ini sudah bisa menggunakan teknologi Quick Respons Code atau QR Code.

Seperti namanya, nasabah dapat dengan cepat melakukan perpindahan uang dengan pemindai kode tertentu antar ponsel. Teknologi ini sudah banyak digunakan untuk aplikasi dompet digital.

Namun, untuk industri perbankan masih menjadi hal baru. Pakar keamanan siber dari Vaksin.com Alfons Tanujaya membagikan sedikit langkah mengamankan transaksi QR Code dari oknum tak bertanggung jawab.

Alfons mengakui adanya aksi sabotase QR code. Baginya, sang pengirim harus yakin bahwa QR code tersebut adalah milik penerima saldo.
"Jadi intinya QR Code yang kamu kasih itu isinya nomor rekening dan proses otomatis transaksi yang tinggal klik selesai. Jadi harus lebih hati-hati dan teliti sebelum menyetujui," ujar Alfons saat dihubungi CNNIndoneia.com, Selasa (27/11).

Fitur ini pada intinya membuat seseorang tidak perlu repot lagi memasukkan nomor rekening yang menerima transfer saldo. Penerima transfer tinggal menunjukkan QR code signature (khusus) ke pengirim transfer. Kemudian, pengirim transfer memasukkan nominal jumlah transfer dan kemudian pin mobile banking.

Alfons mengatakan celah keamanan yang bisa dimanfaatkan penjahat adalah metode di mana penerima transfer bisa mengirimkan QR Code via aplikasi pesan singkat. Kemudian pengirim tinggal mengambil QR Code yang sudah tersimpan di galeri ponsel untuk melakukan pemindaian.

"Pada prinsipnya kalau pakai QR Code pasti akan lebih nyaman, tetapi lebih tidak aman dibandingkan transfer dengan memasukkan nomor rekening. Kelihatannya sekarang kenyamanan mulai mengalahkan keamanan," kata Alfons.

Sebagai praktisi keamanan siber, Alfons merasa berkewajiban tentang potensi-potensi ancaman keamanan QR Code. Alfons kemudian memberikan gambaran satu skenario kemudahan sekaligus kerentanan QR Code.
"Kalau saya minta kamu transfer ke saya Rp1 juta, saya kasih nomor rekening, nama bank. Kamu harus daftarkan dulu nomor rekening, lalu waktu transfer akan minta OTP One Time Password (bisa token bisa SMS). Jadi ada cross check,"ujar Alfons

"Kalau QR Code, nasabah hanya mendapatkan satu kali konfirmasi apakah benar mau transfer ke nama ini? Tanpa OTP, tanpa daftar rekening / token. Kalau langsung masukkan PIN ya sudah jalan," lanjutnya.

Alfons menyarankan lebih baik pengiriman transfer via QR code ini dengan nominal kecil. Hal ini untuk menghindari kemungkinan-kemungkinan kesalahan dalam proses QR code.

QR Code Dompet Digital

Pembahasan Alfons kemudian beralih ke penggunaan QR code untuk berbelanja di outlet-outlet pusat perbelanjaan. Sebut saja Gopay, Ovo, Tcash dan Dana yang memungkinkan kemudahan pembayaran ini.
Pengguna tidak perlu repot-repot memasukkan PIN ataupun OTP di aplikasi, pengguna tinggal melakukan pemindai QR code yang sudah 'mejeng' di depan outlet. Bagi Alfons, potensi kejahatan lebih besar di pembayaran dompet digital karena QR code yang terpampang itu bisa disabotase dan diganti dengan QR code yang mengandung kode jahat.

"Secara teknis QR Code bisa saja diganti dan dipalsukan, jadi memang harus hati-hati dalam melakukan transaksi dengan QR Code harus dengan pihak terpercaya," kata Alfons.

Jadi ketika seseorang memindai QR code jahat tersebut, maka orang tersebut akan masuk ke situs-situs yang bisa mengeksploitasi data atau mengandung virus.

"Perangkat yang memindai QR code itu akan otomatis mengunjungi situs web yang sudah disiapkan dan biasanya aksi eksploitasi sudah dipersiapkan situs web yang jahat ini," tutur Alfons.

Alfons mengatakan dinding pertahanan pembayaran QR code hanya merupakan PIN di awal membuka aplikasi. Setelah itu tidak ada lapisan keamanan lainnya.

"Kalau ketemu orang gaptek atau ceroboh ya rentan di eksploitasi. Pengamanan satu-satunya hanya PIN. Sekali jebol selesai semuanya," ujar Alfons.

Dihubungi terpisah, pakar keamanan siber Pratama Persadha Communication and Information System Security Research Centre (CissRec) juga mengakui potensi sabotase QR code oleh penjahat.

Pratama mengatakan indra penglihatan manusia tidak bisa membedakan QR code yang asli dan yang palsu. Sehingga baik konsumen maupun penjual juga tidak mengetahui keaslian QR code.
"QR code sulit dibedakan asli atau palsu oleh mata manusia. Sehingga saat ada QR code resmi asli dari merchant lalu diubah dan ditambahkan link virus serta malware yang menyedot rekening, sulit bagi korban maupun merchant sendiri untuk tahu," kata Pratama.

Pratama memberi contoh dari kasus di China pada penghujung 2017 lalu yang merugikan konsumen hingga lebih dari US$13 juta atau sekitar Rp188 miliar yang diakibatkan oleh penipuan QR code.

Pratama mengatakan di China konsumen sedang getol menggunakan QR code untuk metode pembayaran. Kegetolan ini disebabkan oleh dua raksasa teknologi Alibaba dan Tencent fokus menggarap ekosistem cashless di China.

"Alibaba dan Tencent yang fokus dengan Alipay serta WeChat pay. Keduanya bahkan disalahkan sebagai pihak pihak yang bertanggung jawab atas banyaknya pencurian lewat QR code," kata Pratama.

Pratama mengklaim setidaknya ada 23 persen virus dan malware yang tersebar dalam QR code. Tentu hal ini harus diwaspadai semua pihak.

Pratama kemudian mengimbau setiap stakeholder di ekosistem pembayaran digital untuk membangun lapisan-lapisan keamanan untuk menghindari ancaman kejahatan. Selain itu, perbankan harus senantiasa meningkatkan teknologi aplikasi, server, situs hingga sumber daya manusia dalam ekosistem pembayaran digital.

"Jangan sampai aplikasi maupun web yang menyediakan QR code mudah dimasuki oleh peretas yang bisa mengganti QR code menjadi berisi virus maupun malware, sehingga membelokkan transferan ke tujuan lain," kata Pratama. (age/age)