Viral Penipuan QRIS Kotak Amal Masjid, Pakar Ungkap Cara Tangkalnya

Aksi penipuan dengan modus menempel kode QR atau QRIS yang belakangan marak mendompleng kotak amal di beberapa masjid di Jakarta rupanya punya keunggulan. Simak cara menghindari menjadi korbannya.

Wakil Ketua Bidang Penyelenggara Peribadatan Masjid Istiqlal Jakarta Abu Hurairah mengatakan pihaknya menemukan sekitar 50 stiker QRIS palsu sejak tiga hari sebelumnya.

"Ada petugas kita yang curiga. Kok ada tulisan restorasi masjid. Ada sekitar 50," kata dia, Senin (10/4).

Kepala Satuan Reserse Kriminal Polres Metro Jakarta Selatan Kompol Irwandhy mengungkap pelaku sejauh ini baru satu orang. Lokasinya di masjid di daerah Kebayoran Lama, Pancoran, Pondok Indah, dan Kalibata.

Kasus ini pun viral di media sosial. Akun Instagram @kabarbintaro pun mengungkap video penipuan dengan modus pemasangan stiker barcode QRIS di Masjid Raya Bintaro Jaya bertuliskan 'RESTORASI MESJID'.

Kemampuan mengelabui

Perusahaan keamanan siber Kaspersky mengungkap penggunaan QR Code sebagai modus penipuan punya keunggulan khusus. Yakni, pengguna sulit memeriksa atau tak bisa tahu apa yang dimuat kode itu.

"Manusia tidak bisa begitu saja membaca kode QR atau memeriksa proses pemindaiannya, maka, pengguna hanya dapat mengandalkan integritas penciptanya," menurut keterangan resminya.

"Sistemnya sangat mudah untuk dieksploitasi," lanjut Kaspersky.

Salah satu yang mungkin dilakukan oleh penipu bermodus Kode QR adalah mengarahkan korban ke situs phishing atau pembobol data pribadi. Bantuknya, mengarahkan ke situs halaman login medsos atau bank.

"Itulah mengapa pakar keamanan di Kaspersky menyarankan untuk selalu memeriksa tautan sebelum mengetuk atau mengeklik. Kode QR, bagaimanapun, tidak memberikan aksesibilitas seperti itu," ujar Kaspersky.

Yang membuat modus ini lebih sulit dilacak adalah penyerang sering menggunakan tautan (link) pendek, "sehingga lebih sulit untuk menemukan yang palsu saat ponsel cerdas meminta konfirmasi."

Jika skenarionya lancar, penipu bisa membuat korban yang mengklik QR Code malah mengunduh malware atau program jahat.

"Pada titik itu, malware dapat mencuri kata sandi, mengirim pesan berbahaya ke kontak Anda, dan masih banyak lagi."

Kemungkinan lain

Selain menggiring korban ke situs web tertentu, modus Kode QR juga memiliki banyak potensi kejahatan siber lain. Berikut rinciannya:

• Menambahkan kontak.
• Melakukan panggilan keluar.
• Membuat draf email dan mengumpulkan baris penerima dan subjek.
• Mengirim teks.
• Membagikan lokasi Anda dengan aplikasi.
• Membuat akun media sosial.
• Menjadwalkan acara kalender.
• Menambahkan jaringan Wi-Fi pilihan dengan kredensial untuk koneksi otomatis.

"Kemampuan luas itu membuat kode QR siap dan sangat mudah untuk dimanipulasi," kata Kaspersky.

"Misalnya, penipu online dapat menambahkan info kontak mereka ke buku alamat Anda dengan nama 'Bank' untuk memberikan kredibilitas pada panggilan yang mencoba mengelabui Anda. Atau hubungi nomor tol dengan uang Anda. Atau cari tahu di mana Anda berada."

Modus

Untuk melancarkan aksinya, penipu yang menggunakan kode QR pertama-tama membujuk calon korban untuk memindainya terlebih dahulu. Apa saja triknya?

Kaspersky menyebut pelaku dapat menempatkan kode QR di banner, email, atau iklan di sebuah kertas.

"Intinya adalah membuat korban mengunduh aplikasi berbahaya. Dalam banyak kasus, logo Google Play dan App Store ditempatkan di samping kode untuk menambah kredibilitas."

Modus lainnya adalah dengan mengganti yang asli, seperti halnya kasus di masjid-masjid itu.

Di Australia, misalnya, seorang pria baru-baru ini ditangkap karena diduga merusak kode QR pada tanda check-in di pusat Covid-19 sehingga mereka mengarahkan pengunjung ke situs anti-vaksinasi.

Antisipasi

Untuk mencegah jadi korban modus QR Code, berikut beberapa cara sederhana yang bisa dilakukan:

• Jangan memindai kode QR dari sumber yang jelas mencurigakan.
• Perhatikan tautan yang ditampilkan saat memindai kode. Berhati-hatilah jika URL telah dipersingkat, karena dengan kode QR, tidak ada alasan kuat untuk mempersingkat tautan apa pun. Gunakan mesin telusur atau toko resmi untuk menemukan yang Anda cari.
• Lakukan pemeriksaan fisik cepat sebelum memindai kode QR pada poster atau tanda untuk memastikan kode tidak ditempelkan di atas gambar asli.
• Gunakan program khusus, seperti Kaspersky's QR Scanner, yang bisa memeriksa kode QR untuk konten berbahaya.
• Sebaiknya tak mem-posting dokumen dengan kode QR di media sosial karena itu berarti menyebar informasi berharga seperti nomor tiket elektronik.