Di era digital ini, ancaman kejahatan digital terus berkembang. Salah satu modus penipuan terbaru yang mulai marak adalah quishing, sebuah bentuk penipuan phising dengan memanfaatkan kode “QR". Padahal, kode QR sendiri merupakan inovasi yang memiliki banyak manfaat. Namun, masih saja ada celah bagi para pelaku kejahatan untuk melakukan aksi tidak terpujinya.
Jika Anda ingin mencegah dari modus penipuan Quishing, ketahui cara kerja dan cara menghindari metode penipuan tersebut dalam artikel BFI Finance kali ini.
1. Apa Itu Quishing?
1.1 Definisi Quishing
Quishing adalah singkatan dari "QR code phising", yaitu metode penipuan yang menggunakan kode QR untuk mengarahkan korban ke situs berbahaya atau mencuri informasi pribadi korban. Penipu memanfaatkan kepercayaan pengguna terhadap teknologi kode QR, yang sering digunakan untuk pembayaran digital, akses cepat ke informasi, dan berbagai layanan digital lainnya.
1.2 Cara Kerja Quishing
1.2.1 Penyusupan Kode QR
Penipu membuat kode QR yang terlihat asli dan menyebarkannya di tempat-tempat strategis, seperti poster, email, media sosial, atau situs web. Kode ini bisa ditempel di atas kode QR yang asli atau didistribusikan sebagai bagian dari kampanye palsu. Mereka bisa mencetak kode QR dan menempelkannya di tempat umum seperti papan pengumuman, terminal pembayaran, atau bahkan di dalam toko fisik. Selain itu, kode QR yang berpotensi Quishing juga bisa disebarkan melalui email atau media sosial dengan berpura-pura sebagai aktivitas promosi dari perusahaan.
1.2.2 Redirect ke Situs Bahaya
Ketika pengguna memindai kode QR yang telah disusupi, mereka akan diarahkan ke situs berbahaya yang dirancang untuk menyerupai situs resmi. Situs ini biasanya meminta pengguna untuk memasukkan informasi pribadi atau login ke akun mereka. Situs berbahaya ini sering kali memiliki desain yang sangat mirip dengan situs asli untuk mengelabui pengguna agar percaya bahwa mereka berada di tempat yang aman. Dalam beberapa kasus, pengguna mungkin diarahkan ke halaman yang meminta mereka mengunduh perangkat lunak yang berbahaya.
1.2.3 Perolehan Informasi Pribadi
Situs palsu ini mengumpulkan informasi pribadi yang dimasukkan oleh pengguna, seperti nomor kartu kredit, kata sandi, atau detail akun bank. Informasi ini kemudian digunakan oleh penipu untuk melakukan pencurian identitas. Informasi yang terkumpul bisa digunakan untuk melakukan transaksi ilegal, membuka akun baru atas nama korban, atau menjual data pribadi di pasar gelap. Penipu sering kali menggunakan informasi ini untuk membuat lebih banyak transaksi yang mengatasnamakan akun korban.
1.2.4 Penipuan Pengguna
Setelah mendapatkan informasi pribadi, penipu dapat menggunakannya untuk mengakses akun korban, melakukan transaksi ilegal, atau menjual data tersebut di pasar gelap. Korban sering kali tidak menyadari bahwa mereka telah tertipu. Dampak dari penipuan ini beragam, mulai dari kehilangan uang dalam jumlah besar hingga harus menghadapi masalah hukum karena identitas mereka telah digunakan untuk aktivitas ilegal. Selain itu, korban mungkin menghadapi kesulitan dalam memulihkan akses ke akun-akun yang telah diretas.
1.2.5 Potensi Bahaya
Quishing bisa berakibat sangat merugikan. Selain kehilangan finansial, korban juga bisa mengalami pencurian identitas, di mana informasi pribadi mereka digunakan untuk kegiatan ilegal lainnya. Dalam jangka panjang, ini bisa merusak reputasi dan menyebabkan stres emosional. Korban pencurian identitas mungkin harus berurusan dengan pihak berwenang untuk membuktikan bahwa mereka tidak terlibat dalam aktivitas ilegal yang dilakukan atas nama mereka. Selain itu, pemulihan dari serangan quishing bisa memakan waktu dan biaya yang tidak sedikit, termasuk untuk memantau dan memperbaiki skor kredit yang buruk.
1.3 Apakah Quishing Dapat Terjadi pada Pembayaran QRIS?
Ya, quishing juga dapat terjadi pada sistem pembayaran QRIS (Quick Response Code Indonesian Standard). QRIS yang banyak digunakan untuk transaksi digital di Indonesia bisa menjadi target utama penipu. Mereka dapat membuat kode QR palsu yang mengarahkan pengguna ke halaman pembayaran palsu, sehingga informasi perbankan atau e-wallet pengguna bisa dicuri.
Baca Juga: Phising Adalah, Definisi, Jenis, dan Sanksi Hukumnya
2. Ciri-Ciri Praktik Quishing
Mengetahui ciri-ciri praktik penipuan quishing sangat penting untuk melindungi diri dari serangan siber ini. Berikut adalah beberapa tanda yang perlu diwaspadai:
2.1 Promo dari Kode QR Tidak Dikenal
Penipuan quishing sering kali menawarkan promo atau diskon besar yang terlalu bagus untuk menjadi kenyataan melalui kode QR yang tidak dikenal. Promosi ini bisa berupa potongan harga yang sangat signifikan atau hadiah gratis yang menarik perhatian. Jika promosi tampak terlalu menarik, itu bisa jadi sebuah penipuan. Pengguna harus selalu berhati-hati dan skeptis terhadap tawaran yang terlalu menggiurkan.
2.2 Menjanjikan Keuntungan Besar dan Menarik
Janji keuntungan besar atau hadiah langsung setelah memindai kode QR adalah salah satu taktik umum yang digunakan oleh penipu. Misalnya, kode QR bisa menjanjikan hadiah uang tunai, perangkat elektronik gratis, atau produk eksklusif. Mereka berusaha menarik perhatian korban dengan iming-iming yang menggiurkan dan membuat korban tergoda untuk segera memindai kode tersebut. Namun, pengguna harus selalu ingat bahwa jika sesuatu terlihat berlebihan dan mencurigakan, itu kemungkinan besar adalah penipuan.
2.3 Pemaksaan Scan Kode QR
Teknik quishing juga sering kali melibatkan pemaksaan untuk memindai kode QR, misalnya dengan mengatakan bahwa promosi terbatas waktu atau hanya tersedia untuk beberapa orang pertama. Taktik ini digunakan untuk mendorong tindakan cepat tanpa pertimbangan. Penipu mungkin menciptakan rasa urgensi dengan mengatakan bahwa kesempatan ini hanya tersedia dalam waktu singkat, membuat korban merasa harus segera bertindak tanpa memikirkan konsekuensinya.
2.4 Menggunakan Alamat Email Gratis
Penipu sering menggunakan alamat email gratis yang tidak terverifikasi untuk mengirim kode QR. Alamat email ini mungkin terlihat tidak profesional atau mencurigakan jika diperhatikan dengan seksama. Misalnya, alamat email dari domain umum seperti “@gmail.com” atau “@yahoo.com” bisa menjadi tanda peringatan. Pengguna harus berhati-hati terhadap email yang datang dari sumber yang tidak dikenal atau yang tampak tidak sah.
2.5 Terdapat Typo atau Kesalahan Penulisan pada Alamat Web
Situs palsu yang digunakan dalam quishing sering kali memiliki typo atau kesalahan penulisan pada alamat web mereka. Kesalahan kecil ini adalah tanda bahaya yang perlu diwaspadai. Penipu mungkin mengganti huruf atau menambahkan karakter yang hampir tidak terlihat oleh pengguna yang tidak waspada. Memeriksa alamat web dengan cermat bisa membantu mengidentifikasi penipuan sebelum terlalu terlambat.
2.6 Tidak Menggunakan Domain Resmi
Penipu mungkin menggunakan domain yang mirip dengan situs resmi tetapi dengan sedikit perbedaan, seperti menggunakan “.net” atau “.info” alih-alih “.com”. Domain ini sering kali tampak sah ketika pertama kali pengguna melihatnya, tetapi sebenarnya situs tersebut merupakan tiruan. Pengguna harus waspada terhadap domain yang tidak resmi dan selalu memeriksa URL dengan hati-hati sebelum memasukkan informasi pribadi atau keuangan.
2.7 Website Tanpa Sertifikat Keamanan SSL
Situs yang sah harus memiliki sertifikat keamanan SSL, yang ditandai dengan ikon gembok di sebelah alamat web dan URL yang dimulai dengan "https". Situs tanpa SSL adalah tanda bahaya yang jelas karena tidak menawarkan koneksi yang aman dan terenkripsi. Pengguna harus selalu memastikan bahwa situs yang mereka kunjungi memiliki sertifikat SSL untuk melindungi data mereka dari penipuan.
2.8 Meminta Pengunjung untuk Mengisi Informasi Pribadi
Jika situs yang dikunjungi setelah memindai kode QR meminta informasi pribadi yang sensitif tanpa alasan jelas, ini adalah tanda kuat dari quishing. Misalnya, situs tersebut mungkin meminta nomor kartu kredit, nomor identifikasi pribadi, atau informasi login. Pengguna harus selalu skeptis terhadap permintaan semacam ini dan memastikan bahwa situs tersebut benar-benar sah sebelum memberikan informasi pribadi apa pun.
Image Source: Freepik
3. Cara Mendeteksi Serangan Quishing
Mendeteksi serangan quishing memerlukan kewaspadaan dan langkah-langkah deteksi yang cermat. Berikut adalah beberapa metode untuk mendeteksi serangan quishing:
3.1 Deteksi Kode QR
Pengguna harus selalu memeriksa kode QR sebelum memindainya. Jika kode QR tampak ditempel atau ditempatkan di atas kode lain, ini bisa menjadi tanda penipuan. Periksa apakah ada tanda-tanda manipulasi fisik, seperti label yang tampak baru atau berbeda dari kode QR lainnya di sekitar. Selain itu, gunakan alat pemindai kode QR yang baik yang bisa memberikan pratinjau URL tujuan sebelum mengarahkan pengguna ke situs tersebut. Alat pemindai yang andal biasanya memiliki fitur keamanan tambahan yang bisa mendeteksi URL yang mencurigakan atau berbahaya.
3.2 Analisis Teks
Memeriksa teks atau pesan yang menyertai kode QR juga penting. Jika teks tersebut penuh dengan janji-janji yang tidak realistis atau terlalu banyak kesalahan penulisan, ini adalah tanda yang harus diwaspadai. Penipu sering menggunakan pesan yang menjanjikan hadiah besar, diskon besar, atau keuntungan lainnya untuk menarik perhatian korban. Teks yang terlalu mendesak atau memberikan ultimatum waktu yang sangat pendek juga bisa menjadi tanda peringatan. Pengguna harus selalu skeptis terhadap klaim yang terkesan berlebihan.
3.3 Kesalahan Penulisan
Kesalahan penulisan dalam alamat web atau deskripsi promosi adalah tanda umum dari quishing. Pengguna harus selalu memperhatikan detail kecil ini sebelum mempercayai kode QR. Situs yang sah biasanya memiliki URL yang profesional dan bebas dari kesalahan penulisan.
Perhatikan baik-baik jika ada huruf yang diubah, seperti menggunakan "0" sebagai pengganti "O" atau "1" sebagai pengganti "l". Selain itu, pastikan URL menggunakan protokol keamanan yang benar seperti "https://" yang menandakan koneksi aman. Kesalahan kecil dalam teks promosi atau instruksi juga bisa menjadi indikasi bahwa sumber tersebut tidak dapat dipercaya.
4. Cara Menghindari Quishing
Berikut adalah beberapa langkah yang dapat diambil untuk menghindari quishing:
4.1 Cek Kembali Informasi Transaksi
Selalu periksa informasi transaksi sebelum menyelesaikan pembayaran melalui kode QR. Pastikan bahwa rincian transaksi, seperti jumlah uang dan penerima, benar dan sesuai dengan harapan. Jangan terburu-buru dalam memindai dan memproses transaksi; luangkan waktu untuk memverifikasi setiap detail.
4.2 Verifikasi Kode QR
Verifikasi kode QR dengan sumber aslinya. Misalnya, jika kode QR berasal dari poster di tempat umum, cek ke sumber resmi atau tanya kepada staf terkait. Jangan pernah memindai kode QR yang mencurigakan atau tidak dikenal. Pastikan kode QR tersebut berasal dari sumber yang terpercaya dan memiliki reputasi baik.
4.3 Rutin Update Aplikasi Keuangan Perbankan
Selalu perbarui aplikasi keuangan perbankan Anda ke versi terbaru. Pembaruan ini sering kali mencakup peningkatan keamanan yang dapat membantu melindungi pengguna dari serangan quishing. Aplikasi yang diperbarui juga biasanya memiliki fitur keamanan tambahan yang dapat mendeteksi dan mencegah kode QR berbahaya.
4.4 Hindari Memberikan Informasi Pribadi
Jangan pernah memberikan informasi pribadi atau keuangan melalui situs yang diakses melalui kode QR tanpa memverifikasi keasliannya terlebih dahulu. Jika ragu, lebih baik hindari memasukkan data sensitif. Pastikan situs tersebut memiliki protokol keamanan seperti HTTPS dan sertifikat SSL.
4.5 Gunakan Koneksi Internet yang Aman
Pastikan untuk menggunakan koneksi internet yang aman saat memindai kode QR dan melakukan transaksi. Hindari menggunakan jaringan Wi-Fi publik yang tidak aman, yang bisa memudahkan penipu untuk mengintersepsi data. Gunakan koneksi internet pribadi yang dilindungi dengan kata sandi kuat, atau gunakan jaringan VPN untuk keamanan tambahan.
4.6 Laporkan Website atau Aplikasi Quishing
Jika menemukan kode QR yang mencurigakan atau menjadi korban penipuan, segera laporkan ke pihak berwenang atau penyedia layanan terkait. Laporan ini dapat membantu mencegah orang lain menjadi korban penipuan yang sama. Selain itu, laporkan kepada penyedia layanan perbankan atau platform pembayaran agar mereka dapat mengambil tindakan pencegahan lebih lanjut.
4.7 Gunakan Aplikasi Antivirus atau Antimalware
Langkah pencegahan terhadap praktik quishing dapat dilakukan dengan memasang aplikasi antivirus di perangkat seluler Anda. Aplikasi antivirus atau antimalware dapat mendeteksi dan memblokir virus dan malware yang tertanam pada kode QR atau website phising. Kerugian dari terinfeksinya virus atau malware ini adalah tentunya terpaparnya data pribadi dan keuangan oleh pihak yang tidak bertanggungjawab.
Sobat BFI, dengan memahami cara kerja quishing, mengenali ciri-ciri penipuan, dan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat melindungi diri dari ancaman ini. Selalu waspada dan skeptis terhadap kode QR yang tidak dikenal, dan pastikan untuk memverifikasi sumbernya sebelum mengambil tindakan.
Jika Anda memiliki kebutuhan terdesak dan membutuhkan dana yang cepat cair, BFI Finance dapat menjadi solusi Anda. BFI Finance adalah perusahaan pembiayaan yang melayani pinjaman dengan jaminan BPKB mobil, BPKB motor, dan sertifikat rumah atau ruko untuk keperluan Anda. Dengan tenor yang panjang, BFI Finance menawarkan pencairan dengan bunga yang kompetitif. Ajukan pinjaman Anda sekarang di BFI Finance!