Berita
Sebuah video beredar di WhatsApp yang diklaim memperlihatkan modus baru peretas melakukan pencurian data pribadi korbannya, menggunakan Quick Response Code Indonesian Standard (QRIS).
Video itu memperlihatkan dua pria menunjukkan cara kerja penipu yang menggunakan kode QRIS. Mula-mula kode itu bisa dipindai menggunakan ponsel, yang kemudian mengantarkan pengguna padawebsiteyang berisi formulir untuk memasukkan data pribadi berupausername,password, dan PIN, yang dimasukkan melalui formulir tersebut, langsung terkirim dan bisa ditampilkan di laptop pelaku penipuan tersebut.
Tempo menerima permintaan pembaca untuk memeriksa kebenaran narasi tersebut. Benarkah modus penipuan saat ini dapat menggunakan kode batang (barcode) mirip QRIS?
HASIL CEK FAKTA
Verifikasi Video
Video yang beredar diambil dari saluran YouTube Samuel Christ, pada 14 November 2024. Dalam siniar itu, Samuel mewawancarai Mr Bert, YouTuber sekaligus penasihat keamanan digital terkait penggunaan kode batang mirip QRIS untuk penipuan.
Mr Bert mensimulasikan bagaimana penipu membuat QRIS yang mengantarkan pengguna ke website palsu. Website palsu itu bisa meniru desain web bank atau lembaga resmi lainnya. Website palsu tersebut menampilkan formulir agar pengguna bisa memasukkan data pribadi. Namun, setelah formulir itu diisi, justru data pribadi itu akan terkirim kepada si penipu, alih-alih dikirim ke komputer server bank atau lembaga resmi lainnya.
Simulasi itu dilakukan agar masyarakat berhati-hati dalam memberikan data pribadi, baik secara langsung, melalui telepon, SMS, email, WhatsApp atau formulir di website. Praktik penipuan menggunakan formulir website palsu seperti itu juga dilakukan dengan modus lain, misalnya lowongan kerja, yang salah satunya telah diungkap Tempo.
Tempo pernah mempublikasikan artikel mengenai empat cara penipuan menggunakan kode mirip QRIS. Pertama, memasang stiker QRIS palsu seperti yang pernah terjadi di 38 masjid di Jakarta. Pelaku meniban stiker QRIS kotak amal yang sudah ada. Selain itu menempel di tempat baru atau tempat yang sudah ada stiker QRIS di sebelahnya.
Kedua, menukar rekening pada QRIS. Biasanya, pelaku menyasar pedagang yang minim pengetahuan tentang metode penggunaan QRIS. Cara kerja modus ini adalah dengan meminta korban untuk membayar apa yang mereka ingin beli ke nomor rekening yang berbeda.
Ketiga, penipu menggunakan screenshot QRIS yang sudah pernah dilakukan lalu mereka edit. Dalam modus ini, penipu memanfaatkan ketidaktelitian penjual yang sedang fokus dengan para pembeli lainnya. Keempat, adalah quishing. Modus quishing adalah jenis penipuan phising yang menggunakan kode QR untuk menipu pengguna agar mau memberikan informasi pribadi mereka, seperti penggunaan kredensial login atau informasi keuangan.
Dilansir laman Bank Indonesia ( BI ), QRIS adalah (dibaca KRIS) telah dikembangkan oleh industri sistem pembayaran bersama dengan BI, agar proses transaksi dengan QR Code dapat lebih mudah, cepat, dan terjaga keamanannya. Departemen Kebijakan Sistem Pembayaran BI Fitria Irmi Triswati pernah mengatakan bahwa QR di Indonesia dan QRIS saat ini telah berstandar internasional. Dengan demikian, menurutnya masyarakat tidak perlu khawatir menggunakannya karena keamanannya tidak akan terbobol, sebagaimana dilaporkan Tempo.
Saat ini, pencurian data pribadi (phising) menggunakan kode QR disebut sebagai sebagai “quishing”. Dengan berbagai strategi, para penipu berupaya agar korbannya mau memberikan data pribadi, seperti data penggunaan kredensial login atau informasi keuangan.
Dalam hal ini, belum ditemukan terbobolnya keamanan sistem QRIS. Penipuan-penipuan yang terjadi, justru disebabkan cara licik penipu memperdaya korban, dan banyaknya masyarakat yang kurang paham serta kurang waspada terhadap tipu daya pelaku kejahatan.
Menghindari penipuan lewat QRIS palsu
Bank Central Asia ( BCA ) dalam website mereka juga membagikan tips agar aman bertransaksi menggunakan kode QR. Pertama berhati-hati dalam bertransaksi menggunakan kode QR, meliputi memeriksa url atau alamat website yang dibuka menggunakan kode QR, dan memeriksa kembali berbagai aspeknya sebelum menyetujui transaksi tersebut.
Kedua, gunakanlah aplikasi kode QR yang aman, yakni dari sumber resmi Google Playstore dan AppStore. Ketiga, agar selalu mengupdate sistem keamanan ponsel. Keempat, pelaku usaha harus terus memantau kode QR yang dia pasang agar tidak diganti pihak lain secara diam-diam.
Kelima, menggunakan kode QR dinamis. Kode QR ini dianggap lebih aman karena satu kode hanya bisa dipakai sekali dan secara otomatis menyimpan data transaksi yang sedang dilakukan. Hal ini dapat menyulitkan penipu yang sering memanfaatkan ketidaktelitian korbannya.
KESIMPULAN
Verifikasi Tempo menyimpulkan bahwa narasi yang mengatakan penipu telah menggunakan QRIS untuk mencuri data pribadi sehingga QRIS berbahaya dan tidak boleh digunakan adalah klaim yangbenar.
Faktanya, penipu menggunakan QRIS dengan memanfaatkan kelengahan manusia, yakni dengan faktor emosi, ketidaktelitian, dan kelemahan lainnya, untuk mencuri data pribadi korbannya. QRIS bisa digunakan secara aman bila transaksi dilakukan secara hati-hati.
Rujukan
https://s3.eu-west-1.amazonaws.com/check-api-live/capi/1106650007560321
https://www.youtube.com/watch?v=bGAIY-ISKN0
https://www.bi.go.id/QRIS/default.aspx
Publish date : 2024-11-21