Menyesatkan, Video Modus Pencurian Data dengan QRIS

Sebuah video beredar di WhatsApp yang diklaim memperlihatkan modus baru peretas melakukan pencurian data pribadi korbannya, menggunakan Quick Response Code Indonesian Standard (QRIS).

Video itu memperlihatkan dua pria menunjukkan cara kerja penipu yang menggunakan kode QRIS. Mula-mula kode itu bisa dipindai menggunakan ponsel, yang kemudian mengantarkan pengguna pada website yang berisi formulir untuk memasukkan data pribadi berupa username, password, dan PIN, yang dimasukkan melalui formulir tersebut, langsung terkirim dan bisa ditampilkan di laptop pelaku penipuan tersebut.

Tempo menerima permintaan pembaca untuk memeriksa kebenaran narasi tersebut. Benarkah modus penipuan saat ini dapat menggunakan kode batang (barcode) mirip QRIS?

PEMERIKSAAN FAKTA

Verifikasi Video

Video yang beredar diambil dari saluran YouTube Samuel Christ, pada 14 November 2024. Dalam siniar itu, Samuel mewawancarai seorang YouTuber, Mr Bert, yang menyatakan bahwa QRIS bisa digunakan untuk menipu.

Mr Bert mensimulasikan bagaimana penipu membuat QRIS dapat mengantarkan pengguna ke website palsu. Website palsu itu bisa meniru desain website bank atau lembaga resmi lainnya, lalu menampilkan formulir agar pengguna memasukkan data pribadi seperti username dan PIN. Setelah formulir itu diisi, data pribadi milik korban dapat terbaca oleh penipu tersebut, bukan ke komputer server bank atau lembaga resmi lainnya.

Untuk memverifikasi penjelasan dalam video itu, Tempo memindai kode Quick Response (QR) yang ditunjukkan Mr. Bert dalam kertas menggunakan Google Lens. Pemindaian itu membawa Tempo masuk ke situs verifikasidata.com, situs yang tampilannya meniru laman Bank Rakyat Indonesia. Dalam situs itu, pengguna harus masuk (login) dengan memasukkan tiga data pribadi yakni username, password, dan PIN.

Hal ini berbeda dengan sistem QRIS. Seseorang yang akan melakukan transaksi dengan QRIS, harus memindai kode dari aplikasi pembayaran yang memiliki fitur QRIS misalnya dari bank atau aplikasi lain seperti Go-Pay, bukan dari Google Lens di kamera. Setelah dipindai, nama pedagang, toko atau perusahaan akan muncul di layar.

Tempo juga membandingkan dengan memindai QR dalam video itu, menggunakan QRIS dari aplikasi pembayaran Go-Pay dan Livin Bank Mandiri. Hasilnya, kode QR di dalam video tersebut tidak bisa diproses dengan aplikasi QRIS.

Menurut Ketua Komtap Cyber Security Awareness Asosiasi Pengusaha TIK Nasional (Aptiknas) Alfons Tanujaya, situs verifikasidata.com yang terhubung setelah QR dipindai adalah situs phishing yang disamarkan melalui QR. Penipu dapat mengklaim bahwa QR tersebut adalah QRIS. “Jadi kalau QRIS yang dipalsukan itu di-scanning, ia akan mengarahkan ke situs phishing yang memalsukan sebagai bank,” kata dia kepada Tempo.

Phishing adalah teknik penipuan online yang bertujuan untuk mendapatkan informasi pribadi seseorang. Pelaku phishing akan menyamar sebagai entitas resmi, seperti bank, perusahaan, atau layanan online, untuk mencuri data pribadi korban.

Menurut Alfons, jika kode QR tersebut dipindai dengan aplikasi QRIS untuk membayar, misalnya QRIS dari perbankan, maka akan terjadi error karena tidak kompatibel. “Jadi rekayasa ini membutuhkan penipu secara aktif meyakinkan korbannya untuk memindai pakai kamera dan korbannya mengikuti semua yang diarahkan oleh penipu,” kata Alfons menguatkan hasil pemeriksaan Tempo terhadap kode QR.

Celakanya, kata Alfons melanjutkan, situs phishing akan sulit diidentifikasi oleh orang awam atau yang gagap teknologi (gaptek). Sebab dalam situs phishing, domain bisa dipalsukan dengan membuat alamat dan tampilan web mirip aslinya (masking).

Assistant Professor Cyber Security dari Monash University-Indonesia, Rizka Widyarini Purwanto juga mencoba memeriksa kode menyerupai QRIS dalam video itu. "Video tersebut tidak ada hubungannya dengan QRIS, tapi menggunakan kode QR (bukan QRIS) untuk mencuri data," ujarnya.

Rizka mengkhawatirkan pengguna awam yang tidak berhati-hati ketika QR tersebut tidak dapat dipindai melalui aplikasi bank maupun dompet digital, lalu melanjutkan proses transaksi dengan memindainya dengan kamera. "Sebenarnya ini mudah untuk dihindari. Jika tidak dapat dipindai pada aplikasi perbankan, maka patut dicurigai," katanya.

Alfons menambahlan, sistem QRIS dari Bank Indonesia sejauh ini aman. Kasus pencurian data maupun penipuan keuangan dapat terjadi karena rekayasa sosial. “Jadi bukan kelemahan di sistem QRIS,” kata dia.

Rekayasa sosial adalah teknik manipulasi yang dilakukan oleh penjahat siber untuk mendapatkan informasi pribadi atau keuangan korban. Teknik ini menggunakan manipulasi psikologis untuk membuat korban melakukan tindakan yang membahayakan keamanan pribadi atau organisasi mereka. Bagi warga yang tidak bisa membedakan sistem QRIS atau kode QR, penipu dapat meyakinkan kepada mereka bahwa kode QR itu adalah QRIS dan dapat diminta untuk memasukkan data pribadi (kredensial).

Kode Batang (QR) untuk Penipuan

Dengan demikian terdapat dua perbedaan. Kode QR adalah barcode dua dimensi yang berisi informasi yang bisa dibaca oleh perangkat digital. Kode QR bisa dibaca dengan aplikasi pembaca kode QR dalam smartphone atau kamera ponsel.

Sebagaimana dilaporkan Tempo, pencurian data pribadi (phishing) menggunakan kode QR disebut sebagai quishing. Dengan berbagai strategi, para penipu berupaya agar korbannya mau memberikan data pribadi, seperti data penggunaan kredensial login atau informasi keuangan.

QRIS sendiri aman digunakan. Belum ditemukan terbobolnya keamanan sistem QRIS hingga saat ini. Dilansir laman Bank Indonesia (BI), QRIS adalah (dibaca KRIS) telah dikembangkan oleh industri sistem pembayaran bersama dengan BI, agar proses transaksi dengan QR Code dapat lebih mudah, cepat, dan terjaga keamanannya.

Departemen Kebijakan Sistem Pembayaran BI Fitria Irmi Triswati pernah mengatakan bahwa QR di Indonesia dan QRIS saat ini telah berstandar internasional. Menurutnya masyarakat tidak perlu khawatir menggunakannya karena keamanannya tidak akan terbobol Tempo.

Saran keamanan agar tidak tertipu quishing

Bank Central Asia (BCA) melalui situs resmi membagikan tips agar aman bertransaksi menggunakan kode QR. Pertama, berhati-hati dalam bertransaksi menggunakan kode QR, meliputi memeriksa url atau alamat website yang dibuka menggunakan kode QR, dan memeriksa kembali berbagai aspeknya sebelum menyetujui transaksi tersebut.

Kedua, gunakanlah aplikasi kode QR yang aman, yakni dari sumber resmi Google Playstore dan AppStore. Ketiga, agar selalu memperbarui sistem keamanan ponsel. Keempat, pelaku usaha harus terus memantau kode QR yang dia pasang agar tidak diganti pihak lain secara diam-diam.

Kelima, menggunakan kode QR dinamis. Kode QR ini dianggap lebih aman karena satu kode hanya bisa dipakai sekali dan secara otomatis menyimpan data transaksi yang sedang dilakukan. Hal ini dapat menyulitkan penipu yang sering memanfaatkan ketidaktelitian korbannya.

Adapun Monash University-Indonesia menjelaskan tindakan-tindakan preventif yang dapat dilakukan, antara lain:
1. Verifikasi Sumber QR Code: Hanya pindai QR code yang ditampilkan di lokasi resmi dan terpercaya, seperti toko resmi, restoran, atau vendor yang dikenal.
2. Periksa Keaslian QR Code: Perhatikan tanda-tanda manipulasi, seperti stiker menutupi QR code asli atau perubahan yang tidak biasa. Pastikan QR code menyertakan logo QRIS atau brand dari Bank Indonesia.
3. Gunakan Aplikasi Terpercaya: Gunakan aplikasi bank maupun dompet digital resmi dan selalu perbarui ke versi terbaru. Aktifkan fitur keamanan seperti otentikasi dua faktor (2FA) dan notifikasi transaksi.

Jika menemukan QR code yang mencurigakan atau merasa telah menjadi korban penipuan, segeralah melapor ke lembaga keuangan dan otoritas terkait seperti Bank Indonesia atau OJK. Termasuk memberi tahu merchant yang sah agar mereka dapat mengambil tindakan pencegahan.

KESIMPULAN

Verifikasi Tempo menyimpulkan bahwa narasi di dalam video yang menyebut bahwa kode tersebut adalah QRIS untuk mencuri data pribadi adalah menyesatkan.

Kode yang terlihat dalam video itu adalah Kode Quick Response (QR), bukan QRIS. Kode QR adalah barcode dua dimensi yang berisi informasi yang bisa dibaca oleh perangkat digital di smartphone atau kamera. Pencurian data pribadi (phishing) memang dapat menggunakan kode QR yang mengarahkan pengguna ke website palsu untuk mengambil data pribadi. Teknik penipuan seperti ini disebut sebagai quishing.

Sementara QRIS sendiri aman digunakan, belum ada kasus keamanan sistem yang digunakan. Modus-modus penipuan yang marak saat ini adalah menggunakan Kode QR yang diklaim sebagai QRIS untuk menipu warga.

TIM CEK FAKTA TEMPO

**Punya informasi atau klaim yang ingin Anda cek faktanya? Hubungi ChatBot kami. Anda juga bisa melayangkan kritik, keberatan, atau masukan untuk artikel Cek Fakta ini melalui email cekfakta@tempo.co.id

Keterangan: Tempo memperbarui artikel ini dari semula berjudul "Benar, Modus Baru Pencurian Data dengan Membagikan QRIS Palsu" menjadi "Menyesatkan, Video Modus Pencurian Data dengan QRIS" dengan menambahkan metode pemeriksaan pada kode QR yang muncul di video dan keterangan dari ahli keamanan digital. Mohon maaf atas perubahan ini karena adanya kekurangan pada metode verifikasi yang digunakan sebelumnya.