Lewatkan ke konten utama

Apa itu Quishing? Cara melindungi diri Anda dari phishing kode QR

Seorang wanita memindai kode QR dengan ponselnya

Di era kode QR, penjahat dunia maya menggunakan skema yang disebut 'quishing' untuk menipu individu dan mengarahkan mereka ke situs web berbahaya. Baca terus untuk mempelajari lebih lanjut tentang penipuan ini, berbagai bentuk phishing kode QR, dan cara melindungi diri Anda dari serangan semacam itu.

Apa itu Quishing?

Quishing adalah jenis serangan cyber yang melibatkan penggunaan kode QR untuk menipu individu agar mengunjungi situs web berbahaya atau mengungkapkan informasi sensitif. Serangan ini mengeksploitasi kepercayaan dan kenyamanan yang terkait dengan kode QR untuk mengelabui korban. Quishing juga dapat dikenal sebagai phishing kode QR, spoofing kode QR, atau QRishing.

Bagaimana cara kerja serangan phishing kode QR?

Serangan quishing atau phishing kode QR yang umum memiliki lima tahap utama:

  1. Distribusi : Penyerang membuat kode QR palsu dan mendistribusikannya melalui berbagai cara, seperti mencetaknya di pamflet, poster, atau label, atau dengan membagikannya secara digital melalui email, SMS, atau media sosial.
  2. Penipuan : Kode QR palsu biasanya dirancang agar tampak sah dan mungkin menjanjikan penawaran menarik, diskon, atau layanan untuk memikat calon korban.
  3. Pemindaian : Korban menemukan kode QR dan menggunakan perangkat seluler mereka, yang dilengkapi dengan aplikasi pembaca kode QR, untuk memindainya.
  4. Pengalihan : Setelah memindai kode QR, perangkat korban diarahkan ke situs web berbahaya yang berada di bawah kendali penyerang. Situs web ini biasanya meniru situs tepercaya atau terkenal.
  5. Pencurian data : Situs web palsu dapat meminta korban untuk memasukkan informasi sensitif, seperti kredensial login, rincian pribadi, atau informasi keuangan, dengan menyamar sebagai sumber sah yang meminta informasi yang diberikan.

Jenis-jenis serangan quishing

Serangan phishing QR atau QRishing dapat terjadi dalam berbagai bentuk, dan penyerang menggunakan taktik berbeda untuk menipu korban. Berikut beberapa contohnya:

  1. Diskon produk palsu : Penyerang mendistribusikan kode QR yang menjanjikan diskon besar pada produk atau layanan populer. Saat dipindai, kode QR mengarahkan pengguna ke situs web palsu tempat mereka diminta memberikan informasi pribadi dan rincian pembayaran. Diskon yang dijanjikan tidak pernah terwujud.
  2. Tiket acara palsu : Penipu membuat kode QR untuk acara yang tidak ada atau tiket yang tidak mereka miliki. Korban yang tidak menaruh curiga memindai kode tersebut, mengira mereka sedang membeli tiket, namun kemudian kehilangan uang dan data pribadi mereka dicuri.
  3. Penipuan tawaran pekerjaan : Penyerang dapat mengirimkan tawaran pekerjaan palsu melalui email atau media sosial dengan kode QR untuk lamaran pekerjaan. Saat dipindai, kode tersebut membawa pengguna ke halaman phishing yang meminta informasi pribadi dan keuangan.
  4. Penipuan perbankan dan keuangan : Penyerang mungkin mengirim kode QR yang tampaknya berasal dari bank pengguna, yang mengklaim terhubung ke informasi akun penting. Pemindaian kode akan mengarahkan pengguna ke situs web perbankan palsu yang dirancang untuk mencuri kredensial masuk dan informasi keuangan.
  5. Penipuan mata uang kripto: Penipu membuat kode QR yang menipu dan mendistribusikannya melalui berbagai saluran, seperti email, media sosial, atau bahkan stiker fisik. Korban yang tidak menaruh curiga memindai kode-kode ini, meyakini bahwa mereka memulai transaksi mata uang kripto yang sah, tetapi kenyataannya, mereka malah mengirimkan dana mereka ke dompet penipu.
  6. Penipuan donasi amal : Penipu menyebarkan kode QR yang mengaku untuk donasi amal. Saat dipindai, kode tersebut mengarahkan pengguna ke halaman donasi palsu yang menangkap rincian pembayaran mereka.
  7. Penipuan pengiriman paket : Penipu mengirimkan kode QR melalui email atau teks yang mengklaim sebagai informasi pelacakan untuk pengiriman paket. Saat penerima memindai kode, kode tersebut akan dialihkan ke situs web palsu yang mencari informasi pribadi atau mengirimkan malware .
  8. Penipuan COVID-19 : Selama pandemi COVID-19, penipu menggunakan kode QR dalam serangan phishing. Mereka mengirimkan kode QR melalui email atau pesan, yang mengklaim berisi tautan ke informasi tentang vaksin COVID-19 atau panduan keselamatan. Pemindaian kode QR menyebabkan situs web penipuan mencari informasi pribadi atau menyebarkan malware.
  9. Penipuan restoran dan menu : Setelah penggunaan kode QR meningkat selama dan setelah pandemi COVID-19, penyerang mendistribusikan kode QR pada menu restoran palsu. Saat dipindai, kode-kode ini dialihkan ke situs web berbahaya yang mencoba memasang malware atau mencuri informasi pribadi.

Ini hanyalah beberapa contoh serangan phishing QR. Kode QR merupakan alat yang praktis, tetapi dapat dimanfaatkan oleh penjahat dunia maya untuk mengelabui orang agar mengungkapkan informasi sensitif atau menjadi korban berbagai penipuan. Sangat penting untuk berhati-hati saat memindai kode QR, terutama yang diterima dari sumber yang tidak diverifikasi atau tidak diminta, dan untuk memverifikasi keabsahannya sebelum mengambil tindakan apa pun.

Contoh nyata penipuan quishing

Serangan pencurian data Tiongkok menargetkan rekening bank

Pada tahun 2022, kampanye phishing QR muncul di Tiongkok, di mana penipu menyamar sebagai Kementerian Keuangan Tiongkok . Mereka mengirim email penipuan, memikat pengguna agar percaya bahwa mereka dapat mengajukan permohonan hibah pemerintah baru. Penipuan tersebut melibatkan permintaan kepada pengguna untuk memindai kode QR yang tertanam dalam dokumen terlampir menggunakan aplikasi pesan dan pembayaran seluler seperti WeChat. Peretas sering kali memilih kode QR karena sulit dideteksi melalui tindakan keamanan teknis. Selain itu, perangkat seluler, yang biasanya digunakan untuk tindakan tersebut, bisa jadi kurang aman dibandingkan komputer. Setelah kode dipindai, pengguna diarahkan ke halaman web tempat mereka diminta memberikan informasi lengkap tentang kartu kredit dan rekening bank mereka.

Kios bayar parkir dan penipuan tiket parkir di AS

Dalam kasus di Texas , penjahat dunia maya menempelkan stiker kode QR palsu pada kios bayar parkir, yang membuat pengemudi percaya bahwa mereka dapat menggunakannya untuk membayar parkir. Saat memindai kode-kode ini, pengemudi diarahkan ke situs web palsu tempat mereka memasukkan informasi kartu kredit, dan secara tidak sengaja mengungkapkan data rahasia mereka kepada peretas. Kejadian serupa terjadi pada Februari 2022 di Atlanta ketika pengemudi menemukan tiket parkir palsu yang menampilkan kode QR di kendaraan mereka, yang konon untuk pembayaran denda. Setelah masalah itu terungkap, otoritas setempat memperingatkan bahwa Atlanta tidak menggunakan kode QR pada tiket parkir mereka.

Apa itu QRLJacking?

Konsep yang terkait dengan quishing adalah QRLJacking. Quick Response Login (QRL) adalah metode autentikasi yang menggunakan kode QR untuk masuk ke situs web, aplikasi, atau layanan digital. Pengguna memindai kode QR di layar masuk dengan telepon pintar mereka, baik memberikan akses langsung atau memulai autentikasi sekunder untuk pengaturan multi-faktor.

Namun, peretas dapat mengeksploitasi QRL sebagai berikut:

  • Mereka memulai sesi QR sisi klien di situs web atau aplikasi target.
  • Mereka mengkloning kode QR yang sah dan mengarahkannya ke server mereka.
  • Mereka menanamkan QR yang dimanipulasi ini di halaman login palsu yang menyerupai aslinya.
  • Tautan halaman login palsu disebarkan melalui email atau saluran lain, yang mendorong pengguna untuk mengklik dan memindai kode QR.
  • Jika autentikasi multifaktor tidak aktif, pemindaian kode QR akan memberi penyerang akses.

Seorang wanita memindai kode QR

Tanda-tanda serangan quishing – apa yang harus diwaspadai

Phishing QR sering kali berhasil melewati detektor malware dan filter email karena menyembunyikan kode QR dalam email atau dokumen terlampir dengan ekstensi yang tidak mencurigakan. Ketidakjelasan ini, dikombinasikan dengan manipulasi emosional atau rekayasa sosial , mendorong korban untuk memindai kode QR berbahaya untuk tujuan penipuan. Waspadai tanda-tanda phishing QR berikut ini:

  • Sumber yang tidak biasa: Berhati-hatilah jika Anda menerima kode QR dari sumber yang tidak diharapkan atau tidak diminta, terutama dalam email atau pesan dari pengirim yang tidak dikenal.
  • Domain tidak cocok: Periksa apakah kode QR mengalihkan ke domain atau situs web yang berbeda dari yang diklaimnya. Ini bisa jadi tanda phishing.
  • Tata bahasa dan ejaan: Tata bahasa dan ejaan yang buruk dalam pesan atau instruksi yang disertakan dapat mengindikasikan upaya phishing.
  • Permintaan mendesak: Waspadalah terhadap kode QR yang disertai permintaan mendesak untuk tindakan segera, seperti ancaman atau janji hadiah.
  • Beberapa langkah autentikasi: Login kode QR autentik biasanya melibatkan pemindaian satu kali. Jika Anda diminta memberikan informasi atau langkah tambahan, bisa jadi itu merupakan upaya phishing.
  • Info yang terlalu pribadi: Permintaan informasi yang sangat pribadi, seperti nomor Jaminan Sosial atau rincian keuangan yang luas, dapat menjadi tanda bahaya.
  • Izin yang tidak biasa: Saat diminta untuk memberikan izin ekstensif ke aplikasi seluler setelah memindai kode QR, berhati-hatilah dan selidiki lebih lanjut.

Taktik phishing QR bervariasi, jadi kewaspadaan dan kehati-hatian sangat penting untuk menghindari menjadi korban penipuan ini.

Cara melindungi diri Anda dari quishing

Untuk melindungi diri Anda dari serangan phishing QR, ikuti panduan berikut:

  1. Verifikasi sumber: Selalu verifikasi sumber kode QR sebelum memindai, terutama jika berasal dari pengirim yang tidak dikenal.
  2. Bersikaplah skeptis terhadap kode QR yang tidak diminta : Berhati-hatilah saat menemukan kode QR yang tidak diminta dalam email, pesan teks, atau materi fisik.
  3. Periksa kesalahan ejaan dan tata bahasa: Teliti materi promosi untuk menemukan kesalahan ejaan dan tata bahasa, yang umum terjadi dalam komunikasi penipuan.
  4. Periksa URL tujuan: Sebelum memindai, pastikan URL tujuan sesuai dengan sumber yang diharapkan dan tampak sah, tanpa elemen yang mencurigakan atau salah eja.
  5. Periksa halaman arahan: Setelah memindai, periksa dengan cermat konten dan desain halaman arahan. Halaman yang sah cenderung tampak profesional dan bebas kesalahan.
  6. Waspadalah terhadap permintaan informasi langsung: Berhati-hatilah jika halaman arahan langsung meminta informasi sensitif seperti kredensial login atau rincian pembayaran. Layanan yang sah biasanya tidak meminta hal ini di muka.
  7. Verifikasi penawaran atau diskon khusus: Verifikasi secara independen penawaran yang dijanjikan oleh kode QR dengan situs web resmi atau perusahaan itu sendiri. Jika sesuatu tampak mencurigakan atau terlalu bagus untuk menjadi kenyataan, percayalah pada insting Anda dan hindari memindai kode QR.
  8. Cari HTTPS: Periksa koneksi aman (HTTPS) di situs web yang dialihkan. S berarti 'aman' dan menunjukkan situs web tersebut memiliki sertifikat keamanan terkini.
  9. Gunakan autentikasi dua faktor (FA): Aktifkan FA untuk akun daring Anda guna menambahkan lapisan keamanan ekstra jika kredensial Anda dibobol.
  10. Laporkan aktivitas mencurigakan: Laporkan dugaan serangan phishing QR kepada otoritas terkait, departemen TI organisasi Anda, atau penyedia layanan email Anda.
  11. Didik diri sendiri dan orang lain: Tetap perbarui berita dan ancaman keamanan siber untuk mengenali potensi risiko. Bagikan pengetahuan tentang phishing QR dan ancaman daring lainnya dengan teman dan keluarga untuk bersama-sama meningkatkan keamanan daring.
  12. Selalu perbarui: Pastikan sistem operasi dan aplikasi perangkat seluler Anda diperbarui secara berkala dengan patch keamanan terbaru untuk mengurangi risiko menjadi korban serangan semacam itu.
  13. Instal perangkat lunak keamanan: Lindungi perangkat Anda dengan perangkat lunak keamanan terkini seperti Kaspersky Premium , yang memblokir situs web berbahaya dan melindungi dari berbagai ancaman daring. Kaspersky Premium hadir dengan VPN tanpa batas untuk privasi tambahan guna mengamankan koneksi internet Anda, dan Pengelola Kata Sandi untuk menghasilkan dan menyimpan kata sandi yang kuat dan unik.

Dengan mengikuti kiat-kiat ini dan tetap waspada, Anda dapat secara signifikan mengurangi risiko menjadi korban serangan phishing QR dan penipuan daring lainnya. Memprioritaskan keamanan daring sangat penting dalam dunia digital saat ini di mana penggunaan kode QR tersebar luas.

FAQ tentang serangan quishing dan phishing kode QR

Apa itu quishing?

Quishing melibatkan penjahat dunia maya yang menggunakan kode QR untuk mengarahkan individu ke situs web palsu, memikat mereka agar memberikan informasi pribadi atau keuangan, atau menipu mereka agar mengunduh konten berbahaya. Quishing juga dapat dikenal sebagai phishing kode QR, spoofing kode QR, atau QRishing.

Produk-produk terkait:

Artikel terkait:

Apa itu Quishing? Cara melindungi diri Anda dari phishing kode QR

Pelajari tentang phishing kode QR, termasuk tahapan serangan quishing, jenis penipuan quishing, tanda-tanda quishing, dan cara melindungi diri Anda.
Kaspersky logo

Artikel terkait