RRI.CO.ID, Lhokseumawe - Membayar parkir, melihat menu restoran, mengisi absensi, hingga menerima undangan kini cukup dengan satu kali scan QR Code. Karena sudah menjadi bagian dari aktivitas sehari-hari, banyak orang langsung mengarahkan kamera ke kotak hitam putih itu tanpa berpikir dua kali.

Padahal, QR Code hanyalah "pintu masuk". Kita tidak bisa mengetahui ke mana pintu itu akan membawa kita sampai benar-benar memindainya.

Inilah yang dimanfaatkan pelaku kejahatan siber melalui modus yang dikenal sebagai quishing atau QR phishing. Menurut Federal Trade Commission (FTC) Amerika Serikat, pelaku dapat membuat QR Code yang mengarahkan korban ke situs palsu yang tampak seperti situs resmi. Di sana, korban diminta memasukkan username, password, data kartu, bahkan kode OTP tanpa menyadari bahwa semua informasi tersebut sedang dicuri.

Lalu, QR Code seperti apa yang sebaiknya tidak dipindai?

Yang pertama adalah QR Code yang asal-usulnya tidak jelas. Misalnya ditempel di tiang listrik, halte, brosur tanpa identitas, atau dikirim oleh nomor asing melalui pesan singkat maupun media sosial. Jika tidak tahu siapa pembuatnya, sebaiknya jangan mengambil risiko.

Kedua, QR Code yang menempel di atas QR Code lain. Menurut berbagai laporan keamanan siber, pelaku sering menempelkan stiker QR palsu di atas QR asli pada mesin parkir, meja restoran, atau tempat pembayaran agar korban masuk ke situs buatan mereka. Sekilas terlihat normal, padahal tujuan akhirnya berbeda.

Ketiga, QR Code yang disertai kalimat mendesak seperti "scan sekarang agar akun tidak diblokir", "klaim hadiah dalam lima menit", atau "verifikasi rekening Anda". Sama seperti tautan mencurigakan, rasa panik sering dimanfaatkan agar korban tidak sempat berpikir panjang. Menurut Kaspersky, teknik seperti ini merupakan salah satu ciri umum serangan quishing.

Lalu, QR Code seperti apa yang relatif aman untuk dipindai?

QR Code yang berasal dari sumber resmi, misalnya QRIS yang diberikan langsung oleh kasir, tiket elektronik dari penyelenggara acara, papan informasi di instansi pemerintah, museum, kampus, rumah sakit, atau QR Code yang dipublikasikan melalui situs web maupun akun media sosial resmi suatu lembaga. Meski begitu, tetap biasakan memeriksa tujuan akhirnya sebelum melanjutkan.

Untungnya, ada kebiasaan sederhana yang bisa membantu kita tetap aman. Sebelum membuka hasil scan, lihat terlebih dahulu alamat situs yang muncul. Pastikan nama domain sesuai dengan lembaga atau perusahaan yang dituju dan tidak memiliki ejaan yang aneh. Jika setelah memindai QR Code kamu langsung diminta memasukkan password, PIN, OTP, atau data kartu pembayaran, sebaiknya hentikan proses tersebut dan cari informasi melalui jalur resmi. FTC juga menyarankan untuk memperlakukan QR Code sama seperti tautan di internet: jangan asal diklik hanya karena terlihat meyakinkan.

QR Code bukanlah teknologi yang berbahaya. Justru, teknologi ini diciptakan untuk membuat berbagai aktivitas menjadi lebih cepat dan praktis. Namun, kemudahan itu juga mengharuskan kita lebih waspada. Karena di era digital, satu kali scan yang dilakukan tanpa berpikir bisa saja membuka jalan bagi pencurian data pribadi.