Cyberthreat.id – Makin populernya pemakaian kode QR, penjahat pun memanfaatkannya untuk mengambil untung. Di Singapura, seorang perempuan kehilangan $20.000 atau  lebih dari Rp200 juta dari rekening banknya.

Sementara itu, ada pula warga Amerika Serikat dan Inggris yang tertipu setelah memindai kode QR palsu untuk membayar parkir.

Wanita berusia 60 tahun, tidak disebutkan namanya, awalnya melihat sebuah stiker di pintu kaca toko "bubble tea" yang meminta pengunjung untuk memindai kode QR dan mengisi survei untuk mendapatkan "secangkir teh susu gratis".

Bagi orang biasa, ini mungkin tidak menimbulkan tanda bahaya, terlebih hanya berupa survei berhadiah.

Ia pun lantas memindai kode QR pada stiker dan mengunduh aplikasi pihak ketiga ke ponsel Android-nya untuk menyelesaikan "survei," tulis The Straits Times, Minggu (7 Mei 2023).

Pada malam hari, ketika ia sedang tidur, teleponnya tiba-tiba menyala. Ia terkejut ada transaksi bank sebesar Rp200 juta. Dan, dalam kasus ini, ia bukan satu-satunya korban penipuan malware semacam itu.

Aplikasi "survei" palsu itu, menurut Strait Times, telah mengambil alih perangkat, lalu menyedot uang dari rekening bank milik korban.

Kasus aplikasi palsu tersebut mirip dengan kejadian di Indonesia beberapa bulan lalu yang berkedok sebagai JNT Express, Undangan Pernikahan, dan lain-lan. (Baca: File Jahat 'J&T Express.apk' Dijual Rp1 Juta. Pembuat Malware Meraup Uang hingga Rp30 Juta)

Beaver Chua, kepala anti-penipuan di departemen kepatuhan kejahatan keuangan kelompok Bank OCBC, mengatakan, meski penipuan malware seperti itu tidak terlalu baru, penipu kini kian inovatif.

"Selain (menaruh malware) melalui pop-up (iklan sembulan) di situsweb, yang paling umum, menempel kode QR palsu di luar toko food & beverage adalah cara licik untuk menggaet korban. Karena, konsumen tidak dapat membedakan antara kode QR asli dan palsu," tuturnya.

Saat pengunduhan aplikasi palsu itu, kata dia, ada permintaan akses ke mikrofo dan kamera. Selain itu, juga malware mengaktifkan Layanan Aksesibilitas Android, sebuah aplikasi yang dimaksudkan untuk membantu penyandang disabilitas. Dengan aktifnya layanan, penipu bisa melihat dan mengontrol layar korban.

Dari situlah, penipu menunggu korban untuk menggunakan aplikasi mobile banking-nya dan mencatat kredensial login dan kata sandinya. Penipu juga dapat menonaktifkan fungsi pengenalan wajah, sehingga korban harus secara fisik memasukkan detailnya untuk masuk ke akunnya, memungkinkan penjahat untuk merekam informasi tersebut.

 “Penipuan ini sangat berbahaya karena penipu mengambil alih telepon korban. Dan karena korban kehilangan kendali atas akun internet banking mereka, mereka bahkan tidak akan tahu kapan tabungan mereka telah habis seluruhnya," ujar Chua.

Tahun lalu, Kepolisian Singapura memperingatkan warga soal penyalahgunaan sistem identitas digital Singpass  yang menggunakan kode QR. Penipu akan meminta korban untuk menyelesaikan survei palsu dan kemudian memindai kode QR Singpass melalui aplikasi resmi Singpass, sebagai bagian dari "proses verifikasi" sebelum korban dapat menebus hadiah uang.

"Namun, kode QR Singpass yang diberikan oleh scammers adalah tangkapan layar yang diambil dari situsweb yang sah, dan dengan memindai kode QR dan mengotorisasi transaksi tanpa pemeriksaan lebih lanjut, korban secara tidak sengaja memberikan akses ke layanan online tertentu kepada pelaku," demikian peringatan polisi, dikutip dari BleepingComputer.

Tiket parkir palsu dan kode QR

Sementara itu, kasus penipu yang meninggalkan tiket parkir palsu di kaca depan pengemudi terjadi  di AS dan Inggris.

Pekan lalu, seorang pengguna Reddit melihat tiket parkir palsu yang diklaim telah dikeluarkan dari pemerintah kota San Francisco.

"Saya tahu semua orang benci mendapatkan tiket parkir di San Francisco. Penipu semakin BERANI!! Mengeluarkan tiket parkir palsu!! FYI: parkir di SF diatur oleh SFMTA, tidak akan pernah ada logo kota pada tiket !! Harap berhati-hati , jika Anda menerima yang seperti ini, buang karena kode QR tertaut ke rekening bank Anda," memperingatkan pengguna, yang telah membagikan gambar kutipan palsu tersebut:

Menariknya, tiket yang terlihat pada atau sebelum 4 Mei bertanggal di masa depan (5 Mei).

Kode QR pada tiket itu mengarah ke tautan pemendek URL yang sekarang dinonaktifkan: hxxps://qr.link/g43phs.

Tautan tersebut konon lebih mengarahkan pengunjung ke hxxps://sfmta-project.vercel.app, situs web terlarang yang menyalin tampilan dan nuansa situs web resmi SFMTA (Badan Transportasi Kota San Francisco) agar tampak lebih meyakinkan.

Warganet juga dengan cepat mengamati bahwa situsweb palsu tersebut menggunakan formulir pembayaran web Square untuk memproses transaksi penipuan. Domain terlarang yang dipermasalahkan dan akun Square telah dinonaktifkan.

Pemerintah daerah Inggris, termasuk Isle of Wight Council, juga telah memperingatkan penduduk untuk berhati-hati terhadap kode QR yang mereka temukan yang mungkin disamarkan sebagai opsi meteran parkir "pembayaran cepat".

"Orang-orang memindai kode dan memasukkan informasi kartu kreditnya karena mengira mereka membayar parkir untuk tempat itu, tetapi sebaliknya, itu mengarahkan mereka ke situsweb palsu milik penipu menangkap detail pembayaran mereka," jelas pemberitahuan itu.[]