Kebiasaan scan QR Code yang makin sering dilakukan ternyata menyimpan risiko besar. Belakangan ini, muncul modus penipuan baru yang dikenal dengan istilah brushing atau quishing, yakni teknik manipulasi lewat QR Code palsu untuk menguras rekening digital korban tanpa disadari.
Modus ini makin marak seiring meningkatnya transaksi non-tunai berbasis QRIS. Data Bank Indonesia mencatat, volume transaksi QRIS pada kuartal I 2025 tembus 2,6 miliar transaksi, melonjak tajam dibanding tahun sebelumnya. Namun, pertumbuhan ini juga dimanfaatkan pelaku kejahatan siber untuk melancarkan aksinya.
Brushing atau quishing merupakan gabungan dari QR Code dan phishing. Caranya cukup sederhana tapi sangat efektif. Pelaku menempelkan QR Code palsu di tempat umum, mengirimkannya lewat pesan instan, atau menyertakannya dalam paket misterius.
Begitu korban memindai kode tersebut, mereka akan diarahkan ke halaman tiruan yang tampak meyakinkan, mulai dari login akun Google, dompet digital, hingga mobile banking. Tanpa sadar, data login korban langsung dikirim ke server pelaku.
Menurut PU-CSIRT, teknik ini tergolong berbahaya karena korban sering kali tidak menyadari bahwa mereka sedang diarahkan ke situs palsu. Akibatnya, data sensitif bisa dicuri dalam hitungan detik.
“QR Code itu ibarat pintu digital. Sekali terbuka ke arah yang salah, data pribadi dan saldo rekening bisa lenyap tanpa bekas,” tulis PU-CSIRT dalam rilis resminya.
Kasus korban akibat scan QR Code palsu sudah banyak dilaporkan. Salah satunya terjadi di Singapura, di mana seorang pria kehilangan lebih dari 20 ribu dolar setelah memindai QR Code survei minuman yang ternyata mengandung malware.
Di Indonesia, tren serupa mulai terlihat. Konten video viral di media sosial memperlihatkan korban diminta login ulang akun Google melalui QR Code palsu. Dalam hitungan menit, pelaku bisa mengakses email, data pribadi, hingga aplikasi perbankan korban.
Praktisi keamanan siber dari Vaksincom, Alfons Tanujaya, menegaskan bahwa QR Code tidak menampilkan tujuan link sebelum dipindai, sehingga sangat rawan disalahgunakan.
“Saat scan QR, perhatikan betul link yang muncul. Kalau mengarah ke halaman login atau meminta OTP, itu tanda bahaya. Apalagi kalau QR itu ditempel sembarangan,” jelas Alfons, dikutip dari Kompas.com.
Ia juga menyarankan agar pemindaian QR untuk pembayaran hanya dilakukan lewat aplikasi resmi mobile banking atau e-wallet, bukan kamera bawaan ponsel.
Selain quishing, modus QRIS palsu juga kembali marak. Pelaku biasanya menimpa QRIS asli milik pedagang dengan stiker QR palsu. Saat pelanggan melakukan pembayaran, uang justru masuk ke rekening penipu.
Website resmi Pemerintah Kabupaten Berau menyebut, modus ini jadi ancaman serius di ruang publik seperti warung, masjid, area parkir, hingga event bazar.
Ciri QRIS palsu antara lain:
- Nama merchant tidak jelas
- Tidak ada logo resmi
- Tampilan QR terlihat buram atau rusak
- Tidak muncul detail transaksi
Tren lain yang mengkhawatirkan adalah penyebaran QR Code berbahaya lewat grup Telegram, WhatsApp, hingga TikTok. Pelaku menyamar sebagai event organizer, undian berhadiah, hingga lowongan kerja instan.
Beberapa warganet di forum Reddit Indonesia mengaku hampir tertipu setelah dimasukkan ke grup Telegram palsu yang menjanjikan saldo gratis jika scan QR tertentu.
Fenomena ini menunjukkan bahwa social engineering masih jadi senjata utama para scammer, memanfaatkan rasa penasaran dan iming-iming hadiah.
Agar tak jadi korban berikutnya, berikut langkah pencegahan yang bisa diterapkan:
-
Scan QR hanya dari sumber tepercaya
Hindari QR dari poster, paket misterius, atau chat tidak dikenal. -
Gunakan aplikasi resmi
Untuk pembayaran, pakai aplikasi bank atau e-wallet, bukan kamera ponsel. -
Periksa link tujuan
Jika muncul halaman login mencurigakan, langsung tutup. -
Aktifkan notifikasi transaksi
Supaya setiap pergerakan saldo bisa langsung terpantau. -
Jangan pernah bagikan OTP atau PIN
Bank dan e-wallet resmi tidak pernah meminta data ini.
Bank BCA juga mengingatkan masyarakat agar selalu waspada terhadap QR Code di tempat umum dan menghindari install aplikasi dari link tak dikenal.
Kemudahan transaksi digital memang membawa banyak manfaat, tapi di sisi lain juga membuka celah kejahatan baru. Modus brushing dan quishing jadi bukti bahwa literasi digital sangat penting di tengah derasnya inovasi teknologi.
Dengan lebih teliti sebelum scan QR Code, masyarakat bisa menghindari risiko besar yang mengancam keamanan data dan keuangan pribadi.
