Topic: Tentang QR Code, Fitur Yang Sering Digunakan Untuk Pembayaran Crypto/Fiat (Read 471 times)

Betul, tentu akan sama dan sesuai nama toko, tapi kalau kita lihat sebagaimana beberapa post di atas yang mengubah QR code toko dengan QR palsu, pasti Scammer telah mempersiapkan dengan matang dengan phisingnya,

misal kalau nama toko aslinya: Toko Boba Ayu12, akan diubah oleh scammer dengan mirip-mirip seperti misal: Toko Boda Ayu12, tentu kalau tidak diteliti lagi akan langsung dibayar, dan pemilik toko yang QR-nya manual akan oke saja jika ditunjukin telah sukses.

Namun setelah pembukuan, duit tidak ada yang masuk alias masuk ke dompet scammer Toko Boda Ayu12.

Metode pembayaran dengan generate barcode dulu memang gak harus masukin nominal pembayaran, karena sudah otomatis sesuai barcode kode pembayaran yang muncul. Biasanya metode pembayaran seperti ini ada di Indomaret atau Alfamart atau beberapa tempat perbelanjaan lainnya.


dan itu juga saya temukan pada pembayaran Beli Bitcoin di website Lightning ATM ( mainan ).


Namun untuk gerai stand kaki lima atau kafe yang menerima pembayaran Qris harus memasukan nominal terlebih dahulu dan kemudian setelah selesai tinggal konfirmasi dengan menunjukan kalo Transaksi Qris sudah sukses.

Mencoba transaksi Qris di Kafe dengan aplikasi Dana

Penggunaan Qris di apliaksi Mobile Bank seperti BCA, LIVIN dll tentu akan lebih aman karena tidak menggunakan aplikasi Barcode pihak ketika, dan ini juga sama seperti aplikasi Shopee, Dana, OVO, GOpay yang sudah include dengan barcode didalam aplikasinya.
dan untuk Barcode yang tidak sesuai dengan geray toko akan ketahuan karena akan ada informasi tentang Barcode yang di scan.

Saya juga pernah melakukan di toko yang sama di atas dengan menggenerate QR code di aplikasi livin, jadi kita tidak perlu lagi untuk menginput nominal pembayaran karena QR code akan langsung mendeteksi dan kita pun hanya input pin transaksi. Cara ini pernahjuga  saya pakai untuk penarikan uang tanpa kartu ATM, kita hanya generate barcode di HP lalu discan dan mesin ATM akan langsung ngebaca untuk memperoses keluarnya uang.

Kalau di merchant biasa dari yang pernah saya coba, kita scan QR code yang sudah tersedia, memasukkan nominal tranksaksi dan mengkonfirmasi nama merchant. Ini yang masih rada riskan terjadi penipuan seperti pada kasus di atas. Sementara itu pernah juga coba transaksi di Alfamart menggunakan Gopay, namun untuk yang ini setelah jumlah transaksi ditentukan, kita yang diminta memunculkan barcode di gopay (melalui menu Pay -> using code -bukan via scan di smartphone) dan code ini acak per sekian menit. Kemudian kasir menscan code, dan user menkonfirmasi kevalidan transaksi. Cara yang kedua ini bisa dikatakan lebih aman, karena keduanya menginput dan mengkonfirmasi transaksi secara otomatis.

Saya pernah scan barcode pembayaran Gopay di Mcdonals, dimana sudah cukup canggih, ketika kita sudah scan dan terbayar akan ada notif kayak bel yang terhubung langsung di dapur sehingga pelayan di dapur langsung mengeksekusi pesanan tanpa terhubung lagi di bagian kasir lagi.

kalau di toko-toko besar, biasanya kasir terlebih dahulu menginput jumlah bayaran lalu keluar QR code untuk discan pengguna, menurut saya ini QR paling aman dibanding harus scan dulu baru input bayaran, karena sudah otomatis masuk ke sistem walau tanpa diambil foto lagi. tapi kadang QR code yang input bayaran sejeni ini gak banyak, selain gopay, ovo juga mesti scan barcode dulu baru bayar.

Untuk owner yang punya akses ke akun yang menyediakan QR Code untuk transaksi tentunya bisa full akses melihat transaksi termasuk notifikasi transaksi, nah untuk yang ke karyawan semisal kasir ini yang saya belum tahu persis apakah mereka juga bisa mendapatkan setidaknya akses ke akun meskipun hanya read only (kalau diberikan akses full tentu beresiko juga) untuk bisa sekedar melihat history transaksi.

Salah satu contoh kasus:


Belajar dari kasus di atas, QR code bisa dikatakan aman digunakan selama faktor dari penggunanya sendiri bisa mengkonfirmasi apa yang di scan atau di transaksikan via QR code tersebut memang benar-benar valid.

Pada dasarnya disaat seorang konsumen melakukan pembayaran via QR Code, mereka melakukan transfer ke Rekening/account/wallet milik Merchant yang menerbitkan QR Code tersebut, dan sesaat setelah proses pembayaran Merchant tersebut akan menerima notifikasi mengenai pembayaran tersebut atau mereka bisa juga langsung mengecek status transaksi (pembayaran konsumen) melalui situs/web/app yang disediakan oleh platform QR Code yang mereka gunakan.

Semestinya memang ada notifikasi, dan dalam hal ini kasir yang berhadapan langsung dengan pembeli dalam transaksi mesti punya akses untuk mengetahui notifikasi tersebut. Kalau tiap ada transaksi menggunakan QR Code mesti mengambil dulu gambar bukti transfer di HP konsumen pastinya jadi ribet.

---

Saya juga demikian terutama ketika transaksi semisal di tempat makan yang bisa dikatakan transaksi via QR Code-nya "semi otomatis"; Jadi kita sendiri yang menscan QR code yang tertera dan mengkonfirmasi nama akun serta mengisi sendiri jumlah yang mesti dibayarkan ke si penjual.

Biasanya memang ada notif di HP penjual kalau kita sukses membayar pakai QR code, walau memang pernah saya temui kasir yang harus mangambil gambar HP kita yang telah sukses membayar, tapi tetap mereka akan ambil itu buat laporan.

Kalau saya pasti akan saya paksakan matanya untuk melihat benar tidaknya nama merchant tersebut, takutnya nanti kalau sudah sukses terbayar tapi uang tidak masuk, yang disalahkan pembeli tidak membayar.

Memang tidak bisa dipungkiri jika dengan adanya QR Code bisa mempermudah proses pembayaran dan saat ini penggunaan pembayaran dengan menggunakan QR Code sudah sangat banyak di berbagai merchants, RS, dan lainnya. Terlebih di mercahnts makanan yang menyediakan pengantaran secara online dengan pembayaran uang digital (melalui dompet digital), kita bisa menemukannya di mana-mana.
Dan ini memang bisa menjadi ladang "kejahatan digital" dengan berbagai cara.
Salah satunya terkait ini:
Kejadian ini juga pernah dibahas di sebuah wawancara di CNBC terkait Penipuan Menggunakan QR Code.. Kejahatan digital ini memang sudah merajalela. Bahkan terkadang para korban tidak segera sadar bahwa dirinya menjadi korban dari kejahatan digital melalui QRCode ini.

Saya juga pernah melihat sebuah video (settingan) di reels, yang intinya ada seorang pembeli di sebuah toko yang dengan sengaja mengganti papan QR Code sebuah toko, memang papan QR Code tersebut sangat mirip, terlebih itu juga kecil dan mudah dipindahkan. Sayangnya saya cari videonya belum ketemu lagi.

Double check di sini sangat diperlukan, tidak hanya bagi orang yang ingin membayar tetapi juga pihak penerima. Karena, bisa jadi pihak penerima tidak sadar jika seseorang telah mengganti papan QR Code nya (bagi merchants atau CR Code di tempat umum yang bisa dijangkau banyak orang).
Terutama bagi merchant minuman atau makanan dengan metode pembayaran online, jika kita pemilik usaha tersebut, pastikan bahwa informasi keamanan QR Code tersampaikan pada para karyawan, terutama bagian kasir.
Karena pernah di suatu waktu saya melakukan pembayaran dengan QR Code, ketika saya mau berusaha memverifikasi kode tersebut dengan crosscheck apakah sudah benar alamat penerimanya, si penjaga merchant tersebut hanya berkata: "iya kak, kalau sudah scan barcodenya berarti sudah sesuai" tanpa melihat ke layar HP yang saya tunjukkan. Ini mungkin sederhana dan biasa bagi mereka, namun bagaimana jika ternyata papan QR Code tersebut sudah diganti oleh "penjahat"? Untungnya, saat itu uang benar-benar diterima oleh merchant tersebut.

Kalau konsumen yang membawa QR code sendiri, ini bukan korban sebagai korban. Namun, ini murni penipuan dari si konsumen. Yang saya bahas adalah bagaimana kita agar terhindar dari asal scan QR demi menghindari Phising atau ancaman cyber lainnya. Kalau yang memiliki barcode kena tipu seperti kasus ini, ya mereka harusnya cek dana yang masuk, kalau ga ada ya suruh bayar cash, tapi ya si kasir/penjual ini memiliki QR yang harus discan malah ga teliti. Ya. satu pelajaran sih buat teman-teman yang memiliki bisnis dan menerima pembayaran dengan QR code, untuk meminta kasir menunjukkan pembayaran pasca scan. agar tidak mengalami kasus serupa.

Jelas harus melakukan recheck ulang setelah melakukan transaksi via QR Code, saya pernah melihat satu konten di TikTok entah hanya sebuah konten semata atau memang kenyataan yang terjadi, pada saat melakukan scan QR Code yang bersangkuta mengganti QR Code toko tersebut dengan QR Code yang dibawa konsument atau pembeli itu sendiri, sehingga saat transaksi hanya diperlihatkan sekilas pembayaran sudah sukses, padahal jelas pembayaran dilakukan ke QR Code yang salah, namun disini penjual kurang teliti untuk mengecek apakah dia menggunakan QR Code yang telah tersedia atau QR Codenya sendiri.

@nurilham, pertanyaan yang ditujukan kesaya sudah terbantu dijawab oleh @DroomieChikito ya, jadi ga perlu saya jawab ulang. Selebihnya, untuk keduanya, udah ga perlu sedikit berdebat. lebih baik saling menerima saja, toh ini thread dibuka untuk umum, dan karakter juga beda-beda. Selanjutnya ga perlu saling membela atau menyalahkan diri.  udah, salaman gih. haha

_ga perlu reply/quote post ini_

---

Yup, intinya dalam penggunaan QR adalah melakukan re-check setelah melakukan scan. Ini adalah cara terbaik untuk terhindar dari fake URL maupun Fake address lainnya. Namun, kadang yang menjadi kebiasaan adalah ketidakpedulian pengguna sebelum melakukan ekseskusi. Hal ini yang dapat menjerumuskan kita pada malware/phising. apalagi landing page yang membutuhkan Call-to-Action, kadang ketika kita melakukan klik CTA, ada file yang ikut terunduh, ini yang dikhawatirkan, unduhan tersebut adalah file yang sengaja disusupin pada halaman yang sudah terinjeksi untuk mendapatkan korban.

Yang saya pahami lebih kurang demikian mas, sementara itu jika dirasa antivirus malah membuat device jadi lemot atau memang belum mau menggunakannya, alternatifnya ya jangan mudah scan QR code sembarangan atau men'tap' link yang disertakannya jika memang itu dirasa mencurigakan.

---

Tidak semua antivirus aman digunakan juga om, saya juga dulu pernah mengalami file-file di PC hilang karena dianggap berbahaya dan di delete antivirus (plus mungkin karena waktu itu menggunakan versi free), jadi dalam hal ini memang mesti selektif juga memilihnya. Atau atur settingannya terlebih dulu semisal meng-ignore folder tertentu agar tidak didelete, bisa juga mensetting file ke karantina dulu (tidak langsung dihapus) sehingga kita bisa merecovery file dari sana.

Dari beberapa antivirus yang pernah saya gunakan, untuk saat ini saya pribadi lebih prefer ke BitDefender. dwyor.

Tidak perlu berlebihan, gan. Saya samasekali tidak tersinggung, saya hanya heran mengapa post saya dianggap tidak jelas. Itu saja.

Agan salah satu top poster SFI, tidak seharusnya menggunakan kata 'bodoh'. Saya juga tidak masalah siapapun yang mau menjawab pertanyaan saya. Sah-sah saja kalau agan mau merespon, hanya saya tidak sependapat dengan asumsi post saya tidak jelas arahnya. Karena sudah saya jelaskan di post saya sebelumnya, saya kira tidak perlu saya ulangi penjelasannya.


Baik, berarti kaitannya ketika download app QR codenya ke device atau ketika mau open URL Linknya. Pada proses ini bisa saja disusupi virus, malware, atau mengarah ke site yang berbahaya. Antivirus berguna untuk mencegah virus atau malware, dan juga mengingatkan jika ada site yang berbahaya. Seperti itu ya? 

Terima kasih @Husna QA, TBH saya sangat terbantu atas pencerahannya.

Antivirus mobile sekarang kan ada fitur browser extension, ada juga yang memiliki produk apps browser native misalnya Avast Secure Browser, yang begini ini bisa mendeteksi URL berbahaya kalau ada dalam database mereka.

Meskipun demikian, ane tidak menggunakan apps antivirus pada ponsel ane, karena beberapa kali mencoba cuma bikin berat dan tidak berguna kalau yang free. Cukup pakai duckduckgo aja udah cukup asalkan tidak asal ngeklik yes/ok pada perintah ganti permission, notifikasi, dsb.

Setelah scan QR Code umumnya data yang diekstrak kan butuh persetujuan lagi untuk dieksekusi, kek buka URL atau kirim email, ini kalau user cermat harusnya bisa mendeteksi adanya kejanggalan, tidak perlu bergantung pada antivirus mobile. Asalkan tidak di-root dan up to date, harusnya permission ponsel android (apalagi iPhone) sudah terlindungi dan aman.

Untuk anti virus,apa semuanya aman untuk di gunakan Om.karena saya pernah memakai Anti virus di Iphon saya,Tapi saat melakukan scan virusnya semua data saya terhapus,padahal itu data penting bagi saya dan ada juga App yang setelah kita lakukan scan virusnya App tersebut tidak bisa di buka lagi alias App rusak.
Apa ada rekomendasi Anti virus yang aman digunakan om...?

Karena bisa saja pada QR Code tersebut terdapat URL berbahaya yang berisi malware yang dapat mengekstrak data dari ponsel ketika di scan atau bisa juga berisi link URL yang mengarah ke situs phishing. Nah antivirus ini difungsikan sebagai salah satu langkah preventif untuk meminimalisir adanya malicious software yang otomatis terdownload baik ketika proses scan QR code ataupun ketika membuka URL link yang tertera didalamnya.

Bukannya kalau QR Code itu discan, bukan diklik?  
Karena sifat orang Indonesia suka asal klik, makanya dengan cara scan ini mereka mungkin lebih teliti.

Post ini cukup jelas, saya bertanya kepada OP karena saya kurang paham. Saya akui ilmu saya minim terkait QR Code ini, makanya saya bertanya tentang hal tersebut. Apakah ada yang salah dengan bertanya? Atau apakah pertanyaan saya di atas kurang jelas?  

Terima kasih sudah membantu menjawab pertanyaan saya (walaupun yang saya tuju jelas agan @masulum). Tidak ada masalah siapa pun yang mau membantu menjawab, hanya saya merasa keberatan jika disebutkan post tersebut arahnya tidak jelas.

menurut saya tidak, malah QR code ini pintu masuk malware dan pishing paling cepat dibanding dengan link manual, karena kita tidak mengetahui secara langsung tulisan atau angka pada QR Code tersebut. Apalagi orang Indonesia, main asal klik.

---

Walau pun sudah dibuat, dan sudah discan namun handphone kita dapat menolaknya, yaitu di aplikasi QR code itu sendiri atau aplikasi pembayaran semacam OVO, jadi ada baiknya sebelum menginstall dipastikan dulu untuk menonatifkan app tidak melacak


source: https://support.apple.com

---

Kalau berdasarkan fakta ini, dimana dia suka traveling dan bertemu langsung face to face antara dia dan penjual, menurut saya penggunaan VPN di HP dia itu tidak ada gunanya , karena sudah tahu orangnya, bentuk, paras dan wajahnya, jadi fungsi VPN sebagai menyembunyikan identitas diri tidak jalan. Apalagi dia ini tidak bawa uang cash, ketika dia mau belanja ke warung buat beli indomie, tapi bibik warung tidak punya QRIS, alias hanya nerima uang cash, bingung dibuatnya.

---

OP tidak menghubungkan antivirus dengan clickjaking, dan phising juga beda dengan clickjaking, dan phising itu bukan serangan (tidak berbahaya), itu hanya menyerupai situs asli. Anti virus juga tidak bisa medeteksi situs phising (menyerupai), karena antivirus itu akan bertindak pada file berextensi misal. exe, bat, dll bukan phising (website)

sehingga post sampeyan ini tidak jelas arahnya kemana.

---

---

tanggapan post di atas


Oh saya mohon maaf atas kesalahan saya. terima kasih atas arahannya. kedepan tidak akan saya ulangi lagi.


Ini memang kesalahan saya, betapa bodohnya saya menanggapi post anda.

untuk itu saya minta maaf atas ketersingungan dan keberatan anda.

---

---

---

tambahan dari saya untuk OP,

cara nyecan barcode (QR) code di hp sendiri, (karena pengalaman saya dulu, kalau mau scan QR code di hp sendiri pasti membutuhkan 2 HP, dimana HP 1-nya berisi QR code dan HP 1-nya lagi untuk scan. Ini pernah terjadi di saya ketika mau scan sebuah link,

HP yg saya gunakan android 11

1. screenshoot terlebih dahulu QR code, contoh:



2. lalu ke google chrome, klik gambar kamera/lens yang saya lingkari



3. setelah itu pilih gambar QR code yang telah di screensoot tadi, nanti akan muncul link untuk langsung diklik

---

---

---

---

Sumber: https://www.indotelko.com/read/1647707450/qr-code-berpotensi-bahaya-ini-tips-dari-itsec

berita di atas menunjukan sisi buruk QR code, dimana penjahat menempelkan QR code palsu di meteran parkir di texas sehingga banyak yang terjebak di situs palsu yang mengumpulkan data kartu kredit.

Saya kurang mengerti kaitan antivirus dengan keamanan QR Code. Apakah kalau ada antivirus bisa menjamin terhindar dari serangan phising atau scammer yang menggunakan cara clickjacking? Contoh serangan phising email, saya kira tidak ada kiatan ke antivirus tapi ini bagaimana cara kita setting pengaturan emailnya. Mohon dijelaskan gan kaitannya. Sekalian juga mohon pencerahannya mengenai antivirus seperti apa yang menurut agan cocok untuk mengantisipasi serangan phising atau clickjacking QR Code ini. Thx gan 

Yup, kadang orang kurang peduli dengan kontenya mas, sekali udah di scan, mereka langsung melanjutkan ke proses selanjutnya. Misal, kalau isinya URL, langsung kirim, kalau isinya address BTC, langsung sent. Kalau isinya ternyata fake address kan bisa langsung jadi korban phishing. Ketelitian juga diperlukan meskipun kita menggunakan metode QR. Karena tidak ngetik, bebas dari typo bukan berarti semuanya benar. Iya kan.

QR Code kan cuma menerjemahkan gambar menjadi teks/instruksi saja, jadinya aman tidaknya itu tergantung QR Codenya legit atau tidak. Jadi ya agak rumit juga kalau ada poster atau media apa saja yang ngasih QR Code, kita tidak bisa tau itu gambarnya bersifat "malicious" atau tidak. Lebih aman pakai langsung URL karena kita bisa baca dan langsung tau itu phishing atau bukan.

Pokoknya kalau scan QR Code harus dibaca lagi itu URLnya, addressnya, dsb. QR Code cuma memudahkan kita agar tidak perlu ngetik.

Tracking bisa pakai UTM sama kek campaign pada umumnya, atau pakai link shortener.

Penggunaan QR Code menjadi populer gara-gara pandemic Covid-19 kemarin, yang mana dengan tujuan untuk meminimalisasi kontak fisik maka banyak fasilitas umum (resto, kafe, dll) yang memanfaatkan QR Code untuk menggantikan menu fisik. Meskipun untuk para pengguna awam pada awalnya harus mengalami proses yang sedikit ribet, namun jika sudah terbiasa, QR Code bakal memberikan efisiensi waktu yang lebih cepat dan tentu saja lebih praktis dalam penggunaannya.

Dalam kasus pembayaran, tracking untuk proses pembayaran atau checkout tidak disematkan pada QR code, tetapi biasanya melaui tracking pihak ketiga seperti Google Analytic, dll. Ini bisa saja dipakai untuk pembayaran lokal yang melalui jasa penyedia payment gateway[1][2], maupun pembayaran bitcoin dengan BTCPay Server[3]. Kalau untuk pembayaran bitcoin melalui penyedia layanan tersentralisasi seperti Bitpay atau yang lain, saya kurang tahu, tapi saya yakin kurang lebih seperti cara pada umumnya.

Untuk live-track yang langsung disematkan pada QR code untuk pembayaran, sebenarnya bisa-bisa saja, tapi menurut saya tidak efektif. Untuk teknisnya sendiri bisa pakai link shortener tetapi isinya bukan link URL tetapi URL aplikasi(bitcoin:xxx).

[1] https://docs.xendit.co/integrations/woocommerce/features#flexible-payment-page-redirection
[2] https://docs.midtrans.com/en/after-payment/dashboard-usage?id=customizing-vt-web-preferences
[3] https://docs.btcpayserver.org/FAQ/ServerSettings/#how-to-add-google-analytics-code-to-btcpay

Menurut saya harusnya tidak menjadi masalah melakukan transaksi via QR Code sekalipun mengaktifkan aplikasi VPN.
Namun pastikan aplikasi VPN nya memang terpercaya dan bukan berupa malware yang "menyamar". Beberapa aplikasi VPN dan QR Code yang menyembunyikan malware (Clast82 -mampu menghindari sistem keamanan google play protect) antara lain bisa dilihat di: https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/

btw, QR code ini memang memudahkan seperti contoh dalam transaksi Bitcoin LN, itu kalau invoice atau LNURL (yang terdiri banyak karakter huruf/angka) ditulis manual kemungkinan resiko salah ketik malah lebih besar dan akan memakan waktu lebih lama. Nah double check setelah scan via QR Code ini yang kemungkinan ada saja yang mengabaikannya.

Untuk yang pertama, saya pikir thread ini cukup berguna untuk menambah wawasan dan pengetahun terutama tentang QR Code. Saya tidak mengoreksi banyak hal karena saya juga bukan pengguna yang serba tahu, tetapi saya hanya bisa menyarankan sedikit tentang judul thread agar sesuai dengan pembahasan.

Karena pembahasan pada thread ini lebih fokus pada ancaman atau resiko serta tips untuk menjaga keamanan saat menggunakan pemindai QR Code, maka sebaiknya judul yang sesuai menurut saya adalah: Tips untuk tetap aman menggunakan QR Code, Ketahui Resiko dan Ancamannya.

Jika anda peduli dengan kemanan maka anda mungkin harus peduli tentang kebijakan privasi dari aplikasi lain yang anda gunakan. Misalnya VPN, aplikasi tersebut pastinya memiliki kebijakan privasi dan mereka dapat mengumpulkan data pribadi anda. Biasanya data itu termasuk id perangkat pengguna, email, aktivitas aplikasi. Tetapi semuanya tidak terbatas jika anda menginstall aplikasi sembarangan karena setiap aplikasi memiliki kebijakan privasi sendiri sehingga anda harus benar-benar tahu data apa saja yang bisa mereka kumpulkan. Resiko keamanannya pasti ada, tapi selalu ada cara untuk praktik keamanan yang baik.

Penggunaan QR dalam metode pembayaran sangat bermanfaat bagi kita yang suka traveling,karena kita tidak perlu lagi membawa uang di saku kita.seperti yg Om paparkan di atas.Setiap ada kemudahan pasti ada resikonya.
Tapi,Penggunaan App tertntu seperti VPN apakah aman untuk kita yang melakukan pembayaran dengan QR code...?

INTRO
QR Code, kita pasti sudah sangat sering menggunakan metode pembayaran ini baik untuk Bitcoin, Altcoin maupun fiat. Era sekarang ini rasanya pengguna forum tidak mungkin tidak menggunakan QR, walaupun hanya sekali. Karena dengan QR ini semuanya menjadi lebih mudah. Bener ga sih?

Apa Itu QR Code?
QR Code adalah singkatan dari Quick Response Code/Kode Respon Cepat. Menurut Wikipedia, QR Code adalah bentuk evolusi kode batang dari satu dimensi menjadi dua dimensi.

TOPIK
Dari intro dan definisi seharusnya sudah jelas, saya pun tidak perlu memperpanjangnya. Disini, saya ingin memberikan beberapa hal yang penting mengenai keamanan dalam penggunaan QR. Beberapa orang meyakini bahwa, penggunaan QR code ini aman dan jauh dari malware atau pishing. benarkah?

Pada dasarnya, penggunaan QR ini memang aman karena pemindaian ini akan memberikan data secara langsung untuk pengguna baik melalui kamera smartphone maupun alat pemindai lainnya. Sejatinya, QR Code tidak membagikan data secara langsung terhadap pembuat, namun untuk sebagian kepentingan bisnis, pembuat QR dapat menambahkan fitur live-track untuk mengetahui potensi dari prospek. yang mana, orang yang memindai QR ini dianggap sebagai orang yang potensial. Umumnya, live-track ini disematkan pada URL/Link yang dikoversi ke QR. Untuk pemindaian dalam pembayaran, saya kurang paham, karena belum menemukan artikel yang memberikan penjelasan detil tentang apakah dalam pembayaran menggunakan live-track atau tidak.

Kembali pada tingkat keamanan, QR Code memang lebih aman bahkan untuk pengiriman dana seperti Bitcoin dan fiat, penggunaan QR ini dapat mengurangi potensi kesalahan dari penulisan secara manual maupun dari kesalahan copy and paste (selengkapnya, silakan baca di threadnya Loycev How to lose your Bitcoins with CTRL-C CTRL-V). Meskipun demikian, ini tidak 100% aman. Ini adalah beberapa ancaman dari penggunaan QR.


1. Rekayasa sosial atau serangan phishing
Mengklik tautan berbahaya sama dengan memindai kode QR berbahaya yang mengarah ke tautan yang sama. Scammers menggunakan taktik rekayasa sosial seperti memasangkan kode QR dengan teks bingkai yang mencurigakan seperti "pindai untuk mendapatkan X" untuk mengelabui orang agar memindai untuk mendapatkan akses ke perangkat mereka. Mereka juga dapat memanfaatkan rasa ingin tahu Anda dan menempatkan kode berbahaya di area publik dengan lalu lintas tinggi tanpa teks yang menyertainya.

2. Mengganti kode QR asli di tempat umum dengan kode palsu
Trik kode QR yang sederhana namun dapat berimbas fatal adalah ketika penjahat dunia maya mengganti kode asli yang ditempatkan oleh perusahaan di titik kontak tertentu dengan kode palsu. Saat pengguna memindai kode seperti itu, mereka diarahkan ke situs phishing yang kemudian bisa dengan mudah melakukan serangan malware.

3. Serangan phishing kode QR pada email
Kode QR juga dapat digunakan dengan email sebagai bagian dari serangan yang lebih besar, Saat pengguna memindai kode yang dikirimkan melalui email dari scammer/hacker, mereka dapat diarahkan pada halaman yang mengharuskan penerima untuk memasukkan kredensial atau informasi lainnya.

4. Pencurian uang
Ini adalah yang paling ditakutkan, pencurian uang. Penipu dapat memanfaatkan popularitas kode QR sebagai metode pembayaran. Mereka dapat menempatkan kode QR sebagai bentuk pembayaran tetapi uang Anda dikirim ke akun yang salah atau bahkan memiliki jumlah yang lebih tinggi dari yang diperlukan dikirim dari akun Anda. Ini akan mudah terjadi jika perangkat Anda sudah disusupi malware. Sama seperti ketika Anda melakukan Copy & Paste, saat address yang dipaste berbeda dengan address sebenarnya. Hacker dapat mengganti kode QR tersebut dengan address yang berbeda.

5. Clickjacking menggunakan kode QR
Metode lain yang digunakan adalah dengan mengarahkan pengguna yang memindai kode QR ke situs web yang tampak asli yang berisi konten untuk melakukan aksi, seperti tombol yang meminta pengunjung untuk mengklik. Dalam kebanyakan kasus, ketika Anda melakukan aksis tersebut, biasanya mengakibatkan pengunduhan malware ke perangkat Anda atau bentuk ancaman privasi lainnya. Contoh paling sering digunakan adalah penggunaan button "klik disini", "terima", "tolak" dan sebagainya yang semuanya adalah permintaan untuk melakukan suatu tindakan, atau kalau dalam bahasa sales di sebut Call-to-Action.

---

Tips Untuk Menjaga Keamanan Saat Melakukan Pemindaian/Scan QR

Rasanya, ga pantas juga kalau hanya kita memberikan informasi tentang ancamannya tanpa memberikan solusi untuk menghindarinya. Oke, langsung saja, sejatinya, penggunaan QR agar tetap aman tidak jauh beda dengan metode keamanan yang sering kita lakukan seperti.

1. Hindari scan di tempat umum
kita saat ini sangat mudah menggunakan QR Code, di toko, di warung, supermarket, mall dan sebagainya. Jika Anda menemukan QR, jangan asal scan. akan lebih baik jika Anda memastikan terlebih dahulu. Ini akan menghindarkan Anda dari ancaman fake QR.

2. Double-check
Setiap kali Anda melakukan pengiriman atau sebelum Anda membuka URL yang dikonversi ke QR, sebaiknya Anda perhaatikan terlebih dahulu apakah semuanya sudah sesuai. Jika itu wallet address Bitcoin, pastikan dulu sudah sesuai. Jika itu nomor rekening, pastikan juga sudah sesuai. Semua harus Anda pastikan, tidak asal klik kirim ataupun klik untuk kunjungi.

3. Pastikan perangkat memiliki antivirus
Jangan lupa untuk selalu menyediakan antivirus di perangkat Anda. Pilihlah antivirus terbaik menurut Anda, karena pemilihan tergantung personal pengguna, saya tidak menyarankan apa-apa. Namun saya pribadi adalah pengguna Node32 (bukan iklan, bukan arahan untuk menggunakan)

4. Otentikasi saat akan melakukan pengiriman kripto/uang fiat
Otentikasi saat akan melakukan pengiriman kripto/fiat sangat penting. Otentikasi ini dapat berupa pin dan password maupun 2-FA lainnya. Jadi, setidaknya sebelum mengirimkan uang, perlu pin tersebut.


KESIMPULAN
Penggunaan QR ini aman, tetapi harus disertai dengan seberapa bijak Anda dalam menggunakan fitur ini. Jika Anda asal-asalan dalam menggunakan, jangan salahkan orang lain ketika menjadi korban. Gunakan QR ketika Anda butuh, pastikan sebelum melakukan eksekusi.

Semoga thread ini dapat memberikan sedikit pengetahuan untuk Anda semua. Jika ada yang salah, silakan dikoreksi. Karena saya sadar, bukan orang yang maha mengetahui segalanya.



Sebagian konten pada thread ini diambli dari: https://learn.g2.com/qr-code-security