Skip to main content
29 Oktober 2024
# Topik
Ayo Terhubung

Jangan Asal Scan! QR-Code Bisa Jadi Jebakan Peretas Hingga Penipu

29 Oktober 2024

Phishing menggunakan kode QR – atau dikenal sebagai "quishing" – semakin meningkat, menurut HP Darktrace, Malwarebytes, AusCERT, dan banyak pihak lainnya.

 

DAFTAR ISI

Apa itu kode QR?

Kode QR adalah barcode matriks dua dimensi yang digunakan untuk melacak produk, mengidentifikasi item, menyederhanakan tindakan seperti terhubung ke jaringan nirkabel atau mengatur autentikasi multi-faktor untuk akun, dan menyampaikan konten tertentu ke pengguna ponsel (misalnya, dengan membuka halaman web/aplikasi di perangkat pengguna).

Saat ini, kebanyakan orang sudah mengenal tampilan kode QR dan tahu bahwa mereka perlu memindainya untuk mendapatkan informasi yang "tertanam" di dalamnya.

Sayangnya, tidak banyak pengguna yang menyadari bahwa kode QR tidak aman secara inheren dan dapat digunakan untuk tujuan jahat.

Phishing Kode QR: Contoh dan Taktik

Phishing QR biasanya datang melalui email dan berisi kode QR yang mengarah ke halaman web phishing atau penipuan.

Email quishing umumnya menyamar sebagai perusahaan terpercaya dan meminta pengguna untuk memindai kode QR dalam email mereka.

"Misalnya, mereka mungkin mengatakan bahwa pembayaran Anda dari pembelian online gagal, dan Anda perlu memasukkan kembali informasi kartu kredit dengan memindai kode QR. Korban yang tidak curiga akan memindai kode QR, masuk ke situs web yang tampak sah, dan memasukkan informasi pembayaran mereka," Microsoft.

Ketika targetnya adalah eksekutif atau karyawan perusahaan, mereka lebih mungkin diarahkan – biasanya melalui serangkaian pengalihan terbuka – ke halaman login palsu akun Microsoft 365.

phishing QR codes kaspersky

Gambar: Email quishing bertema Microsoft. (Sumber: Kaspersky)

AusCERT baru-baru ini melakukan analisis terhadap sampel email yang dikirimkan oleh organisasi anggotanya, dan menemukan bahwa sebagian besar email tersebut dibuat seolah-olah berasal dari manajer dalam organisasi tersebut.

"AusCERT mengamati bahwa kode QR yang tertanam dalam email berisi URL yang mengarah ke situs web palsu yang meniru merek atau organisasi terpercaya seperti Microsoft," ungkap CERT yang berbasis di Australia tersebut.

Darktrace baru-baru ini mencantumkan pola dan kesamaan dalam email phishing kode QR yang mereka lihat:

  1. Email-email tersebut menyampaikan rasa urgensi/mendesar/segera
  2. Beberapa email secara langsung merujuk pada pengaktifan autentikasi dua faktor (2FA) atau aktivasi kode QR, tampak sangat meyakinkan, dan terlihat seperti berasal dari departemen IT organisasi
  3. Beberapa email berasal dari akun sah yang telah disusupi
  4. Satu email dibuat seolah-olah berasal dari perusahaan yang baru diakuisisi oleh perusahaan target

"Karakteristik lain yang dimiliki email-email ini adalah mereka memiliki sedikit atau tidak ada teks dalam isi email dan tidak mengandung bagian teks biasa," catat para peneliti.

"Hal ini menghambat analisis tekstual dan penyaringan email untuk kata kunci dan bahasa mencurigakan yang bisa mengungkap niat phishing-nya."

Taktik tambahan yang digunakan untuk melewati gateway keamanan email termasuk pengalihan berbahaya melalui domain layanan yang tampak aman dan tautan berbahaya yang terdapat dalam lampiran.

Apakah Quishing Efektif?

Sebuah pengujian kesadaran keamanan karyawan yang baru-baru ini dilakukan oleh Hoxhunt mengungkapkan bahwa hanya 36% dari hampir 600.000 karyawan dengan berbagai tingkat senioritas yang berhasil mengidentifikasi dan melaporkan email phishing yang membawa kode QR.

"Lebih dari setengah gagal mengenalinya sebagai ancaman, sementara 5% karyawan lainnya bahkan memindai kode QR atau mengklik tautan," diungkap perusahaan tersebut.

Sebuah laporan anekdotal dari seorang profesional keamanan yang menjalankan simulasi phishing kode QR terhadap karyawan organisasi mereka menunjukkan tingkat pemindaian/klik yang serupa: 6%.

Sementara para profesional keamanan mendiskusikan secara online tentang solusi pihak ketiga, aturan alur email dan filter, query dan trik yang dapat mencegah email phishing kode QR mencapai kotak masuk rekan kerja mereka, satu hal yang jelas: pelatihan kesadaran phishing harus diperbarui untuk memasukkan ancaman quishing.

Quishing adalah phishing dengan sentuhan berbeda, jadi saran umum untuk mengenali phishing masih berlaku. Tapi pengguna harus dibuat sadar bahwa email phishing (dan pesan teks, dan pesan media sosial) juga dapat mencakup kode QR berbahaya.

Pengguna harus diberitahu untuk lebih berhati-hati saat mengevaluasi keabsahan email yang membawa kode QR. Mereka harus melihat pratinjau URL di balik kode QR sebelum mengklik dan menggunakan pemindai kode QR dengan fitur keamanan bawaan.

Kesimpulan

Quishing merupakan taktik phishing terbaru dimana penipu menggunakan kode QR dalam email untuk mengarahkan korban ke situs palsu. Penelitian menunjukkan bahwa 64% karyawan gagal mengenali ancaman ini, dengan 5-6% bahkan terjebak memindai kode berbahaya. Serangan ini sulit dideteksi karena minimnya teks dalam email.

Untuk melindungi diri dari quishing Anda dapat menerapkan tips-tips berikut:

  1. Selalu asal kode QR tersebut sebelum memindanya
  2. Gunakan pemindai QR dengan fitur keamanan bawaan
  3. Waspadai email yang meminta:
    1. Tindakan segera/mendesak
    2. Informasi sensitif (seperti data kartu kredit)
    3. Verifikasi akun melalui kode QR

 

Sumber: Zeljka Zorz (26 Oktober 2023).

 

Blog ini didukung oleh pembaca. Kami dapat memperoleh komisi afiliasi ketika Anda membeli melalui tautan di situs web kami. Ikuti kami juga di Google News Publisher untuk mendapatkan notifikasi artikel terbaru. Terima kasih.

 

 

Foto Rizal Consulting
Full-time Freelancer
🗓️ Sejak 2006 💻 Sabtu - Kamis ⏰ 08-17 WIB ☎️ 0813-8229-7207 📧