Tetaplah terinformasi dengan pembaruan gratis
Cukup daftar ke Cyber Security myFT Digest — langsung dikirimkan ke kotak masuk email Anda.
Bank dan regulator memperingatkan bahwa penipuan phishing kode QR — yang juga dikenal sebagai “quishing” — berhasil lolos dari pertahanan siber perusahaan dan semakin berhasil memperdaya pelanggan untuk memberikan rincian keuangan mereka.
Lembaga keuangan termasuk Santander, HSBC, dan TSB telah bergabung dengan UK National Cyber Security Centre dan US Federal Trade Commission di antara yang lain untuk memperingatkan tentang peningkatan kode QR palsu yang digunakan untuk kampanye penipuan yang canggih.
Jenis penipuan email baru ini sering melibatkan penjahat mengirimkan kode QR dalam lampiran PDF. Para ahli mengatakan strategi ini efektif karena pesan-pesan tersebut sering lolos dari filter keamanan siber perusahaan — perangkat lunak yang biasanya menandai tautan situs web berbahaya, tetapi seringkali tidak memindai gambar dalam lampiran.
“Daya tarik bagi para penjahat adalah bahwa ini melewati semua pelatihan [keamanan siber] dan juga melewati produk-produk kami,” kata Chester Wisniewski, seorang penasihat senior di perusahaan perangkat lunak keamanan Sophos.
Peneliti dan manajer penipuan mengatakan sulit untuk memperkirakan biaya dari “quishing” karena perusahaan keamanan siber dan bank biasanya tidak mencatat format tautan berbahaya dan karena email-email semacam itu mungkin hanya satu elemen dalam serangan siber yang lebih luas.
Tetapi penelitian oleh IBM menemukan bahwa serangan “phishing” — yang melibatkan penipu mengirimkan email-target dengan tautan berbahaya — semakin mahal bagi perusahaan, dengan biaya rata-rata global dari pelanggaran data meningkat hampir 10 persen menjadi $4.9 juta pada tahun 2024.
Kode QR mengandung data, seperti URL atau informasi pembayaran, dalam kode biner. Diciptakan oleh perusahaan Jepang Denso Wave pada tahun 1994 sebagai alat pelacakan suku cadang otomotif, kode-kode ini dirancang untuk dapat dibaca dengan cepat oleh mesin, terutama ponsel pintar, tetapi umumnya tidak dapat dibaca oleh manusia.
Meskipun sebagian besar ponsel pintar menampilkan pratinjau singkat dari URL yang terdapat dalam kode QR yang dipindai, para peneliti mengatakan bahwa pop-up ini umumnya tidak cukup bagi pengguna untuk dapat mendeteksi bahwa tautan tersebut mungkin palsu.
“Serangan-serangan ini memanfaatkan fakta bahwa kode QR, secara alamiah, sulit diinterpretasikan secara visual, sehingga korban seringkali tidak tahu ke mana mereka diarahkan sampai sudah terlambat,” kata Amir Sadon, direktur riset di konsultan keamanan siber Sygnia.
Bank mengatakan bahwa prevalensi jenis penipuan semacam ini telah meningkat sejak kode QR melonjak popularitasnya selama pandemi Covid-19, ketika mereka digunakan untuk menampilkan segala hal mulai dari paspor vaksin hingga menu restoran. “Ini jelas menjadi tren yang berkembang dalam hal jumlah laporan yang kita lihat,” kata Steph Harrison, seorang manajer operasi penipuan senior di TSB.
Survei oleh perusahaan perangkat lunak keamanan McAfee pada bulan Mei menemukan bahwa lebih dari seperlima dari semua penipuan online di UK mungkin berasal dari kode QR. Laporan penipuan kode QR di UK lebih dari dua kali lipat dalam setahun hingga Agustus 2024, menurut Action Fraud.
US Federal Trade Commission, serta beberapa otoritas setempat di seluruh UK, juga memperingatkan tahun ini tentang jenis penipuan “quishing” tertentu yang menargetkan pengemudi, termasuk kasus di mana stiker yang mengarahkan pengguna ke situs web palsu ditempatkan di atas kode QR yang sah yang digunakan untuk membayar parkir.
Tautan ini dapat mengarahkan pengguna ke situs web yang salah dan meminta mereka memasukkan rincian mereka, atau mengarahkan mereka untuk mengunduh malware. Lebih buruk lagi, kata Harrison, “Anda juga bisa didenda karena sebenarnya tidak memiliki tiket parkir”.
Korban juga melaporkan kode QR palsu ditempatkan di atas yang asli di titik pengisian daya EV, stasiun kereta api, dan meja restoran.
Tetapi para peneliti mengatakan bahwa penipuan “quishing” paling sering digunakan dalam email — ancaman yang telah menempatkan vendor keamanan perusahaan di bawah tekanan untuk menyesuaikan pertahanan online mereka.
“Saat ini hampir tidak ada [produk keamanan siber] yang melihat lampiran,” kata Wisniewski. “Jika masalah ini terus berlanjut, saya kira industri akan harus beralih ke sana — tetapi hal itu akan memperlambat pengiriman email, dan juga membuat biaya menjadi lebih mahal.”
\”