QRishing adalah bentuk serangan phishing di mana peretas mengeksploitasi kode QR untuk mencuri informasi pribadi, memasang perangkat lunak berbahaya di perangkat, atau mengarahkan seseorang ke situs web yang tidak aman.
Jadi bagaimana serangan ini bekerja? Bagaimana Anda bisa menghindari menjadi korban serangan QRishing?
Apa itu QRishing?
QRishing mengeksploitasi kecenderungan pengguna ponsel untuk memindai kode QR karena penasaran, bosan, atau kebutuhan.
Misalnya, penyerang dapat meninggalkan selebaran di halte bus atau di atas meja di restoran atau kedai kopi. Ketika seseorang memindai kode QR dengan ponsel mereka, mengira itu adalah iklan atau menu, itu akan menampilkan URL, gambar, atau peta dengan arah ke suatu lokasi, antara lain.
Dari sini, scammers mengandalkan rekayasa sosial untuk mengelabui korban agar berbagi informasi sensitif. Peretas juga dapat mengeksploitasi kerentanan seperti bug WebKit di browser untuk mengambil alih perangkat korban.
Bagaimana Cara Kerja QRishing?
Tentu saja, tidak semua orang akan memindai kode QR acak tanpa insentif atau keterangan yang menjelaskan apa yang dapat mereka lihat. Jadi penjahat dunia maya sering menemukan cara lain untuk membuat orang tertarik.
Ubah Kode QR Populer atau Tepercaya
Seorang penjahat dunia maya dapat mengambil selebaran dari, katakanlah, lembaga keuangan atau lembaga pemerintah yang populer. Selanjutnya, mereka mengubah kode QR tetapi menyimpan detail atau desain lainnya dan membagikan brosur secara online. Mereka juga dapat mempostingnya di tempat umum di mana orang dapat melihat dan memindai kode QR. Trik khusus ini dilaporkan dengan baik setelah Iklan Kode QR Coinbase di Super Bowl 2022 menjadi viral.
Tempel Pamflet Palsu Dengan Kode QR
Di sini, penjahat dunia maya dapat membuat selebaran palsu dengan kode QR yang dibuat untuk mengarahkan orang yang memindainya ke situs web tempat penyerang dapat mencuri datanya. Bahkan jika upaya ini gagal, penyerang masih dapat mengumpulkan data perangkat dan lokasi dari browser korban. Lebih buruk lagi, penyerang yang gigih dapat menggunakan sidik jari browser untuk melacak korban secara online.
Sematkan Kode QR di Email Scam
Bentuk QRishing ini biasanya merupakan bagian dari metode phishing email konvensional. Tidak seperti hyperlink yang dipersingkat, mengarahkan kursor ke kode QR tidak menunjukkan URL tujuan, jadi, untuk misalnya, mudah bagi scammer untuk memberi tahu calon korban untuk memindai kode QR agar berpeluang menang kartu ucapan.
Cara Menghindari QRishing
Memindai dan membaca kode QR sebagian besar membutuhkan dua hal: kamera dan browser untuk mengikuti informasi dalam kode QR. Karena sangat sederhana, itu berarti mudah untuk menghindari jatuh korban juga. Begini caranya.
Blokir Akses Kamera di Ponsel Anda
Kebanyakan orang memiliki kamera ponsel yang siap untuk mengabadikan momen penting atau melakukan panggilan video. Ini bisa dimengerti. Tetapi memiliki kamera yang selalu aktif juga dapat memudahkan Anda memindai kode QR tanpa berpikir dua kali.
Mempertimbangkan menonaktifkan kamera iPhone Anda saat tidak digunakan. Salah satu cara cepat untuk melakukannya adalah dengan menggesek ke bawah dari area notifikasi dan memblokir akses kamera. Cara lainnya adalah dengan menavigasi ke Setelan > Aplikasi > Izin. Anda kemudian dapat menonaktifkan kamera atau mengaturnya untuk meminta izin akses setiap kali Anda ingin menggunakan aplikasi. Prosesnya serupa untuk pengguna Android.
Tanpa ragu, Anda akan merasakan perubahan gaya hidup ini, terutama jika Anda sering menggunakan kamera. Namun, ketidaknyamanan sesekali menonaktifkan dan mengaktifkan kamera Anda sepadan dengan keamanan ekstra terhadap aplikasi QRishing dan pihak ketiga yang mengakses kamera Anda.
Perbarui Perangkat Lunak Anda
Peretas dapat mengeksploitasi kerentanan perangkat lunak di aplikasi atau sistem operasi ponsel Anda tanpa sepengetahuan Anda. Misalnya, peretas dapat mengeksploitasi kerentanan keamanan WebKit di browser Anda untuk meretas ponsel, tablet, atau bahkan jam tangan pintar Anda. Pertimbangkan untuk menyetel perangkat Anda untuk memperbarui aplikasi secara otomatis dan instal pembaruan keamanan segera setelah mereka tersedia.
Hindari Berbagi Informasi Sensitif Secara Online
Memindai kode QR dapat mengarahkan Anda ke halaman web atau formulir online tempat Anda akan diminta untuk memberikan informasi seperti biodata, alamat email, kata sandi akun, atau detail kartu Anda untuk kesempatan memenangkan hadiah fiktif.
Sebagai aturan praktis, hindari berbagi data pribadi apa pun secara online. Selain risiko akun Anda diretas atau uang dicuri, penjahat dunia maya juga dapat menggunakan detail yang Anda bagikan ke mencuri identitasmu.
Pikirkan Sebelum Anda Memindai
Anda tidak perlu memindai setiap kode QR yang disajikan kepada Anda. Tetap skeptis, dan jangan memindai apa pun yang tidak perlu. Dalam kebanyakan kasus, Anda dapat memeriksa situs web atau menu perusahaan dengan mencarinya secara online terlebih dahulu.
QRishing: Kurang Umum, tetapi Tetap Terdepan
QRishing kurang umum daripada jenis phishing lainnya karena penyerang perlu menginvestasikan beberapa upaya untuk mendistribusikan kode QR berbahaya. Namun, bentuk phishing ini relatif baru, dan tidak banyak orang yang mengetahuinya, yang berarti orang dapat dengan mudah terjerumus padanya. Penjahat dunia maya yang melakukan serangan ini memiliki segalanya untuk diuntungkan dan tidak ada ruginya.
