Kode QR mungkin terlihat tidak berbahaya, tetapi lebih berisiko daripada yang Anda kira.
Kode QR populer karena dapat dibaca dengan cepat oleh perangkat digital dan membuat banyak hal menjadi lebih praktis. Anda dapat menjelajahi situs web, mengunduh file, dan bahkan terhubung ke jaringan Wi-Fi dengan memindai kode QR.
Namun sayangnya, penggunaan kode QR juga menghadirkan kemungkinan masalah keamanan.
Apa Bahaya Kode QR?
Seseorang dapat menggunakan kode QR untuk menyerang interaksi manusia dan sistem otomatis. Untuk mengambil tindakan pencegahan, pertimbangkan beberapa contoh.
Serangan Injeksi SQL
SQL Injection adalah vektor serangan yang digunakan peretas untuk menyerang aplikasi berbasis basis data. Dengan metode ini, mereka bertujuan untuk mencuri data di database.
Untuk mendekati ini dari perspektif kode QR, bayangkan sebuah skenario di mana perangkat lunak decoding QR terhubung ke database dan menggunakan informasi kode QR untuk mengeksekusi kueri. Juga, ada Kerentanan injeksi SQL. Dalam skenario seperti itu, pembaca kode QR dapat menjalankan kueri Anda tanpa memverifikasi apakah itu berasal dari sumber yang diautentikasi. Dengan demikian, hacker dapat mencuri informasi dalam database.
Ini tidak sesulit atau berbelit-belit seperti yang terlihat. Saat Anda memindai kode QR, tautan ditampilkan di pembaca kode QR. Dengan memodifikasi parameter URL, dimungkinkan untuk melakukan serangan seperti injeksi SQL. URL tempat pemindai kode QR mengarahkan Anda, tentu saja, memungkinkan Anda melakukan vektor serangan semacam itu.
Injeksi Perintah
Dalam metode injeksi perintah, penyerang dapat menyuntikkan kode HTML yang mengubah konten halaman. Setiap kali pengguna mengunjungi halaman yang dimodifikasi, browser web menginterpretasikan kode, menghasilkan eksekusi perintah jahat pada perangkat tempat pengguna memindai kode QR. Dengan kata lain, ini adalah situasi di mana input dari kode QR digunakan sebagai parameter baris perintah.
Dalam kasus seperti itu, penyerang dapat memanfaatkan situasi dengan mengubah kode QR dan menjalankan perintah sewenang-wenang pada mesin. Penyerang dapat menggunakan metode ini untuk menyebarkan rootkit, spyware, dan serangan DoS, serta terhubung ke mesin yang jauh dan mendapatkan akses ke sumber daya sistem.
Rekayasa Sosial
Rekayasa sosial adalah nama umum untuk memanipulasi orang untuk mendapatkan akses tidak sah ke informasi rahasia mereka. Peretas menggunakan metode ini untuk mencuri informasi Anda atau membobol sistem. Phishing adalah salah satu taktiknya paling umum digunakan.
Dengan phishing, orang yang ditargetkan dipaksa untuk mengklik atau mengunjungi situs web palsu. Kode QR sangat berguna untuk pekerjaan ini karena pengguna tidak dapat memahami situs mana yang harus dikunjungi hanya dengan melihat kode QR.
Bayangkan masuk ke situs yang terlihat sama dengan situs seperti Twitter dan memiliki URL yang serupa. Jika Anda memasukkan informasi login Anda di sini, salah mengartikannya sebagai Twitter, Anda dapat kehilangan akun Anda karena peretas.
Cara Menghindari Kode QR yang Tidak Aman
Pada awal langkah-langkah yang dapat diambil terhadap serangan yang dilakukan oleh peretas dengan kode QR, orang yang merupakan mata rantai terlemah dalam rantai keamanan didahulukan. Dengan kata lain, pengguna harus lebih berhati-hati terhadap serangan rekayasa sosial dan sebaiknya tidak memindai kode QR yang sumbernya tidak diketahui. Karena orang tidak dapat membaca kode QR, sulit untuk mengetahui mana yang harus dipercaya. Inilah sebabnya mengapa Anda harus menggunakan pembaca kode QR yang aman.
Selalu perbarui sistem operasi perangkat seluler Anda dan gunakan aplikasi untuk membaca kode QR dengan aman. Banyak perangkat seluler modern dilengkapi dengan pembaca kode QR bawaan di kamera mereka. Namun, memiliki aplikasi kode QR di perangkat seluler yang memungkinkan pengguna memeriksa URL sebelum mengunjunginya memberi mereka kemampuan untuk memverifikasi sumber URL yang akan mereka akses. Pemeriksaan keamanan ini tidak dimungkinkan untuk kode QR yang tidak memberikan informasi yang menyertainya. Oleh karena itu, semua aplikasi pembaca kode QR diharuskan menampilkan URL yang didekodekan kepada pengguna sebelum membuka tautan dan meminta konfirmasi mereka.
Selidiki Perangkat Lunak Pembuat Kode QR
Memvalidasi pembuat kode QR dan pengujian integritas data akan berfungsi sebagai ukuran terhadap kemungkinan penipuan, injeksi SQL, dan serangan injeksi perintah. Penting untuk membakukan dan mengintegrasikan tanda tangan digital untuk otentikasi kode QR dan untuk memverifikasi apakah kode QR telah diubah atau tidak. Tanda tangan digital secara signifikan memperumit serangan berbasis kode QR karena mengharuskan penyerang untuk memodifikasi checksum dan dengan demikian mengubah proses verifikasi.
Anda tidak boleh mengandalkan banyak pembuat kode QR yang dapat Anda temukan di internet. Perhatikan teknologi dan perusahaan di balik generator ini.
Hati-hati dengan URL yang Tidak Aman
Mengarahkan pengunjung ke URL yang tidak tepercaya adalah salah satu serangan kode QR paling populer, yang dapat menyebabkan upaya phishing dan transmisi perangkat lunak berbahaya seperti virus, worm, dan trojan. Untuk mengamankan kepercayaan materi online terhadap serangan semacam itu, sangat penting untuk memvalidasi legitimasi konten dengan menentukan apakah program pembaca kode QR dapat membedakan antara palsu dan asli URL.
Waspadai Kode yang Dapat Dieksekusi
Untuk mencegah kode atau perintah yang dapat dieksekusi yang dipindai oleh kode QR mengakses sumber daya perangkat pemindaian, konten kode QR perlu diisolasi. Mengisolasi konten dapat membantu mencegah serangan seperti pelanggaran privasi, mengakses informasi pribadi, dan menggunakan perangkat pemindaian untuk serangan seperti DDoS dan Botnet. Metode paling sederhana adalah memblokir akses aplikasi, termasuk aplikasi pemindaian kode QR, ke sumber daya perangkat pemindaian (seperti kamera, buku telepon, foto, informasi lokasi, dll.).
Gunakan Kode QR, Tapi Hati-Hati
Dengan perkembangan teknologi yang cepat, kode QR telah menjadi bagian dari kehidupan kita sehari-hari. Anda dapat mengurangi risiko yang terkait dengan kode QR dengan menggunakannya secara bijak dan mengambil tindakan.
Berhati-hatilah saat memindai kode QR yang ditemui di Internet atau di lingkungan nyata. Manfaatkan program terkemuka, dan lindungi perangkat Anda dengan perangkat lunak antivirus terbaru. Sebaiknya juga tidak memindai kode QR dari situs yang mencurigakan atau tidak dapat dipercaya dan tidak memberikan informasi pribadi.