- Quishing (QR Phishing) adalah penipuan atau serangan cyber berbentuk kode QR yang akan mengarahkan korban menuju situs web berbahaya
- Dengan quishing, pelaku bisa mencuri data pribadi bahkan meretas perangkat korban
- Perbedaan quishing dan phishing: Quishing menggunakan gambar kode QR, sementara phishing menggunakan link URL
- Dalam bisnis korporat, quishing sangat berbahaya karena mengincar data karyawan atau informasi penting perusahaan melalui modus kontrak palsu, pemalsuan QR verifikasi, dan pencurian info login karyawan
Pernah diminta memindai kode QR untuk verifikasi dokumen atau login? Hati-hati, karena cara ini kini menjadi pintu masuk baru pencurian data. Penjahat siber mulai beralih dari tautan palsu ke kode QR karena lebih sulit dideteksi sistem keamanan. Bahkan, Kaspersky mencatat lonjakan hingga 5 kali lipat serangan email phishing berbasis kode QR atau quishing pada akhir 2025.
Fenomena ini membuktikan bahwa pelaku kejahatan semakin cerdik memanfaatkan celah teknologi. Namun, apa sebenarnya quishing itu? Bagaimana cara kerjanya dan cara mencegahnya?
Apa Itu Quishing?
Quishing adalah singkatan dari QR Phishing, sebuah modus serangan cyber yang menggunakan kode QR palsu untuk mengarahkan korban ke situs web berbahaya. Melalui QR code palsu itu, pelaku bisa mencuri data pribadi, meretas perangkat dengan malware, bahkan mengakses keuangan korban.
Quishing merupakan salah satu jenis phishing. Perbedaannya secara sederhana terletak pada media pengirimannya: phishing menggunakan tautan teks (URL), sedangkan quishing menggunakan gambar kode QR berisi tautan situs palsu.
Bagaimana Cara Kerja Quishing?
Penipuan dengan kode QR ini memiliki cara kerja yang mirip dengan phishing. Namun, ia memanfaatkan QR code di lokasi strategis atau dokumen palsu untuk menjebak korban. Berikut bagaimana kerja quishing:
- Pembuatan QR palsu → Peretas membuat kode QR yang mengarahkan korban ke situs web palsu menyerupai situs resmi (web spoofing)
- Penyebaran kode QR → Kode palsu mulai disebar dengan ditempel di tempat strategis atau dikirim melalui email/media sosial dengan kalimat urgensi, misalnya “Scan untuk klaim hadiah Anda!” atau “Akun Anda ditangguhkan”
- Pemindaian oleh korban → Korban yang panik, percaya, atau penasaran men-scan QR menggunakan kamera smartphone
- Pencurian data → Saat korban memindai kode tersebut, browser pada perangkat akan langsung membuka situs berbahaya. Di sinilah peretas mulai melakukan penyadapan data atau memaksa pengunduhan file jahat.
Baca Juga: Serang Psikologis untuk Curi Data, Ini Social Engineering!
Apa Beda Quishing dengan Phishing?
Selain dari medianya, quishing dan phishing tradisional memiliki perbedaan lain seperti berikut:
| Fitur | Phishing | Quishing |
| Review | Tautan URL bisa dilihat atau di-preview | Situs tujuan baru bisa terlihat setelah kode di-scan |
| Keamanan | Mudah dideteksi oleh filter spam | Sering lolos dari filter keamanan karena berupa gambar |
| Target Perangkat | Menargetkan pengguna komputer, laptop, dan smartphone | Lebih menargetkan pengguna dengan smartphone yang memiliki kamera pemindai |
| Kepercayaan | Pengguna waspada terhadap link asing yang terlihat aneh | Memanfaatkan psikologi bahwa kode QR dianggap lebih “resmi” dan modern |
Bahaya Quishing dalam Bisnis Korporat
Dalam bisnis, QR phishing bisa berakibat fatal karena mengincar karyawan korporat dengan berbagai modus untuk mencuri informasi pribadi karyawan atau menyerang sistem perusahaan dengan ransomware.
Berikut beberapa contoh quishing dalam perusahaan:
- Modus kontrak palsu: Pelaku mengirim dokumen kontrak kerja atau perjanjian kerja sama yang mencantumkan QR code dengan instruksi “Pindai untuk Verifikasi Tanda Tangan” atau “Scan untuk Akses Dokumen Lengkap”
- Pemalsuan QR verifikasi: Pelaku memalsukan kode QR pada dokumen digital agar terlihat seperti fitur validasi resmi, padahal jika di-scan akan mencuri informasi pribadi karyawan bahkan perusahaan
- Pencurian kredensial login karyawan: QR palsu sering digunakan untuk mengarahkan karyawan ke halaman login palsu Microsoft 365 atau portal internal perusahaan agar bisa mengakses database
Cara Mencegah Quishing
Mengingat ancaman ini menyerang celah visual, berikut berbagai cara mencegah quishing:
- Jangan asal scan QR: Hindari memindai kode QR dari dokumen yang datang dari pengirim tidak dikenal atau di luar jalur komunikasi resmi perusahaan
- Cek URL tujuan: Sebelum membuka link pada hasil pindaian, teliti kembali nama domainnya untuk memastikan tidak ada karakter aneh atau typo pada URL tersebut
- Gunakan sistem internal: Selalu gunakan portal internal perusahaan untuk verifikasi dokumen dan jangan mengandalkan aplikasi pemindai pihak ketiga yang tidak terjamin keamanannya
- Gunakan tanda tangan digital resmi: Pastikan setiap persetujuan dokumen dilakukan melalui platform legal dan sah tanpa perlu scan kode QR dari sumber eksternal
Baca Juga: ISO 27701: Standar Internasional Amankan Data Pribadi
Pemahaman bahwa quishing adalah ancaman serius menjadi sangat penting bagi setiap pelaku bisnis. Dengan selalu memvalidasi setiap tautan di balik kode QR dan menggunakan jalur distribusi resmi, Anda dapat memastikan integritas dokumen serta kerahasiaan data korporat tetap terjaga.
Sementara itu, Mekari Sign adalah aplikasi persetujuan dokumen digital bagian dari ekosistem Mekari yang telah tersertifikasi ISO/IEC 27001:2022. Dengan menggunakan jalur resmi Mekari Sign, setiap proses verifikasi tanda tangan digital dan dokumen dilakukan melalui sistem yang aman dan terenkripsi, sehingga Anda terhindar dari risiko pemalsuan dokumen berkedok kode QR palsu atau serangan quishing lainnya.
Tanda tangan dokumen digital aman dengan Mekari Sign!
Referensi
- Kaspersky detects 5x surge in QR phishing attacks. Security World Market. https://www.securityworldmarket.com/me/News/Business-News/kaspersky-detects-5x-surge-in-qr-phishing-attacks
