tirto.id - Beredar di media sosial, video yang diklaim memperlihatkan modus baru peretasan pencurian data pribadi dengan menggunakan Quick Response Code Indonesian Standard (QRIS).
Kembali ke video yang beredar. Video tersebut memperlihatkan seorang pria yang sedang menunjukan modus baru peretasan data pribadi hanya dengan menggunakan QRIS. Pertama, ia meminta salah satu orang dalam video tersebut untuk memindai kode QRIS yang ia bawa dengan menggunakan ponsel.
Setelah melakukan pemindaian, QRIS tersebut diklaim mengarahkan ke situs yang diklaim mirip dengan situs resmi milik salah satu bank di Indonesia.
Situs tersebut lalu memberikan semacam formulir yang meminta sejumlah data pribadi seperti nama, password, dan Personal Identification Number (PIN). Setelah formulir tersebut diisi, data pribadi milik korban diklaim akan langsung terekam di laptop milik pelaku penipuan tersebut.
Narasi dalam bentuk video berdurasi 2 menit dan 28 detik tersebut disebarkan oleh sejumlah akun di Facebook, di antaranya “Kgs Effendi Feri” (arsip), “Arlan Jamil” (arsip), “Noermansjah Sjarif” (arsip), dan “Peter Huang” (arsip) dalam periode Selasa (19/11/2024) hingga Kamis (28/11/2024).
“Hack Data Lewat Qris Code,” tulis keterangan takarir salah satu unggahan tersebut pada Kamis (28/11/2024)
Tirto juga menemukan video berbeda namun dengan narasi serupa diunggah oleh akun Facebook bernama “Ada Apa yah” dan “DasteranClub” pada Senin (25/11/2024).
Sepanjang Kamis (28/11/2024) hingga Senin (2/12/2024), atau selama empat hari tersebar di Facebook, salah satu unggahan tersebut telah memperoleh 6 tanda suka dan videonya telah 31 kali diputar. Lantas, bagaimana kebenaran klaim modus baru pencurian data menggunakan QRIS tersebut?
Penelusuran Fakta
Pertama, Tirto melakukan penelusuran dengan mencari asal usul dan konteks utuh video tersebut. Kami menemukan petunjuk bertuliskan “The Samuel Christ Show” pada latar video, petunjuk tersebut kami gunakan untuk menjadi kata kunci pencarian di platform pencarian video Youtube.
Hasil penelusuran mengarahkan kami ke video yang diunggah di kanal YouTube bernama “Samuel Christ” berjudul “ORANG KAYA DITARGET OLEH MAFIA JUDOL!” pada Kamis (14/11/2024). Video tersebut berisi rekaman siniar antara host Samuel Christ yang mewawancarai seorang bernama Mr. Bert yang menyatakan bahwa QRIS bisa digunakan untuk melakukan penipuan.
Untuk menelusuri klaim tersebut, Tirto mencoba melakukan pemindaian terhadap kode Quick Response (QR) yang ditunjukan dalam video dengan menggunakan aplikasi QRIS di aplikasi mobile banking milik Bank BCA dan aplikasi dompet digital Go-Pay. Hasilnya, kode QR yang ditampilkan dalam video tersebut tidak dapat terbaca dengan aplikasi QRIS.
Tirto kemudian melakukan pemindaian kode QR yang ditampilkan tersebut dengan menggunakan Google Lens. Hasil pemindaian justru berhasil mengarahkan kami ke situs beralamat verifikasidata.com, namun sayangnya situs tersebut diketahui telah tak bisa diakses.
Meski begitu, kami menemukan penelusuran terdahulu yang dilakukan oleh TemSalahpo pada Kamis (21/11/2024). Pada saat itu, Tempo masih bisa mengakses situs yang berhasil dipindai oleh Google Lens tersebut, situs itu berpenampilan mirip situs dari Bank Rakyat Indonesia (BRI) namun bisa dipastikan bukan situs resmi dari BRI. Dalam situs itu, pengguna harus masuk (login) dengan memasukkan tiga jenis data pribadi, yakni username, password, dan PIN.
Jadi, bisa dipastikan kode QR tersebut merupakan kode biasa yang tidak dapat dibaca menggunakan QRIS yang tersedia di aplikasi perbankan dan pembayaran, melainkan harus menggunakan pemindaian manual Google Lens.
Mengutip penelusuran Tempo, Assistant Professor Cyber Security dari Monash University-Indonesia, Rizka Widyarini Purwanto, juga mencoba memeriksa kode menyerupai QRIS dalam video itu.
"Video tersebut tidak ada hubungannya dengan QRIS, tapi menggunakan kode QR (bukan QRIS) untuk mencuri data," ujarnya dikutip dari Tempo, Kamis (21/11/2024).
Lebih lanjut, Rizka meminta masyarakat awam untuk berhati-hati. Ia menjelaskan, jika kode QR tidak dapat dipindai oleh aplikasi bank maupun dompet digital lalu melanjutkan proses transaksi dengan memindainya dengan kamera.
"Sebenarnya ini mudah untuk dihindari. Jika tidak dapat dipindai pada aplikasi perbankan, maka patut dicurigai," katanya.
Masih mengutip sumber yang sama, Ketua Komtap Cyber Security Awareness Asosiasi Pengusaha TIK Nasional (Aptiknas) Alfons Tanujaya, sistem QRIS dari Bank Indonesia sejauh ini aman. Kasus pencurian data maupun penipuan keuangan dapat terjadi karena rekayasa sosial.
“Jadi bukan kelemahan di sistem QRIS,” kata dia.
Sebagai informasi, mengutip penjelasan Bank Indonesia, kode QR dan QRIS merupakan dua hal yang berbeda.
Kode QR atau QR Code adalah sebuah kode matriks 2 (dua) dimensi, terdiri atas penanda tiga pola persegi pada sudut kiri bawah, sudut kiri atas dan sudut kanan atas, memiliki modul hitam berupa persegi, titik atau piksel, dan memiliki kemampuan menyimpan data alfanumerik, karakter dan simbol.
Sementara, QRIS (dibaca KRIS) adalah penyatuan berbagai macam QR dari berbagai Penyelenggara Jasa Sistem Pembayaran (PJSP) menggunakan QR Code. QRIS dikembangkan oleh industri sistem pembayaran bersama dengan Bank Indonesia agar proses transaksi dengan QR Code dapat lebih mudah, cepat, dan terjaga keamanannya.
Bank Central Asia (BCA) melalui penjelasan dalam situs resminya membagikan sejumlah tips langkah pencegahan yang dapat membuat transaksi menggunakan QRIS tetap aman.
Pertama, pastikan kode QRIS resmi dari Bank Indonesia yang memiliki ciri-ciri sebagai berikut: logo dan informasi perusahaan tertera jelas di sekitar kode QR; warna dan desain QRIS sesuai dengan standar, misalnya QRIS resmi dari Bank Indonesia biasanya berwarna merah dan putih; serta tautan atau alamat website yang tertera pada QRIS adalah tautan sah.
Kedua, kode QRIS yang asli hanya dapat di-scan dengan scanner aplikasi pembayaran seperti mobile banking atau aplikasi e-wallet milik bank atau lembaga non-bank.
“Scanner aplikasi pembayaran tidak dapat memindai QRIS palsu yang berisi link (akan keluar respon invalid). Jika kamu diarahkan untuk mengisi username, password atau credential data lainnya maka itu adalah QRIS palsu. Jangan pernah mengisi data pribadi kamu di link tersebut,” tulis BCA dalam keterangan resminya.
Ketiga, kode QRIS yang resmi jika di scan hanya akan muncul nama toko/merchant, nama bank atau lembaga non-bank yang merekrut toko/merchant, rekening sumber dana dan nominal transaksi yang harus diisi (untuk QRIS Statis). Nominal transaksi akan langsung tercantum pada QRIS Dinamis (QRIS yang di generate oleh mesin pada saat transaksi).
“Kode QRIS resmi tidak berisi link melainkan string pembayaran yang hanya dapat di-scan oleh aplikasi pembayaran. Ingat, QRIS resmi tidak berisi link yang meminta data pribadi perbankan,” tulis BCA.
Keempat, kode QRIS resmi tidak dapat diproses dengan aplikasi kamera ponsel, karena hanya akan terbaca sebagai text. BCA mengimbau masyarakat untuk jangan pernah menggunakan aplikasi kamera ponsel untuk melakukan pembayaran transaksi QRIS, karena berpotensi untuk dimanfaatkan oleh penipu, apalagi jika berisi link yang diarahkan untuk mengisi data-data pribadi perbankan.
Dari sejumlah tips dan ciri-ciri yang disampaikan Bank BCA tersebut, bisa dipastikan kode yang ditampilkan dalam video merupakan kode QR dan bukan merupakan kode QRIS.
Kesimpulan
Berdasarkan hasil penelusuran fakta yang dilakukan, narasi modus baru pencurian data menggunakan QRIS seperti yang ditampilkan dalam video bersifat salah dan menyesatkan (false and misleading).
Merujuk penjelasan BCA, kode QRIS asli hanya dapat di-scan dengan aplikasi pembayaran seperti mobile banking atau aplikasi e-wallet milik bank atau lembaga non-bank. Sementara, kode QR yang tertera dalam video tersebut tidak dapat dipindai di aplikasi mobile banking atau aplikasi dompet digital.
==
Bila pembaca memiliki saran, ide, tanggapan, maupun bantahan terhadap klaim Periksa Fakta dan Decode, pembaca dapat mengirimkannya ke email factcheck@tirto.id.
Editor: Farida Susanty
