Penipuan Kode QR (Quishing): Ancaman yang Bersembunyi di Depan Mata
Penipuan kode QR, disebut quishing, melonjak di tahun 2026. Pelajari bagaimana kode QR palsu mencuri uang dan data Anda, di mana penipu menempatkannya, dan cara memindai dengan aman sebelum mengetuk.
· Truvizy Research Team · 8 min read
TL;DR
Quishing adalah phishing kode QR: penipu mengganti kode QR yang sah di menu restoran, meteran parkir, label paket, dan poster publik dengan kode yang mengarahkan ke situs web pencuri kredensial. Karena kamera ponsel Anda hanya menampilkan pratinjau URL kecil sebelum Anda membukanya, kebanyakan orang tidak menyadari pergantian tersebut. Selalu periksa URL tujuan sebelum membuka tautan kode QR apa pun, gunakan pemindai QR dengan pemeriksaan keamanan bawaan, dan jika ragu ketik alamat web resmi secara manual.
Anda tiba di garasi parkir, memindai kode QR pada kios pembayaran, dan memasukkan kartu kredit untuk membayar tempat Anda. Transaksi tampak berhasil. Malam itu, bank Anda menelepon tentang tiga tagihan penipuan dari luar negeri. Anda tidak menyerahkan kartu Anda kepada siapa pun. Anda tidak mengklik email yang mencurigakan. Yang Anda lakukan hanyalah memindai kode QR, dan itu sudah cukup. Selamat datang di quishing: penipuan yang tumbuh paling cepat yang belum pernah didengar oleh kebanyakan orang.
Kode QR dirancang untuk kenyamanan, pindai dan pergi. Namun pengalaman tanpa hambatan yang sama yang membuatnya menarik bagi bisnis juga menjadikannya berbahaya di tangan penipu. Tidak seperti tautan email yang mencurigakan yang dapat Anda arahkan kursor untuk pratinjau, kode QR tidak mengungkapkan apa pun sampai setelah Anda mengarahkan kamera ke sana. Pada saat Anda melihat URL tujuan, banyak korban telah mengetuk 'buka'. Celah sepersekian detik itulah yang dieksploitasi quishing.
Apa Itu Quishing?
Quishing, gabungan kata 'QR' dan 'phishing', adalah praktik menyematkan URL berbahaya di dalam kode QR untuk mengarahkan korban ke situs web penipuan. Penipuan ini dapat mengambil beberapa bentuk: secara fisik mengganti kode yang sah dengan stiker palsu di ruang publik, mengirim kode QR melalui email atau teks yang melewati filter spam tradisional, atau membuat dokumen palsu (faktur, kutipan parkir, pemberitahuan paket) yang secara menonjol menampilkan kode penipuan.
Pusat Pengaduan Kejahatan Internet FBI menandai quishing sebagai ancaman prioritas yang muncul pada 2024, dan angkanya hanya memburuk sejak saat itu. Perusahaan keamanan siber mendokumentasikan peningkatan 587% dalam serangan phishing berbasis kode QR antara 2024 dan 2025. Teknik ini menjadi populer di kalangan cincin penipuan terorganisir karena murah untuk dieksekusi, sulit dideteksi dalam skala besar, dan dirancang khusus untuk melewati alat keamanan email yang tidak dapat membaca URL yang disematkan dalam gambar.
Quishing adalah bagian dari pergeseran yang lebih luas dalam taktik penipuan menuju serangan yang mengutamakan mobile. Seperti yang kami dokumentasikan dalam analisis kami tentang bagaimana AI mempercepat kecanggihan penipuan, penipu secara khusus menargetkan alat dan kebiasaan yang telah diadopsi orang di era smartphone, dan kode QR adalah salah satu kebiasaan mobile yang paling banyak diadopsi dalam lima tahun terakhir.
Cara Kerja Penipuan Kode QR
Mekanika serangan quishing sangat sederhana secara mengecohkan. Seorang penyerang menghasilkan kode QR yang mengkodekan URL berbahaya, biasanya versi kloning dari halaman login bank, portal pembayaran, atau layanan pemerintah. Halaman palsu dirancang untuk terlihat identik dengan yang sah, menangkap kredensial atau informasi pembayaran apa pun yang dimasukkan korban.
Dalam serangan fisik, penipu mencetak kode penipuan pada stiker dan menempatkannya di atas kode yang sah pada meteran parkir, tenda meja restoran, atau papan pengumuman publik. Penggantiannya hanya butuh beberapa detik. Penyerang kemudian dapat meninggalkan area dan mengumpulkan data yang dicuri dari jarak jauh. Satu stiker yang ditempatkan dengan baik pada meteran parkir yang ramai dapat menangkap puluhan korban per hari.

Quishing berbasis email mengikuti panduan yang berbeda. Penyerang mengirim pesan yang meniru bank, departemen HR, atau operator paket, mengklaim bahwa penerima perlu memverifikasi akun atau melacak pengiriman mereka, dan menyertakan kode QR untuk 'dipindai dengan ponsel untuk keamanan tambahan'. Instruksi ini disengaja: memindahkan interaksi ke perangkat mobile membawa korban menjauh dari komputer perusahaan dengan alat keamanannya dan ke ponsel pribadi dengan lebih sedikit perlindungan.
Begitu di halaman palsu, korban menghadapi formulir pemanenan kredensial yang dipoles. Serangan yang lebih canggih menggunakan teknik penerusan real-time: saat korban memasukkan nama pengguna dan kata sandi mereka, penyerang memasukkan kredensial tersebut ke situs web nyata secara bersamaan, lalu meneruskan kembali permintaan otentikasi dua faktor ke korban, sepenuhnya melewati perlindungan 2FA.
Tidak yakin tentang tautan dari kode QR? Tempelkan URL ke Truvizy untuk memeriksanya dari indikator phishing sebelum memasukkan informasi apa pun.
Di Mana Kode QR Palsu Muncul
Meteran parkir dan kios pembayaran adalah di antara lokasi yang paling banyak ditargetkan di AS. Departemen Transportasi Texas mendokumentasikan puluhan stiker kode QR palsu pada meteran parkir di kota-kota besar pada 2024. Korban memasukkan detail kartu kredit lengkap dengan harapan membayar parkir dan sebagai gantinya menyerahkan data keuangan mereka langsung ke penipu. Penipuan ini bekerja sangat baik karena pembayaran parkir membuat stres, pengemudi sering terburu-buru dan tidak mengamati antarmuka pembayaran dengan cermat.
Tenda meja restoran dan menu menjadi vektor utama saat makan tanpa sentuhan menyebar pasca-pandemi. Stiker dengan kode QR penipuan yang ditempatkan di atas atau di sebelah kode yang sah dapat mengarahkan pengunjung ke menu palsu atau halaman pembayaran. Dalam beberapa kasus, halaman palsu bahkan menampilkan menu yang meyakinkan sebelum mengarahkan ke formulir pemanenan kredensial yang mengklaim restoran beralih ke pemesanan online.
Label pengembalian paket mewakili kategori serangan yang berkembang pesat. Korban menerima paket, kadang tidak diminta, kadang sebagai bagian dari kampanye hadiah palsu, yang mengandung label pengembalian dengan kode QR. Memindai kode seharusnya memulai pengembalian tetapi sebaliknya mengarah ke portal ritel palsu yang meminta informasi kartu kredit untuk 'pemrosesan pengembalian dana'.
Angkutan umum dan halte bus membawa risiko signifikan karena rambu dikelola oleh kotamadya dengan kapasitas pemantauan terbatas. Kode penipuan pada peta transit, kios tiket, atau layar pembayaran tarif dapat tidak terdeteksi selama berhari-hari sebelum dihapus. Di Inggris, Transport for London menghapus ratusan kode QR penipuan dari stasiun pada 2025.
Serangan berbasis email dan dokumen menargetkan bisnis sebanyak konsumen. Faktur palsu yang mengandung kode QR untuk 'pembayaran aman', pemberitahuan HR penipuan yang mengharuskan karyawan memindai kode untuk memperbarui informasi penggajian, dan pemberitahuan pengiriman paket palsu semuanya adalah vektor serangan perusahaan yang umum. Seperti yang dibahas dalam panduan kami tentang deteksi email phishing, serangan berbasis email menjadi semakin canggih dalam penggunaan elemen visual untuk menghindari penyaringan otomatis.
Selebaran amal dan penggalangan dana palsu mengeksploitasi kemurahan hati. Setelah bencana alam atau peristiwa berita besar, selebaran penipuan dengan kode QR donasi muncul di papan pengumuman komunitas, di supermarket, dan di media sosial. Kode tersebut menautkan ke halaman pembayaran amal palsu yang meyakinkan yang menangkap donasi dan detail kartu tanpa membuat donasi nyata.
Mengapa Penipuan QR Begitu Efektif
Efektivitas quishing berasal dari ketidaksesuaian kepercayaan yang mendasar. Kode QR dikaitkan dengan kenyamanan dan modernitas, ditempatkan oleh bisnis yang sah pada material resmi. Orang telah dilatih selama bertahun-tahun untuk mempercayai konteks fisik kode QR lebih dari mereka mempercayai tautan email acak. Kode di meja restoran atau meteran parkir membawa dukungan implisit dari lokasi itu sendiri.
Aplikasi kamera memberikan gesekan minimal. Sebagian besar smartphone secara otomatis mengenali kode QR dan menampilkan pratinjau URL kecil yang secara naluriah pengguna abaikan tanpa membaca. Jendela pratinjau kecil, URL sering panjang atau disingkat, dan kecenderungan alami otak untuk mencocokkan pola berarti pengguna sering melihat apa yang mereka harapkan daripada yang sebenarnya ada. URL seperti 'secure-payment-parkingzone.com' dibaca sebagai 'parkir' oleh pengguna yang tidak perhatian meskipun sinyal bahaya bagi yang berhati-hati.
Anda tiba di meteran parkir dan memindai kode QR. Kamera ponsel Anda menampilkan URL pratinjau: 'parking-pay-secure-city.com/pay'. Meteran berada di kota besar AS. Apa yang harus Anda lakukan?
- Buka tautan segera, menyebutkan kota jadi pasti sah
- Periksa URL dengan cermat: apakah cocok dengan domain resmi kota Anda untuk pembayaran parkir?
- Telepon kotamadya untuk konfirmasi
- Gunakan slot kartu fisik sebagai gantinya
Answer: Domain yang terdengar umum seperti 'parking-pay-secure-city.com' adalah tanda bahaya besar. Sistem parkir resmi kota Anda akan memiliki domain yang spesifik dan dikenal (misalnya paybyphone.com atau situs.gov resmi kota Anda). Selalu verifikasi URL tujuan cocok dengan domain resmi yang diharapkan sebelum memasukkan informasi pembayaran apa pun, atau gunakan slot kartu fisik jika tersedia.
Konteks mobile juga menghilangkan banyak alat keamanan yang dimiliki orang di komputer desktop. Perlindungan endpoint perusahaan, ekstensi browser yang menandai situs phishing, dan kebiasaan mengarahkan kursor ke tautan untuk pratinjau tidak dapat diterjemahkan ke mobile. Di ponsel, pengguna sebagian besar sendirian.
Cara Mengenali Kode QR Palsu
Periksa kode secara fisik. Cari stiker yang ditempatkan di atas material cetak. Stiker palsu sering memiliki stok kertas yang sedikit berbeda, sedikit misalignment dengan elemen desain sekitarnya, atau tepi yang terlihat di mana stiker tumpang tindih dengan teks cetak. Jalankan kuku Anda di sepanjang permukaan, stiker berlapis biasanya memiliki tepi yang sedikit terangkat.
Baca URL lengkap sebelum mengetuk. Setelah kamera memindai kode, notifikasi atau banner pratinjau muncul. Berhenti sebelum mengetuknya dan baca URL lengkap. Perhatikan: nama bisnis yang diharapkan dalam domain (bukan sufiks atau awalan), domain tingkat atas yang sah (.com,.gov,.org, bukan ekstensi yang tidak biasa seperti.xyz atau.top), dan ketiadaan kata-kata tambahan seperti 'secure', 'login', 'verify', atau 'payment' yang ditambahkan pada nama merek.
Waspada terhadap urgensi. Kode yang dipasangkan dengan bahasa seperti 'Segera pindai', 'Penawaran terbatas', atau 'Diperlukan untuk akses' dirancang untuk membuat Anda bertindak sebelum berpikir. Bisnis yang sah biasanya tidak menggunakan bahasa mendesak dan bertekanan tinggi di sekitar kode pembayaran QR.
Cocokkan dengan saluran resmi. Sebelum memindai kode QR dari email atau dokumen yang mengklaim berasal dari bank, departemen HR, atau operator, periksa apakah organisasi tersebut benar-benar mengirim komunikasi dengan menghubungi mereka langsung melalui situs web atau aplikasi resmi mereka. Jangan pernah menggunakan informasi kontak yang diberikan dalam pesan yang sama yang mengandung kode QR. Untuk mengevaluasi tautan mencurigakan dan konten dari sumber yang tidak dikenal, alat pemindai Truvizy dapat membantu Anda menilai risiko sebelum berkomitmen pada tindakan apa pun.
Gunakan alternatif saat tersedia. Jika kode QR adalah satu-satunya opsi pembayaran di meteran parkir atau kios, pertimbangkan menggunakan slot kartu fisik, membayar melalui aplikasi resmi khusus yang Anda unduh dari toko aplikasi yang diverifikasi, atau mencari metode lain. Kenyamanan tidak boleh mengesampingkan keamanan saat pembayaran atau informasi pribadi terlibat.

Apa yang Harus Dilakukan Jika Anda Tertipu
Jika Anda memindai kode, membuka tautan, dan memasukkan informasi, bertindak cepat. Setiap menit penundaan memberi penyerang lebih banyak waktu untuk menggunakan data Anda.
Jika Anda memasukkan detail kartu pembayaran: Segera hubungi saluran penipuan bank Anda (gunakan nomor di bagian belakang kartu Anda, bukan nomor dari situs yang mencurigakan). Minta pembekuan atau penggantian kartu. Minta bank menandai tagihan apa pun dari saat Anda memasukkan informasi.
Jika Anda memasukkan kredensial login: Segera ubah kata sandi Anda dari perangkat terpisah yang terpercaya. Aktifkan otentikasi dua faktor jika belum aktif. Periksa perangkat atau sesi yang tidak dikenal yang masuk ke akun dan hapus. Jika Anda menggunakan kata sandi yang sama di tempat lain, ubah juga.
Tempatkan peringatan penipuan pada file kredit Anda dengan salah satu dari tiga biro utama (Equifax, Experian, TransUnion), ini memberi tahu dua lainnya secara otomatis. Jika Anda percaya identitas Anda telah dikompromikan, pertimbangkan pembekuan kredit, yang gratis dan mencegah akun baru dibuka atas nama Anda. Panduan komprehensif kami tentang pencegahan pencurian identitas mencakup proses pemulihan penuh secara mendetail.
Lindungi diri Anda dari penipuan kode QR dan ancaman mobile lainnya dengan deteksi penipuan bertenaga AI.
Melindungi Diri Anda ke Depannya
Kebiasaan terpenting adalah berhenti sebelum Anda mengetuk. Seluruh desain quishing bergantung pada fakta bahwa pemindaian QR terasa otomatis dan instan. Memecah respons otomatis itu, bahkan selama dua detik untuk membaca URL, mengganggu serangan. Jadikan ini aturan: pratinjau URL dulu, baru buka.
Gunakan aplikasi pemindai QR khusus yang melakukan pemeriksaan keamanan real-time pada URL yang didekode sebelum mempresentasikannya kepada Anda. Aplikasi-aplikasi ini, tersedia gratis dari vendor keamanan utama, berfungsi seperti pemeriksa URL yang tertanam dalam alur kerja pemindaian Anda. Mereka adalah padanan mobile dari mengarahkan kursor ke tautan sebelum mengklik.
Perbarui OS dan browser ponsel Anda. Patch keamanan sering menutup kerentanan yang dieksploitasi serangan drive-by download saat situs berbahaya dikunjungi. Ponsel yang tidak dipatch jauh lebih rentan terhadap tahap kedua serangan quishing, bahkan jika kredensial Anda tetap aman.
Aktifkan otentikasi dua faktor menggunakan aplikasi autentikator, bukan SMS. Seperti yang kami catat dalam panduan kami tentang smishing dan penipuan teks, 2FA berbasis SMS dapat dicegat. Aplikasi autentikator menghasilkan kode secara lokal di perangkat Anda, membuat serangan penerusan real-time jauh lebih sulit.
Laporkan kode mencurigakan di mana pun Anda menemukannya. Jika Anda melihat stiker yang terlihat mencurigakan pada kode QR publik, foto lokasi tersebut dan laporkan ke bisnis atau otoritas setempat. Menghapus stiker berbahaya dalam beberapa jam dapat melindungi puluhan korban potensial lainnya.
Key Takeaways
- Selalu baca URL tujuan lengkap di pratinjau kamera Anda sebelum mengetuk tautan kode QR apa pun, terutama di meteran parkir, restoran, dan halte transit.
- Stiker kode QR palsu dapat muncul di atas kode yang sah dan hampir tidak mungkin dideteksi tanpa pemeriksaan fisik untuk tepi yang tumpang tindih.
- Kode QR dalam email melewati sebagian besar filter phishing perusahaan, perlakukan dengan skeptisisme yang sama yang akan Anda terapkan pada tautan email apa pun.
- Jika Anda memasukkan detail pembayaran atau login di situs yang mencurigakan, segera hubungi bank Anda dan ubah kata sandi yang terpengaruh dari perangkat terpisah.
Kode QR tidak akan hilang, dan penipu yang mengeksploitasinya pun tidak. Seiring pembayaran nirsentuh, menu digital, dan layanan yang mengutamakan mobile semakin tertanam dalam kehidupan sehari-hari, quishing akan semakin canggih dan lebih tersebar luas. Penangkalnya adalah kesadaran: mengetahui bahwa kode QR fisik apa pun dapat diganti, kode apa pun dalam email dapat menautkan ke mana saja, dan dua detik yang diperlukan untuk membaca URL sebelum mengetuk bisa jadi dua detik yang menyelamatkan Anda dari pelajaran yang sangat mahal.
Paket perlindungan Truvizy mencakup alat untuk menganalisis URL dan tautan yang mencurigakan, tempelkan URL yang didekode dari kode QR mana pun ke Truvizy sebelum membukanya dan dapatkan penilaian berbasis AI instan tentang legitimasinya. Dalam lanskap ancaman di mana penipu menyembunyikan tautan berbahaya di dalam gambar, memiliki alat yang memeriksa tujuan sebenarnya bukan lagi opsional, ini adalah keharusan.
Smishing: Mengapa SMS dari Bank Anda Mungkin Penipuan — Phishing berbasis teks yang berbagi panduan psikologi yang sama dengan quishing.
Deteksi Email Phishing — Cara mengidentifikasi serangan berbasis email, termasuk yang menggunakan kode QR untuk melewati filter.
Serangan Rekayasa Sosial — Teknik manipulasi psikologis di balik quishing dan semua penipuan modern.
FAQ
Apa itu quishing?
Quishing adalah phishing kode QR, sebuah penipuan di mana penyerang mengganti atau membuat kode QR palsu yang mengarahkan korban ke situs web berbahaya yang dirancang untuk mencuri kredensial login, informasi pembayaran, atau memasang malware pada perangkat mereka.
Bagaimana cara mengetahui apakah kode QR palsu sebelum memindainya?
Periksa kode secara fisik: cari stiker yang ditempatkan di atas kode asli, kerusakan pada material sekitarnya, atau kode yang terlihat sedikit berbeda dibandingkan yang ada di sekitarnya. Setelah memindai, selalu periksa URL tujuan lengkap di pratinjau aplikasi kamera Anda sebelum mengetuk 'buka'. Jika URL tidak cocok persis dengan domain bisnis yang diharapkan, jangan lanjutkan.
Bisakah memindai kode QR memasang malware di ponsel saya?
Hanya memindai kode QR dengan kamera Anda tidak memasang malware, tetapi membuka tautan yang dihasilkan bisa. Situs berbahaya dapat mencoba unduhan drive-by, phishing kredensial, atau meminta Anda memasang aplikasi palsu. Perbarui OS ponsel Anda, hindari mengizinkan instalasi aplikasi dari sumber yang tidak dikenal, dan gunakan pemindai QR dengan pemeriksaan keamanan URL bawaan.
Lokasi mana yang memiliki risiko tertinggi kode QR palsu?
Lokasi berisiko tinggi meliputi meteran parkir, meja restoran dan menu, halte angkutan umum, label pengembalian paket, lobi hotel, dan selebaran yang dipasang di tempat umum. Setiap ruang fisik yang tidak dipantau di mana seseorang bisa mengganti kode semalaman tanpa terdeteksi adalah target potensial.
Apa yang harus dilakukan jika sudah memindai dan memasukkan informasi di situs yang mencurigakan?
Bertindak segera: ubah kata sandi yang Anda masukkan, hubungi bank Anda jika memberikan detail pembayaran, aktifkan otentikasi dua faktor pada akun yang terpengaruh, dan pantau laporan kredit Anda. Laporkan insiden ke FTC di reportfraud.ftc.gov dan, jika ada di properti bisnis, beri tahu bisnis tersebut agar dapat mengganti kode yang telah dikompromikan.