Karena kode QR terus banyak digunakan oleh organisasi yang sah — mulai dari iklan Super Bowl hingga memberlakukan biaya parkir dan denda, penipu telah menyusup untuk menyalahgunakan teknologi untuk tujuan jahat mereka.
Seorang wanita di Singapura dilaporkan kehilangan $20.000 setelah menggunakan kode QR untuk mengisi “survei” di toko bubble tea, sedangkan kasus kutipan parkir mobil palsu dengan kode QR yang menargetkan pengemudi telah diamati di AS dan Inggris
Memukul saat Anda sedang tidur
Seorang wanita yang berbasis di Singapura kehilangan $20.000 karena penipuan diam-diam setelah mengunjungi toko bubble tea.
Wanita berusia 60 tahun yang tidak disebutkan namanya itu, melihat stiker di pintu kaca toko bubble tea yang mendorong pengunjung untuk memindai kode QR dan mengisi survei untuk mendapatkan “secangkir teh susu gratis”.
Bagi orang biasa dan bahkan orang yang cukup paham secara teknis, ini saja mungkin tidak menimbulkan tanda bahaya mengingat program loyalitas dan hadiah sering menggembar-gemborkan penawaran semacam itu, dan menggunakan kode QR untuk melakukannya.
“Tertarik dengan apa yang tampak bagus, pria berusia 60 tahun itu memindai kode QR pada stiker dan mengunduh aplikasi pihak ketiga ke ponsel Androidnya untuk menyelesaikan ‘survei’,” laporan Waktu Selat.
Saat dia pergi tidur di malam hari, teleponnya tiba-tiba menyala. Aplikasi “survei” palsu yang dia unduh menyedot $20.000 dari rekening banknya.
Tuan Beaver Chua, kepala anti-penipuan di departemen kepatuhan kejahatan keuangan kelompok Bank OCBC, yang menyampaikan berita tentang korban ke media lokal menyebut penipuan itu sangat “berbahaya”.
“Penipuan ini sangat berbahaya karena penipu mengambil alih ponsel korban. Dan karena korban kehilangan kendali atas akun internet banking mereka, mereka bahkan tidak akan tahu kapan tabungan mereka telah habis sepenuhnya,” kata Mr. Chua.
Yang perlu diperhatikan adalah bahwa aplikasi malware tertentu yang diunduh oleh korban meminta pengguna untuk memberikan akses ke mikrofon dan kamera ponsel, serta Layanan Aksesibilitas Androidfungsi Android untuk membantu pengguna dengan kebutuhan khusus, yang juga memungkinkan aplikasi mengontrol layar ponsel.
Scammer kemudian secara pasif memantau penggunaan aplikasi mobile banking korban dan mencatat semua kredensial login yang dimasukkan oleh pengguna pada siang hari.
Semua izin yang disebutkan di atas, ketika diperoleh, kemudian memudahkan pelaku ancaman untuk memata-matai korbannya dan menunggu saat yang tepat—seperti pada waktu tidur, ketika mereka dapat melakukan aktivitas jahat tanpa diketahui.
“Walaupun penipuan malware bukanlah hal baru, scammer semakin inovatif,” kata Mr. Chua.
“Selain spanduk pop-up situs web, yang paling umum, menempelkan kode QR palsu di luar perusahaan F&B adalah cara licik lain untuk menggaet korban karena konsumen mungkin tidak dapat membedakan antara kode QR yang sah dan berbahaya.”
Tahun lalu, Kepolisian Singapura memperingatkan warga penjahat menyalahgunakan sistem identitas digital Singpass yang menggunakan kode QR. Penipu akan meminta korban untuk menyelesaikan survei palsu dan kemudian memindai kode QR Singpass melalui aplikasi resmi Singpass, sebagai bagian dari “proses verifikasi” sebelum korban dapat menebus hadiah uang.
“Namun, kode QR Singpass yang diberikan oleh scammers adalah tangkapan layar yang diambil dari situs web yang sah, dan dengan memindai kode QR dan mengotorisasi transaksi tanpa pemeriksaan lebih lanjut, korban secara tidak sengaja memberikan akses ke layanan online tertentu kepada pelaku,” demikian peringatan polisi. .
Tiket parkir palsu dan kode QR
Sementara itu, kasus penipu yang meninggalkan tiket parkir palsu di kaca depan pengemudi telah diamati di seluruh AS dan Inggris.
Minggu lalu, pengguna Reddit tutul tiket parkir palsu yang diklaim telah dikeluarkan dari pemerintah kota San Francisco.
“Saya tahu semua orang benci mendapatkan kutipan di San Francisco. Penipu semakin BERANI!! Mengeluarkan kutipan parkir palsu!! FYI: parkir di SF diatur oleh SFMTA, tidak akan pernah ada logo kota pada kutipan !! Harap berhati-hati , jika Anda menerima yang seperti ini, buang karena kode QR tertaut ke rekening bank Anda,” memperingatkan pengguna, yang telah membagikan gambar kutipan palsu tersebut:
Menariknya, tiket yang terlihat pada atau sebelum 4 Mei bertanggal di masa depan (5 Mei) yang akan mengibarkan bendera merah.
Kode QR pada gambar di atas mengarah ke tautan pemendek URL yang sekarang dinonaktifkan: hxxps://qr.link/g43phs
Tautan tersebut konon selanjutnya mengarahkan pengunjung ke hxxps://sfmta-project.vercel.app, situs web terlarang yang menyalin tampilan dan nuansa situs web resmi SFMTA (Badan Transportasi Kota San Francisco) agar tampak lebih meyakinkan.
KRON4, Saluran TV yang berbasis di San Francisco yang mengonfirmasi dengan SFMTA bahwa kutipan itu palsu, menjelaskan [1, 2] bagaimana penyiapan situs web peniru oleh pelaku ancaman (di sebelah kiri) terlihat hampir identik dengan situs web asli (di sebelah kanan).
Warganet juga dengan cepat mengamati bahwa situs web palsu tersebut menggunakan formulir pembayaran web Square untuk memproses transaksi penipuan. Domain terlarang yang dipermasalahkan dan akun Square telah dinonaktifkan.
“Kedua kalinya kami melihat ini. Terakhir kali itu kode QR berbahaya di meteran parkir di Texas,” menulis jurnalis Kim Zetter, mengacu pada penipuan tertentu.
“Kali ini pencuri di San Fran meninggalkan tiket parkir palsu di mobil dengan kode QR berbahaya yang, ketika dipindai, membawa ponsel ke situs web palsu untuk membayar denda.”
Jika ragu, pelanggan harus memverifikasi kutipan parkir atau korespondensi hukum di situs web resmi badan pemerintah. Misalnya, SFMTA memiliki a halaman web khusus di situs kotanya untuk mencari kutipan dan denda yang dikeluarkan oleh agensi.
Ironisnya, halaman web SFMTA yang sebenarnya pada akhirnya mengarahkan pengguna ke halaman web SFMTA-nya portal kutipan parkir dihosting di domain pihak ketiga: wmq.etimspayments.com, yang tidak serta merta membuatnya lebih dapat dibedakan dari penyiapan situs web terlarang oleh pelaku ancaman.
Pemerintah daerah Inggris, termasuk Isle of Wight Council, juga telah melakukannya memperingatkan warga untuk berhati-hati terhadap kode QR yang mereka temukan dapat disamarkan sebagai opsi meteran parkir “pembayaran cepat”.
“Orang-orang memindai kode dan memasukkan informasi kartu kredit mereka mengira mereka membayar untuk tempat itu, tetapi sebaliknya, itu mengarahkan mereka ke situs web palsu tempat penipu menangkap detail pembayaran mereka,” jelas pemberitahuan itu.
“Seorang pengendara baru-baru ini mengambil uang dari rekening bank mereka setelah mencoba membayar parkir di Sandown menggunakan kode QR palsu yang menempel di mesin. Mereka kemudian mengetahui penipuan tersebut oleh perusahaan kartu kredit mereka.”
Dewan sejak itu mengambil langkah-langkah untuk memeriksa meteran parkir untuk setiap QR palsu yang ditempatkan di sekitar mereka dan menyatakan bahwa mesinnya saat ini tidak menawarkan pembayaran melalui kode QR.
