TechDaily.id – Para ahli Kaspersky menemukan lonjakan email phishing yang berisi kode QR berbahaya di paruh kedua tahun lalu.
Deteksi untuk email-email ini melonjak dari 46.969 pada bulan Agustus menjadi 249.723 pada bulan November – pertumbuhan lebih dari lima kali lipat – karena pelaku kejahatan siber semakin sering memanfaatkan kode QR.
Frekuensi penyerang menggunakan kode QR dalam email lebih sering karena kode tersebut menyediakan cara sederhana dan
hemat biaya untuk menyembunyikan URL berbahaya, sehingga mampu menghindari deteksi oleh banyak solusi perlindungan.
Peningkatan Lima Kali Lipat Dalam Serangan Phishing Kode QR Pada Paruh Kedua Tahun 2025
Kode QR ini sering kali disematkan langsung di dalam isi email atau, yang lebih umum lagi, di dalam lampiran PDF – sebuah evolusi yang menyamarkan tautan phishing dan mendorong pengguna untuk memindainya di ponsel, yang mungkin memiliki keamanan lebih lemah daripada PC kantor.
Kode QR berbahaya umumnya muncul dalam kampanye phishing massal maupun yang ditargetkan. Tautan yang tertanam di dalamnya dapat mengarah ke:
Formulir phishing yang menyamar sebagai halaman login untuk layanan seperti akun Microsoft atau portal internal perusahaan, yang dirancang untuk mencuri nama pengguna, kata sandi, dan kredensial lainnya.
Pemberitahuan palsu yang mengaku dari departemen HR yang mendesak karyawan untuk meninjau atau menandatangani dokumen, seperti jadwal liburan, atau bahkan melihat daftar staf yang diberhentikan, hingga pada akhirnya mengarahkan ke situs pencurian kredensial.
Faktur atau konfirmasi pembelian palsu dalam lampiran PDF, sering dikombinasikan dengan taktik vishing (phishing suara) yang mendorong korban untuk menghubungi nomor telepon yang diberikan untuk membatalkan” atau mengklarifikasi transaksi, sehingga memungkinkan serangan rekayasa sosial lebih lanjut.
Taktik ini mengeksploitasi kepercayaan dalam komunikasi bisnis yang bersifat rutin, sehingga menyebabkan pencurian kredensial, pengambilalihan akun, pelanggaran data, dan penipuan keuangan.
Kode QR berbahaya telah berevolusi menjadi salah satu alat phishing paling efektif tahun ini, terutama ketika disembunyikan dalam lampiran PDF atau disamarkan sebagai komunikasi bisnis yang sah seperti pembaruan dari departemen HR. Pertumbuhan eksplosif di bulan November menyoroti bagaimana penyerang memanfaatkan teknik penghindaran berbiaya rendah ini untuk menargetkan karyawan di perangkat seluler, di mana perlindungan seringkali minimal. Tanpa analisis
gambar tingkat lanjut di gateway email dan praktik pemindaian yang aman, organisasi rentan terhadap kompromi kredensial dan pelanggaran hilir,” komentar Roman Dedenok, Pakar Anti-Spam di Kaspersky.
Untuk melindungi diri dari ancaman yang meningkat ini, Kaspersky merekomendasikan penerapan solusi keamanan server email seperti Kaspersky Security for Mail Server yang menyediakan pertukaran email perusahaan terpercaya dan aman, menangkal spam, infeksi melalui email, semua bentuk phishing, kompromi email bisnis (BEC), serangan kode QR, dan ancaman lainnya.
Apa Itu Phishing?
Phishing adalah metode penipuan online di mana pelaku menyamar sebagai pihak tepercaya untuk mencuri informasi sensitif, seperti:
- Username dan password
- Data kartu kredit
- Kode OTP
- Informasi perbankan
Pelaku biasanya mengirim pesan palsu yang terlihat meyakinkan, baik melalui email, SMS, aplikasi pesan instan, maupun media sosial.
Mengapa Phishing Masih Efektif?
Meski edukasi keamanan digital semakin luas, phishing tetap berhasil karena:
- Pesan dibuat sangat mirip dengan sumber asli
- Menggunakan tekanan psikologis seperti “akun akan diblokir”
- Memanfaatkan rasa panik dan kurangnya kewaspadaan pengguna
- Menyasar korban secara massal dengan biaya rendah
Kombinasi faktor teknis dan psikologis membuat phishing sulit diberantas sepenuhnya.
Jenis-Jenis Phishing yang Perlu Diwaspadai
🔹 Email Phishing
Modus paling umum, pelaku mengirim email palsu yang mengatasnamakan bank, e-commerce, atau layanan populer.
🔹 Smishing (SMS Phishing)
Pesan singkat berisi tautan mencurigakan yang mengarahkan ke situs palsu.
🔹 Vishing (Voice Phishing)
Penipuan melalui panggilan telepon, biasanya mengaku sebagai petugas resmi.
🔹 Phishing di Media Sosial
Akun palsu atau pesan langsung yang menawarkan hadiah, verifikasi akun, atau bantuan palsu.
Dampak Phishing bagi Korban
Korban phishing bisa mengalami:
- Kehilangan uang di rekening
- Akun media sosial atau email diretas
- Kebocoran data pribadi
- Penyalahgunaan identitas digital
Dampaknya tidak hanya finansial, tetapi juga merugikan secara psikologis dan reputasi.
Cara Mengenali Ciri-Ciri Phishing
Beberapa tanda umum pesan phishing antara lain:
- Alamat email atau nomor pengirim mencurigakan
- Tautan yang tidak sesuai dengan domain resmi
- Bahasa mendesak dan mengancam
- Permintaan data pribadi atau kode OTP
- Kesalahan ejaan atau tata bahasa yang tidak wajar
Jika menemukan ciri-ciri ini, sebaiknya jangan langsung mengklik tautan atau membalas pesan.
Tips Ampuh Menghindari Phishing
Untuk melindungi diri dari serangan phishing, lakukan langkah berikut:
- Jangan klik tautan mencurigakan
- Periksa alamat pengirim dengan teliti
- Aktifkan autentikasi dua faktor (2FA)
- Gunakan password yang kuat dan berbeda
- Selalu perbarui sistem dan aplikasi
- Laporkan pesan phishing ke pihak terkait
Kewaspadaan pengguna menjadi kunci utama dalam mencegah kejahatan siber ini.
