Peranan Qr Code, Bahaya Keamanan Di Balik Kemudahan

"Sini mama transferin pakai QR code di aplikasi mobile banking ya," ujar mama kepada saya.

Tawaran yang diucapkan pada Oktober kemudian menciptakan saya mengernyitkan dahi. Ada dua hal yang menciptakan saya mengernyit.

Pertama, sosok ibu yang berumur kepala lima sudah paham betul penggunaan teknologi isyarat QR untuk mengirimkan uang. Padahal saya yang termasuk generasi milenial tak mengetahui sama sekali penggunaan teknologi tersebut.

Kedua, teknologi perbankan memunculkan kekhawatiran dalam diri saya terkait duduk kasus sistem keamanan.

Sedikit klarifikasi mengenai transfer uang dengan cara gres ini. Nasabah beberapa bank dikala ini sudah sanggup memakai teknologi Quick Respons Code atau QR Code.

Seperti namanya, nasabah sanggup dengan cepat melaksanakan perpindahan uang dengan pemindai isyarat tertentu antar ponsel. Teknologi ini sudah banyak dipakai untuk aplikasi dompet digital.

Namun, untuk industri perbankan masih menjadi hal baru. Pakar keamanan siber dari Vaksin.com Alfons Tanujaya membagikan sedikit langkah mengamankan transaksi QR Code dari oknum tak bertanggung jawab.

Alfons mengakui adanya agresi sabotase QR code. Baginya, sang pengirim harus yakin bahwa QR code tersebut yakni milik akseptor saldo.

"Jadi pada dasarnya QR Code yang kau kasih itu isinya nomor rekening dan proses otomatis transaksi yang tinggal klik selesai. Makara harus lebih hati-hati dan teliti sebelum menyetujui," ujar Alfons dikala dihubungi CNNIndoneia.com, Selasa (27/11).

Fitur ini pada pada dasarnya menciptakan seseorang tidak perlu repot lagi memasukkan nomor rekening yang mendapatkan transfer saldo. Penerima transfer tinggal memperlihatkan QR code signature (khusus) ke pengirim transfer. Kemudian, pengirim transfer memasukkan nominal jumlah transfer dan kemudian pin mobile banking.

Alfons menyampaikan celah keamanan yang sanggup dimanfaatkan penjahat yakni metode di mana akseptor transfer sanggup mengirimkan QR Code via aplikasi pesan singkat. Kemudian pengirim tinggal mengambil QR Code yang sudah tersimpan di galeri ponsel untuk melaksanakan pemindaian.

"Pada prinsipnya jikalau pakai QR Code niscaya akan lebih nyaman, tetapi lebih tidak kondusif dibandingkan transfer dengan memasukkan nomor rekening. Kelihatannya kini kenyamanan mulai mengalahkan keamanan," kata Alfons.

Sebagai praktisi keamanan siber, Alfons merasa berkewajiban perihal potensi-potensi bahaya keamanan QR Code. Alfons kemudian menawarkan citra satu skenario akomodasi sekaligus kerentanan QR Code.

"Kalau saya minta kau transfer ke saya Rp1 juta, saya kasih nomor rekening, nama bank. Kamu harus daftarkan dulu nomor rekening, kemudian waktu transfer akan minta OTP One Time Password (bisa token sanggup SMS). Makara ada cross check,"ujar Alfons

"Kalau QR Code, nasabah hanya mendapatkan satu kali konfirmasi apakah benar mau transfer ke nama ini? Tanpa OTP, tanpa daftar rekening / token. Kalau eksklusif masukkan PIN ya sudah jalan," lanjutnya.

Alfons menyarankan lebih baik pengiriman transfer via QR code ini dengan nominal kecil. Hal ini untuk menghindari kemungkinan-kemungkinan kesalahan dalam proses QR code.

QR Code Dompet Digital

Pembahasan Alfons kemudian beralih ke penggunaan QR code untuk berbelanja di outlet-outlet sentra perbelanjaan. Sebut saja Gopay, Ovo, Tcash dan Dana yang memungkinkan akomodasi pembayaran ini.

Pengguna tidak perlu repot-repot memasukkan PIN ataupun OTP di aplikasi, pengguna tinggal melaksanakan pemindai QR code yang sudah 'mejeng' di depan outlet. Bagi Alfons, potensi kejahatan lebih besar di pembayaran dompet digital lantaran QR code yang terpampang itu sanggup disabotase dan diganti dengan QR code yang mengandung isyarat jahat.

"Secara teknis QR Code sanggup saja diganti dan dipalsukan, jadi memang harus hati-hati dalam melaksanakan transaksi dengan QR Code harus dengan pihak terpercaya," kata Alfons.

Makara ketika seseorang memindai QR code jahat tersebut, maka orang tersebut akan masuk ke situs-situs yang sanggup mengeksploitasi data atau mengandung virus.

"Perangkat yang memindai QR code itu akan otomatis mengunjungi situs web yang sudah disiapkan dan biasanya agresi eksploitasi sudah dipersiapkan situs web yang jahat ini," tutur Alfons.

Alfons menyampaikan dinding pertahanan pembayaran QR code hanya merupakan PIN di awal membuka aplikasi. Setelah itu tidak ada lapisan keamanan lainnya.

"Kalau ketemu orang gaptek atau ceroboh ya rentan di eksploitasi. Pengamanan satu-satunya hanya PIN. Sekali jebol tamat semuanya," ujar Alfons.

Dihubungi terpisah, pakar keamanan siber Pratama Persadha Communication and Information System Security Research Centre (CissRec) juga mengakui potensi sabotase QR code oleh penjahat.

Pratama menyampaikan indra penglihatan insan tidak sanggup membedakan QR code yang orisinil dan yang palsu. Sehingga baik konsumen maupun penjual juga tidak mengetahui keaslian QR code.

"QR code sulit dibedakan orisinil atau palsu oleh mata manusia. Sehingga dikala ada QR code resmi orisinil dari merchant kemudian diubah dan ditambahkan link virus serta malware yang menyedot rekening, sulit bagi korban maupun merchant sendiri untuk tahu," kata Pratama.

Pratama memberi rujukan dari masalah di China pada penghujung 2017 kemudian yang merugikan konsumen hingga lebih dari US$13 juta atau sekitar Rp188 miliar yang diakibatkan oleh penipuan QR code.

Pratama menyampaikan di China konsumen sedang getol memakai QR code untuk metode pembayaran. Kegetolan ini disebabkan oleh dua raksasa teknologi Alibaba dan Tencent fokus menggarap ekosistem cashless di China.

"Alibaba dan Tencent yang fokus dengan Alipay serta WeChat pay. Keduanya bahkan disalahkan sebagai pihak pihak yang bertanggung jawab atas banyaknya pencurian lewat QR code," kata Pratama.

Pratama mengklaim setidaknya ada 23 persen virus dan malware yang tersebar dalam QR code. Tentu hal ini harus diwaspadai semua pihak.

Pratama kemudian mengimbau setiap stakeholder di ekosistem pembayaran digital untuk membangun lapisan-lapisan keamanan untuk menghindari bahaya kejahatan. Selain itu, perbankan harus senantiasa meningkatkan teknologi aplikasi, server, situs hingga sumber daya insan dalam ekosistem pembayaran digital.

"Jangan hingga aplikasi maupun web yang menyediakan QR code gampang dimasuki oleh peretas yang sanggup mengganti QR code menjadi berisi virus maupun malware, sehingga membelokkan transferan ke tujuan lain," kata Pratama.

Bagikan Artikel ini