Lanskap ancaman siber tidak pernah statis; ia terus berevolusi, mencari celah baru dalam sistem pertahanan digital yang semakin canggih. Ketika para ahli keamanan siber berupaya menutup satu pintu, para penjahat siber sudah menemukan jendela lain untuk dimasuki. Perkembangan terbaru yang patut diwaspadai adalah munculnya modus penipuan online yang jauh lebih licik, memanfaatkan kode QR yang tidak lagi berbentuk gambar konvensional, melainkan disusun dari rangkaian karakter teks atau yang dikenal sebagai ASCII. Teknik ini, yang secara cerdik mengakali sistem keamanan email, menandai babak baru dalam pertempuran melawan phishing, mengancam individu dan perusahaan dengan cara yang sebelumnya sulit dideteksi.
Perusahaan keamanan siber terkemuka, Kaspersky, adalah pihak yang pertama kali mengungkap dan menyoroti ancaman baru ini. Berdasarkan hasil pemantauan komprehensif mereka, terjadi lonjakan dramatis dalam serangan phishing yang menggunakan kode QR pada paruh kedua tahun 2025. Angka deteksi serangan semacam ini melonjak hingga lima kali lipat dibandingkan dengan periode sebelumnya, sebuah statistik yang mengindikasikan adopsi cepat oleh para pelaku kejahatan siber dan efektivitas modus operandi ini dalam menembus pertahanan yang ada. Peningkatan signifikan ini bukan sekadar fluktuasi biasa, melainkan sebuah sinyal peringatan serius tentang perubahan taktik para penjahat siber yang perlu ditanggapi dengan serius.
Yang membuat modus ini begitu berbahaya dan sulit dideteksi adalah cara para pelaku menyusun kode QR. Mereka tidak lagi menggunakan format gambar QR code yang umum dan dapat dengan mudah diidentifikasi oleh pemindai keamanan email. Sebaliknya, mereka membangun kode QR ini dari serangkaian karakter teks, seperti huruf, angka, dan simbol, yang ketika dilihat secara keseluruhan oleh mata manusia atau dipindai oleh aplikasi pemindai QR, akan membentuk sebuah kode QR yang berfungsi. Dengan teknik ini, pesan berbahaya dapat lolos dari berbagai sistem keamanan email yang mengandalkan pemindaian gambar, deteksi tautan eksplisit, atau analisis metadata gambar, karena secara teknis, kode QR tersebut hanyalah sekumpulan karakter teks biasa.
Teknik ini memanfaatkan konsep grafik ASCII, sebuah metode yang memungkinkan pembuatan gambar atau visual menggunakan simbol-simbol teks. Teknologi ini sebenarnya bukan hal baru; ia telah digunakan sejak era komputer awal, jauh sebelum perangkat memiliki kemampuan untuk menampilkan grafik secara penuh dan berwarna. Grafik ASCII menjadi solusi kreatif untuk menampilkan visual dalam keterbatasan teknologi saat itu. Menurut analisis Kaspersky, metode serupa pernah dimanfaatkan oleh pengirim spam pada awal tahun 2000-an untuk menghindari deteksi sistem keamanan email yang belum secanggih sekarang. Kini, teknik lama yang terbukti efektif dalam menyamarkan konten berbahaya tersebut kembali dimanfaatkan, namun dalam bentuk yang lebih modern dan relevan dengan tren digital saat ini, yakni melalui kode QR. Ini adalah contoh klasik bagaimana inovasi lama dapat dihidupkan kembali untuk tujuan jahat.
Dalam skema penipuan yang berhasil diidentifikasi, korban biasanya menerima email yang dirancang agar tampak sangat meyakinkan, seolah-olah berasal dari mitra bisnis yang sah atau layanan terpercaya. Email tersebut sering kali mengklaim berisi dokumen rahasia, perjanjian penting, atau faktur yang memerlukan tindakan segera, seperti penandatanganan melalui layanan populer seperti DocuSign. Elemen urgensi dan legitimasi yang disematkan dalam email ini bertujuan untuk memancing korban agar bertindak tanpa pikir panjang. Kesan profesional dan kebutuhan mendesak untuk mengakses dokumen tersebut menjadi umpan yang sangat efektif, terutama di lingkungan korporat yang sibuk dan mengandalkan komunikasi email untuk transaksi bisnis sehari-hari.
Setelah berhasil memancing perhatian korban, email tersebut kemudian mengarahkan mereka untuk memindai kode QR yang disajikan dalam bentuk karakter teks. Instruksi ini biasanya disertai dengan kalimat yang menekankan pentingnya akses cepat ke dokumen. Tanpa menyadari adanya modus penipuan, korban yang terbiasa menggunakan kode QR untuk berbagai keperluan digital—mulai dari pembayaran, akses informasi, hingga login—akan cenderung memindai kode tersebut menggunakan perangkat seluler mereka. Tampilan kode QR yang terbentuk dari karakter teks mungkin akan terlihat sedikit aneh atau tidak biasa, namun dalam situasi yang terburu-buru atau kurangnya kesadaran akan ancaman ini, keanehan tersebut dapat dengan mudah diabaikan.
Setelah dipindai, kode QR tersebut tidak mengarahkan pengguna ke situs DocuSign yang asli atau layanan bisnis yang sah. Sebaliknya, korban akan dialihkan ke situs web palsu yang dirancang dengan sangat mirip menyerupai platform login DocuSign, Microsoft 365, atau layanan bisnis lainnya. Tujuan utama dari situs palsu ini adalah untuk mencuri kredensial perusahaan korban, seperti nama pengguna dan kata sandi. Begitu korban memasukkan informasi sensitif mereka ke situs phishing ini, kredensial tersebut akan segera jatuh ke tangan pelaku kejahatan siber. Dengan kredensial ini, pelaku dapat memperoleh akses tidak sah ke sistem internal perusahaan, data rahasia, akun keuangan, atau bahkan melancarkan serangan lanjutan yang lebih merusak, seperti penyebaran malware atau pencurian data dalam skala besar.
Mengingat bahwa kode QR dalam modus ini tidak berbentuk gambar konvensional, melainkan serangkaian karakter teks, banyak solusi keamanan email yang ada saat ini kesulitan mengenali adanya tautan mencurigakan atau ancaman di dalam pesan tersebut. Sistem keamanan email biasanya dirancang untuk memindai URL secara langsung, menganalisis lampiran gambar untuk tanda-tanda berbahaya, atau mendeteksi pola tertentu dalam kode HTML. Namun, kode QR berbasis teks ini melewati lapisan-lapisan deteksi tersebut. Ia tidak mengandung URL yang dapat dipindai secara langsung dalam format tradisional, dan bukan merupakan file gambar yang dapat dianalisis oleh teknologi pengenalan gambar. Ini menciptakan titik buta yang dimanfaatkan oleh para penipu untuk meloloskan serangan mereka.
Roman Dedenok, seorang Pakar Anti-Spam dari Kaspersky, menegaskan evolusi taktik para penipu siber. "Sebelumnya kita telah melihat pelaku phishing mencoba menghindari pemindaian tautan dengan menyembunyikan URL dalam gambar. Sekarang mereka mencoba menghindari pemindaian berbasis gambar dengan kembali ke teks – kali ini untuk menampilkan kode QR," ujarnya dalam kutipan yang dirilis Selasa (2/6/2026). Pernyataan ini menyoroti perlombaan senjata yang tak pernah berakhir antara penjahat dan penyedia keamanan. Para pelaku terus mencari cara untuk mengelabui sistem dengan memanfaatkan celah dan keterbatasan teknologi deteksi yang ada, menunjukkan bahwa pertahanan siber harus selalu beradaptasi dan berinovasi.
Dedenok juga memberikan peringatan keras dan panduan praktis bagi pengguna. Ia menjelaskan bahwa setiap kejadian di mana kode QR meminta seseorang untuk memasukkan kredensial perusahaan pada perangkat seluler harus segera menimbulkan kecurigaan. Ini adalah indikator merah yang jelas bahwa sesuatu yang tidak beres sedang terjadi. Lebih lanjut, ia menambahkan, "Ketika kode QR dibentuk menggunakan seni ASCII tekstual, hampir pasti itu adalah upaya phishing atau umpan ke URL berbahaya. Trik ini hanya memiliki satu tujuan: melewati teknologi keamanan." Ini adalah kunci utama untuk mengidentifikasi ancaman ini: jika kode QR terlihat seperti disusun dari teks, itu adalah bendera merah yang sangat kuat. Para pengguna harus sangat waspada dan tidak ragu untuk tidak memindainya.
Meningkatnya penggunaan kode QR dalam berbagai aktivitas digital sehari-hari, mulai dari transaksi pembayaran, akses menu restoran, hingga verifikasi identitas, telah membuat metode ini menjadi sasaran empuk bagi pelaku kejahatan siber. Kemudahan dan kecepatan penggunaan kode QR membuatnya sangat menarik, namun juga membuka peluang baru bagi eksploitasi. Oleh karena itu, pengguna disarankan untuk selalu memverifikasi sumber email dan tidak sembarangan memindai kode QR yang meminta informasi sensitif, terutama kredensial akun perusahaan. Kehati-hatian dan sikap skeptis adalah pertahanan pertama dan terbaik dalam menghadapi ancaman siber yang semakin canggih ini.
Untuk menghadapi tantangan ini, Kaspersky mengingatkan perusahaan untuk meningkatkan kewaspadaan terhadap berbagai bentuk serangan berbasis email yang terus berkembang. Strategi pertahanan harus bersifat multi-lapis dan komprehensif. Selain edukasi karyawan yang berkelanjutan, perusahaan juga disarankan untuk menggunakan solusi keamanan email yang canggih dan mampu mendeteksi berbagai jenis ancaman. Solusi ini harus mencakup kemampuan deteksi spam, phishing, kompromi email bisnis (BEC), serta serangan berbasis QR code, termasuk yang menggunakan teknik ASCII, hingga ancaman siber lainnya yang terus berevolusi.
Edukasi karyawan adalah fondasi utama pertahanan. Karyawan harus dilatih untuk mengenali tanda-tanda email phishing, memahami risiko terkait kode QR, dan tahu bagaimana melaporkan email atau permintaan yang mencurigakan. Pelatihan ini harus mencakup contoh-contoh spesifik dari modus baru ini, sehingga mereka dapat mengidentifikasi kode QR berbasis teks dan memahami bahayanya. Simulasi phishing reguler juga dapat membantu melatih karyawan untuk bereaksi dengan benar dalam situasi nyata.
Dari sisi teknologi, perusahaan perlu berinvestasi pada solusi keamanan email generasi berikutnya yang dilengkapi dengan kecerdasan buatan (AI) dan pembelajaran mesin (ML). Teknologi ini dapat menganalisis pola perilaku, mendeteksi anomali, dan mengidentifikasi konten berbahaya yang mungkin tidak terdeteksi oleh metode deteksi tradisional berbasis tanda tangan atau aturan. Kemampuan untuk menganalisis konteks pesan, memeriksa reputasi pengirim, dan bahkan melakukan sandboxing terhadap lampiran atau tautan yang mencurigakan dapat menjadi kunci untuk menangkap serangan yang lebih canggih.
Selain itu, implementasi otentikasi multi-faktor (MFA) untuk semua akun perusahaan adalah langkah krusial. Bahkan jika kredensial berhasil dicuri melalui serangan phishing, MFA akan menambahkan lapisan keamanan ekstra yang mempersulit pelaku untuk mendapatkan akses penuh ke akun. Terakhir, perusahaan juga harus memiliki rencana respons insiden yang jelas dan teruji, sehingga jika terjadi serangan, mereka dapat bertindak cepat untuk meminimalkan kerusakan dan memulihkan sistem secepat mungkin.
Perlombaan senjata siber akan terus berlanjut. Modus penipuan online yang menggunakan kode QR berbasis teks adalah bukti terbaru dari kecerdikan penjahat siber dan tantangan berkelanjutan yang dihadapi oleh dunia digital. Dengan kesadaran, edukasi yang tepat, dan teknologi keamanan yang kuat, kita dapat membangun pertahanan yang lebih tangguh untuk melindungi data dan sistem dari ancaman yang terus berevolusi ini. Keamanan siber bukan lagi sekadar tanggung jawab tim IT, melainkan tanggung jawab bersama setiap individu dan organisasi.
