Quishing

12 Sep 2025

Introduction

QR code (Quick Response code) semakin populer karena kemudahan penggunaannya dalam kehidupan sehari-hari, mulai dari pembayaran digital, check-in acara, hingga membuka menu restoran. Namun, popularitas ini juga membuka peluang baru bagi penjahat siber. Salah satu modus yang berkembang adalah quishing atau QR code phishing, yaitu kejahatan siber yang memanfaatkan QR code untuk menipu korban agar mengakses tautan berbahaya, mengunduh malware, atau membocorkan data pribadi. Quishing semakin efektif karena sering kali korban tidak menyadari adanya ancaman di balik kode sederhana tersebut. Untuk memahami lebih jelas apa itu quishing, mari kita lihat dua komponen utamanya: QR code dan phishing.

What are QR Codes

Pernah lihat kotak kecil dengan pola hitam-putih yang sering muncul di menu restoran, poster, atau bahkan di papan reklame? Itulah yang disebut QR Code alias Quick Response code. Kalau barcode tradisional biasanya cuma garis-garis vertikal di kemasan supermarket, QR Code bisa dibilang versi modernnya yang jauh lebih canggih.

Kenapa dibilang lebih canggih? Karena QR Code bisa menyimpan data dalam jumlah besar, mendukung berbagai jenis informasi (teks, link website, kontak, sampai data pembayaran), dan tetap bisa dipindai meskipun sebagian polanya rusak. Proses pembacaannya pun cepat sesuai namanya, Quick Response.

QR Code pertama kali diciptakan di Jepang tahun 1994 oleh sebuah perusahaan otomotif. Awalnya, teknologi ini dibuat untuk melabeli komponen agar proses produksi lebih efisien. Tapi seiring waktu, manfaatnya meluas ke banyak sektor lain. Sekarang kita bisa menemukannya di mana-mana: dari brosur, tiket, iklan, kemasan produk, hingga layar ponsel.

Yang bikin QR Code unik adalah fleksibilitasnya. Dia bisa dipindai baik dari media cetak maupun digital, sesuatu yang tidak bisa dilakukan barcode satu dimensi. Hasilnya, QR Code jadi jembatan praktis yang menghubungkan dunia fisik dengan dunia digital hanya dengan satu kali scan.

Ternyata, QR Code itu nggak cuma satu jenis saja. Ada dua tipe utama yang sering dipakai: static dan dynamic. Bedanya ada di soal fleksibilitas data yang mereka simpan.

  1. Static QR codes
    Sifatnya permanen. Begitu kodenya dibuat, data di dalamnya nggak bisa diubah lagi. Jadi kalau kamu bikin QR Code untuk alamat website, nomor kontak, atau password Wi-Fi, ya isinya akan selalu sama. Sederhana dan praktis, tapi kurang fleksibel kalau suatu saat informasinya perlu diganti.
  2. Dynamic QR codes
    Meskipun tampilannya sama, data di dalamnya bisa diubah tanpa harus bikin kode baru. Caranya, QR Code ini menyimpan sebuah URL unik yang mengarah ke server. Nah, di server itulah informasi bisa diperbarui kapan saja. Jadi kalau ada perubahan detail acara, promo terbaru, atau stok barang yang selalu update, dynamic QR Code ini jadi pilihan paling pas.

    Kelebihan fleksibilitas ini juga punya sisi rawan. Karena informasi di balik dynamic QR Code bisa diganti, ada peluang bagi pihak tidak bertanggung jawab untuk menyalahgunakannya, misalnya dengan mengganti link sah menjadi link berbahaya. Inilah salah satu alasan kenapa pemahaman soal QR Code penting, terutama kalau kita nanti bahas tentang quishing.

What is Quishing

Bayangin kamu dapat email yang kelihatannya resmi banget, lengkap dengan logo perusahaan, bahasa rapi, dan seolah-olah dikirim dari pihak terpercaya seperti bank atau kantor. Isinya minta kamu klik tautan atau buka lampiran. Nah, ini adalah bentuk klasik dari phishing, serangan social engineering yang tujuannya mencuri data sensitif, mulai dari informasi keuangan sampai kredensial login. Biasanya phishing memang lewat email atau SMS, tapi seiring waktu, tekniknya berkembang biar makin susah dideteksi. Dari sinilah muncul varian baru bernama quishing.

Quishing atau QR phishing memanfaatkan QR Code sebagai media jebakan. Pola kotak hitam-putih yang kelihatannya polos itu bisa menyimpan link berbahaya, file malware, atau halaman login palsu. Bedanya dengan phishing biasa, korban tidak langsung melihat URL tujuannya, sehingga rasa penasaran atau tergesa-gesa sering membuat orang langsung scan tanpa pikir panjang. Inilah yang bikin quishing berbahaya: ia bisa lolos dari filter keamanan email, dan sekaligus memanfaatkan celah psikologis manusia. Singkatnya, quishing adalah bentuk phishing yang lebih modern, lebih licik, dan makin relevan di era serba digital sekarang.

How Does Quishing Works

Kalau phishing biasanya lewat email atau link yang dikirim langsung, quishing mengambil pendekatan yang sedikit berbeda: menggunakan QR Code sebagai “umpan”. Dari luar, QR Code ini terlihat normal saja, hanya kotak hitam-putih yang seolah-olah mengarah ke menu restoran, promo diskon, atau halaman login resmi. Padahal di baliknya, tersimpan jebakan digital.

Quishing bekerja dengan cara menanamkan tautan berbahaya ke dalam QR Code. Begitu dipindai, korban bisa diarahkan ke berbagai jenis ancaman, misalnya:

  1. Halaman login palsu: di sini korban diminta memasukkan username dan password, yang langsung dikirim ke penyerang.
  2. Dokumen berisi virus atau malware: file ini mulai menginfeksi perangkat begitu diunduh, kadang bahkan otomatis tanpa disadari.
  3. Portal pembayaran palsu: korban diminta memasukkan detail kartu atau rekening, yang kemudian dicuri untuk kepentingan penipuan.

Quishing Real-Life Examples

  1. Pada November 2023, seorang nenek berumur 71 tahun di Newcastle, Inggris menjadi korban quishing dimana ia mengalami kerugian sebesar 17 ribu dollar (sebesar Rp 264.877.000 berdasarkan rata-rata kurs USD ke IDR pada November 2023). Oknum yang merugikan nenek tersebut dapat melakukan hal tersebut dengan cara menutupi QR parkir dengan QR palsu.
  2. Salah satu contoh paling sering ditemui adalah kasus QR Code palsu di mesin parkir. Di Inggris, banyak pengendara yang menemukan QR Code di mesin parkir resmi atau di papan informasi parkir. Saat dipindai, QR Code tersebut tidak membawa mereka ke aplikasi atau situs resmi parkir, melainkan ke situs palsu yang meniru tampilan aslinya. Korban yang lengah kemudian memasukkan detail kartu kredit atau debit, yang akhirnya dicuri oleh pelaku. Action Fraud mencatat bahwa sepanjang 2024 saja ada lebih dari 1.300 laporan quishing, dengan kerugian hingga miliaran rupiah. Kasus serupa juga terjadi di Texas, AS, di mana FBI memperingatkan publik tentang stiker QR palsu yang ditempel di kios parkir di kota-kota besar seperti Austin dan Houston.

How to Detect a Quishing Attack

Ngomongin deteksi quishing itu tricky banget. Soalnya QR Code dari luar ya cuma kotak penuh pola hitam-putih, nggak ada tanda khusus yang bilang, “Hei, aku berbahaya!” Dari sisi teori, di sinilah masalahnya: QR Code jadi kayak kotak misteri yang isinya baru ketahuan setelah kita scan.

Kenapa susah dideteksi?

  1. Isinya nggak kelihatan → berbeda dengan link di email yang bisa kita baca, QR Code sembunyikan alamat tujuan di balik pola.
  2. Lolos dari filter → sistem keamanan email biasanya ngeblok URL mencurigakan, tapi kalau link itu ditanam di gambar QR Code, bisa mulus nyelonong masuk inbox.
  3. Main di psikologi → hacker sering pakai trik emosi kayak bikin panik (“akun Anda akan diblokir!”) atau bikin penasaran (“scan untuk dapat hadiah”). Begitu perasaan jalan duluan, logika jadi gampang kendor.
  4. Konteks gampang dimanipulasi → QR Code bisa ditempel di mana aja: email, poster, brosur, bahkan papan parkir. Jadi gampang banget bagi penyerang untuk nyaru seolah itu resmi.

Singkatnya, quishing susah dideteksi karena gabungan antara celah teknis dan trik psikologis. Jadi kita harus lebih peka sama konteks kemunculannya, bukan cuma lihat si QR Code itu sendiri.

How to Protect Yourself

Terdapat beberapa cara untuk melindungi diri sendiri dari quishing attacks, 

  1. Verifikasi sumber QR code tersebut, pastikan bahwa orang atau organisasi yang mengeluarkan QR code tersebut terpercaya. 
  2. Gunakan aplikasi yang dapat preview linknya terlebih dahulu, seperti google lens atau QR code scanner yang sudah bawaan dari HP. Link yang didapat dari QR code dapat diverifikasi melalui website seperti VirusTotal untuk memastikan apakah link tersebut aman atau tidak.
  3. Meminta hal fisik (jika memungkinkan), seperti menu fisik, isi form fisik, atau bayar secara fisik.
  4. Aktivasi MFA (Multi Factor Authentication) agar jika terjadi apa-apa terdapat lapisan pertahanan ekstra

Conclusion

Quishing adalah bentuk baru dari phishing yang memanfaatkan QR Code sebagai umpan, menyembunyikan tautan berbahaya di balik pola hitam-putih yang tampak sederhana. Serangan ini berbahaya karena sering lolos dari filter keamanan dan memanfaatkan kelengahan psikologis korban. Oleh karena itu, memahami cara kerja quishing, mengenali kesulitannya untuk dideteksi, serta menerapkan langkah pencegahan seperti memverifikasi sumber QR Code, menggunakan aplikasi scanner dengan fitur preview, dan mengaktifkan lapisan keamanan tambahan seperti MFA sangat penting. Dengan kesadaran dan kewaspadaan, kita tetap bisa memanfaatkan QR Code secara aman tanpa harus menjadi korban jebakan siber.

Sources:

https://www.cloudcomputing.id/pengetahuan-dasar/apa-itu-quishing 

https://sosafe-awareness.com/en-us/glossary/quishing/

https://www.proofpoint.com/us/threat-reference/quishing

https://blog.barracuda.com/2025/08/20/threat-spotlight-split-nested-qr-codes-quishing-attacks

https://unit42.paloaltonetworks.com/qr-code-phishing/

https://www.ibm.com/think/insights/quishing-growing-threat-hiding-plain-sight

https://powerdmarc.com/qr-phishing/#how-to-protect-against-qr-phishing 

https://www.exchange-rates.org/exchange-rate-history/usd-idr-2023