Perusahaan keamanan siber kaspersky.com mengungkap temuan terbaru terkait evolusi serangan phishing melalui kode QR atau QR phishing (quishing). Pada paruh kedua 2025, perusahaan tersebut mencatat lonjakan hingga lima kali lipat dalam serangan phishing berbasis QR yang berhasil terdeteksi.
Kini, para peneliti menemukan taktik baru yang digunakan pelaku kejahatan siber, yakni membuat kode QR menggunakan karakter teks atau grafik ASCII, bukan gambar konvensional. Teknik ini dinilai mampu mengelabui banyak sistem keamanan email yang selama ini mengandalkan pemindaian gambar atau deteksi tautan otomatis.
Grafik ASCII sendiri merupakan teknik lama yang digunakan komputer generasi awal untuk menampilkan gambar menggunakan karakter teks karena keterbatasan grafis pada masa itu. Teknik tersebut memanfaatkan simbol dari set karakter ASCII (American Standard Code for Information Interchange) yang diperkenalkan pada 1963. Seiring perkembangan teknologi, metode serupa juga diterapkan menggunakan karakter Unicode, meskipun istilah grafik ASCII tetap digunakan secara luas.
Kaspersky menjelaskan, metode berbasis teks sebenarnya bukan hal baru dalam dunia spam dan phishing. Pada era 2000-an, pengirim spam telah memanfaatkan gambar berbasis simbol teks guna menghindari teknologi deteksi yang memindai gambar untuk menemukan URL tersembunyi.
Dalam skema terbaru ini, pelaku mengirim email yang tampak berasal dari mitra bisnis dan mengklaim menyertakan dokumen rahasia untuk ditandatangani melalui layanan DocuSign. Korban kemudian diminta memindai kode QR untuk mengakses dokumen tersebut. Namun, kode QR itu justru mengarahkan pengguna ke situs palsu yang meminta kredensial perusahaan.
Karena kode QR dibentuk menggunakan karakter teks, banyak solusi perlindungan email gagal mengenali adanya tautan mencurigakan di dalam pesan tersebut.
“Pebelumnya kita telah melihat pelaku phishing mencoba menghindari pemindaian tautan dengan menyembunyikan URL dalam gambar. Sekarang mereka mencoba menghindari pemindaian berbasis gambar dengan kembali ke teks – kali ini untuk menampilkan kode QR. Setiap kejadian di mana kode QR meminta seseorang untuk memasukkan kredensial perusahaan pada perangkat seluler harus segera menimbulkan kecurigaan,” ujar Roman Dedenok, Pakar Anti-Spam di Kaspersky.
Ia menambahkan, “Ketika kode QR dibentuk menggunakan seni ASCII tekstual, hampir pasti itu adalah upaya phishing atau umpan ke URL berbahaya. Trik ini hanya memiliki satu tujuan: melewati teknologi keamanan.”
Untuk mengantisipasi ancaman tersebut, Kaspersky merekomendasikan perusahaan menerapkan solusi keamanan email yang mampu mendeteksi berbagai bentuk phishing modern, termasuk serangan berbasis kode QR dan kompromi email bisnis (BEC). Salah satu solusi yang direkomendasikan adalah Kaspersky Security for Mail Server yang dirancang untuk melindungi pertukaran email perusahaan dari spam, infeksi malware, hingga ancaman phishing terbaru.
