QR code memang nampak simple. Scan je terus dapat info. Tapi realitinya, QR code boleh jadi pintu masuk kepada macam-macam serangan siber kalau korang tak berhati-hati. Artikel ni akan bongkar kesan buruk yang ramai orang tak sedar bila scan QR code yang tak dikenali.
Phishing tanpa sedar
QR code boleh redirect korang ke website palsu yang nampak legit, siap guna logo dan design hampir sama dengan website asal. Bila korang scan, terus masuk page login yang nampak normal.
Tanpa syak, korang masukkan username, password atau OTP. Sebenarnya semua data tu terus dihantar kepada scammer. Dalam beberapa minit je, akaun korang boleh diambil alih tanpa sebarang amaran jelas.
Malware terus masuk device
Sesetengah QR code direka untuk trigger download secara automatik atau paksa korang install aplikasi tertentu. Aplikasi tu mungkin nampak legit, tapi sebenarnya mengandungi malware.
Bila dah install, malware boleh akses sistem dalaman device, ubah setting, atau buka backdoor. Ini bagi peluang kepada attacker untuk kawal device korang dari jauh tanpa korang sedar langsung.
Data peribadi dicuri
Bila korang scan QR code dan isi maklumat dekat borang yang disediakan, data tu tak semestinya pergi ke pihak sah. Banyak kes di mana QR code digunakan untuk kumpul data seperti nama, email, nombor telefon dan alamat.
Semua maklumat ni boleh dijual atau digunakan untuk serangan seterusnya seperti phishing yang lebih targeted dan sukar dikesan.
Akaun kena hack
Bila attacker dah dapat maklumat asas seperti email dan password, mereka boleh cuba login ke pelbagai platform lain. Ramai orang guna password sama untuk banyak akaun. Ini memudahkan attacker ambil alih akaun media sosial, email, malah akaun bank. Dalam sesetengah kes, attacker juga boleh reset password menggunakan maklumat yang dah dicuri.
Duit hilang tanpa sedar
QR code boleh membawa korang ke halaman pembayaran palsu yang nampak sangat realistik. Contohnya, konon untuk bayar parking, saman atau pembelian.
Korang masukkan maklumat kad atau buat pembayaran, tapi duit tu sebenarnya masuk akaun scammer. Lebih bahaya, ada juga kes di mana transaksi nampak berjaya tapi sebenarnya tiada sebarang servis diberikan.
Location tracking tanpa izin
Sesetengah QR code mengandungi link yang boleh kumpul data lokasi melalui browser atau aplikasi. Bila korang klik, sistem boleh detect lokasi semasa tanpa korang sedar sepenuhnya. Data ini boleh digunakan untuk profiling atau tujuan jenayah. Lagi teruk, kalau digabung dengan maklumat lain, attacker boleh tahu rutin harian korang.
Serangan “drive-by” tanpa klik
Ada teknik serangan di mana hanya dengan membuka link dari QR code, exploit akan dijalankan secara automatik. Ini biasanya mengambil kesempatan ke atas kelemahan dalam browser atau sistem operasi. Korang tak perlu install apa-apa pun. Cukup sekadar buka page tersebut, dan sistem boleh terus terdedah kepada serangan tanpa sebarang interaksi tambahan.
Device jadi sebahagian botnet
Bila malware berjaya masuk ke dalam device, ia boleh menjadikan device korang sebahagian daripada botnet. Botnet ni biasanya digunakan untuk serangan besar seperti DDoS atau spam. Korang takkan perasan sebab device masih boleh digunakan seperti biasa. Tapi di belakang tabir, device korang sedang digunakan untuk aktiviti jahat.
Spyware intip aktiviti
Spyware adalah antara ancaman paling bahaya kerana ia berfungsi secara senyap. Ia boleh rekod apa yang korang taip, ambil screenshot, dan pantau aktiviti harian. Malah ada spyware yang boleh akses kamera dan mikrofon. Semua maklumat ini boleh dihantar kepada attacker dan digunakan untuk tujuan ugutan, pemerasan atau pencurian identiti.
Reputasi dan privasi terjejas
Bila akaun korang diambil alih, attacker boleh guna identiti korang untuk scam orang lain. Mereka mungkin hantar mesej kepada kenalan korang atau buat post yang merosakkan reputasi. Dalam masa sama, data peribadi korang mungkin tersebar. Ini boleh memberi kesan jangka panjang kepada imej diri dan kepercayaan orang terhadap korang.
Kesimpulan
QR code bukanlah bahaya secara default, tapi risiko datang bila korang scan secara random tanpa verify sumber. Sentiasa check sebelum scan. Kalau nampak pelik, elakkan. Better selamat daripada menyesal.