Modus Penipuan QRIS Palsu, Pengamat Usulkan Peningkatan Standar Keamanan Perbankan

Pelaku kejahatan menempel stiker QRIS palsu di sejumlah kotak amal masjid di kawasan Jakarta Selatan. Seperti Masjid Istiqlal, Masjid Nurul Iman Blok M, hingga Masjid Bintaro Jaya.

Selain masjid, penempelan stiker QRIS palsu juga diduga dilakukan di pusat perbelanjaan, stasiun pengisian bahan bakar umun (SPBU) dan area Terminal 2 dan 3 Bandara Soekarno-Hatta.

Setelah dilakukan investigasi, pelaku bernama Iman Mahlil Lubis akhirnya diamankan Polres Metro Jakarta Selatan pada Selasa (11/4/2023).

Pihak kepolisian menyebut bahwa QRIS palsu telah ditempelkan di 38 titik. Melalui QRIS palsu yang disebar itu, tersangka sudah menghimpun dana sekitar Rp 13 jutaan sejak 1-10 April 2023.

Dari penelusuran Kompas.com, Kamis (10/4/2023), QRIS palsu tersebut terhubung dengan rekening bank di cabang Medan dan Kota Administrasi Jakarta Selatan.

Hal itu dibuktikan ketika memindai dua QRIS palsu yang diberikan Dewan Kemakmuran Masjid (DKM) menggunakan aplikasi ojek online (ojol).

Saat QR code dipindai, muncul nama “Restorasi Masjid” yang terhubung ke platform LinkAja yang berada di Kota Medan. Sementara itu, QR code palsu lainnya mengarah ke nama “Restorasi Mesjid” yang terafiliasi dengan Bank Nobu di Jakarta Selatan.

Lantas, bagaimana pemalsuan QRIS ini bisa terjadi?

Keunggulan yang jadi kelemahan

Menurut praktisi keamanan siber dari Vaksin.com, Alfons Tanujaya, pelaku penipuan mampu menemukan celah yang dimiliki oleh QRIS. QRIS pada dasarnya memiliki keunggulan untuk menampung informasi yang sangat banyak, serta sulit untuk dipalsukan.

Akan tetapi, kompleksitas kode QRIS itu lah yang justru membuat orang awam tidak mudah membedakan antara satu kode QRIS dan yang lainnya. Sehingga ketika QRIS dipalsukan, masyarakat awam tidak akan menyadarinya.

“Ini memang ibaratnya keunggulan yang menjadi kelemahan. Keunggulan QRIS adalah mampu menampung informasi sangat banyak dan sulit dipalsukan. Dikarenakan tidak bisa dibaca oleh manusia, itu yang jadi masalah,” jelas Alfons saat dihubungi oleh KompasTekno, Kamis (13/4/2023).

Dari pengakuan tersangka, dia membuat rekening dompet digital di dua aplikasi yang berbeda, bernama YouTap dan Pulsa bayar. Kedua aplikasi menyediakan layanan untuk membuat QRIS.

Fungsi QRIS tersebut nantinya bisa dipakai untuk bertransaksi, seperti transfer uang ke rekening pengguna.

Pelaku manfaatkan merchant regular

Usut punya usut, tersangka mendaftarkan dirinya sebagai merchant QRIS dengan nama "Restorasi Mesjid". Akan tetapi, kode QR yang digunakan tidak terdaftar sebagai tempat ibadah atau donasi sosial.

Bank Indonesia (BI) menelusuri bahwa kode QR yang dipalsukan itu merupakan QRIS yang terdaftar sebagai merchant regular.

Pendaftaran QRIS untuk merchant regular dan tempat ibadah atau donasi sosial memang berbeda.

Adapun mekanisme pedagang untuk mendapat QRIS, dilakukan dengan pendaftaran melalui Penyedia Jasa Pembayaran (PJP) yang sudah berizin di Bank Indonesia yang sudah menjadi penyelenggara QRIS.

Merchant juga perlu memenuhi persyaratan yang ditetapkan. Termasuk, data seperti identitas, pemilik usaha, dan profil usahanya. PJP harus memverifikasi data tersebut sebelum menerbitkan QRIS untuk merchant-nya.

Nah, untuk pendaftaran merchant di tempat ibadah dan donasi sosial, terdapat data atau informasi tambahan untuk memastikan apakah memang benar tempat ibadah atau donasi sosial.

Sebab, tempat ibadah atau donasi sosial dikenakan Merchant Discount Rate (MDR) gratis. Adapun informasi tambahan yang dibutuhkan misalnya, lampiran foto copy KTP, NPWP, akta pendirian, anggaran dasar, dan juga TDP (Tanda Daftar Perusahaan).

Dikarenakan proses pendaftaran merchant di tempat ibadah dan donasi sosial cukup rumit, tersangka tampaknya mengambil opsi yang lebih mudah. Di sisi lain, nama penerima dana di QRIS juga bisa diubah-ubah oleh pemiliknya.

"Yang menjadi masalah adalah nama dari penerima dana di QRIS ini bisa diubah oleh pemiliknya, sehingga tinggal diganti dan disesuaikan dengan sasaran yang ingin dipalsukan," kata Alfons melalui pesan singkat kepada KompasTekno, Kamis (13/2/0223).

Menurut Alfons, hal itu seharusnya segera diperbaiki. Ia juga berpendapat bahwa pihak penyedia atau penyelenggara QRIS dapat menetapkan standar keamanan perbankan untuk kode QRIS supaya keamanannya bisa ditingkatkan lagi.

“(Buat) QRIS (agar) tidak mudah diganti-ganti namanya. Terapkan standar pengamanan perbankan untuk QRIS agar membuatnya lebih aman lagi,” pungkas Alfons.

Dalam kesempatan yang sama, Alfons juga menyarankan pengelola rumah ibadah untuk menggunakan kode QRIS yang diproduksi melalui mesin EDC (electronic data captured).

Transaksi kode QR yang sifatnya dinamis terbilang lebih aman karena mampu menghasilkan kode QR yang unik. Sementara itu, kode QR statis yang dipakai di rumah ibadah, sifatnya lebih berisiko karena menampilkan kode yang sama terus-menerus.

“Kalau QRIS dinamis yang diproduksi mesin EDC (bisa) berubah-ubah dan langsung diproduksi oleh mesin. Relatif lebih aman ketimbang QRIS statis,” imbuh Alfons.

Namun, bila hal tersebut tidak dimungkinkan untuk diterapkan, kode QRIS bisa diletakkan di tempat yang aman, tertutup kaca, dan tidak mudah dijangkau. Misalnya, ditempel di dalam kotak dengan posisi terkunci, dibatasi kaca, dan sebagainya.

Atau alternatif lainnya adalah mencantumkan nomor rekening penerima QRIS di bawa kode QR. Supaya pengguna bisa lebih mudah melakukan pengecekan atau membandingkan data sebelum melakukan transaksi.

Donatur diimbau untuk lebih waspada

Sementara itu, dari sisi donatur, diimbau untuk lebih kritis dan berhati-hati. Pastikan sebelum melakukan transaksi (transfer uang), lihat nama akun penerima QRIS tersebut.

“Bagi penyumbang yang ingin menyumbang melalui QRIS, harap berhati-hati. Sebelum melakukan transfer, harus pastikan nama akun penerima QRIS tersebut. Kalau mencurigakan, lebih baik tanyakan kepada pemilik akun (QRIS),” lanjut Alfons.

Pihak Bank Indonesia (BI) juga buka suara terkait masalah ini. Direktur Eksekutif, Kepala Departemen Komunikasi BI Erwin Haryano menyayangkan kasus seperti ini bisa terjadi dan berjanji bakal memperbaiki sistem QRIS serta meningkatkan edukasi di kalangan masyarakat.

“Edukasi kami perkuat, juga termasuk memperkuat proses verifikasi. Kami juga merancang sistem yang memungkinkan blacklist untuk mengantisipasi kejahatan serupa. Untuk jangka pendek, kami akan melakukan pertemuan dengan Dewan Masjid, kepolisian, agar kasus ini clear,” jelas Erwin kepada Kompas.com, Kamis (13/4/2023).

“Kami juga sudah bekerja sama dengan penyelenggara jasa pembayaran di mana pelaku menggunakan itu, dan langsung memblokir QRIS agar tidak dapat digunakan,” tegasnya.