Macam-Macam Penipuan QRIS yang Perlu Diwaspadai

Macam-Macam Penipuan QRIS yang Wajib Diwaspadai

Penipuan QRIS adalah berbagai modus kejahatan yang menyalahgunakan sistem QR Code Indonesia Standard untuk mencuri dana atau identitas pengguna dan merchant. Sejak QRIS diluncurkan Bank Indonesia pada 2019 dan adopsi melonjak ke 1,1 miliar transaksi per bulan, modus penipuan juga berkembang. Bank Indonesia dan OJK telah merilis warning resmi untuk 7 modus utama: stiker QR palsu, link phishing, manipulasi nominal, fake CS QRIS, social engineering pembayaran, malware aplikasi palsu, dan SIM swap. Artikel ini membahas ciri-ciri tiap modus, cara menghindarinya, dan langkah lapor jika menjadi korban.

7 Modus Penipuan QRIS Paling Sering Terjadi

Detail Modus 1: Stiker QR Palsu (Modus Paling Umum)

Modus paling sering dilaporkan ke BI/OJK. Penipu memanfaatkan kelemahan QRIS Statis yang dipasang di tempat publik (kasir, papan info, meja). Mereka cetak stiker QR mereka sendiri, lalu tempel di atas stiker QR merchant asli saat tidak ada pengawas. Pelanggan yang scan akan mengirim dana ke rekening penipu, bukan merchant.

Ciri-Ciri yang Wajib Anda Cek

• Stiker QR terlihat baru/kekinian dibanding sekitarnya yang sudah usang—mungkin baru ditempel oleh penipu.
• Nama merchant di aplikasi setelah scan TIDAK match dengan nama bisnis di tempat (misal scan di “Warung Kopi A” tapi muncul “Bapak XYZ”).
• QR ditempel di lokasi mudah dimanipulasi—dekat pintu, area publik, tanpa pengawas.
• Stiker terlihat lapuk atau ada lapisan ganda—penipu menempel di atas QR asli.

Cara Hindari (Untuk Merchant)

• Pasang QR di tempat sulit diakses—di balik kasir, di atas meja staff, atau dalam frame terkunci.
• Gunakan stiker berkualitas tinggi yang sulit dilepas (vinyl matte tahan air, bukan kertas biasa).
• Cek QR setiap pagi/akhir shift—pastikan tidak ada lapisan/manipulasi.
• Latih tim untuk waspada—siapa pun yang ingin “memperbaiki” atau “menempel ulang” QR tanpa otorisasi adalah red flag.
• Pertimbangkan QRIS Dinamis—generate per transaksi, tidak ada stiker yang bisa dimanipulasi.

Pertanyaan yang Sering Dicari Pengguna

Bagaimana cara cek QRIS asli atau palsu?

Tiga cara verifikasi: (1) Cek nama merchant—setelah scan, sebelum konfirmasi pembayaran, pastikan nama yang muncul di aplikasi sama dengan nama bisnis di tempat. (2) Cek nomor di stiker—QRIS resmi punya nomor merchant (NMID) di stiker, harus terlihat dan cocok dengan yang muncul di app. (3) Verifikasi langsung ke kasir—jika ragu, tanya kasir nama akun mereka untuk konfirmasi.

Apakah QRIS bisa di-hack atau dibobol?

Sistem QRIS sendiri (server, encryption, switching) tidak bisa di-hack—infrastruktur Bank Indonesia dan PJP diaudit dengan standar PCI-DSS. Yang bisa dimanipulasi adalah edge layer: stiker QR fisik (modus #1), aplikasi pengguna (modus #2-6), atau SIM card (modus #7). Pencegahan ada di sisi pengguna dan merchant, bukan sistem QRIS itu sendiri.

Cara lapor penipuan QRIS jika menjadi korban?

Tiga channel utama: (1) Aplikasi e-wallet/PJP—buka dispute langsung di app dengan screenshot bukti. Mayoritas refund 1-7 hari kerja jika bukti lengkap. (2) BI Contact Center di 131 atau email bicara@bi.go.id untuk laporan official. (3) OJK di 157 atau konsumen@ojk.go.id untuk dispute terkait institusi keuangan. Untuk kasus pidana (jumlah besar atau berulang), lapor ke Patroli Siber Polri.

Detail Modus 2-7 Singkat

Modus 2: Link Phishing “QRIS Update”

Pelaku kirim WhatsApp/SMS minta klik link untuk “update aplikasi QRIS” atau “verifikasi data pengguna”. Link mengarah ke website palsu yang mirip aplikasi resmi, dan saat user input credential atau PIN, data dicuri. Cara hindari: jangan klik link dari pesan tidak dikenal, update aplikasi hanya via Play Store/App Store resmi.

Modus 3: Manipulasi Nominal di QRIS Statis

Pelaku pura-pura customer, scan QR statis merchant, input nominal jauh lebih kecil dari belanja sebenarnya, lalu kabur. Karena QRIS Statis butuh input manual, merchant baru sadar saat cek dashboard. Cara hindari: upgrade ke QRIS Dinamis dengan POS terintegrasi, atau wajibkan kasir verifikasi nominal masuk sebelum kasih barang.

Modus 4: Fake CS Bank Indonesia atau OJK

Pelaku telepon ngaku dari BI, OJK, atau PJP (DANA, GoPay, OVO), klaim ada masalah dengan akun pengguna, minta OTP atau PIN untuk “verifikasi”. Cara hindari: BI, OJK, dan PJP TIDAK PERNAH minta OTP/PIN via telepon/SMS. Tutup telepon dan lapor ke nomor resmi.

Modus 5: Social Engineering “Transfer Salah”

Pelaku transfer ke akun korban, lalu chat ngaku “salah transfer” minta refund via QR yang mereka kirim. QR yang dikirim adalah scam yang akan ambil dana lebih besar. Cara hindari: jangan refund via QR yang dikirim orang asing. Tunggu konfirmasi resmi dari PJP atau bank tentang dispute.

Modus 6: Malware Aplikasi QRIS Palsu

Pelaku distribusi APK QRIS palsu via Telegram, Facebook group, atau website tidak resmi. Saat install dan login, malware curi data credential dan akses akun. Cara hindari: instal aplikasi QRIS hanya via Play Store atau App Store resmi. Cek developer name dan jumlah download (resmi minimal 1 juta+ download).

Modus 7: SIM Swap untuk Akses OTP

Pelaku duplicate SIM card korban dengan dokumen palsu di operator, lalu ambil OTP yang dikirim ke nomor itu. Cara hindari: aktifkan biometric (sidik jari/face ID) sebagai 2FA tambahan. Periksa SIM aktif via dial *888# atau setara di operator. Jika tiba-tiba tidak ada sinyal di tempat normalnya ada, segera kontak operator.

Checklist Anti-Penipuan QRIS untuk Pengguna

1. Selalu cek nama merchant di aplikasi sebelum konfirmasi pembayaran—harus match dengan nama bisnis di tempat.
2. Tidak pernah klik link dari pesan tidak dikenal walau terlihat resmi (BI, OJK, PJP).
3. Tidak pernah share OTP atau PIN ke siapa pun, termasuk yang ngaku CS resmi.
4. Update aplikasi via Play Store/App Store resmi saja—tidak install APK dari link Telegram/Facebook.
5. Aktifkan biometric 2FA sebagai tambahan keamanan akun.
6. Periksa transaksi dashboard mingguan—deteksi anomali sebelum jadi besar.
7. Lapor immediate jika ada transaksi mencurigakan—via aplikasi PJP, BI 131, atau OJK 157.

Sumber Resmi yang Bisa Dijadikan Acuan

Untuk warning resmi anti-fraud QRIS, rujuk ke Bank Indonesia yang publish press release berkala. OJK punya channel pengaduan konsumen di 157. Patroli Siber Polri menangani kasus pidana cybercrime termasuk penipuan QRIS bernilai besar.

Studi Kasus: Bagaimana Ezeelink Memitigasi Risiko Penipuan

Ezeelink sebagai PJP terdaftar BI menerapkan multi-layer security untuk merchant: (1) Fraud Detection AI yang flag transaksi anomali real-time, (2) Dashboard merchant dengan notifikasi push setiap transaksi masuk—kasir bisa verifikasi instant, (3) Backup snapshot otomatis untuk dispute resolution, (4) Customer support 24/7 untuk laporan urgent. Selama 2024-2025, tingkat fraud merchant Ezeelink di bawah 0,01% dari total transaksi—jauh di bawah industry average. Pelajari layanan kami di QRIS Ezeelink atau cek detail risiko lain di artikel risiko penyalahgunaan QRIS.

FAQ — Pertanyaan yang Sering Ditanyakan

Kesimpulan: Lindungi Bisnis dan Diri dari Penipuan QRIS

Tiga poin utama: (1) 7 modus penipuan QRIS targetkan edge layer (stiker, aplikasi, SIM)—sistem QRIS inti aman. (2) Pencegahan utama: cek nama merchant, jangan klik link tidak dikenal, jangan share OTP, install app via store resmi. (3) Lapor immediate via PJP, BI 131, atau OJK 157 jika menjadi korban.

Mau bisnis Anda terlindungi dari risiko penipuan QRIS? QRIS Ezeelink dengan multi-layer security (fraud AI + dashboard real-time + backup otomatis) bisa jadi pilihan. Daftar merchant untuk konsultasi setup security.