Macam-Macam Penipuan QRIS yang Perlu Diwaspadai
Macam-Macam Penipuan QRIS yang Wajib Diwaspadai
Penipuan QRIS adalah berbagai modus kejahatan yang menyalahgunakan sistem QR Code Indonesia Standard untuk mencuri dana atau identitas pengguna dan merchant. Sejak QRIS diluncurkan Bank Indonesia pada 2019 dan adopsi melonjak ke 1,1 miliar transaksi per bulan, modus penipuan juga berkembang. Bank Indonesia dan OJK telah merilis warning resmi untuk 7 modus utama: stiker QR palsu, link phishing, manipulasi nominal, fake CS QRIS, social engineering pembayaran, malware aplikasi palsu, dan SIM swap. Artikel ini membahas ciri-ciri tiap modus, cara menghindarinya, dan langkah lapor jika menjadi korban.
7 Modus Penipuan QRIS Paling Sering Terjadi
| No | Modus | Cara Kerja | Korban Utama |
|---|---|---|---|
| 1 | Stiker QR Palsu | Penipu menempel QR mereka di atas QR merchant asli | Pembeli (dana ke rekening penipu) |
| 2 | Link Phishing | Pesan WhatsApp/SMS minta klik link “QRIS update” untuk curi credential | Pengguna e-wallet |
| 3 | Manipulasi Nominal | Penipu pura-pura customer, scan QR statis, input nominal lebih kecil | Merchant |
| 4 | Fake CS QRIS | Pelaku ngaku CS BI/OJK/PJP, minta data pribadi/OTP | Pengguna umum |
| 5 | Social Engineering Pembayaran | Pelaku ngaku transfer salah, minta refund via QRIS scam | Pengguna e-wallet |
| 6 | Malware Aplikasi Palsu | APK QRIS palsu di luar Play Store yang curi data login | Pengguna Android |
| 7 | SIM Swap | Penipu hijack nomor HP korban via operator, ambil OTP | Pengguna mobile banking/e-wallet |
Detail Modus 1: Stiker QR Palsu (Modus Paling Umum)
Modus paling sering dilaporkan ke BI/OJK. Penipu memanfaatkan kelemahan QRIS Statis yang dipasang di tempat publik (kasir, papan info, meja). Mereka cetak stiker QR mereka sendiri, lalu tempel di atas stiker QR merchant asli saat tidak ada pengawas. Pelanggan yang scan akan mengirim dana ke rekening penipu, bukan merchant.
Ciri-Ciri yang Wajib Anda Cek
- Stiker QR terlihat baru/kekinian dibanding sekitarnya yang sudah usang—mungkin baru ditempel oleh penipu.
- Nama merchant di aplikasi setelah scan TIDAK match dengan nama bisnis di tempat (misal scan di “Warung Kopi A” tapi muncul “Bapak XYZ”).
- QR ditempel di lokasi mudah dimanipulasi—dekat pintu, area publik, tanpa pengawas.
- Stiker terlihat lapuk atau ada lapisan ganda—penipu menempel di atas QR asli.
Cara Hindari (Untuk Merchant)
- Pasang QR di tempat sulit diakses—di balik kasir, di atas meja staff, atau dalam frame terkunci.
- Gunakan stiker berkualitas tinggi yang sulit dilepas (vinyl matte tahan air, bukan kertas biasa).
- Cek QR setiap pagi/akhir shift—pastikan tidak ada lapisan/manipulasi.
- Latih tim untuk waspada—siapa pun yang ingin “memperbaiki” atau “menempel ulang” QR tanpa otorisasi adalah red flag.
- Pertimbangkan QRIS Dinamis—generate per transaksi, tidak ada stiker yang bisa dimanipulasi.
Pertanyaan yang Sering Dicari Pengguna
Bagaimana cara cek QRIS asli atau palsu?
Tiga cara verifikasi: (1) Cek nama merchant—setelah scan, sebelum konfirmasi pembayaran, pastikan nama yang muncul di aplikasi sama dengan nama bisnis di tempat. (2) Cek nomor di stiker—QRIS resmi punya nomor merchant (NMID) di stiker, harus terlihat dan cocok dengan yang muncul di app. (3) Verifikasi langsung ke kasir—jika ragu, tanya kasir nama akun mereka untuk konfirmasi.
Apakah QRIS bisa di-hack atau dibobol?
Sistem QRIS sendiri (server, encryption, switching) tidak bisa di-hack—infrastruktur Bank Indonesia dan PJP diaudit dengan standar PCI-DSS. Yang bisa dimanipulasi adalah edge layer: stiker QR fisik (modus #1), aplikasi pengguna (modus #2-6), atau SIM card (modus #7). Pencegahan ada di sisi pengguna dan merchant, bukan sistem QRIS itu sendiri.
Cara lapor penipuan QRIS jika menjadi korban?
Tiga channel utama: (1) Aplikasi e-wallet/PJP—buka dispute langsung di app dengan screenshot bukti. Mayoritas refund 1-7 hari kerja jika bukti lengkap. (2) BI Contact Center di 131 atau email bicara@bi.go.id untuk laporan official. (3) OJK di 157 atau konsumen@ojk.go.id untuk dispute terkait institusi keuangan. Untuk kasus pidana (jumlah besar atau berulang), lapor ke Patroli Siber Polri.
Detail Modus 2-7 Singkat
Modus 2: Link Phishing “QRIS Update”
Pelaku kirim WhatsApp/SMS minta klik link untuk “update aplikasi QRIS” atau “verifikasi data pengguna”. Link mengarah ke website palsu yang mirip aplikasi resmi, dan saat user input credential atau PIN, data dicuri. Cara hindari: jangan klik link dari pesan tidak dikenal, update aplikasi hanya via Play Store/App Store resmi.
Modus 3: Manipulasi Nominal di QRIS Statis
Pelaku pura-pura customer, scan QR statis merchant, input nominal jauh lebih kecil dari belanja sebenarnya, lalu kabur. Karena QRIS Statis butuh input manual, merchant baru sadar saat cek dashboard. Cara hindari: upgrade ke QRIS Dinamis dengan POS terintegrasi, atau wajibkan kasir verifikasi nominal masuk sebelum kasih barang.
Modus 4: Fake CS Bank Indonesia atau OJK
Pelaku telepon ngaku dari BI, OJK, atau PJP (DANA, GoPay, OVO), klaim ada masalah dengan akun pengguna, minta OTP atau PIN untuk “verifikasi”. Cara hindari: BI, OJK, dan PJP TIDAK PERNAH minta OTP/PIN via telepon/SMS. Tutup telepon dan lapor ke nomor resmi.
Modus 5: Social Engineering “Transfer Salah”
Pelaku transfer ke akun korban, lalu chat ngaku “salah transfer” minta refund via QR yang mereka kirim. QR yang dikirim adalah scam yang akan ambil dana lebih besar. Cara hindari: jangan refund via QR yang dikirim orang asing. Tunggu konfirmasi resmi dari PJP atau bank tentang dispute.
Modus 6: Malware Aplikasi QRIS Palsu
Pelaku distribusi APK QRIS palsu via Telegram, Facebook group, atau website tidak resmi. Saat install dan login, malware curi data credential dan akses akun. Cara hindari: instal aplikasi QRIS hanya via Play Store atau App Store resmi. Cek developer name dan jumlah download (resmi minimal 1 juta+ download).
Modus 7: SIM Swap untuk Akses OTP
Pelaku duplicate SIM card korban dengan dokumen palsu di operator, lalu ambil OTP yang dikirim ke nomor itu. Cara hindari: aktifkan biometric (sidik jari/face ID) sebagai 2FA tambahan. Periksa SIM aktif via dial *888# atau setara di operator. Jika tiba-tiba tidak ada sinyal di tempat normalnya ada, segera kontak operator.
Checklist Anti-Penipuan QRIS untuk Pengguna
- Selalu cek nama merchant di aplikasi sebelum konfirmasi pembayaran—harus match dengan nama bisnis di tempat.
- Tidak pernah klik link dari pesan tidak dikenal walau terlihat resmi (BI, OJK, PJP).
- Tidak pernah share OTP atau PIN ke siapa pun, termasuk yang ngaku CS resmi.
- Update aplikasi via Play Store/App Store resmi saja—tidak install APK dari link Telegram/Facebook.
- Aktifkan biometric 2FA sebagai tambahan keamanan akun.
- Periksa transaksi dashboard mingguan—deteksi anomali sebelum jadi besar.
- Lapor immediate jika ada transaksi mencurigakan—via aplikasi PJP, BI 131, atau OJK 157.
Sumber Resmi yang Bisa Dijadikan Acuan
Untuk warning resmi anti-fraud QRIS, rujuk ke Bank Indonesia yang publish press release berkala. OJK punya channel pengaduan konsumen di 157. Patroli Siber Polri menangani kasus pidana cybercrime termasuk penipuan QRIS bernilai besar.
Studi Kasus: Bagaimana Ezeelink Memitigasi Risiko Penipuan
Ezeelink sebagai PJP terdaftar BI menerapkan multi-layer security untuk merchant: (1) Fraud Detection AI yang flag transaksi anomali real-time, (2) Dashboard merchant dengan notifikasi push setiap transaksi masuk—kasir bisa verifikasi instant, (3) Backup snapshot otomatis untuk dispute resolution, (4) Customer support 24/7 untuk laporan urgent. Selama 2024-2025, tingkat fraud merchant Ezeelink di bawah 0,01% dari total transaksi—jauh di bawah industry average. Pelajari layanan kami di QRIS Ezeelink atau cek detail risiko lain di artikel risiko penyalahgunaan QRIS.
FAQ — Pertanyaan yang Sering Ditanyakan
Apa modus penipuan QRIS yang paling sering terjadi?
Modus paling umum adalah stiker QR palsu—penipu menempel QR mereka di atas QR merchant asli. Modus lain: link phishing “QRIS update”, manipulasi nominal di QRIS statis, fake CS BI/OJK, social engineering “transfer salah”, malware aplikasi QRIS palsu, dan SIM swap untuk akses OTP.
Bagaimana cara cek QRIS asli atau palsu?
Tiga cara: (1) cek nama merchant di aplikasi setelah scan—harus match dengan nama bisnis di tempat. (2) cek nomor merchant (NMID) di stiker dan aplikasi. (3) jika ragu, tanya langsung ke kasir untuk konfirmasi nama akun. Jangan konfirmasi pembayaran kalau ada keraguan.
Apakah QRIS bisa di-hack?
Sistem QRIS sendiri (server BI dan PJP) tidak bisa di-hack—infrastruktur diaudit dengan standar PCI-DSS. Yang bisa dimanipulasi adalah edge layer: stiker QR fisik, aplikasi pengguna (via phishing/malware), atau SIM card. Pencegahan ada di sisi user dan merchant, bukan sistem inti.
Cara lapor jika jadi korban penipuan QRIS?
Tiga channel: (1) aplikasi e-wallet/PJP—buka dispute dengan screenshot bukti, refund 1-7 hari kerja. (2) BI Contact Center 131 atau bicara@bi.go.id. (3) OJK 157 atau konsumen@ojk.go.id. Untuk kasus pidana (besar atau berulang), lapor ke Patroli Siber Polri.
Apakah QRIS Dinamis lebih aman dari penipuan dibanding QRIS Statis?
Ya, QRIS Dinamis lebih aman karena: (1) generate baru per transaksi, tidak ada stiker fisik yang bisa dimanipulasi, (2) nominal otomatis ter-set, tidak ada risiko manipulasi nominal, (3) integrated dengan POS untuk verifikasi instant. QRIS Statis tetap aman jika protokol pencegahan diikuti, tapi Dinamis menutup beberapa attack vector secara struktural.
Kesimpulan: Lindungi Bisnis dan Diri dari Penipuan QRIS
Tiga poin utama: (1) 7 modus penipuan QRIS targetkan edge layer (stiker, aplikasi, SIM)—sistem QRIS inti aman. (2) Pencegahan utama: cek nama merchant, jangan klik link tidak dikenal, jangan share OTP, install app via store resmi. (3) Lapor immediate via PJP, BI 131, atau OJK 157 jika menjadi korban.
Mau bisnis Anda terlindungi dari risiko penipuan QRIS? QRIS Ezeelink dengan multi-layer security (fraud AI + dashboard real-time + backup otomatis) bisa jadi pilihan. Daftar merchant untuk konsultasi setup security.