Penipuan tilang kini memasuki tahap baru dengan memanfaatkan QR code dalam pesan phishing yang dikirim ke ponsel korban. Skema ini meniru pemberitahuan resmi dari otoritas lalu lintas, lalu mendorong penerima untuk segera membayar denda atau menghadiri sidang palsu.
Laporan Bleeping Computer menyebut para pelaku kini mengganti tautan berbahaya dengan gambar berisi QR code agar tampak lebih meyakinkan. Trik ini memanfaatkan rasa panik korban saat menerima pesan yang mengklaim ada pelanggaran jalan tol, parkir, atau pelanggaran lalu lintas lain yang harus segera diselesaikan.
Bagaimana modus baru ini bekerja
Pelaku biasanya mengirim SMS ke wilayah tertentu dengan identitas palsu sebagai kantor penegakan lalu lintas kota. Isi pesan dibuat mendesak, misalnya menyebutnya sebagai “peringatan terakhir” dan mengancam denda akan naik jika pembayaran tidak dilakukan secepatnya.
Bedanya, pesan terbaru tidak lagi memuat tautan langsung. Sebagai gantinya, korban menerima gambar seperti surat panggilan pengadilan yang menampilkan QR code, lengkap dengan uji “prove you’re human” agar terlihat seperti proses verifikasi yang sah.
Setelah dipindai, QR code itu mengarah ke situs yang meniru halaman resmi departemen transportasi negara bagian. Di halaman tersebut, korban diminta memasukkan data pribadi dan informasi keuangan, yang kemudian dapat dipakai untuk pencurian identitas atau penipuan lanjutan.
Mengapa QR code dipilih pelaku
Para penipu diduga mencari cara untuk melewati perlindungan keamanan yang makin ketat. Setelah Apple mulai mematikan tautan pada pesan mencurigakan, pelaku sebelumnya sempat beralih ke redirect Google agar terlihat lebih aman.
QR code memberi keuntungan lain bagi pelaku karena lebih sulit diperiksa sekilas dibanding tautan biasa. Dalam bentuk gambar, elemen mencurigakan lebih mudah disembunyikan, sementara formatnya justru meningkatkan kesan resmi dan mendesak.
Ciri-ciri yang patut dicurigai
Ada beberapa tanda yang bisa membantu membedakan pesan asli dan pesan penipuan. Pemeriksaan sederhana sering cukup untuk mencegah korban terjebak lebih jauh.
- Simbol mata uang ditempatkan setelah angka, padahal pola ini lebih umum di luar Amerika Serikat.
- Dokumen tidak memuat identitas jelas seperti nama, nomor kendaraan, nomor VIN, atau nomor lisensi.
- Surat panggilan mencantumkan nama hakim yang tidak ada, dan beberapa penipuan memakai nama “Michael Rodriguez”.
- QR code mengarah ke situs dengan URL panjang dan mencurigakan, terutama yang tidak berakhiran .gov.
- Pesan memakai nada mendesak, seperti ancaman biaya naik cepat atau klaim “peringatan terakhir”.
Bleeping Computer juga menyoroti bahwa laman palsu kerap memakai domain seperti .org atau .life untuk menirukan situs resmi. Sebaliknya, situs resmi Departemen Kendaraan Bermotor New York menggunakan alamat dmv.ny.gov, sehingga perbedaan domain menjadi petunjuk penting.
Langkah aman saat menerima pesan seperti ini
Jika menerima notifikasi tilang yang tidak diingat atau tidak dikenali, jangan langsung memindai QR code atau mengikuti petunjuk pembayaran. Cara paling aman adalah memverifikasi informasi langsung ke instansi terkait melalui kanal resmi yang sudah dikenal.
Berikut langkah yang disarankan:
- Jangan memindai QR code dari sumber yang tidak jelas.
- Jangan memasukkan data pribadi di situs yang dibuka dari pesan mencurigakan.
- Cek kembali alamat situs dan pastikan domainnya resmi.
- Hubungi kantor atau lembaga terkait untuk meminta pengecekan pelanggaran.
- Simpan tangkapan layar pesan sebagai bukti bila diperlukan untuk pelaporan.
Jika pelanggaran memang nyata, data denda biasanya tercatat dalam sistem resmi instansi terkait. Karena itu, verifikasi langsung ke lembaga berwenang jauh lebih aman dibanding merespons pesan yang mengandalkan rasa panik dan tenggat waktu palsu.
Fenomena ini menunjukkan bahwa penipu terus mengadaptasi taktik mereka mengikuti kebiasaan pengguna dan lapisan keamanan perangkat. Selama orang masih terbiasa mempercayai pesan yang tampak resmi, QR code bisa menjadi pintu baru bagi phishing yang menyamar sebagai urusan tilang lalu lintas.
