Open in app

Sign in

Write

Sign in

PayStory — QRIS Kok Dianggap Link Payment, Hadeeuhhh

Sandi Fajariadi
5 min readNov 22, 2024

Jujur, saya jarang banget bikin penjelasan tambahan untuk sebuah konten. Saya pikir, orang-orang sekarang sudah lebih paham mana yang benar, atau minimal mereka bakal cari sumber lain untuk klarifikasi. Tapi pas lihat komentar-komentar yang masuk, saya jadi mikir lagi. Kok ternyata masih banyak ya yang langsung percaya tanpa cross-check dulu? Bahkan nggak mencoba melihat langsung atau memastikan sendiri.

Ini terkait konten nya om Daniel Mananta bersama Mr Bert di podcast berjudul “Data Rakyat Bocor!! Pemerintah Kok Diem Aja?! | Mr Bert — Tetangga Kepo” dan di cover Podcastnya ada tulisan “Data kita bisa dicuri dari QRIS buat Pinjol ilegal”. Wkwkwk, judulnya bombastis banget! Bisa dimengerti sih, namanya juga clickbait. Tapi seringnya, isi podcast justru nggak se-heboh judulnya.

Tapi nggak apa-apa, podcast dengan konten seperti ini tetap ada manfaatnya. Saya sering mengajarkan ke anak saya bahwa nggak semua informasi dari internet — baik dari media sosial atau podcast — bisa langsung dianggap akurat. Justru, podcast seperti ini bisa jadi contoh nyata buat belajar mengenali bagaimana informasi yang kurang tepat bisa tersebar.

Ok, markibas, mari kita bahas topik tersebut

Dalam podcast tersebut, Om Daniel Mananta dan Mr. Bert mendemonstrasikan bagaimana kode QR dapat disalahgunakan untuk mencuri data pribadi. Om Daniel memindai kode QR yang diklaim sebagai QRIS menggunakan kamera ponselnya. Setelah pemindaian, ia diarahkan ke halaman web yang tampak seperti situs bank resmi dan kemudian melakukan login dengan memasukkan username, password, dan PIN. Akibatnya, Mr. Bert berhasil memperoleh informasi login tersebut.

Demonstrasi ini menyoroti risiko penipuan melalui kode QR, khususnya metode yang dikenal sebagai “quishing” — gabungan dari QR code dan phishing. Pelaku kejahatan dapat membuat kode QR link palsu yang, saat dipindai, mengarahkan korban ke situs web berbahaya yang meniru situs resmi untuk mencuri informasi sensitif.

Untuk melindungi diri dari penipuan semacam ini, pertimbangkan langkah-langkah berikut:

  1. Verifikasi Sumber Kode QR: Pastikan kode QR berasal dari sumber yang tepercaya sebelum memindainya.
  2. Periksa URL dengan Cermat: Setelah memindai, perhatikan alamat situs web yang muncul. Hindari memasukkan informasi pribadi jika URL terlihat mencurigakan atau berbeda dari yang seharusnya.
  3. Gunakan Aplikasi Pemindai Terpercaya: Beberapa aplikasi pemindai kode QR dapat memberikan peringatan jika kode tersebut mengarah ke situs berbahaya.
  4. Aktifkan Autentikasi Dua Faktor (2FA): Menambahkan lapisan keamanan ekstra pada akun Anda dapat membantu mencegah akses tidak sah meskipun informasi login Anda telah dicuri.

Dengan meningkatkan kewaspadaan dan mengikuti praktik keamanan yang baik, Anda dapat mengurangi risiko menjadi korban penipuan melalui kode QR link.

Saya setuju banget bahwa kita harus ekstra hati-hati saat mengklik sebuah link, karena ancaman phishing bisa saja tersembunyi di baliknya. Dalam hal ini, saya sepakat. Tapi kalau sampai menyebut QRIS sebagai “link payment”… ehh… ehhh… eiittt… tunggu dulu, Bre! Itu nggak tepat

Begini, mari kita lihat sedikit sejarahnya. QR Code, atau Quick Response Code, adalah barcode dua dimensi. Bedanya dengan barcode biasa yang garis-garis seperti di minimarket (1 dimensi), QR Code bisa menyimpan data lebih banyak. Awalnya, QR Code digunakan di Jepang untuk melabeli spare part mobil. Pada masa itu, belum ada istilah QRIS sama sekali. Jadi, jangan sampai QR Code-nya disamakan atau disebut QRIS, ya. QR Code itu teknologi dasar, sedangkan QRIS adalah sistem standar untuk pembayaran digital di Indonesia. Beda cerita!

Seiring berkembangnya kebutuhan komunikasi data, QR Code jadi multifungsi dan bisa digunakan untuk berbagai keperluan. Ada yang pakai untuk menyimpan informasi di kartu nama, ada juga yang memanfaatkan QR Code sebagai data di struk pembayaran. Selain itu, QR Code juga sering digunakan sebagai trigger pembayaran atau bahkan untuk membagikan informasi berupa link. Fleksibilitasnya inilah yang membuat QR Code semakin banyak diaplikasikan di berbagai bidang.

QRIS, atau QR Indonesian Standard, adalah standar yang dibuat oleh Bank Indonesia untuk mengakomodasi kebutuhan pembayaran menggunakan QR Code. Tujuannya adalah agar semua Penyedia Jasa Pembayaran (PJP) bisa melakukan dan menerima pembayaran melalui QR Code dengan mudah dan terintegrasi.

QRIS sendiri dibangun berdasarkan format QR untuk pembayaran yang dikembangkan oleh EMV. EMV adalah singkatan dari Europay, Mastercard, dan Visa, tiga perusahaan yang berkolaborasi untuk menciptakan standar global dalam sistem pembayaran menggunakan berbagai metode. Dengan standar ini, QRIS menjadi solusi yang universal dan interoperable, mendukung efisiensi dan kemudahan transaksi di Indonesia.

Data QRIS berisi serangkaian string atau karakter yang telah diatur sesuai aturan standar. Ketika QRIS dipindai, aplikasi Penyedia Jasa Pembayaran (PJP) dapat membaca data tersebut dan mengenali informasi pembayaran. Dengan begitu, pengguna bisa langsung melakukan pembayaran ke toko atau merchant yang tercantum di QRIS tersebut.

Contoh data QRIS seperti berikut:

00020101021126650014ID.SPINPAY.WWW01189360081631910011200214131431910011200303UMI51440014ID.CO.QRIS.WWW0215ID10200376036820303UMI5204581253033605802ID5912Toko Bahagia6013Jakarta Pusat61051034062070703A016304244C

Data QRIS di atas diambil dari gambar QR sebelah kiri yang ada di banner. Bisa dilihat isinya hanya berupa string atau karakter yang sudah terstruktur sesuai standar QRIS. Tidak mungkin data tersebut tiba-tiba berubah ajaib menjadi sebuah link. Kalau ada yang menyebut QRIS sebagai link, ya jelas salah kaprah. Jadi, pertanyaannya sekarang: gambar QRIS manakah yang kalian dustakan?

Kalau kita memindai QRIS pakai kamera HP, hasilnya akan menampilkan data berupa string terstruktur seperti yang dijelaskan sebelumnya. Data ini hanya bisa dipahami oleh aplikasi Penyedia Jasa Pembayaran (PJP) untuk memproses transaksi. Kecuali di beberapa HP seperti Samsung yang mungkin langsung diarahkan ke Samsung Pay, QRIS tidak akan menampilkan link apalagi otomatis membuka link. Jadi, jelas ya, QRIS itu bukan link dan tidak membuka link secara langsung. QRIS tidak pernah difungsikan sebagai link dan tidak pernah direncanakan sebagai sebuah link.

Kalau maksud Mr. Bert adalah untuk mengingatkan kita berhati-hati terhadap gambar QRIS palsu yang ternyata berisi link, itu saran yang baik dan benar. Tapi di podcast tersebut, Mr. Bert secara tegas menyebut bahwa QRIS adalah Link Payment, dan di sinilah saya merasa perlu meluruskan. Sebagai seseorang yang memperhatikan perkembangan QRIS dan bekerja di industri pembayaran — di mana QRIS menjadi bagian dari keseharian — saya merasa terpanggil untuk mengoreksi pernyataan ini. QRIS bukanlah “Link Payment”.

Saya sudah mencoba mengirim message ke om Daniel. Mudah-mudahan bisa dibaca dan bisa memahami penjelasan yang saya berikan.

Pada akhirnya, memahami QRIS itu simpel, asal jangan terlalu kreatif mengada-ada. QRIS bukan Link Payment, bukan sihir dan bukan juga tukang sulap yang bisa bikin data user jadi kesebar. Jadi, mari bijak menggunakan teknologi, cek fakta dulu sebelum percaya, dan jangan lupa:

Kalau QRIS bisa menjadi link, mungkin buah Semangka bisa berdaun Sirih

Sandi Fajariadi mempunyai pengalaman di product development terutama terkait payment, emoney dan ewallet. Di waktu senggang membuat aplikasi mobile seperti QRIS wantuno dan juga membuat beberapa lagu yang bisa dicek di Channel Youtube nya.

Qris
Payments
Link Payment
Qr Code
Qr

--

--

Sandi Fajariadi
Sandi Fajariadi

Written by Sandi Fajariadi

19 Followers
2 Following

10+ years deep in payment systems, always curious about QRIS. Let's talk!

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams