Kode QRIS Infak Palsu Ditempel di Sejumlah Masjid di Jakarta

Cyberthreat.id – Warganet Indonesia belakangan hari ramai memperbincangkan seorang laki-laki yang menempelkan kode QRIS palsu di sejumlah kotak amal di Masjid Nurul Iman Blok M Square, Jakarta Selatan.

QRIS ( quick response code Indonesia standard) ialah standar kode QR nasional yang dirilis Bank Indonesia dan Asosiasi Sistem Pembayaran Indonesia untuk memafasilitasi pembayaran online.

Kode QRIS memudahkan siapa saja yang ingin bersedekah. Tinggal pindai kode QR yang tersedia dengan aplikasi e-wallet  atau m-banking, lalu tulis nilai nominal yang akan didonasikan dan kirim.

Sayangnya, kode QRIS seperti kode QR lain tak memiliki pengamanan yang kuat. Mudah bagi siapa saja menyaru sebagai lembaga amal atau pengelola masjid atau tempat ibadah lain. Ini yang terjadi di Masjid Nurul Iman Blok M Square pekan lalu.

Dalam sebuah video yang viral di media sosial, seorang lelaki menempelkan stiker bergambar kode QRIS berjudul "Restorasi Masjid". Tampilannya sangat menyakinkan dan tampak sah bahwa itu memang dibuat seolah-olah dari pengelola masjid.

Namun, ada yang ganjil sebetulnya, tertulis "SQAN QRIS UNTUK INFAQ". Pembuatnya saltik dalam menulis "SQAN" yang maksudnya pindai (scan). Di stiker juga tidak tertulis Masjid Nurul Iman Blok M Square.

Pengurus DKM Nurul Iman Blok M Square mengatakan penempelan stiker kode QRIS itu terjadi pada Kamis (6 April 2023) sekitar pukul 10.30. Namun, pengurus baru menyadari keanehan pada Minggu (9 April) sekitar pukul 11.00.

"Kami lihat ada keanehan saja, biasanya di kotak-kotak infak itu tidak ada stiker QRIS, terutama di bagian luar. Nah, ini ada stiker asing," ujar pengurus saat dihubungi Cyberthreat.id, Senin (10 April) melalui nomor Sekretariat DKM Nurul Iman. Kode QRIS yang dikeluarkan Sekretariat selama ini hanya terdapat di bagian dalam masjid dan kotak infak keliling saat shalat Jumat.

Selanjutnya, pengurus memeriksa seluruh kotak amal dan tiang-tiang serta dinding masjid. Ternyata, banyak stiker QRIS yang bukan berasal dari Sekretariat. Akhirnya seluruh kode tersebut dicopot, tutur pengurus. Atas kejadian itu, pengurus telah melaporkan ke kepolisian.

Pengurus mengatakan telah memberitahukan melalui media sosial tentang kejadian itu dan mewanti-wanti agar jamaah masjid untuk lebih berhati-hati.

"Teliti kalau mau transfer via QRIS. Cek nama tujuan dan lain-lain. Konfirmasi ke DKM jika ada yang mencurigakan, baik QRIS, nomor rekening dan sebagainya yang tidak ada nama Masjid Nurul Iman Blok M Square," tutur pengurus. 

Polres Metro Jakarta Selatan mengatakan kode QRIS palsu tersebar di beberapa masjid di wilayah Jakarta Selatan. "Lokasi ada di Kebayoran lama dan ada di Pancoran, Pondok Indah, dan Kalibata," kata Kasat Reskrim Kompol Irwandhy Idrus, dikutip dari detik.com.

Penempelan stiker QRIS palsu juga terjadi di Masjid Istiqlal. Pengurus masjid mendapati 50 stiker palsu. Laporan Kumparan.com, stiker ini mirip dengan stiker yang ditempelkan di Masjid Nurul Iman Blok M Square; hanya berbeda judulnya saja. Di Masjid Istiqlal, tertulis "Restorasi Mesjid".

Imam Besar Istiqlal Nasaruddin Umar juga mantan Wakil Menteri Agama itu telah melaporkan kejadian tersebut ke bank untuk ditindaklanjuti, menurut pengurus Istiqlal.

BI blokir kode QRIS palsu  

Bank Indonesia sebagai lembaga yang menerbitkan kode QRIS merespons insiden tersebut. Dalam kejadian di Masjid Nurul Iman Blok M Square, terungkap bahwa pelaku mendaftarkan kode itu sebagai gerai (merchant) QRIS atas nama "restorasi masjid", tapi bukan sebagai tempat ibadah, melainkan merchant reguler.

Direktur Eksekutif Departemen Komunikasi Bank Indonesia, Erwin Haryono, mengatakan, telah memblokir kode QRIS tersebut sehingga tak bisa diakses oleh penyedia jasa pembayaran (aplikasi e-wallet atau m-banking).

"Bank Indonesia juga sudah mengkomunikasikan kepada seluruh PJP untuk mewaspadai modus penyalahgunaan QRIS serupa," kata Erwin dikutip dari Liputan6.com.

Menurut Erwin, pendaftaran kode QRIS untuk gerai reguler dengan tempat ibadah atau donasi sosial berbeda. Sebagai tempat ibadah, perlu ada tambahan dokumen untuk memastikan bahwa merchant tersebut benar-benar tempat ibadah/donasi sosial, "sehingga nanti dapat ditetapkan tarif MDR (merchant discount rate) 0 persen," tutur Erwirn.

Sejak dikenalkan pada 17 Agustus 2019, terdapat 2o8.459 merchant bergabung menggunakan QRIS di 514 kota/kabupaten di Indonesia, demikian tertulis di situsweb qris.id. Total transaksi yang telah dikelola mencapai lebih dari Rp939 miliar.

Saran pakar

Pakar keamanan siber Vaksincom, Alfons Tanujaya, mengatakan, sebetulnya kode QRIS sangat baik karena menampung informasi yang banyak dan sulit dipalsukan.

Gambar kodenya hanya bisa dibaca oleh alat pindai QRIS, bukan oleh mata manusia. "Namun, justru karena tidak bisa dibaca oleh manusia, itu yang jadi masalah," ujar Alfons kepada Cyberthreat.id, Senin.

Oleh karenanya, ia menyarankan agar kode QRIS diamankan dengan lebih baik. Misalnya, stiker dilindungi oleh tempat yang terlindungi semacam kaca sehingga orang lain tak mudah menimpa dengan stiker lain. Bisa pula membuat kode QRIS berukuran besar, lalu ditaruh di tempat yang sulit dijangkau pemalsu.

"Ada baiknya informasi nomor rekening penerima QRIS ditampilkan di bawah kode sehingga bisa dicek oleh pengirim dan membandingkan dengan datanya," kata Alfons.

Alfons mengatakan, ada dua jenis QRIS, yaitu statis dan dinamis. QRIS statis bersifat permanen dan tidak berubah, sehingga kode ini jika tak dijaga dengan baik, bisa ditimpa oleh stiker QRIS lain (mengalihkan ke rekening milik orang lain).

Sementara, QRIS dinamis diproduksi oleh mesin EDC, sehingga bentuk kodenya berubah-ubah dan relatif lebih aman dari QRIS statis dari aksi pemalsuan. "Walaupun tidak 100 persen aman," ujar Alfons.

Ia menyarankan agar penyumbang berhati-hati dan sebelum transfer uang harus memastikan nama akun penerima. Jika ada keganjilan, lebih baik tanyakan kepada pemilik akun.[]