Berita Terbaru

Scanception: Trik Baru Phishing Lewat Kode QR di PDF

Ilustrasi QR Code di PDF

Ilustrasi QR Code di PDF

Dalam dunia digital yang semakin canggih, teknik serangan siber juga terus berevolusi. Salah satu bentuk serangan terbaru yang mencuri perhatian komunitas keamanan siber global adalah kampanye phishing yang dinamai “Scanception”. Serangan ini menyusup lewat kode QR tersembunyi di file PDF, melewati sistem keamanan email tradisional dan mencuri kredensial pengguna dengan cara yang nyaris tak terdeteksi.

Scanception menjadi contoh nyata bagaimana kecanggihan teknologi juga membawa tantangan baru dalam menjaga keamanan data. Melalui artikel ini, kita akan mengulas secara lengkap bagaimana serangan ini bekerja, teknik yang digunakan untuk mengelabui sistem keamanan, hingga dampaknya terhadap organisasi dan cara menghindarinya.

 
Apa Itu Scanception dan Mengapa Berbahaya?

Scanception adalah nama dari sebuah kampanye phishing canggih yang memanfaatkan kode QR di file PDF sebagai medium penyebaran. Berbeda dengan metode phishing klasik yang sering menggunakan tautan dalam isi email, Scanception mengandalkan file PDF yang terlihat sah dan profesional, lalu menyisipkan kode QR berbahaya di halaman belakang dokumen.

Yang menjadikan Scanception sangat berbahaya adalah:

  • Sulit terdeteksi oleh pemindai email otomatis
  • Menargetkan pengguna ponsel (mobile-centric attack)
  • Meniru halaman login Microsoft 365 dengan akurat
  • Mampu melewati autentikasi dua faktor (2FA)

Ini adalah contoh serangan rekayasa sosial (social engineering) yang cerdas, memanfaatkan kebiasaan pengguna untuk memindai QR code dengan cepat tanpa curiga.

 
Tahapan Serangan Scanception

Scanception tidak dilakukan secara sembarangan. Serangan ini dirancang melalui beberapa tahap yang saling berkaitan. Berikut adalah tahapan utama dalam eksekusi serangan ini:

  1. Email Phishing yang Meyakinkan
    Penyerang mengirim email yang tampak profesional, biasanya menyertakan file PDF yang mengklaim sebagai dokumen resmi perusahaan seperti handbook karyawan, pengumuman penting, atau panduan internal. Tampilan dokumen menyerupai format korporat asli lengkap dengan logo, tata letak, dan gaya penulisan resmi.

  2. Kode QR Disembunyikan di Halaman Belakang
    Kode QR berbahaya tidak ditampilkan di awal, melainkan disisipkan di halaman terakhir PDF, sehingga tidak terdeteksi oleh sistem keamanan yang hanya memindai 1-2 halaman pertama.

    Dalam investigasi oleh tim Cyble, ditemukan lebih dari 600 PDF phishing unik dalam waktu hanya 3 bulan. Bahkan, 80% di antaranya tidak terdeteksi oleh VirusTotal, platform analisis malware terkenal.

  3. Korban Memindai Kode QR
    Setelah membaca dokumen, korban akan melihat QR code dan memindainya menggunakan perangkat mobile. Tanpa sadar, mereka diarahkan ke sebuah link yang tampak sah.

  4. Redirect Lewat Situs Terpercaya
    Sebelum korban sampai di situs phishing, mereka diarahkan melalui situs perantara yang terkenal dan terpercaya seperti:

    • Google
    • YouTube
    • Bing
    • Cisco

    Tujuannya adalah untuk menyamarkan tautan jahat di balik domain yang tampaknya aman. Teknik ini dikenal sebagai domain reputation evasion, yaitu menyamarkan link berbahaya di balik nama domain terkenal.

 
Serangan Lanjutan: Deteksi Canggih dan Situs Phishing

Setelah korban tiba di halaman phishing yang menyerupai login Microsoft Office 365, situs ini menjalankan skrip JavaScript canggih untuk mendeteksi apakah akses berasal dari pengguna sungguhan atau dari alat analisis seperti:

  • Selenium
  • PhantomJS
  • Burp Suite

Setiap 100 milidetik, situs memindai kemungkinan adanya alat analisis otomatis. Jika terdeteksi, korban langsung dialihkan ke halaman kosong about:blank, memutuskan serangan secara instan.

 
Pencurian Data: Teknik Adversary-in-the-Middle (AITM)

Salah satu keunggulan dari Scanception adalah teknik pencurian data yang digunakan, yakni Adversary-in-the-Middle. Teknik ini memungkinkan penyerang mencegat komunikasi antara korban dan situs login palsu secara real-time, sehingga kredensial bisa disadap saat diketik oleh korban.

Bagaimana Cara Kerjanya?

  • Situs phishing menjalankan fungsi sendAndReceive() yang menjembatani interaksi antara korban dan server penyerang.
  • Data korban dikirim menggunakan metode POST ke endpoint server jahat.
    URL endpoint tersebut dibuat secara acak menggunakan library JavaScript randexp.min.js dari GitHub dan fungsi randroute().
  • Akibatnya, pola URL terus berubah sehingga sulit dideteksi oleh sistem keamanan berbasis pola atau signature.
     

Menembus Autentikasi Dua Faktor (2FA)

Yang membuat serangan Scanception makin mengkhawatirkan adalah kemampuannya untuk melewati autentikasi dua faktor (2FA). Ketika korban memasukkan username dan password, sistem jahat akan meminta data tambahan yang diperlukan untuk masuk, seperti:

  • Kode verifikasi SMS (OTP)
  • Token aplikasi autentikator
  • Kode dari email

Dengan sambungan real-time, penyerang bisa segera menggunakan informasi tersebut untuk mengambil alih akun sepenuhnya.

 
Dampak Nyata: Pengambilalihan Akun Microsoft 365

Jika kredensial dan kode autentikasi berhasil diperoleh, maka akun korban bisa dibajak sepenuhnya. Penyerang kini memiliki akses penuh ke:

  • Email kantor
  • OneDrive
  • SharePoint
  • Dokumen perusahaan
  • Agenda rapat
  • Komunikasi internal

Akun yang tampak sah ini bahkan bisa digunakan untuk melanjutkan serangan ke kolega lain dalam perusahaan, menyebarkan PDF serupa, atau melakukan penipuan dengan menyamar sebagai eksekutif perusahaan (CEO fraud).

 
Mengapa Sistem Keamanan Gagal Mendeteksi?

Serangan Scanception telah menjadi sorotan karena kemampuannya menyusup tanpa terdeteksi oleh berbagai sistem keamanan digital modern. Banyak organisasi yang bertanya-tanya, mengapa antivirus, pemindai PDF, bahkan sistem keamanan email canggih sekalipun tidak bisa menghentikan serangan ini?

Jawabannya terletak pada kombinasi teknik pengelakan yang digunakan oleh pelaku. Mereka tidak hanya mengandalkan satu metode, tetapi menyusun strategi serangan secara berlapis dan cermat untuk menembus pertahanan digital. Berikut penjelasannya secara rinci:

  1. Menggunakan Kode QR, Bukan Tautan Langsung
    Kebanyakan sistem deteksi ancaman dirancang untuk menganalisis hyperlink atau URL yang tertanam langsung dalam teks email atau dokumen. Namun, dalam serangan Scanception, kode QR digunakan sebagai “penyamaran”. Karena kode QR harus dipindai menggunakan perangkat eksternal (biasanya ponsel), sistem keamanan email tidak bisa membaca atau mengevaluasi URL yang ada di baliknya.

  2. Disembunyikan di Halaman Terakhir PDF
    Untuk menghindari deteksi otomatis, kode QR tidak diletakkan di halaman pertama atau tengah dokumen, melainkan di halaman paling akhir PDF. Banyak pemindai PDF hanya memeriksa konten pada bagian awal dokumen atau melakukan analisis singkat, sehingga halaman akhir sering kali luput dari perhatian.

  3. Redirect ke Domain yang Terlihat Aman
    Setelah kode QR dipindai, pengguna akan diarahkan ke situs web yang tampak sah—seperti menggunakan domain yang sudah terpercaya atau familiar. Namun, dari domain tersebut akan terjadi redirect (pengalihan) ke URL berbahaya yang sesungguhnya. Ini membuat banyak sistem tidak menganggap URL tersebut mencurigakan di awal.

  4. URL Endpoint yang Terus Berubah
    Salah satu cara ampuh menghindari pemblokiran otomatis adalah dengan mengubah URL target secara berkala. Dengan begitu, jika satu URL diblokir atau dikenali sebagai ancaman, pelaku tinggal mengganti ke URL baru. Ini membuat reputasi situs sulit dinilai secara konsisten oleh sistem deteksi.

  5. Menghindari Analisis dengan Deteksi Alat Investigasi
    Scanception juga memiliki mekanisme anti-analisis. Jika pelaku mendeteksi bahwa QR code dipindai dari lingkungan analisis seperti Burp Suite, atau dijalankan dalam mode virtual/otomatis, mereka akan menampilkan halaman palsu yang aman. Ini membuat penyelidik atau analis keamanan kesulitan untuk membuktikan adanya aktivitas berbahaya.

  6. Menggunakan Teknik AITM (Adversary-in-the-Middle) Secara Real-Time
    Dalam banyak kasus, Scanception juga menyertakan teknik AITM, di mana pelaku menjadi perantara antara pengguna dan layanan web sah seperti Microsoft 365. Ini memungkinkan mereka untuk mencuri kredensial secara langsung saat proses login berlangsung, bahkan jika login tersebut menggunakan metode multifaktor.

Mengapa Sistem Deteksi Tidak Mampu Menghadang?
Karena teknik-teknik di atas berjalan secara bersamaan dan sangat dinamis, maka sistem keamanan tradisional seperti: Antivirus, Pemindai file PDF, Email gateway filter tidak mampu mengenali pola serangan secara menyeluruh. Serangan ini sangat mengandalkan keterlibatan pengguna (misalnya memindai QR code), dan bukan pada eksploitasi teknis terhadap sistem, yang membuatnya semakin sulit dikenali.

 

Cara Efektif Melindungi Diri dari Serangan Scanception dan Ancaman Serupa

Walaupun serangan ini canggih dan sulit dideteksi secara otomatis, bukan berarti kita tidak bisa melindungi diri. Berikut ini adalah langkah-langkah penting yang bisa dilakukan oleh individu maupun perusahaan untuk meminimalkan risiko:

  1. Waspadai Lampiran PDF dari Pengirim Tak Dikenal
    Jangan pernah membuka dokumen PDF dari alamat email yang mencurigakan, terutama jika tidak ada konteks yang jelas atau tiba-tiba meminta Anda untuk memindai kode QR. Peretas sering menyamarkan email mereka agar tampak seperti berasal dari organisasi resmi.

  2. Jangan Sembarangan Memindai Kode QR
    Anggaplah kode QR seperti tautan berbahaya. Jika Anda tidak yakin akan asal-usul QR code tersebut, jangan langsung memindainya. Bahkan jika terlihat profesional, tetaplah berhati-hati.

    Selalu periksa tautan atau domain tujuan yang muncul setelah Anda memindai. Jangan klik atau login di situs yang mencurigakan.

  3. Gunakan Aplikasi Keamanan Mobile yang Bisa Memindai QR Code
    Beberapa aplikasi keamanan modern telah dibekali fitur untuk:

    • Membaca kode QR
    • Menampilkan URL tujuan secara jelas
    • Melakukan pemeriksaan reputasi situs

    Dengan menggunakan aplikasi seperti ini, Anda bisa mendeteksi apakah link yang disematkan dalam QR code mengarah ke situs phishing atau tidak.

  4. Edukasi Karyawan Secara Rutin
    Bagi perusahaan, edukasi karyawan adalah lini pertahanan pertama. Berikan pelatihan berkala tentang:

    • Taktik phishing terbaru
    • Bahaya QR code dalam dokumen
    • Teknik rekayasa sosial

    Karyawan yang paham akan risiko ini lebih mungkin melaporkan aktivitas mencurigakan dibandingkan langsung memindai dan masuk ke dalam jebakan.

  5. Gunakan Sistem Email Gateway yang Mampu Analisis Mendalam
    Pilih layanan email yang:

    • Mampu membaca seluruh halaman dokumen (bukan hanya halaman pertama)
    • Bisa melakukan sandboxing, yaitu menjalankan file di lingkungan virtual untuk mendeteksi perilaku mencurigakan
    • Mampu mengenali kode QR atau tautan tersembunyi

    Sistem ini akan memberikan lapisan perlindungan tambahan terhadap dokumen PDF yang berbahaya.

  6. Aktifkan Deteksi Anomali Login dan Fitur Keamanan Tambahan
    Gunakan sistem keamanan yang:

    • Dapat mendeteksi aktivitas login tidak biasa, seperti dari lokasi geografis yang jauh atau perangkat yang belum pernah digunakan sebelumnya
    • Mengaktifkan notifikasi login
    • Mewajibkan multi-factor authentication (MFA)

    Bila terjadi percobaan login tidak sah, sistem akan segera memberi peringatan kepada pemilik akun.

Scanception menjadi pengingat bahwa ancaman siber terus berkembang, dan para pelaku kejahatan kini memanfaatkan metode yang lebih licik dan sulit dideteksi. Dengan menyisipkan QR code di dalam PDF, mereka berhasil menembus sistem keamanan yang selama ini dianggap cukup andal.

Untuk melindungi diri dan organisasi dari serangan seperti ini, penting untuk meningkatkan kewaspadaan, memperkuat sistem keamanan, dan terus mengedukasi pengguna tentang bentuk-bentuk baru dari phishing dan rekayasa sosial.

Ingatlah, keamanan siber bukan hanya soal teknologi, tapi juga soal perilaku manusia.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait