Modus Penipuan QRIS Terbaru: Cara Mengenali dan Melindungi Diri dari QR Palsu

Kamu lagi di pasar pagi, pilih sayur, nego harga, terus bayar lewat QRIS. Biasanya semua lancar —贴纸就在桌上，你 scan，输入金额，三秒后确认完成。 Tapi dua hari kemudian kamu cek mutasi, dan ada transaksi lain yang bukan kamu. Rp850.000 hilang dari e-wallet. Bukan karena kamu ceroboh. Tapi karena scammer pasang QRIS palsu di atas QRIS asli pedagang.

QRIS scams itu nyata, meningkat pesat di Indonesia, dan yang kehilangan uang bukan orang bodoh — mereka orang yang cuma assume QRIS yang mereka scan itu aman.

QRIS Itu Memang Praktis — Tapi Juga Target Utama Scammer

Sebelum masuk ke modusnya, kamu perlu paham kenapa QRIS begitu mengincar perhatian penipu. QRIS itu universal — satu kode bisa dipake di GoPay, OVO, Dana, ShopeePay, LinkAja, dan aplikasi bank apapun. Dari sudut pandang scammer, mereka cuma perlu satu QRIS palsu untuk mengincar semua e-wallet sekaligus.

Biaya untuk bikin QRIS palsu? Hampir nol — cetak beberapa stiker aja. Potensi kehilangan korbannya? Jutaan rupiah per orang, dan puluhan atau ratusan korban dalam beberapa minggu.

Dan yang paling mengkhawatirkan: bank dan e-wallet kamu nggak akan proteksi kamu kalau kamu sendiri yang scan dan konfirmasi. Ini bukan seperti transaksi kartu kredit yang bisa di-chargeback. Dengan QRIS, begitu uang keluar dari akunmu, dia benar-benar pergi. Cepat dan tanpa kemungkinan tarik kembali.

Modus Penipuan QRIS yang Lagi Marak di Indonesia

1. Stiker QRIS Palsu di Pasar dan Warung

Ini modus paling umum dan paling sederhana. Scammer datang ke pasar tradisional, menempelkan stiker QRIS palsu langsung di atas QRIS asli milik pedagang. Pelanggan scan, berpikir mereka bayar ke pedagang, tapi uangnya masuk ke rekening scammer.

Cara kerjanya: scammer biasanya beroperasi pagi-pagi sekali, sebelum pedagang datang. Mereka lempar stiker QRIS palsu dengan cepat — lemparan yang rata dan hampir nggak terlihat bedanya dari QRIS asli. Pedagang baru sadari ada yang tidak beres setelah lihat receipt dana masuk nggak sesuai dengan penjualan hari itu.

Kalau kamu pedagang: cek QRIS kamu setiap pagi sebelum dagang. Lempar stiker bawaanmu sendiri di atasnya. Atau lebih bagus lagi, pasang QRIS digital di HP kamu dan jangan taruh di meja tempat orang bisa dengan mudah swap.

2. QR Overlay di Parkiran dan Gerbang Tol

Di parkiran mall, parkiran kantor, atau bahkan gerbang tol — kamu mulai lihat spanduk atau stiker yang bilang “Scan untuk Bayar di Sini”. Kamu scan, bayar Rp15.000 buat parkir, dan dalam kepala thinks everything’s fine.

Tapi beberapa minggu kemudian kamu realize: ada Rp500.000 sampai Rp1.000.000 yang lenyap dari e-wallet kamu dalam transaksi-transaksi kecil yang nggak pernah kamu lakukan. Beberapa korban bahkan kehilangan sampai Rp5.000.000 dari QR overlay di parkiran — karena setelah scammer dapat akses ke e-wallet, mereka kosongin pelan-pelan.

Yang bikin berbahaya: transaksi QRIS biasanya instan dan tanpa notifikasi tambahan di beberapa e-wallet. Kamu nggak dapat OTP atau push notification untuk transaksi di bawah Rp100.000. Jadi kamu nggak tahu transaksi happen until you actually check your history.

3. Fake Merchant QR di Online Shop dan Media Sosial

Kamu lagi chat di Instagram atau DM Twitter dengan akun yang bilang mau jual barang. Mereka kirim QRIS buat pembayaran. Kamu scan, masukkan nominal, klik konfirmasi. Dalam 30 detik, uangmu gone.

Modus ini naik karena Instagram dan TikTok sekarang penuh dengan akun reseller fiktif. Mereka nggak punya lokasi fisik, cuma punya QRIS dan review palsu yang bought. Kerugian rata-rata: Rp500.000 sampai Rp2.000.000 per korban. Kadang lebih.

Rule tegas: Kalau seseorang di online shop minta kamu bayar lewat QRIS, dan kamu nggak bisa verifikasi merchantnya secara langsung, itu red flag besar. Pembayaran yang legitimate biasanya lewat platform escrow, bukan QRIS langsung.

4. Social Engineering Lewat QR — “Hadiah Gratis untuk Kamu”

Ini yang paling tricky karena melibatkan interaksi manusia. Kamu dapat pesan WhatsApp atau DM Instagram yang bilang: “Selamat! Kamu menang voucher Rp200.000. Scan QR ini buat klaim.”

Yang terjadi setelah scan: scammer dapat akses ke e-wallet kamu, atau kamu diarahkan ke halaman phishing yang minta PIN dan OTP. Dalam beberapa kasus, scan QR itu langsung muncul layar konfirmasi transfer. Kalau kamu nggak baca baik-baik dan langsung klik “Ya”, uangmu langsung berpindah.

Ingat ini: tidak ada perusahaan bonafide yang minta kamu scan QR buat klaim hadiah. Semua brand yang legitimate nggak akan minta pembayaran atau konfirmasi pribadi lewat QR yang dikirim via pesan.

Warning Signs — Tanda-Tanda QRIS yang Mencurigakan

Sebelum kamu scan, ceklist ini:

• QRIS ditempel di atas permukaan lain. Stiker asli biasanya tercetak langsung di papan atau meja. Stiker palsu sering punya tepi yang sedikit terangkat atau posisinya nggak natural.
• Merchant name nggak sesuai. Setelah scan, selalu muncul nama merchant di layar konfirmasi. Kalau nama yang muncul nggak sesuai dengan toko yang kamu bayar, cancel immediately.
• Nominal muncul nggak sesuai. Kamu scan buat bayar Rp20.000 tapi layar menunjukkan Rp200.000? Itu jelas red flag.
• URL di layar konfirmasi nggak mengandung “qris.com”. QRIS asli akan selalu redirect ke domain yang teregistrasi di qris.com. URL mencurigakan seperti qris-pay.xyz atau qrisku.online = langsung cancel.
• Diminta scan QRIS di tempat yang nggak biasa. Tempat cuci mobil, parkiran apartemen, atau tempat umum lain — kalau nggak ada merchant fisik yang bisa kamu verifikasi langsung, jangan scan.

Cara Melindungi Diri dari Penipuan QRIS

1. Aktifkan Notifikasi Transaksi untuk Semua E-Wallet

Ini langkah paling basic tapi banyak orang nggak laku. Nyalain notifikasi push untuk setiap transaksi, termasuk yang kecil. Dengan cara ini, kalau ada transaksi yang bukan kamu, kamu bisa langsung reaksi dalam hitungan detik — bukan hari.

2. Pakai Fitur Keamanan Tambahan di E-Wallet

OVO, GoPay, Dana, dan LinkAja punya fitur keamanan tambahan: PIN terpisah untuk transaksi, sidik jari, atau face recognition. Beberapa e-wallet juga punya daily limit yang bisa kamu turunkan. Pakai semua ini — they exist buat alasan yang good.

3. Verifikasi ke Merchant Sebelum Bayar

Sounds obvious tapi orang sering skip. Tunjuk ke QRIS dan bilang, “Ini QR-nya ya, Pak/Bu?” Pedagang yang sah nggak akan keberatan diverifikasi. Scammer akan nervous kalau kamu minta konfirmasi.

4. Jangan Scan QR yang Dikirim Lewat Pesan atau DM

Ini aturan paling penting: kalau QRIS datang dari orang yang nggak kamu temui secara fisik, jangan di-scan. Nggak ada hadiah, nggak ada voucher, nggak ada “bayar di muka” buat barang online yang minta scan QRIS langsung.

5. Rutin Cek Mutasi Rekening dan E-Wallet

Sekali seminggu, cek semua transaksi di semua e-wallet dan rekening bank kamu. Scam kecil-kecilan sering terjadi dalam rentang berminggu-minggu sebelum korban sadari. Lebih cepat kamu detect, semakin kecil kerugiannya.

Apa yang Harus Kamu Lakukan Kalau Sudah Kena Scam

1. Segera hubungi customer service e-wallet kamu. Setiap e-wallet punya prosedur dispute. Meskipun refund nggak dijamin, ada kasus di mana transaksi bisa di-stop kalau kamu cepat reaksi.
2. Lapor ke polisi. Bawa bukti transaksi, screenshot, dan nomor referensi. Polisi sekarang punya unit cybercrime yang tangani kasus ini. Buat laporan online: patrolisiber.id.
3. Lapor ke Bank Indonesia atau OJK. Khususnya kalau merchantnya terdaftar — BI dan OJK bisa lakukan mediasi dan investigate merchant yang terindikasi penipuan.
4. Ganti semua PIN dan password di semua aplikasi keuangan kalau kamu pernah masukkan info di situs yang mencurigakan.

Realitanya: Kemungkinan Dana Kembali Itu Rendah

Kita harus jujur: kalau kamu sendiri yang scan dan konfirmasi transfer, kemungkinan dana kembali itu sangat kecil. Berbeda dengan kartu kredit, QRIS nggak punya chargeback protection yang kuat untuk transaksi yang udah di-konfirmasi sama si payer sendiri. Ini bukan kelemahan e-wallet — ini karakteristik QRIS itu sendiri yang perlu kamu pahami sebelum pakai.

Jadi prevention is the only real protection here. Bukan soal stop pakai QRIS — QRIS itu luar biasa convenient dan sebagian besar pedagang jujur. Tapi kamu perlu tahu cara bedakan mana yang aman dan mana yang nggak.

Bagaimana BI dan OJK Melindungi Pengguna QRIS

Bank Indonesia udah keluarkan regulasi bahwa semua QRIS harus teregistrasi dan terverifikasi. Setiap merchant QRIS punya merchant name yang unik dan bisa di-trace. Fitur dispute juga udah mulai dibangun. Tapi enforcement-nya masih ongoing — dan sementara itu, scammer terus berkembang lebih cepat dari regulasi.

OJK secara aktif tangani penipuan FinTech dan udah blokir puluhan aplikasi dan rekening yang terindikasi penipuan. Tapi ribuan rekening baru dibuka setiap bulan dengan identitas palsu.

Intinya: regulator bergerak, tapi kamu nggak bisa bergantung pada mereka buat proteksi setiap transaksi yang kamu lakukan sendiri. Literasi finansial dan alertness adalah pertahanan terbaik kamu.

Pakai QRIS dengan Kepala Dingin

QRIS bukan produk yang buruk — ini tools yang luar biasa buat pembayaran yang lebih efisien. Masalahnya bukan di teknologinya, tapi di cara scammer eksploitasi trust yang orang punya terhadap sistem.

Kamu nggak perlu berhenti pakai QRIS. Kamu cuma perlu lebih attentive sebelum scan. Cek merchant name di layar konfirmasi, jangan scan QR yang datang dari pesan tak diharapkan, dan verifikasi ke pedagang — tiga hal ini udah memisahkan kebanyakan korban dari yang aman.

Dan kalau suatu hari kamu menemukan QRIS mencurigakan di sekitar kamu — laporkan ke pengelola tempat dan ke patrolisiber.id. Mungkin kamu nggak dapat reward, tapi kamu bisa selamatkan orang lain dari kehilangan uang.

Karena pada akhirnya, keamanan QRIS itu bukan cuma tanggung jawab BI, OJK, atau bank. It’s a shared responsibility — dan awareness kamu adalah bagian paling penting dari sistem itu.

Artikel ini bagian dari seri keamanan finansial GenHebat. Baca juga: qris cara pakai dan, Apakah Bank Digital Aman?, e wallet vs transfer bank, linkaja review fitur, dan perbandingan e wallet.