Havedev Logo
← Kembali ke Blog

Havedev

Jangan Scan QR dari Email Bisnis Sebelum Alurnya Jelas

Tangan memegang ponsel untuk memindai kode QR yang tampil di layar laptop.

QR code terasa aman karena sudah biasa.

Di Indonesia, orang sudah terbiasa memindai QR untuk bayar, masuk ke menu, membuka formulir, ikut event, mengisi data, sampai menyelesaikan langkah kecil di banyak layanan digital. Karena sering dipakai, QR sering tidak lagi terasa seperti link. Ia terasa seperti instruksi normal: scan saja.

Masalahnya, kebiasaan yang terlalu normal bisa menjadi celah.

Microsoft melaporkan bahwa QR-code phishing meningkat cepat pada Q1 2026, dari 7,6 juta serangan pada Januari menjadi 18,7 juta pada Maret. Angka itu berasal dari telemetry Microsoft, bukan data khusus Indonesia. Tetapi sinyalnya penting untuk bisnis Indonesia: penipu makin sering memindahkan jebakan dari teks link yang mudah dilihat menjadi gambar QR yang terasa biasa.

Pertanyaan untuk bisnis bukan hanya, “Tim kita tahu phishing atau tidak?”

Pertanyaan yang lebih praktis: kalau hari ini ada email, PDF, poster, chat, atau dokumen internal berisi QR palsu, alur kerja kita akan berhenti di titik mana?

Link di email masih bisa membuat orang curiga. Domain terlihat aneh. Tombol terlalu memaksa. Bahasa terasa janggal. Browser bisa menampilkan alamat yang sedang dibuka.

QR berbeda.

Saat seseorang memindai QR, perhatian pindah dari laptop ke ponsel. Konteks berpindah dari inbox ke layar kecil. Link yang sebenarnya tersembunyi di balik pola kotak. Banyak orang baru sadar setelah halaman terbuka, bahkan kadang setelah login, mengisi data, atau memberi izin.

Itulah kenapa QR phishing berbahaya untuk alur bisnis yang bergerak cepat. Ia tidak selalu terlihat seperti serangan. Ia bisa terlihat seperti undangan meeting, update kebijakan, form konfirmasi, menu pembayaran, halaman dokumen, atau instruksi dari vendor.

Kalau tim sudah terbiasa “scan dulu, cek belakangan”, risikonya bukan hanya keamanan. Risikonya adalah desain kerja.

Kebiasaan QRIS membuat QR makin familiar, bukan otomatis berbahaya

QRIS sendiri bukan masalah. Bank Indonesia menjelaskan QRIS sebagai standar QR Code pembayaran untuk memfasilitasi transaksi pembayaran di Indonesia. Untuk banyak UMKM dan pelanggan, QRIS membuat pembayaran lebih praktis dan konsisten.

Justru karena QR sudah familiar, bisnis perlu membedakan dua hal.

QR resmi dalam alur pembayaran yang jelas berbeda dari QR acak yang datang lewat email, PDF, chat, atau dokumen yang tidak punya konteks.

Tim bisa saja sangat percaya pada QR karena sehari-hari QR memang membantu. Tetapi penipu memanfaatkan kebiasaan, bukan hanya kelemahan teknologi. Mereka ingin membuat korban melakukan tindakan yang terasa biasa: scan, login, setujui, isi data, lanjutkan.

Bagi bisnis, pelajarannya sederhana: jangan perlakukan semua QR sebagai shortcut yang sama.

Titik rawan biasanya muncul di alur yang tidak punya pemilik

QR palsu lebih mudah lolos ketika sebuah proses tidak punya pemilik yang jelas.

Contohnya, ada email ke finance berisi QR untuk membuka invoice. Finance mengira vendor yang mengirim. Vendor sebenarnya tidak pernah mengubah alur. Karena tidak ada aturan bahwa invoice harus masuk lewat kanal tertentu, email itu terasa normal.

Atau ada pesan di grup internal berisi QR untuk login ke dokumen. Orang yang mengirim terlihat seperti rekan kerja. Karena tidak ada aturan bahwa akses dokumen harus dibuka dari workspace resmi, anggota tim memindai QR dan masuk ke halaman tiruan.

Atau ada materi campaign berisi QR yang dibuat terburu-buru. Tim memasangnya di poster, story, dan landing page tanpa satu sumber master. Ketika ada QR lama, QR revisi, dan QR dari vendor desain, tidak ada yang tahu mana yang benar.

Masalahnya bukan QR. Masalahnya adalah alur yang tidak bisa menjawab pertanyaan dasar:

  1. QR ini dibuat oleh siapa?
  2. Tujuannya ke mana?
  3. Domain atau aplikasi resminya apa?
  4. Siapa yang boleh mengganti QR?
  5. Di mana daftar QR yang masih aktif disimpan?
  6. Kapan tim harus berhenti dan verifikasi ulang?

Kalau enam pertanyaan itu tidak bisa dijawab, bisnis sedang mengandalkan ingatan orang, bukan sistem kerja.

Jangan mulai dari larangan, mulai dari checkpoint

Melarang semua orang scan QR tidak realistis. Banyak proses modern memang memakai QR.

Yang lebih berguna adalah membuat checkpoint kecil.

Pertama, pisahkan QR publik dan QR internal. QR publik misalnya untuk menu, promo, pendaftaran event, atau pembayaran. QR internal misalnya untuk akses dokumen, login, approval, atau data operasional. QR internal harus punya kontrol lebih ketat karena biasanya mengarah ke data atau akun.

Kedua, buat daftar QR aktif. Satu spreadsheet sederhana pun cukup sebagai awal: nama QR, tujuan URL, pemilik, kanal penggunaan, tanggal dibuat, dan tanggal review. Kalau ada QR yang tidak tercatat, jangan langsung dipakai.

Ketiga, pakai domain yang bisa dikenali. Jika QR mengarah ke formulir, landing page, atau dokumen penting, usahakan domainnya jelas dan konsisten. Hindari kebiasaan menyebar link pendek yang tidak bisa dibaca oleh pengguna.

Keempat, bedakan QR untuk informasi dan QR untuk tindakan berisiko. Membuka katalog berbeda risikonya dengan login, upload dokumen, mengubah rekening, memberi akses, atau menyetujui pembayaran. Semakin tinggi risikonya, semakin wajib ada konfirmasi melalui kanal lain.

Kelima, jangan jadikan email sebagai satu-satunya sumber instruksi. Jika email meminta tim scan QR untuk login, approval, pembayaran, atau update data, perlakukan itu sebagai sinyal berhenti sebentar.

Checkpoint seperti ini tidak membuat bisnis lambat. Ia membuat tindakan cepat tetap punya pagar.

Website dan form juga perlu ikut rapi

Banyak bisnis hanya melihat QR sebagai urusan pembayaran atau poster offline. Padahal QR sering berakhir di website, form, landing page, katalog, halaman promo, atau dokumen digital.

Kalau website bisnis berantakan, QR yang benar pun bisa terasa mencurigakan. Domain tidak konsisten. Form meminta terlalu banyak data. Halaman tidak menjelaskan konteks. CTA berubah-ubah. Halaman terima kasih tidak memberi konfirmasi yang jelas.

Di sisi lain, kalau website terlalu mudah dipalsukan karena identitas visual dan struktur informasinya lemah, pengguna juga lebih sulit membedakan halaman resmi dari tiruan.

Itu sebabnya keamanan QR bukan hanya urusan antivirus atau email filter. Ia juga menyentuh desain alur digital: domain, halaman tujuan, pesan konfirmasi, pemilik form, dan bukti bahwa pengguna sedang berada di tempat yang benar.

Untuk bisnis yang mengandalkan WhatsApp, email, Google Form, spreadsheet, landing page, dan tools pihak ketiga, risiko terbesar sering muncul di sambungan antar-tools. Di sanalah orang mengambil keputusan cepat tanpa melihat keseluruhan alur.

Ada beberapa tanda yang cukup jelas.

Jika tim sering membagikan QR lewat chat tanpa daftar master, alurnya perlu diaudit.

Jika QR untuk campaign, event, pembayaran, dan form dibuat oleh orang berbeda tanpa pemilik akhir, alurnya perlu diaudit.

Jika email dari vendor atau partner bisa langsung membuat tim scan QR dan login, alurnya perlu diaudit.

Jika QR mengarah ke link pendek, dokumen publik, atau form yang tidak memakai domain resmi, alurnya perlu diaudit.

Jika tidak ada yang tahu QR mana yang masih aktif setelah campaign selesai, alurnya perlu diaudit.

Jika halaman tujuan QR meminta data penting tetapi tidak memberi konteks yang jelas, alurnya perlu diaudit.

Audit ini tidak harus besar. Mulai dari memetakan semua QR dan link penting yang dipakai bisnis hari ini. Lihat siapa pemiliknya, ke mana arahnya, apa risikonya, dan bagaimana pengguna tahu bahwa halaman itu resmi.

QR yang baik harus punya konteks, bukan hanya kode

QR code hanya pintu. Yang menentukan aman atau tidak adalah konteks di sekitarnya.

Pintu ke halaman promo mungkin sederhana. Pintu ke login internal harus lebih ketat. Pintu ke pembayaran harus jelas sumbernya. Pintu ke form data pelanggan harus punya kepemilikan dan tujuan yang bisa dijelaskan.

Bisnis tidak perlu panik setiap melihat QR. Tetapi bisnis perlu berhenti menganggap QR sebagai objek netral yang selalu aman karena bentuknya familiar.

Ketika penipu memakai QR, mereka bukan menyerang kotak hitam putihnya. Mereka menyerang kebiasaan manusia untuk mempercepat pekerjaan.

Kalau bisnis Anda mulai sering memakai QR untuk campaign, form, pembayaran, event, dokumen, atau approval, sekarang waktu yang tepat untuk menata ulang alurnya.

Bukan setelah ada akun yang terambil.

Bukan setelah pelanggan masuk ke halaman palsu.

Bukan setelah tim bingung QR mana yang masih berlaku.

Mulai dari satu pertanyaan: setiap kali seseorang di bisnis Anda diminta scan QR, apakah mereka tahu cara memastikan QR itu resmi?

Jika jawabannya belum jelas, jangan tambah QR baru dulu. Rapikan alurnya.

Dapatkan Audit Teknis Gratis dari Havedev untuk melihat apakah alur website, form, link, akses, dan approval bisnis Anda sudah cukup jelas sebelum kebiasaan scan berubah menjadi risiko.

Dapatkan Audit Teknis Gratis

Lanjut Baca

Semua Artikel Kategori: Tech