Bayangkan situasi ini: pelanggan datang ke warung Anda, memesan kopi, lalu memindai QRIS yang menempel di kasir. Transaksi berhasil—setidaknya begitu yang muncul di layar pelanggan. Sore harinya Anda mengecek mutasi rekening, dan ternyata uang itu tidak pernah masuk. Stiker QRIS yang ditempel di kasir Anda ternyata milik orang lain.

Modus penipuan ini punya nama: quishing, gabungan dari QR code dan phishing. Pelaku menempel stiker QR palsu di atas QRIS asli milik merchant, sehingga seluruh pembayaran pelanggan masuk ke rekening penipu, bukan ke rekening pemilik usaha. Bagi UMKM Indonesia yang mengandalkan QRIS sebagai metode pembayaran utama, ancaman ini bukan sekadar berita—ini risiko bisnis nyata yang perlu diantisipasi sejak hari ini.

Artikel ini akan membahas cara kerja quishing, mengapa UMKM jadi sasaran empuk, sinyal QRIS palsu yang harus dikenali, dan langkah praktis mencegahnya. Semua dengan referensi resmi dari Bank Indonesia, OJK, dan BSSN.

Apa Itu Quishing dan Mengapa Berbahaya untuk UMKM?

Quishing adalah modus phishing yang memanfaatkan QR code sebagai pintu masuk. Alih-alih mengirim link mencurigakan lewat SMS atau email, pelaku menyamarkan tautan berbahaya di balik kode QR yang terlihat sah. Saat dipindai, korban diarahkan ke situs palsu, aplikasi tiruan, atau—dalam kasus QRIS—ke akun penampung milik pelaku.

Yang membuat quishing efektif adalah faktor kepercayaan. QR code sudah jadi bagian rutin keseharian: pesan makanan, parkir, donasi masjid, hingga pembayaran di pasar tradisional. Kebiasaan ini menumpulkan kewaspadaan. Banyak pelanggan langsung memindai tanpa membaca nama merchant yang muncul di aplikasi pembayaran.

Bagi UMKM, dampaknya berlapis. Pertama, kerugian finansial langsung—seluruh transaksi sehari-hari bisa lenyap tanpa Anda sadari. Kedua, kerusakan reputasi: pelanggan yang merasa dirugikan jarang mau kembali, meskipun bukan Anda pelakunya. Ketiga, biaya pemulihan, mulai dari investigasi internal hingga kemungkinan dispute dengan penyedia layanan pembayaran.

Skala Ancaman di Indonesia: Data dan Tren 2026

Quishing bukan ancaman teoretis. Berdasarkan data gabungan Bank Indonesia dan OJK yang dirangkum oleh berbagai media keuangan, kasus penipuan berbasis QR code melonjak sekitar 160% dalam dua tahun terakhir. Angka ini sejalan dengan adopsi QRIS yang masif: per akhir 2025, lebih dari 35 juta merchant Indonesia sudah menerima QRIS, mayoritas berasal dari segmen UMKM.

Pada Februari 2026, Bank Indonesia kembali merilis peringatan resmi tentang maraknya stiker QRIS palsu di sejumlah daerah. Modus tertua yang viral terjadi pada April 2023 di Jakarta, ketika seorang pelaku tertangkap menempel stiker QRIS palsu di tempat kotak amal masjid—mencapai 38 masjid sebelum akhirnya dibekuk. Pola yang sama kemudian menyebar ke kafe, warung makan, parkir liar, hingga toko ritel kecil.

BSSN dalam pembaruan keamanan data April 2026 ikut menyoroti tren ini, mencatat bahwa modus phishing dan malware semakin canggih dan tidak lagi hanya menyasar individu, tapi juga pelaku usaha. Studi yang sering dikutip menyebutkan sekitar 43% serangan siber di Indonesia menyasar UMKM—segmen yang dianggap memiliki sistem keamanan paling lemah dibanding korporasi besar.

Anatomi Serangan Quishing: Dari Stiker sampai Saldo Hilang

Memahami cara kerja quishing membantu Anda mengenali titik lemah di toko sendiri. Berikut tahap demi tahap modus yang paling umum digunakan:

  1. Survei lokasi. Pelaku mengamati merchant yang QRIS-nya dipajang terbuka, kasirnya sibuk, dan pengawasannya longgar. Warung makan ramai jam makan siang, masjid, atau toko swalayan kecil tanpa CCTV adalah target favorit.
  2. Penyiapan QR pengganti. Pelaku membuat akun penampung—umumnya rekening QRIS dinamis pribadi atau merchant fiktif. Stiker dicetak dengan logo QRIS, kop yang mirip merchant asli, bahkan kadang menyertakan NMID (National Merchant ID) yang dipalsukan.
  3. Eksekusi penempelan. Pelaku datang sebagai pelanggan biasa, lalu di kesempatan tertentu menempel stiker palsu tepat di atas QRIS asli. Bisa di akrilik kasir, dinding, atau papan tarif.
  4. Panen transaksi. Selama stiker tidak dilepas, setiap pelanggan yang membayar otomatis mengirim dana ke rekening pelaku. Pemilik usaha sering baru sadar setelah berjam-jam—kadang berhari-hari—saat mencocokkan catatan penjualan dengan saldo masuk.

Variasi modus juga muncul. Ada pelaku yang mengirim stiker QRIS lewat kurir dengan kemasan yang menyerupai paket promosi resmi dari bank. Ada pula yang mendekati merchant baru dengan menawarkan jasa "aktivasi QRIS gratis", padahal QR yang ditempel bukan milik merchant tersebut.

Ciri QRIS Asli: Cara Cepat Memverifikasi

Bank Indonesia secara konsisten mengedukasi tiga penanda utama QRIS yang sah. Tiga hal ini wajib Anda hafal—dan ajarkan ke seluruh karyawan:

  • Logo QRIS resmi. Logo berwarna merah-putih dengan tulisan "QRIS" yang konsisten. Pemalsu sering memakai logo dengan font yang sedikit berbeda atau resolusi yang pecah karena dicetak ulang dari hasil screenshot.
  • NMID (National Merchant ID). Kode 15 digit yang muncul di bawah QR. NMID asli terdaftar di sistem ASPI (Asosiasi Sistem Pembayaran Indonesia) dan bisa dicek melalui penyedia layanan pembayaran Anda.
  • Nama merchant pada aplikasi pembayaran. Saat pelanggan memindai, nama yang muncul harus sama persis dengan nama usaha Anda. Kalau muncul nama tidak dikenal, "Toko ABC", atau bahkan nama orang—itu tanda bahaya.

Cara paling sederhana memverifikasi QRIS Anda sendiri: pinjam HP rekan atau karyawan, scan QRIS di kasir, dan cek apakah nama yang tampil sesuai nama bisnis terdaftar. Lakukan ini setiap pagi sebelum buka. Hanya butuh 30 detik, dan bisa menyelamatkan puluhan juta rupiah omzet harian.

Tujuh Langkah Konkret Melindungi UMKM dari Quishing

Pencegahan quishing tidak butuh teknologi mahal. Yang dibutuhkan adalah disiplin operasional dan beberapa kebiasaan baru. Berikut langkah praktis yang bisa langsung Anda terapkan:

1. Pasang QRIS di Tempat yang Sulit Diakses Tanpa Disadari

Hindari memajang QRIS di area yang bisa dijangkau pelanggan tanpa pengawasan kasir, seperti dinding luar atau papan tergantung di pinggir meja. Simpan QRIS di akrilik berdiri di sisi kasir, atau cetak di display digital yang tidak bisa ditempel stiker.

2. Lapisi QRIS dengan Pelindung yang Sulit Dibongkar

Gunakan akrilik tertutup atau laminasi tebal. Bila pelaku mencoba menempel stiker di permukaan licin, biasanya akan terlihat tidak rapi. Kalau Anda menemukan stiker dengan tepi tidak rata atau gelembung udara, segera lepas dan periksa.

3. Audit Harian Sebelum Buka

Jadikan ritual: setiap pagi, salah satu karyawan memindai QRIS sendiri menggunakan aplikasi pembayaran pribadi. Cukup masukkan nominal Rp1, batalkan sebelum konfirmasi pembayaran—Anda hanya perlu memastikan nama merchant yang muncul benar.

4. Pasang CCTV ke Arah Kasir

Kamera ke arah QRIS bukan hanya pencegah pencurian fisik, tapi juga rekaman bukti jika stiker palsu ditemukan. Banyak kasus quishing di Indonesia berhasil dibongkar karena rekaman CCTV menangkap pelaku saat menempel stiker.

5. Edukasi Karyawan dan Pelanggan

Latih karyawan untuk mengkonfirmasi nominal dan nama merchant pada aplikasi pelanggan sebelum mengiyakan transaksi. Pasang juga papan kecil bertuliskan "Pastikan nama merchant pada aplikasi adalah [Nama Bisnis Anda]". Edukasi pelanggan sebenarnya melindungi reputasi Anda.

6. Aktifkan Notifikasi Real-Time

Sebagian besar penyedia QRIS—seperti GoPay Merchant, ShopeePay Merchant, OVO Bisnis, atau aplikasi merchant dari bank—menyediakan notifikasi push tiap transaksi. Aktifkan dan pastikan suara notifikasi cukup keras agar Anda atau kasir mendengar setiap pembayaran masuk. Bila pelanggan mengaku sudah bayar tapi notifikasi tidak berbunyi, hentikan transaksi.

7. Laporkan dan Dokumentasikan Setiap Insiden

Jika menemukan QRIS palsu, laporkan ke penyedia jasa pembayaran Anda, ke Bank Indonesia melalui kontak BICARA 131, dan ke kepolisian. Simpan stiker palsu sebagai barang bukti—jangan langsung dibuang. OJK dan BI menyatakan akan terus memperluas program edukasi sistem pembayaran serta meminta penyedia jasa pembayaran meningkatkan pengawasan lapangan.

Apa yang Harus Dilakukan Saat Anda Sudah Jadi Korban

Bila kerugian sudah terjadi, langkah cepat akan menentukan peluang dana kembali atau tidak. Urutan tindakannya:

  1. Amankan barang bukti. Jangan lepas stiker palsu sembarangan. Foto kondisi kasir, simpan stiker dalam plastik bersih, dan kumpulkan rekaman CCTV jika ada.
  2. Hubungi penyedia jasa pembayaran Anda dalam 1x24 jam untuk membekukan akun penampung kalau bisa diidentifikasi.
  3. Lapor ke Bank Indonesia melalui BICARA 131 atau email bicara@bi.go.id.
  4. Lapor polisi di kantor Polsek terdekat dengan membawa bukti, mutasi rekening, dan surat keterangan usaha. Mintakan Surat Tanda Penerimaan Laporan (STPL).
  5. Komunikasi terbuka ke pelanggan. Sampaikan via media sosial bahwa toko Anda sempat jadi korban quishing dan transaksi pada periode tertentu masuk ke rekening pelaku. Sikap transparan justru meningkatkan kepercayaan dan memperkecil dampak reputasi.

Posisi Wardigi: Audit Keamanan Digital UMKM

Quishing hanyalah satu wajah dari ancaman digital yang dihadapi UMKM Indonesia. Phishing email, kebocoran data pelanggan, hingga peretasan akun media sosial bisnis adalah lapisan-lapisan ancaman lain yang sering luput diperhatikan saat fokus utama masih ke jualan dan operasional.

Sebagai digital agency yang mendampingi banyak UMKM Indonesia, Wardigi melihat bahwa investasi paling masuk akal bagi bisnis kecil bukan teknologi keamanan kelas korporat, melainkan disiplin operasional sederhana yang konsisten. Audit harian QRIS, edukasi karyawan, dan pencatatan rapi sudah jauh lebih efektif ketimbang produk keamanan mahal yang tidak dipakai.

Bila Anda membutuhkan pemetaan risiko digital untuk usaha Anda—mencakup keamanan website, akun media sosial, dan sistem pembayaran—Anda bisa memulai dengan checklist mandiri sebelum menambah lapisan tools. Pendekatan bertahap selalu lebih realistis untuk UMKM ketimbang merombak semuanya sekaligus.

Penutup: Kesadaran Adalah Lapisan Keamanan Pertama

Quishing tumbuh subur karena dua hal: adopsi QRIS yang masif dan asumsi bahwa QR code itu otomatis aman. Selama UMKM masih memandang stiker QRIS sebagai "yang penting nempel saja", ruang untuk pelaku akan tetap terbuka.

Kabar baiknya, mencegah quishing tidak butuh modal besar. Sebuah audit harian 30 detik, satu lapis akrilik tambahan, dan kebiasaan membaca nama merchant pada aplikasi sebelum mengiyakan transaksi sudah cukup menutup celah utama. Selebihnya adalah konsistensi—setiap hari, sepanjang tahun.

Bisnis Anda dibangun dengan kerja keras. Jangan biarkan satu stiker tipis seharga ribuan rupiah merampas hasilnya. Mulai audit QRIS Anda hari ini, sebelum pelanggan pertama datang.

Disclaimer: Artikel ini bersifat edukatif dan tidak menggantikan saran resmi dari Bank Indonesia, OJK, atau lembaga keuangan terkait. Untuk keputusan yang menyangkut sistem pembayaran spesifik, selalu konsultasikan dengan penyedia jasa pembayaran resmi Anda.