Mengenal Quishing Sebuah Ancaman Serangan Siber Dengan QR

[masulum]

ANCAMAN QR CODE

PENDAHULUAN
QR Code (Quick Response Code) saat ini menjadi cara transfer uang atau kripto yang paling sering digunakan dengan alasan kemudahan. Namun, setiap ada teknologi baru, disitu akan ada cara baru bagi orang-orang untuk melakukan penipuan. Pada kesempatan kali ini, saya ingin memperkan tentang Quishing dimana ini merupakan teknik penipuan baru yang dilakukan melalui pemanfaatan QR Code. Sebenarnya ini mungkin bukan hal baru, namun istilahnya merpakan istilah baru, akan tetapi walaupun ini bukan hal baru, ini merupakan ancaman serius yang harus diperhatikan semua orang, termasuk member forum ini walaupun sudah pasti lebih aware terhadap penggunaan QR. Kita mau kirim bitcoin, bisa menggunakan QR, mau transfer dalam negeri ada itu QR lokal yang dikenal QRIS. Ini semua tentu adalah sebuah kemudahan bagi kita semua, namun ketidakwaspadaan pengguna bisa merugikan pengirim.

DEFINISI QUISHING
Quishing adalah serangan siber yang dilakukan oleh seseorang atau kelompok dengan memanfaatkan QR Code untuk menipu korbannya. Secara singkat Quisihing adalah QR Phishing.

Note: entah kenapa pada akhirnya disebut Quishing OP juga belum paham. Tapi emang lebih ringkas nyebut Quishing daripada QR Pishing sih

LANGKAH SERANGAN
Tanpa memperpanjang waktu untuk membaca, berikut adalah beberapa metode serangan Quishing yang dilakukan.

1. Pembuatan QR oleh penyerang
Pembuatan QR code ini adalah langkah awal dari penyerang, dimana QR code yang ia buat tidak lain adalah untuk membuat QR yang didalamnya berisi link berbahaya, atau konten yang bukan milik pemilik aslinya. Bagaimana pun, pembuatan QR ini begitu variatif, jadi jangan berpikir kalau QR ini hanya akan dibuat dengan link doank. berikut adalah beberapa variasinya.

• URL: QR code yang isinya adalah URL pishing yang bisa otomatis download dan instal program jahat
• Nama dan Nomor palsu

: Variasi ini jelas untuk mengelabuhi korban dengan membuat QR yang berisi nama perusahaan/perorangan yang sama. Contoh, membuat QR yang jika discan muncul nama perusahaan yang sesuai dengan tujuan customer, nomor rekening dibuat ada kesamaan pada beberapa digit terakhir (karena umumnya orang akan melihat digit terakhir doank untuk konfirmasi ketika terburu-buru, ini akan lepas perhatian.

• CTA: Call to Action, variasi ini akan dibuat untuk meminta korban agar segera menghubungi nomor telepon yang mana nomor telepon tersebut bukanlah nomor telepon asli, atau juga bisa melalui CTA pada email berupa button.

2. Penyebaran QR yang dibuat
Penyebaran QR ini adalah langkah yang dilakukan untuk mendapatkan korban sebanyak-banyaknya. Adapun penyebaran ini bisa dilakukan secara digital baik melalui email, social media seperti x, facebook, tiktok dan sebagainya, bisa juga melalui aplikasi chat. Selain fisik, tentu juga ada metode penyebaran offline, yang mana penyerang bisa menawarkan penawaran smenarik mungkin agar yang membaca mau scan QR jahat tersebut.

DAMPAK & BAHAYA QUISHING
Jika langkah penyebaran berjalan lancar sesuai dengan harapan penyerang, maka berikut adalah potensi ancaman yang akan dialami oleh korban.

• 1. Bocornya PIN atau Key
  Masalah serius pertama yang bisa dialami oleh korban adalah bocornya akses ke perbankan atau ke wallet kripto. Karena Quishing adalah Pishing, maka penyerang bisa merekam aktivitas pada perangkat yang dipakai, sehingga ini bisa membocorkan pin perangkat, pin mobile banking dan key wallet kripto yang ada di perangkat korban
• 2. Serangan Reputasi
  Jika korban adalah salah satu karyawan perusahaan yang menjadi target pelaku, maka ini dapat menjadi ancaman bagi perusahaan tersebut, hal ini juga dapat mengguncang reputasinya. Misal, ketika penyerang mendapatkan data pelanggan, penyerang bisa merusak reputasi perusahaan dengan membuat statement palsu atau dengan menyerang reputasi karyawan dan perusahaan
• 3. Pencurian data
  Inilah yang paling berbahaya, ketika quishing ini berhasil mendapatkan korban, maka 2 hal di atas bisa berubah signifkan, karena adanya akses yang dimiliki penyerang. Sehingga, ia akan leluasa mengambil data pada perangkat tersebut. JIka data sudah dicuri, maka perusahaan atau perorangan akan mengalami masalah panjang seperti penggunaan identitas, foto dan dokumen yang ada di dalam perangkat tersebut utnuk kepentingan pribadinya. Ingat, ini bukan hanya soal data, tapi ini bisa memengaruhi masa depan korban
• 4. Pencurian duit ataupun kripto
  Karena pelaku sudah memiliki akses terhadap perangkat, pada akhirnya korban juga dapat kehilangan duit dan kripto yang di perangkatnya tersebut. Ketika akses sudah bocor, ini bukan hal sulit bagi hacker

TINDAKAN KETIKA MENJADI KORBAN QUISHING
Apa yang harus Anda lakukan jika menjadi korban serangan quishing? Berikut adalah beberapa hal yang bisa ANda lakukan untuk setidaknya mengrangi dampak.

1. Putuskan sambungan perangkat Anda dari internet
Mengapa harus memutus hubungan internet? Sederhananya adalah inernet satu-satunya jalan untuk menghentikan transmisi data lebih lanjut ke penyerang dan menghentikan aktivitas jahat yang sedang berlangsung. Karena setiap data yang dikirim ke hacker itu butuh koneksi, jika Anda memutus koneksi tersebut, maka proses transfer data pun akan terhenti.

2. Jangan menanggapi apapun dari orang asing
Jika Anda menjadi korban quishing, ingatlah untuk tidak menanggapi apapun dari orang asing yang menghubungi setelah Anda scan. Biasanya, setelah menyecan QR, tiba-tiba ada nomor asing yang chat, email, silakan langsung matikan atau hindari percakapan agar Anda tidak tertipu lagi.

3. Siapkan Antivirus
Ya ini adalah saran kuno, tapi saya melihat tetangga saya tidak ada hpnya yang ada anti virus, entah apa alasannya. Maka dari itu, Anda yang juga memiliki kripto, sudah wajib memiliki antivirus yang genuine.

4. Periksa kembali
JIka Anda di toko offline, tanyakan kembali apakah benar itu QRnya, karena kalau ada QR tertindih pemilik akan langsung mengkonfirmasi itu palsu atau asli. jika di toko online, cek ulang QR codenya, jika bukan QR auto konfirmasi, Anda memiliki kesempatan untuk membuka isi dari QR tersebut atau membatalkannya untuk membuka. Ini cara lama, tapi saya yakin banyak yang gak peduli untuk memeriksa ulang dengan berbagai macam alasan.

PENUTUP
Seperti yang saya katakan di awal, teknologi seperti QR Code memang diciptakan untuk mempermudah hidup kita. Tapi ingat, jika ada teknologi baru dari tangan yang benar, maka akan ada pemanfaatan dari tangan yang salah, dari pemanfaatan di tangan yang salah inilah kemudahan itu pada akhirnya menjadi teknologi yang merugikan kita sebagai pengguna awam. Intinya, jangan pernahtergesah-gesah saat melakukan scan QR, terutama jika untuk keperluan transaksi finansial atau data sensitif. Lebih baik kehilangan waktu 5 detik untuk pengecekan ulang, daripada kehilangan seluruh saldo atau data karena kelalaian sesaat.

SELALU WASPADA DENGAN APA YANG ANDA SCAN!

Related topik pernah saya buat di tahun 2022: Tentang QR Code, Fitur Yang Sering Digunakan Untuk Pembayaran Crypto/Fiat,

[Rashlyowl]

4. Periksa kembali
JIka Anda di toko offline, tanyakan kembali apakah benar itu QRnya, karena kalau ada QR tertindih pemilik akan langsung mengkonfirmasi itu palsu atau asli. jika di toko online, cek ulang QR codenya, jika bukan QR auto konfirmasi, Anda memiliki kesempatan untuk membuka isi dari QR tersebut atau membatalkannya untuk membuka. Ini cara lama, tapi saya yakin banyak yang gak peduli untuk memeriksa ulang dengan berbagai macam alasan.

Persis seperti yang saya alami waktu beli siomay di kota, karena saya jarang pegang cash keluar rumah, biasanya saya cari pedagang yang terima pembayaran QR. Waktu pesanan siomay saya selesai, saya minta si mamang kasih QR milik warung, dia langsung minta saya scan QR yang ada di depan etalase kaca usahanya.



Penampakan QR tidak seperti gambar diatas yang pakai stand akrilik, hanya tempelan stiker & terlihat juga ada beberapa tempelan lain. Karena saya sedikit ragu, saya tanya kembali ke si mamang nama penerimanya sebelum saya membayarnya, ternyata nama penerimanya berbeda. Saya kira si mamang sudah rugi beberapa ratus ribu, herannya saya kenapa dia tidak curiga ya dengan tidak adanya uang masuk?

[Arenga pinnata]

Persis seperti yang saya alami waktu beli siomay di kota, karena saya jarang pegang cash keluar rumah, biasanya saya cari pedagang yang terima pembayaran QR. Waktu pesanan siomay saya selesai, saya minta si mamang kasih QR milik warung, dia langsung minta saya scan QR yang ada di depan etalase kaca usahanya.



Penampakan QR tidak seperti gambar diatas yang pakai stand akrilik, hanya tempelan stiker & terlihat juga ada beberapa tempelan lain. Karena saya sedikit ragu, saya tanya kembali ke si mamang nama penerimanya sebelum saya membayarnya, ternyata nama penerimanya berbeda. Saya kira si mamang sudah rugi beberapa ratus ribu, herannya saya kenapa dia tidak curiga ya dengan tidak adanya uang masuk?

Mungkin si mamang siomaynya bahkan tidak terlalu mengerti hal begituan mas. Karena banyak disini pedagang kaki lima yang juga sudah pada pakai QRIS. tetapi terkadang mereka itu bikin QR nya juga bukan oleh mereka sendiri. Terkadang oleh anaknya (kalau sudah sepuh), kadang oleh orang lain (jasa orang lain).

Soalnya saya juga pernah kejadian seperti itu. tetapi pas saya cek ko beda. Tetapi ternyata memang ia sendiri yaitu si pedagang memang menerima pembayarannnya tidak pakai wallet/atau rekening milik ia sendiri. kadang milik saudaranya kadang anaknya. Karena dia sendiri katanya kurang faham. Lucu juga sih. Mungkin memang kadang dagangannya juga bukan milik ia pribadi. Ia hanya kuli mendagangkan saja. Soalnya banyak yang seperti itu. Hanya saja kasihan juga kalau memang itu QR nya benar-benar sudah ada yang mengganti tanpa sepengetahuan si pedagang. Maka yah ia pasti sudah rugi banyak mas di hari tersebut.

.......

Saya juga sudah tahu soal penipua melalui QR ini. tetapi jujur saja saya baru tahu namanya mas melalui Topik mas Masulum ini.  

Kalau soal pencegahan sih biasanya selama kita tidak gegabah dan selalu cek ulang setiap kali setelah menscan dan memastikan tujuan sudah benar maka memang akan aman-aman saja. Yang menjadi masalah adalah sekarang banyak orang awam yang bahkan baru faham soal pembayaran digital bahkan baru tahu soal dunia digital itu sendiri.

Dan kalau jadi pedagang yang mempampangkan kode QR maka juga harus rajin cek. Soalnya bisa jadi tanpa sadar di pedagang akan ada orang yang mengganti si kertas gambar kode QRnya milik si pedagang dengan milik si penipu. Apalagi ada yang memang mudah diganti tinggal di masukan atau di tumpuk ada itu kertasnya. kalau si pedagang memakai seperti yang digambar mas Rashlyowl.

Salah satu contoh kasusnya ada banyak sih di indonesia. Tetapi salah satunya di berita yang satu ini yaitu yang terjadi pada Pedagang Kantin Pujasera di Bandung yang kode barcodenya ditempeli QR si penipu dan mereka mengalami kerugian jutaan rupiah.

(Sumber: https://www.youtube.com/watch?v=D38azI5p2tA)

[LastKiss]

4. Periksa kembali
JIka Anda di toko offline, tanyakan kembali apakah benar itu QRnya, karena kalau ada QR tertindih pemilik akan langsung mengkonfirmasi itu palsu atau asli. jika di toko online, cek ulang QR codenya, jika bukan QR auto konfirmasi, Anda memiliki kesempatan untuk membuka isi dari QR tersebut atau membatalkannya untuk membuka. Ini cara lama, tapi saya yakin banyak yang gak peduli untuk memeriksa ulang dengan berbagai macam alasan.

~snip~ Lebih baik kehilangan waktu 5 detik untuk pengecekan ulang, daripada kehilangan seluruh saldo atau data karena kelalaian sesaat.

Kalau dulu copy paste address exchange atau alamat crypto bisa berubah menjadi milik si pencuri sekarang saya juga wanti-wanti kalau ketika scan QR code address exchange bisa berubah milik si hacker. Menurut saya penting sekali untuk melakukan pengecekan ulang sebelum bertransaksi mungkin 5 detik itu sangat sepele tetapi dampak terhadap kita sendiri sangat luar biasa apalagi nilai transaksi yang dilakukan tidak sedikit.

Saya sendiri sangat suka menggunakan QR code sebagai transaksi dan ketika saya melakukannya kepada pedagang saya memastikan ulang kembali nama yang tertera di QRIS pedagang dan meminta untuk si pedagang sama-sama memastikan kalau nama yang tertera sudah benar.

~snip~

Penampakan QR tidak seperti gambar diatas yang pakai stand akrilik, hanya tempelan stiker & terlihat juga ada beberapa tempelan lain. Karena saya sedikit ragu, saya tanya kembali ke si mamang nama penerimanya sebelum saya membayarnya, ternyata nama penerimanya berbeda. Saya kira si mamang sudah rugi beberapa ratus ribu, herannya saya kenapa dia tidak curiga ya dengan tidak adanya uang masuk?

Kalau sampai penjualnya tidak curiga setelah beberapa transaksi berarti kurangnya awareness si penjual bisa menjadi pengingat kembali kalau pengecekan kembali bersama itu sangat penting padahal sedang berjualan di tempat sendiri, seharusnya kalau pembeli dan penjual sama-sama melakukan pengecekan kembali kejadian penipuan QR code akan langsung diketahui dalam transaksi pertama. Berbeda dengan kejadian QR code yang terjadi di Masjid karena disini hanya mengandalkan kejelian dari si donatur.

Modus penipuan baru, ada oknum yang nempel stiker QRIS di kotak-kotak infaq masjid. Ini kejadian di Nurim Blok M Square di tempel hari Kamis, 6 April, baru ketahuan pagi ini 9 April.

Source: https://news.detik.com/berita/d-6666588/kasus-pria-ganti-qris-kotak-amal-masjid-kronologi-hingga-modusnya

[Rashlyowl]

Mungkin si mamang siomaynya bahkan tidak terlalu mengerti hal begituan mas. Karena banyak disini pedagang kaki lima yang juga sudah pada pakai QRIS. tetapi terkadang mereka itu bikin QR nya juga bukan oleh mereka sendiri. Terkadang oleh anaknya (kalau sudah sepuh), kadang oleh orang lain (jasa orang lain).

Soalnya saya juga pernah kejadian seperti itu. tetapi pas saya cek ko beda. Tetapi ternyata memang ia sendiri yaitu si pedagang memang menerima pembayarannnya tidak pakai wallet/atau rekening milik ia sendiri. kadang milik saudaranya kadang anaknya. Karena dia sendiri katanya kurang faham. Lucu juga sih. Mungkin memang kadang dagangannya juga bukan milik ia pribadi. Ia hanya kuli mendagangkan saja. Soalnya banyak yang seperti itu. Hanya saja kasihan juga kalau memang itu QR nya benar-benar sudah ada yang mengganti tanpa sepengetahuan si pedagang. Maka yah ia pasti sudah rugi banyak mas di hari tersebut.

Mamang siomay tempat saya beli masih muda, harusnya dia masih melek teknologi ya. Dagangannya juga ramai, jarang sekali tidak ada pembeli, mungkin saja dia tidak terlalu memperhatikan arus uang masuk melalui QR karena kebanyakan yang beli pakai cash. Namun tetap saja si mamang saya rasa rugi ratusan ribu, semalam waktu saya jajan takjil balik lagi ke tempat si mamang & melihat pembayaran QR sudah pakai stand akrilik.  

Kalau sampai penjualnya tidak curiga setelah beberapa transaksi berarti kurangnya awareness si penjual bisa menjadi pengingat kembali kalau pengecekan kembali bersama itu sangat penting padahal sedang berjualan di tempat sendiri, seharusnya kalau pembeli dan penjual sama-sama melakukan pengecekan kembali kejadian penipuan QR code akan langsung diketahui dalam transaksi pertama. Berbeda dengan kejadian QR code yang terjadi di Masjid karena disini hanya mengandalkan kejelian dari si donatur.

Karena dagangannya terlalu ramai, dia tidak sempat konfirmasi transaksinya. Yang beli pakai QR hanya menunjukkan bukti transaksi & kemudian di 'ok' kan si mamang, begitu saja yang saya lihat. Alhamdulillah sekarang masalahnya sudah teratasi & memang bisa menjadi pengingat ke semuanya untuk selalu melakukan konfirmasi transaksi dari kedua belah pihak sehingga tidak ada kecurigaan satu sama lain.

[TedMosby]

-snip-

• URL: QR code yang isinya adalah URL pishing yang bisa otomatis download dan instal program jahat

-snip-

Tapi bukankah popular OS seperti windows dan mac ada tindakan preventif dari sistemnya? By default ada keterangan untuk kita apakah yakin install atau download app tersebut dari untrusted source. Seharusnya itu bisa jadi pengingat kita untuk double check. Tapi kalau orang yang memang rasa ingin tahunya kurang, jiwa exploratifnya kurang, ya sudah, tinggal next next ok ok aja sampai terinstall.

Pada intinya, kita harus selalu melakukan verifikasi.

Kurang tahu seberapa sering ini berhasil memakan korban. Saya lebih sering baca dan nonton berita di sosmed yang model QR code ditimpa sih, sama kayak yang agan2 lainnya di sini ceritakan.

BTW, apakah pembayaran dengan sistem QR code itu, selalu dynamic ya QR code yang tergenerate? Maksud saya ketika si pembayar yang memberikan QR code untuk discan oleh merchant. Ada yang bisa static ga? Terlepas dari aman atau nggaknya.

[masulum]

-snip-Waktu pesanan siomay saya selesai, saya minta si mamang kasih QR milik warung, dia langsung minta saya scan QR yang ada di depan etalase kaca usahanya.

hal inilah yang perlu diwaspadai, menaruh QR di depan etalase akan memperbesar peluang orang lain untuk menimpa QR code asli milik warung. Sebenarnya ini juga tidak terbatas pada QR pembayaran, sales-sales juga sekarang sering menggunakan QR untuk laporan kunjungan, ini juga berpotensi untuk disalahgunakan.

Saya juga sudah tahu soal penipua melalui QR ini. tetapi jujur saja saya baru tahu namanya mas melalui Topik mas Masulum ini.  
-snip

Kalau soal pencegahan sih biasanya selama kita tidak gegabah dan selalu cek ulang setiap kali setelah menscan dan memastikan tujuan sudah benar maka memang akan aman-aman saja. Yang menjadi masalah adalah sekarang banyak orang awam yang bahkan baru faham soal pembayaran digital bahkan baru tahu soal dunia digital itu sendiri.

Untuk istilahnya memang saya juga baru tahu mas.
memang selama kita tidak dalam kondisi terburu-buru, kita akan lebih mudah untuk mengkonfirmasi penerima sebelum melakukan pengiriman. Namun, terkadang penjual juga dalam kondisi yang kurang konsentrasi ketika terlalu banyak pembeli yang antre. Sehingga, jika pembeli dan penjual sama-sama dalam kondisi kurang konsentrasi, maka keduanya bisa saling dirugikan jika ternyata QRnya sudah dipalsukan.

Kalau dulu copy paste address exchange atau alamat crypto bisa berubah menjadi milik si pencuri sekarang saya juga wanti-wanti kalau ketika scan QR code address exchange bisa berubah milik si hacker. Menurut saya penting sekali untuk melakukan pengecekan ulang sebelum bertransaksi mungkin 5 detik itu sangat sepele tetapi dampak terhadap kita sendiri sangat luar biasa apalagi nilai transaksi yang dilakukan tidak sedikit.

Saya sendiri sangat suka menggunakan QR code sebagai transaksi dan ketika saya melakukannya kepada pedagang saya memastikan ulang kembali nama yang tertera di QRIS pedagang dan meminta untuk si pedagang sama-sama memastikan kalau nama yang tertera sudah benar.

Nah penggunaan CTRL+C dan CTRL+V juga pernah dibahas oleh LoyceV pada thread How to lose your Bitcoins with CTRL-C CTRL-V dan itu juga menjadi ancaman yang cukup krusial begitu juga ketika ada scammer yang mampu menggenerate address yang serupa (lupa istilahnya), hingga penggunaan QR yang muncul, ini kemudian membuat scammer melakukan banyak cara baru untuk mengupgrade usaha pencuriannya.

Saya rasa, penggunaan QR sudah menjadi pilihan kebanyakan orang saat ini karena kemudahannya dalam pembayaran. Ini menjadi ladang bagi scammer termasuk juga hacker untuk mengambil kesempatan dalam mencari korban baik tujuan mencuri aset atau untuk mencuri data.

[Rashlyowl]

BTW, apakah pembayaran dengan sistem QR code itu, selalu dynamic ya QR code yang tergenerate? Maksud saya ketika si pembayar yang memberikan QR code untuk discan oleh merchant. Ada yang bisa static ga? Terlepas dari aman atau nggaknya.

Tipe QR ada 2, statis sama dinamis, contoh gambar saya yang diatas itu tipenya statis. Sementara yang dinamis, biasanya berisi informasi yang berbeda-beda seperti jumlah uang yang hendak dikirimkan. Sedikit bingung saya lihat pernyataanmu, kenapa juga si pembayar yang harus memberikan QR kepada merchant, apa yang kamu maksud pembayaran yang di request begitu ya?

Nah penggunaan CTRL+C dan CTRL+V juga pernah dibahas oleh LoyceV pada thread How to lose your Bitcoins with CTRL-C CTRL-V dan itu juga menjadi ancaman yang cukup krusial begitu juga ketika ada scammer yang mampu menggenerate address yang serupa (lupa istilahnya), hingga penggunaan QR yang muncul, ini kemudian membuat scammer melakukan banyak cara baru untuk mengupgrade usaha pencuriannya.

Saya rasa, penggunaan QR sudah menjadi pilihan kebanyakan orang saat ini karena kemudahannya dalam pembayaran. Ini menjadi ladang bagi scammer termasuk juga hacker untuk mengambil kesempatan dalam mencari korban baik tujuan mencuri aset atau untuk mencuri data.

Namanya address poisoning attack & sudah menghilangkan $83,000,000. Jumlah yang bisa saya katakan sangat tinggi dengan cara ekspoitasi remeh ini.

Address poisoning has led to over $83 million in confirmed losses. Victims include individual users and DeFi platforms.

[mu_enrico]

QR atau Quick Response ini kan bisa untuk macam-macam. Sepemahaman ane yang disebut OP adalah terkait QR yang berisi link, no telp, atau info lain, dan fokusnya bukan QR pembayaran atau QRIS. Ya mirip jadinya seperti phising tapi ini pakai QR.

--- Kalau untuk QR pembayaran ---

Ini contoh yang dulu sempet rame di Konoha:
QRIS 'palsu' di 38 masjid, bagaimana memastikan transaksi aman?
Ini praktik yang paling umum, mengganti sticker QR static dengan punya si penipu.

Ada juga modus pakai "QR bayar," yaitu QR code yang (biasanya) digenerate aplikasi m-banking untuk discan di kasir.
Untuk agan bisa membedakan, QR ini hanya tampil di aplikasi m-banking apabila agan tekem "tampilkan QR" dan sejenisnya, lalu ada warning "QR ini hanya untuk scan di mesin kasir, jangan bagikan ke siapapun."

Untuk bisa aman, biasanya cukup:
- Selalu hanya scan, jangan mau generate (kasus "QR bayar")
- Setelah scan, pastikan nama penerima benar, jumlah nominal benar
- Jangan scan QR ditempat yang tidak diawasi, macam tempat ibadah