Liputan6.com, Jakarta - Modus penipuan siber mengatasnamakan Direktorat Jenderal Pajak (DJP) Kementerian Keuangan mulai bermunculan jelang batas akhir pelaporan surat pemberitahuan tahunan atau SPT Tahunan pajak 2022.
Penjahat siber kerap memanfaatkan kelengahan wajib pajak (WP) jelang masa akhir pelaporan SPT. Salah satunya dengan modus pemberitahuan soal kurang bayar via email.
Advertisement
Menanggapi hal tersebut, DJP Kemenkeu menyatakan bahwa kejahatan siber tersebut sudah marak terjadi sejak beberapa tahun silam, hingga 2023 ini.
"Sejak tahun 2020, sudah terdapat 5 artikel terkait penipuan yang mengatasnamakan DJP dan telah dipublikasi pada situs pajak.go.id," ujar Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat Direktorat Jenderal Pajak Kemenkeu, Dwi Astuti kepada Liputan6.com, Senin (27/3/2023).
"Pada tahun ini pula sudah terdapat 2 kali pengumuman resmi terkait himbauan kehati-hatian atas penipuan serta 2 unggahan media sosial terkait berbagai modus penipuan mengatasnamakan DJP," kata Dwi.
Selain itu, Dwi mengatakan, DJP juga bekerjasama dengan kanal-kanal media massa yang ada agar masyarakat berhati-hati terhadap berbagai modus penipuan yang ada.
Sebagai upaya mencegah penipuan mengatasnamakan DJP jelang batas waktu pelaporan SPT Tahunan bagi orang pribadi, Dwi menyebut, DJP melakukan imbauan serta edukasi terkait tata cara pelaporan yang benar sesuai ketentuan.
"Kami juga senantiasa mengingatkan jika ada hal-hal yang meragukan atau mencurigakan, masyarakat bisa melakukan konfirmasi ke Kring Pajak 1500200 atau saluran komunikasi lainnya," pungkas Dwi.
Waspada Penipuan Siber Berkedok Lapor SPT Pajak via Email dengan Modus Pemberitahuan Kurang Bayar
Jelang batas akhir pelaporan SPT Pajak di akhir bulan Maret 2023, wajib pajak di Indonesia biasanya bakal mulai melaporkannya melalui situs e-filling.
Namun ternyata, momen ini juga dimanfaatkan penjahat siber untuk menipu wajib pajak yang lengah, dan mendapatkan keuntungan. Salah satunya dengan modus pemberitahuan soal kurang bayar.
Seringkali, penipu menggunakan email ke seseorang, dan mengatakan bahwa mereka mengalami kurang bayar, lalu meminta pengguna untuk mengirimkan konfirmasi Bukti Pemotongan Pajak Penghasilan.
Pengguna pun diarahkan untuk mengklik sebuah link atau tautan yang tidak jelas, yang bisa saja meminta data-data pribadi, atau bahkan memaksa memasang aplikasi malware.
Pakar keamanan siber Alfons Tanujaya, mengatakan, aksi semacam itu adalah penipuan scam via email, di mana korban akan diberikan tautan untuk diunduh.
"Pelakunya terlihat sudah mempersiapkan dirinya dengan baik karena mereka sudah mengambil domain khusus djp.contact," kata Alfons via pesan singkat, Minggu (26/3/2023), merespons temuan kasus yang Tekno Liputan6.com bagikan.
Menurutnya, hal inilah yang membuat pelaku kejahatan siber tersebut bisa menggunakan email efiling@djp.contact.
Alfons mengingatkan bahwa alamat domain kantor pajak yang benar adalah pajak.go.id dengan alamat emailnya di efiling@pajak.go.id.
"Jadi penerima email, pesan atau broadcast Whatsapp harus ekstra hati-hati meneliti pengirim pesan dan tautan yang diberikan," imbuhnya.
Penelusuran Tekno Liputan6.com, modus serupa ternyata sudah ada sejak masa lapor SPT pajak tahun lalu, hanya saja dengan domain email yang berbeda. Bahkan, pihak Direktorat Jenderal Pajak (DJP), juga sudah pernah mewanti-wanti masyarakat soal ini.
Advertisement
Bukan Kasus yang Pertama
Dalam email palsu yang mengatasnamakan Ditjen Pajak saat itu, modus penipuan mengatakan pajak individu di tahun 2021 mengalami kurang bayar. Untuk menampilkan kesan asli, penipu meniru persis desain yang ada pada Ditjen Pajak.
"Selamat pagi, #KawanPajak. Terdapat penipuan melalui email mengatasnamakan DJP menggunakan domain palsu yang mengarahkan penerima email menuju situs web palsu," dikutip melalui akun Twitter @DitjenPajakRI, Selasa (22/03/2022).
"Email dan domain situs web DJP hanya ada di https://pajak.go.id," tulis akun Twitter tersebut saat itu.
Ditjen Pajak saat itu mengingatkan agar masyarakat melakukan pengecekan terhadap website yang tercantum. Selain itu untuk mengonfirmasi juga dapat menghubungi @kring_pajak 1500200 atau ke email informasi@pajak.go.id.
Menyebarkan Malware Lewat APK
Tak cuma melalui email, saat ini, layanan messenger seperti WhatsApp juga dimanfaatkan oleh pelaku kejahatan siber, dengan modus meminta pengguna memasang sebuah APK tertentu.
Menyoal modus terbaru, Genesha Nara Saputra, Head of Payment Information Security GoTo Financial dalam sebuah siaran pers beberapa lalu, mengatakan bahwa modus penipuan digital terus berkembang dan juga memanfaatkan momentum.
"Oknum penipu terus mengambil kesempatan, contohnya berkedok kurir paket, tagihan BPJS, undangan pernikahan. Bahkan kasus baru-baru ini terjadi berdekatan tenggat waktu pelaporan SPT tahunan, penipu berdalih mengirimkan dokumen pajak," ujarnya.
Menurut Genesha, walau memiliki modus yang baru, penjahat siber tetap memakai teknik lama modus penipuan rekayasa sosial atau social engineering. Ia menyebut, mereka tida menyerang sistem keamanan tetapi psikologis manusia.
"Ciri-cirinya, penipu akan meyakinkan korban dengan cara dibuat senang karena menang undian, ataupun ketakutan karena penipu menyamar menjadi pihak berwenang. Jadi, masyarakat tetap harus waspada agar tidak terjebak."
Advertisement
Penipuan via APK Bisa Dicegah
Pakar keamanan siber Andri Hutama Putra dalam rilis berbeda juga pernah mengatakan, penipuan melalui file APK juga bisa dicegah jika seseorang memiliki kesadaran akan keamanan data pribadi yang baik.
"Salah satunya adalah dengan berhati-hati ketika mengakses jaringan internet publik, tidak mengunduh file atau aplikasi secara sembarangan dari orang yang tidak kita kenal, atau dari sumber yang tidak terpercaya," kata Presiden Direktur ITSEC Asia itu.
Andri menjelaskan, nama file dengan ekstensi .APK pada sistem operasi Android Google atau .IPA pada iOS Apple, adalah software yang digunakan untuk menjalankan sebuah aplikasi, di masing-masing sistem operasi.
Software aplikasi .APK dan .IPA bisa dimodifikasi oleh pelaku kejahatan, dengan memasukkan virus atau malware yang dapat meretas perangkat.
