Liputan6.com, Jakarta - Jelang batas akhir pelaporan SPT Pajak di akhir bulan Maret 2023, wajib pajak di Indonesia biasanya bakal mulai melaporkannya melalui situs e-filling.
Namun ternyata, momen ini juga dimanfaatkan penjahat siber untuk menipu wajib pajak yang lengah, dan mendapatkan keuntungan. Salah satunya dengan modus pemberitahuan soal kurang bayar.
Baca Juga
Seringkali, penipu menggunakan email ke seseorang, dan mengatakan bahwa mereka mengalami kurang bayar, lalu meminta pengguna untuk mengirimkan konfirmasi Bukti Pemotongan Pajak Penghasilan.
Advertisement
Pengguna pun diarahkan untuk mengklik sebuah link atau tautan yang tidak jelas, yang bisa saja meminta data-data pribadi, atau bahkan memaksa memasang aplikasi malware.
Pakar keamanan siber Alfons Tanujaya, mengatakan, aksi semacam itu adalah penipuan scam via email, di mana korban akan diberikan tautan untuk diunduh.
"Pelakunya terlihat sudah mempersiapkan dirinya dengan baik karena mereka sudah mengambil domain khusus djp.contact," kata Alfons via pesan singkat, Minggu (26/3/2023), merespons temuan kasus yang Tekno Liputan6.com bagikan.
Menurutnya, hal inilah yang membuat pelaku kejahatan siber tersebut bisa menggunakan email efiling@djp.contact.Â
Alfons mengingatkan bahwa alamat domain kantor pajak yang benar adalah pajak.go.id dengan alamat emailnya di efiling@pajak.go.id.
"Jadi penerima email, pesan atau broadcast Whatsapp harus ekstra hati-hati meneliti pengirim pesan dan tautan yang diberikan," imbuhnya.
Penelusuran Tekno Liputan6.com, modus serupa ternyata sudah ada sejak masa lapor SPT pajak tahun lalu, hanya saja dengan domain email yang berbeda. Bahkan, pihak Direktorat Jenderal Pajak (DJP), juga sudah pernah mewanti-wanti masyarakat soal ini.
Bukan Kasus yang Pertama
Dalam email palsu yang mengatasnamakan Ditjen Pajak saat itu, modus penipuan mengatakan pajak individu di tahun 2021 mengalami kurang bayar. Untuk menampilkan kesan asli, penipu meniru persis desain yang ada pada Ditjen Pajak.
"Selamat pagi, #KawanPajak. Terdapat penipuan melalui email mengatasnamakan DJP menggunakan domain palsu yang mengarahkan penerima email menuju situs web palsu," dikutip melalui akun Twitter @DitjenPajakRI, Selasa (22/03/2022).
"Email dan domain situs web DJP hanya ada di https://pajak.go.id," tulis akun Twitter tersebut saat itu.
Ditjen Pajak saat itu mengingatkan agar masyarakat melakukan pengecekan terhadap website yang tercantum. Selain itu untuk mengonfirmasi juga dapat menghubungi @kring_pajak 1500200 atau ke email informasi@pajak.go.id.
Advertisement
Menyebarkan Malware Lewat APK
Tak cuma melalui email, saat ini, layanan messenger seperti WhatsApp juga dimanfaatkan oleh pelaku kejahatan siber, dengan modus meminta pengguna memasang sebuah APK tertentu.
Menyoal modus terbaru, Genesha Nara Saputra, Head of Payment Information Security GoTo Financial dalam sebuah siaran pers beberapa lalu, mengatakan bahwa modus penipuan digital terus berkembang dan juga memanfaatkan momentum.
"Oknum penipu terus mengambil kesempatan, contohnya berkedok kurir paket, tagihan BPJS, undangan pernikahan. Bahkan kasus baru-baru ini terjadi berdekatan tenggat waktu pelaporan SPT tahunan, penipu berdalih mengirimkan dokumen pajak," ujarnya.
Menurut Genesha, walau memiliki modus yang baru, penjahat siber tetap memakai teknik lama modus penipuan rekayasa sosial atau social engineering. Ia menyebut, mereka tida menyerang sistem keamanan tetapi psikologis manusia.
"Ciri-cirinya, penipu akan meyakinkan korban dengan cara dibuat senang karena menang undian, ataupun ketakutan karena penipu menyamar menjadi pihak berwenang. Jadi, masyarakat tetap harus waspada agar tidak terjebak."Â
Penipuan via APK Bisa Dicegah
Pakar keamanan siber Andri Hutama Putra dalam rilis berbeda juga pernah mengatakan, penipuan melalui file APK juga bisa dicegah jika seseorang memiliki kesadaran akan keamanan data pribadi yang baik.
"Salah satunya adalah dengan berhati-hati ketika mengakses jaringan internet publik, tidak mengunduh file atau aplikasi secara sembarangan dari orang yang tidak kita kenal, atau dari sumber yang tidak terpercaya," kata Presiden Direktur ITSEC Asia itu.
Andri menjelaskan, nama file dengan ekstensi .APK pada sistem operasi Android Google atau .IPA pada iOS Apple, adalah software yang digunakan untuk menjalankan sebuah aplikasi, di masing-masing sistem operasi.
Software aplikasi .APK dan .IPA bisa dimodifikasi oleh pelaku kejahatan, dengan memasukkan virus atau malware yang dapat meretas perangkat.
Â
Advertisement
Jangan Asal Download File APK
Malware yang menyusup inilah yang bisa secara ilegal, mengambil data-data yang tersimpan dalam perangkat, atau menyalahgunakan data yang dimasukkan seperti username, password, PIN, kode OTP, atau informasi pribadi lainnya.
Andri pun menegaskan, pengguna perangkat smartphone harus tetap waspada dan tidak sembarangan mengunduh atau men-download file aplikasi, baik dengan ekstensi APK atau IPA, karena bisa dengan mudah disusupi malware yang bisa meretas data pribadi.
Selain itu, pastikan mengunduh aplikasi hanya dari tempat aplikasi resmi seperti Google Play Store atau App Store untuk iOS, serta cek ulang rating dan ulasan dari aplikasi yang akan diunduh.
"Jika ada pesan mencurigakan, jangan asal unduh dokumen APK atau klik tautan yang diminta karena mengklik tautan berbahaya berpotensi secara otomatis tersusupi oleh virus malware, usahakan selalu verifikasi identitas pengirim," katanya.
(Dio/Isk)