TEMPO.CO, Jakarta - Modus-modus penipuan di ponsel semakin marak. Terbaru adalah yang kelihatannya memanfaatkan batas akhir pelaporan Surat Pemberitahuan Tahunan atau SPT Pajak akhir Maret ini.

Menurut pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, modus kali ini bahkan lebih daripada biasanya yang hanya dilakukan secara terpisah dan sepotong-sepotong. Misalnya, penipuan memanfaatkan file APK saja yang dikirim melalui WhatsApp untuk mencuri SMS berisi One Time Password (OTP) mobile banking.

Atau contoh lain, APK kurir paket, APK undangan nikah, APK tagihan BPJS, dan APK surat tilang. Seluruhnya, menurut Alfons, berdiri sendiri-sendiri. “Kali ini lebih terorganisir dan komplit di mana penipu mempersiapkan domain khusus https://pajak.contact guna menyaru sebagai situs pajak pemerintah,” katanya lewat keterangan tertulis yang dibagikannya, Selasa 28 Maret 2023.

Bisa dikatakan, Alfons menilai, kali ini penipuan paket lengkap. Diawali dari si penipu membeli domain khusus dan membuat alamat email efiling@pajak.contact guna mengelabui korbannya. Alamat email itu mirip alamat resmi milik Direktorat Jenderal Pajak efiling@pajak.go.id.

Setelah itu, melakukan broadcast ke wajib pajak yang menjadi target dengan mengirimkan tautan yang berisi file .APK (Android Package Kit). Jika file di-instal akan menampilkan aplikasi Android dengan tampilan yang sangat mirip dengan tampilan situs kantor pajak.

Tidak berhenti dengan mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing tersebut, ia akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit.

Trik semakin bertambah, aplikasi pencuri APK yang memalsukan diri sebagai aplikasi pajak ini menamai dirinya 'handphone kamu'. Alfons meminta perhatian khusus untuk bagian ini. Ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya, yang muncul tertera sebagai peminta izin akses itu adalah 'handphone kamu'.

"Padahal 'handphone kamu' sebenarnya adalah nama aplikasi berbahaya tersebut," kata Alfons.

Nama Domain Sudah Disiapkan

Alfons menilai grup penipu ini terlihat sudah merencanakan modusnya dengan baik. “Terbukti dari usaha membeli domain www.pajak.contact dan domain ini dibeli khusus untuk melakukan penipuan ini pada 18 Maret 2023 dengan menggunakan registrar Google,” katanya.

Domain pajak.contact dibeli untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id. Selain itu juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id yang disamarkan dengan alamat efiling@pajak.connect.

Ada banyak aktivitas jahat yang dilakukan situs ini seperti mengelabui korbannya untuk memasukkan data 16 digit nomor Kartu Kredit/Debit, masa berlaku, CVV, dan nama pemilik kartu.

Aplikasi pencuri SMS APK ini, selain dikirimkan melalui tautan dalam email, juga diberikan pada situs yang menyaru sebagai file .pdf yang jika di klik akan mengirimkan file dengan nama "info_Detail_Tagihan_Pajak***.apk dengan ukuran 5,2 MB.

Hati-hati 'Handphone Kamu'

Alfons memandang bagian ini menunjukkan kepiawaian pembuat aplikasi pencuri SMS ini. "Terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya karena memilih nama aplikasi yang tidak umum dan ikon yang kosong,” kata dia.

Hal ini akan membingungkan pemilik ponsel ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS. Ada unsur memainkan perasaan dan logika dari korban. “Logikanya mana mungkin pemilik ponsel tidak membolehkan handphone-nya sendiri membaca dan mengirimkan SMS? Dan kemungkinan permintaan akses tersebut akan diizinkan oleh pemilik ponsel.”

Alfons memberi tips jika sudah terlanjur menginstal aplikasi pencuri SMS atau ingin melakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS. Caranya, klik [Pengaturan] lalu pilih [Privasi] lalu pilih [Manajer izin] kemudian gulung ke bawah dan pilih [SMS] untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS.

Alfons memberikan contoh gambar bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon. Sedangkan aplikasi yang tidak berhak mengakses SMS tetapi mendapatkan izin adalah "handphone kamu" dan "Shopee express".

"Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segera di uninstal dari ponsel," kata dia.

Pesan dari Dirjen Pajak

Dalam pengumuman yang dipampang di situs pajak.go.id, Direktorat Jenderal Pajak menyatakan menyadari peredaran email yang dimaksud Alfons. Lebih spesifik, surat disebut mengatasnamakan Kantor Pelayanan Pajak yang meminta penerima e-mail untuk melakukan konfirmasi ulang bukti pemotongan pajak penghasilan dengan mengunduh dokumen berformat PDF melalui tautan yang disediakan dalam e-mail tersebut.

Direktorat Jenderal Pajak menegaskan e-mail yang dikirim oleh efiling@djp.contact dengan judul “Tagihan Pajak” tersebut tidak berasal dari mereka. "Penerima e-mail diimbau untuk tidak mengeklik tautan yang tertera pada e-mail tersebut dan tidak memasukkan data penting wajib pajak," bunyi bagian dari pengumuman itu.

Direktorat Jenderal Pajak menyatakan sedang menyelidiki penyebaran e-mail tersebut yang terindikasi merupakan upaya phishing. Masyarakat atau wajib pajak diminta untuk selalu waspada dan berhati-hati dalam aktivitas di jaringan (online) termasuk dalam melakukan aktivitas keuangan dan perpajakan.

"Hindari mengeklik tautan yang berasal dari sumber yang tidak jelas," bunyi pengumuman, "Pengiriman e-mail resmi Direktorat Jenderal Pajak adalah menggunakan domain @pajak.go.id."

Pilihan Editor: Kementerian Kesehatan Keluarkan Peringatan Agar Waspada Virus Marburg, Ada Apa?