Lupa Kata Sandi? Klik di Sini

atau Masuk melalui

Belum Memiliki Akun Daftar di Sini


atau Daftar melalui

Sudah Memiliki Akun Masuk di Sini

Konfirmasi Email

Kami telah mengirimkan link aktivasi melalui email ke rudihamdani@gmail.com.

Klik link aktivasi dan dapatkan akses membaca 2 artikel gratis non Laput di koran dan Majalah Tempo

Jika Anda tidak menerima email,
Kirimkan Lagi Sekarang

Penipuan Mendompleng Pelaporan SPT Pajak, Waspadai Modus 'Handphone Kamu'

image-gnews
Tangkapan layar email modus penipuan yang memanfaatkan batas akhir kewajiban pelaporan pajak. pajak.go.id
Tangkapan layar email modus penipuan yang memanfaatkan batas akhir kewajiban pelaporan pajak. pajak.go.id
Iklan

TEMPO.CO, Jakarta - Modus-modus penipuan di ponsel semakin marak. Terbaru adalah yang kelihatannya memanfaatkan batas akhir pelaporan Surat Pemberitahuan Tahunan atau SPT Pajak akhir Maret ini.  

Menurut pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, modus kali ini bahkan lebih daripada biasanya yang hanya dilakukan secara terpisah dan sepotong-sepotong. Misalnya, penipuan memanfaatkan file APK saja yang dikirim melalui WhatsApp untuk mencuri SMS berisi One Time Password (OTP) mobile banking.

Atau contoh lain, APK kurir paket, APK undangan nikah, APK tagihan BPJS, dan APK surat tilang. Seluruhnya, menurut Alfons, berdiri sendiri-sendiri. “Kali ini lebih terorganisir dan komplit di mana penipu mempersiapkan domain khusus https://pajak.contact guna menyaru sebagai situs pajak pemerintah,” katanya lewat keterangan tertulis yang dibagikannya, Selasa 28 Maret 2023.

Bisa dikatakan, Alfons menilai, kali ini penipuan paket lengkap. Diawali dari si penipu membeli domain khusus dan membuat alamat email efiling@pajak.contact guna mengelabui korbannya. Alamat email itu mirip alamat resmi milik Direktorat Jenderal Pajak efiling@pajak.go.id. 

Setelah itu, melakukan broadcast ke wajib pajak yang menjadi target dengan mengirimkan tautan yang berisi file .APK (Android Package Kit). Jika file di-instal akan menampilkan aplikasi Android dengan tampilan yang sangat mirip dengan tampilan situs kantor pajak.

Tidak berhenti dengan mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing tersebut, ia akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit. 

Trik semakin bertambah, aplikasi pencuri APK yang memalsukan diri sebagai aplikasi pajak ini menamai dirinya 'handphone kamu'. Alfons meminta perhatian khusus untuk bagian ini. Ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya, yang muncul tertera sebagai peminta izin akses itu adalah 'handphone kamu'.

"Padahal 'handphone kamu' sebenarnya adalah nama aplikasi berbahaya tersebut," kata Alfons. 

Nama Domain Sudah Disiapkan

Alfons menilai grup penipu ini terlihat sudah merencanakan modusnya dengan baik. “Terbukti dari usaha membeli domain www.pajak.contact dan domain ini dibeli khusus untuk melakukan penipuan ini pada 18 Maret 2023 dengan menggunakan registrar Google,” katanya. 

Domain pajak.contact dibeli untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id. Selain itu juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id yang disamarkan dengan alamat efiling@pajak.connect.

Ada banyak aktivitas jahat yang dilakukan situs ini seperti mengelabui korbannya untuk memasukkan data 16 digit nomor Kartu Kredit/Debit, masa berlaku, CVV, dan nama pemilik kartu.

Aplikasi pencuri SMS APK ini, selain dikirimkan melalui tautan dalam email, juga diberikan pada situs yang menyaru sebagai file .pdf yang jika di klik akan mengirimkan file dengan nama "info_Detail_Tagihan_Pajak***.apk dengan ukuran 5,2 MB.

Hati-hati 'Handphone Kamu'

Iklan
Scroll Untuk Melanjutkan

Alfons memandang bagian ini menunjukkan kepiawaian pembuat aplikasi pencuri SMS ini. "Terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya karena memilih nama aplikasi yang tidak umum dan ikon yang kosong,” kata dia. 

Hal ini akan membingungkan pemilik ponsel ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS. Ada unsur memainkan perasaan dan logika dari korban. “Logikanya mana mungkin pemilik ponsel tidak membolehkan handphone-nya sendiri membaca dan mengirimkan SMS? Dan kemungkinan permintaan akses tersebut akan diizinkan oleh pemilik ponsel.”

Alfons memberi tips jika sudah terlanjur menginstal aplikasi pencuri SMS atau ingin melakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS. Caranya, klik [Pengaturan] lalu pilih [Privasi] lalu pilih [Manajer izin] kemudian gulung ke bawah dan pilih [SMS] untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS.

Alfons memberikan contoh gambar bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon. Sedangkan aplikasi yang tidak berhak mengakses SMS tetapi mendapatkan izin adalah "handphone kamu" dan "Shopee express".

"Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segera di uninstal dari ponsel," kata dia.

Pesan dari Dirjen Pajak

Dalam pengumuman yang dipampang di situs pajak.go.id, Direktorat Jenderal Pajak menyatakan menyadari peredaran email yang dimaksud Alfons. Lebih spesifik, surat disebut mengatasnamakan Kantor Pelayanan Pajak yang meminta penerima e-mail untuk melakukan konfirmasi ulang bukti pemotongan pajak penghasilan dengan mengunduh dokumen berformat PDF melalui tautan yang disediakan dalam e-mail tersebut.

Direktorat Jenderal Pajak menegaskan e-mail yang dikirim oleh efiling@djp.contact dengan judul “Tagihan Pajak” tersebut tidak berasal dari mereka. "Penerima e-mail diimbau untuk tidak mengeklik tautan yang tertera pada e-mail tersebut dan tidak memasukkan data penting wajib pajak," bunyi bagian dari pengumuman itu.

Direktorat Jenderal Pajak menyatakan sedang menyelidiki penyebaran e-mail tersebut yang terindikasi merupakan upaya phishing. Masyarakat atau wajib pajak diminta untuk selalu waspada dan berhati-hati dalam aktivitas di jaringan (online) termasuk dalam melakukan aktivitas keuangan dan perpajakan.

"Hindari mengeklik tautan yang berasal dari sumber yang tidak jelas," bunyi pengumuman, "Pengiriman e-mail resmi Direktorat Jenderal Pajak adalah menggunakan domain @pajak.go.id."

Pilihan Editor: Kementerian Kesehatan Keluarkan Peringatan Agar Waspada Virus Marburg, Ada Apa?


Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.

Iklan



Rekomendasi Artikel

Konten sponsor pada widget ini merupakan konten yang dibuat dan ditampilkan pihak ketiga, bukan redaksi Tempo. Tidak ada aktivitas jurnalistik dalam pembuatan konten ini.

 

Video Pilihan


Kabar Terkini Ghisca Mahasiswi Penipu Tiket Konser Coldplay di Sel: Stres

8 jam lalu

Ghisca Debora Aritonang (19) yang telah ditetapkan sebagai tersangka penipuan tiket konser Coldplay senilai Rp 5,1 miliar.(ANTARA/Siti Nurhaliza)
Kabar Terkini Ghisca Mahasiswi Penipu Tiket Konser Coldplay di Sel: Stres

Bagaimana kabar mahasiswi Universitas Trisakti, Ghisca Debora Aritonang, yang menjadi tersangka penipuan tiket Coldplay di sel?


Pembaruan WhatsApp iOS Ini Memungkinkan Berbagi Gambar dan Video dalam Kualitas Asli

13 jam lalu

Ilustrasi WhatsApp. shutterstock.com
Pembaruan WhatsApp iOS Ini Memungkinkan Berbagi Gambar dan Video dalam Kualitas Asli

Ada batasan 2GB pada file yang dapat dikirim menggunakan fitur WhatsApp ini.


Tak Ingin Terganggu dengan Notifikasi WhatsApp, Begini Cara Mengaktifkan Mode DND

18 jam lalu

Logo WhatsApp pada layar ponsel. (thenextweb.com)
Tak Ingin Terganggu dengan Notifikasi WhatsApp, Begini Cara Mengaktifkan Mode DND

WhatsApp memiliki fitur yang disebut mode jangan ganggu atau do not disturb (DND).


Kembar Rihana Rihani Divonis 4 dan 3 Tahun Penjara, Korban Penipuan iPhone Minta Uang Mereka Kembali

18 jam lalu

Tersangka kasus penipuan pembelian Iphone Rihana dan Rihani dihadirkan saat rilis kasus di gedung Ditreskrimum Polda Metro Jaya, Jakarta, Selasa, 4 Juli 2023. Sebelumnya, saudara kembar itu sempat masuk daftar pencarian orang (DPO) setelah mangkir beberapa kali dari panggilan polisi. TEMPO / Hilman Fathurrahman W
Kembar Rihana Rihani Divonis 4 dan 3 Tahun Penjara, Korban Penipuan iPhone Minta Uang Mereka Kembali

Majelis hakim PN Tangerang memvonis si kembar Rihana Rihani dengan hukuman lebih rendah dari tuntutan jaksa. Korban minta uang mereka kembali.


Korban Penipuan Si Kembar Rihana Rihani Siapkan Gugatan Perdata

1 hari lalu

Kejaksaan Negeri Tangerang Selatan menerima dua tersangka kasus penipuan iPhone si kembar Rihana dan Rihani, Kamis 31 Agustus 2023. (TEMPO/Muhammad Iqbal)
Korban Penipuan Si Kembar Rihana Rihani Siapkan Gugatan Perdata

Para korban penipuan dan penggelapan reseller iPhone dengan terdakwa si kembar Rihana Rihani masih berharap uang mereka bisa kembali.


Liburan ke Florence Waspada Penipuan Karya Seni Palsu

1 hari lalu

Unggahan travel vlogger Sam Mayfair di TikTok yang menujukkan dugaan penipuan karya seni di jalanan. (Tangkapan layar Tiktok.com/sam.mayfair
Liburan ke Florence Waspada Penipuan Karya Seni Palsu

Penipuan karya seni palsu di pusat keramaian yang membuat turis harus waspada di Florence


Kubu SYL Peringatkan Pengacara Firli Bahuri: Hati-hati, Jangan Bikin Gaduh

2 hari lalu

Mantan ketua KPK Firli Bahuri usai diperiksa sebagai tersangka kasus dugaan pemerasan eks Menteri Pertanian Syahrul Yasin Limpo di Bareskrim, Mabes Polri, Jakarta, Jumat, 1 Desember 2023. Firli diperiksa oleh penyidik gabungan Bareskrim dan Polda Metro Jaya selama 9 jam, selebihnya Firli akan mengikuti aturan hukum yang masih berjalan. TEMPO/ Febri Angga Palguna
Kubu SYL Peringatkan Pengacara Firli Bahuri: Hati-hati, Jangan Bikin Gaduh

Pernyataan merujuk soal bukti baru berupa tangkapan layar percakapan di WA bahwa Syahrul Yasin Limpo salah mengira orang yang disangka Firli Bahuri.


WNI Korban Job Scam di Wilayah Konflik Myanmar Dievakuasi ke Medan, Berikut Kronologinya

3 hari lalu

WNI korban TPPO di Myanmar akan dipulangkan ke Indonesia melalui Bangkok, Thailand, pada Senin (26/6/2023). (ANTARA/HO-Kemlu RI)
WNI Korban Job Scam di Wilayah Konflik Myanmar Dievakuasi ke Medan, Berikut Kronologinya

Seorang WNI korban job scam di wilayah konflik Myanmar dievakuasi dan telah tiba di Medan.


Dirjen Pajak Serahkan Tersangka Penyelewengan ke Kejari: Kerugian Negara Rp 1,3 Miliar

4 hari lalu

Pegawai membantu Wajib Pajak yang hendak melaporkan Surat Pemberitahuan Tahunan (SPT) Pajak di Kantor Pelayanan Pajak Pratama Jakarta Tanah Abang Tiga, Jumat 31 Maret 2023. Seluruh warga negara Indonesia yang sudah memiliki nomor pokok wajib pajak diwajibkan untuk melaporkan SPT pajak adapun deadline penyampaian SPT wajib pajak orang pribadi akan berakhir hari ini, Jumat (31/3/2023). Tempo/Tony Hartawan
Dirjen Pajak Serahkan Tersangka Penyelewengan ke Kejari: Kerugian Negara Rp 1,3 Miliar

Direktorat Jenderal Pajak (DJP) Jakarta Pusat telah melakukan penyerahan tersangka dan barang bukti terkait tindak pidana perpajakan kepada Kejaksaan Negeri Jakarta Pusat.


Malaysia Evakuasi 121 Korban Penipuan Kerja dari Myanmar, Ada 1 WNI

4 hari lalu

WNI yang menjadi korban tindak pidana perdagangan orang di Myanmar, awal April, 2023. Dokumentasi Keluarga
Malaysia Evakuasi 121 Korban Penipuan Kerja dari Myanmar, Ada 1 WNI

Seorang WNI termasuk dalam 121 orang korban job scam atau penipuan kerja yang dievakuasi Malaysia dari Myanmar.