Lupa Kata Sandi? Klik di Sini

atau Masuk melalui

Belum Memiliki Akun Daftar di Sini


atau Daftar melalui

Sudah Memiliki Akun Masuk di Sini

Konfirmasi Email

Kami telah mengirimkan link aktivasi melalui email ke rudihamdani@gmail.com.

Klik link aktivasi dan dapatkan akses membaca 2 artikel gratis non Laput di koran dan Majalah Tempo

Jika Anda tidak menerima email,
Kirimkan Lagi Sekarang

Penipuan Mendompleng Pelaporan SPT Pajak, Waspadai Modus 'Handphone Kamu'

Tangkapan layar email modus penipuan yang memanfaatkan batas akhir kewajiban pelaporan pajak. pajak.go.id
Tangkapan layar email modus penipuan yang memanfaatkan batas akhir kewajiban pelaporan pajak. pajak.go.id
Iklan

TEMPO.CO, Jakarta - Modus-modus penipuan di ponsel semakin marak. Terbaru adalah yang kelihatannya memanfaatkan batas akhir pelaporan Surat Pemberitahuan Tahunan atau SPT Pajak akhir Maret ini.  

Menurut pengamat keamanan siber dari Vaksincom, Alfons Tanujaya, modus kali ini bahkan lebih daripada biasanya yang hanya dilakukan secara terpisah dan sepotong-sepotong. Misalnya, penipuan memanfaatkan file APK saja yang dikirim melalui WhatsApp untuk mencuri SMS berisi One Time Password (OTP) mobile banking.

Atau contoh lain, APK kurir paket, APK undangan nikah, APK tagihan BPJS, dan APK surat tilang. Seluruhnya, menurut Alfons, berdiri sendiri-sendiri. “Kali ini lebih terorganisir dan komplit di mana penipu mempersiapkan domain khusus https://pajak.contact guna menyaru sebagai situs pajak pemerintah,” katanya lewat keterangan tertulis yang dibagikannya, Selasa 28 Maret 2023.

Bisa dikatakan, Alfons menilai, kali ini penipuan paket lengkap. Diawali dari si penipu membeli domain khusus dan membuat alamat email efiling@pajak.contact guna mengelabui korbannya. Alamat email itu mirip alamat resmi milik Direktorat Jenderal Pajak efiling@pajak.go.id. 

Setelah itu, melakukan broadcast ke wajib pajak yang menjadi target dengan mengirimkan tautan yang berisi file .APK (Android Package Kit). Jika file di-instal akan menampilkan aplikasi Android dengan tampilan yang sangat mirip dengan tampilan situs kantor pajak.

Tidak berhenti dengan mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing tersebut, ia akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit. 

Trik semakin bertambah, aplikasi pencuri APK yang memalsukan diri sebagai aplikasi pajak ini menamai dirinya 'handphone kamu'. Alfons meminta perhatian khusus untuk bagian ini. Ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya, yang muncul tertera sebagai peminta izin akses itu adalah 'handphone kamu'.

"Padahal 'handphone kamu' sebenarnya adalah nama aplikasi berbahaya tersebut," kata Alfons. 

Nama Domain Sudah Disiapkan

Alfons menilai grup penipu ini terlihat sudah merencanakan modusnya dengan baik. “Terbukti dari usaha membeli domain www.pajak.contact dan domain ini dibeli khusus untuk melakukan penipuan ini pada 18 Maret 2023 dengan menggunakan registrar Google,” katanya. 

Domain pajak.contact dibeli untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id. Selain itu juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id yang disamarkan dengan alamat efiling@pajak.connect.

Ada banyak aktivitas jahat yang dilakukan situs ini seperti mengelabui korbannya untuk memasukkan data 16 digit nomor Kartu Kredit/Debit, masa berlaku, CVV, dan nama pemilik kartu.

Aplikasi pencuri SMS APK ini, selain dikirimkan melalui tautan dalam email, juga diberikan pada situs yang menyaru sebagai file .pdf yang jika di klik akan mengirimkan file dengan nama "info_Detail_Tagihan_Pajak***.apk dengan ukuran 5,2 MB.

Hati-hati 'Handphone Kamu'

Iklan
Scroll Untuk Melanjutkan

Alfons memandang bagian ini menunjukkan kepiawaian pembuat aplikasi pencuri SMS ini. "Terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya karena memilih nama aplikasi yang tidak umum dan ikon yang kosong,” kata dia. 

Hal ini akan membingungkan pemilik ponsel ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS. Ada unsur memainkan perasaan dan logika dari korban. “Logikanya mana mungkin pemilik ponsel tidak membolehkan handphone-nya sendiri membaca dan mengirimkan SMS? Dan kemungkinan permintaan akses tersebut akan diizinkan oleh pemilik ponsel.”

Alfons memberi tips jika sudah terlanjur menginstal aplikasi pencuri SMS atau ingin melakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS. Caranya, klik [Pengaturan] lalu pilih [Privasi] lalu pilih [Manajer izin] kemudian gulung ke bawah dan pilih [SMS] untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS.

Alfons memberikan contoh gambar bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon. Sedangkan aplikasi yang tidak berhak mengakses SMS tetapi mendapatkan izin adalah "handphone kamu" dan "Shopee express".

"Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segera di uninstal dari ponsel," kata dia.

Pesan dari Dirjen Pajak

Dalam pengumuman yang dipampang di situs pajak.go.id, Direktorat Jenderal Pajak menyatakan menyadari peredaran email yang dimaksud Alfons. Lebih spesifik, surat disebut mengatasnamakan Kantor Pelayanan Pajak yang meminta penerima e-mail untuk melakukan konfirmasi ulang bukti pemotongan pajak penghasilan dengan mengunduh dokumen berformat PDF melalui tautan yang disediakan dalam e-mail tersebut.

Direktorat Jenderal Pajak menegaskan e-mail yang dikirim oleh efiling@djp.contact dengan judul “Tagihan Pajak” tersebut tidak berasal dari mereka. "Penerima e-mail diimbau untuk tidak mengeklik tautan yang tertera pada e-mail tersebut dan tidak memasukkan data penting wajib pajak," bunyi bagian dari pengumuman itu.

Direktorat Jenderal Pajak menyatakan sedang menyelidiki penyebaran e-mail tersebut yang terindikasi merupakan upaya phishing. Masyarakat atau wajib pajak diminta untuk selalu waspada dan berhati-hati dalam aktivitas di jaringan (online) termasuk dalam melakukan aktivitas keuangan dan perpajakan.

"Hindari mengeklik tautan yang berasal dari sumber yang tidak jelas," bunyi pengumuman, "Pengiriman e-mail resmi Direktorat Jenderal Pajak adalah menggunakan domain @pajak.go.id."

Pilihan Editor: Kementerian Kesehatan Keluarkan Peringatan Agar Waspada Virus Marburg, Ada Apa?


Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.

Iklan

Berita Selanjutnya




Rekomendasi Artikel

Konten sponsor pada widget ini merupakan konten yang dibuat dan ditampilkan pihak ketiga, bukan redaksi Tempo. Tidak ada aktivitas jurnalistik dalam pembuatan konten ini.




Video Pilihan


Ada Taktik Ponzi dan FOMO dalam Modus Penipuan 'Like and Subscribe'

1 jam lalu

Ilustrasi modus penipuan menggunakan file aplikasi melalui ponsel. ANTARA/ Imam Budilaksono.
Ada Taktik Ponzi dan FOMO dalam Modus Penipuan 'Like and Subscribe'

Bagian pamungkas dari modus penipuan ini adalah tawaran menggiurkan yang diberi nama Prepaid Mission.


Cara Mengatasi Email Spam pada Gmail

10 jam lalu

Logo Gmail. Kredit: Google Play
Cara Mengatasi Email Spam pada Gmail

Email yang masuk pada kotak spam biasanya bertujuan untuk promosi, namun juga bisa email penting. Berikut cara mengatasinya.


Bareskrim Sebut Promotor Konser Coldplay Tidak Terlibat Kasus Penipuan

15 jam lalu

Kuasa hukum Muhamad Zainul Arifin memberikan keterangan saat mewakili korban melaporkan penipuan tiket konser Coldplay di Mabes Polri, Jakarta, Selasa, 23 Mei 2023. Dalam laporanya jumlah korban bertambah dari 14 orang menjadi 60 orang dengan total kerugian mencapai 183 juta, menurut Zainul kemungkinan jumlah korban akan bertambah, sebelumnya Polda Metro Jaya telah menetapkan 2 tersangka berinisial ABF dan W. TEMPO/ Febri Angga Palguna
Bareskrim Sebut Promotor Konser Coldplay Tidak Terlibat Kasus Penipuan

Bareskrim menyatakan promotor konser Coldplay tak terlibat dalam kasus penipuan yang memakan korban puluhan orang dengan kerugian ratusan juta rupiah.


Mengenal Fitur Chat Lock di WhatsApp dan Cara Menggunakannya

2 hari lalu

Fitur Chat Lock WhatsApp (Phone Arena)
Mengenal Fitur Chat Lock di WhatsApp dan Cara Menggunakannya

Fitur Chat Lock memungkinkan pengguna untuk mengatur kata sandi/PIN/kunci biometrik untuk obrolan individu dan grup.


Puluhan Orang Kena Penipuan Lowongan Kerja Palsu di Bandung Zoo

2 hari lalu

Dua ekor anak singa Afrika (Panthera leo), Baha dan Gia beristirahat bersama induk mereka di Bandung Zoological Garden, Jawa Barat, Senin, 3 Januari 2022. TEMPO/Prima Mulia
Puluhan Orang Kena Penipuan Lowongan Kerja Palsu di Bandung Zoo

Akibat kasus penipuan ini Bandung Zoo dirugikan karena pencatutan nama. Sulhan berharap tidak ada lagi pelamar kerja yang tertipu.


Tips Menghindari Penipuan Rekrutmen Karyawan PT Pegadaian

3 hari lalu

Tips Menghindari Penipuan Rekrutmen Karyawan PT Pegadaian

Rekrutmen di Pegadaian selalu diinformasikan secara terbuka melalui website www.pegadaian.co.id.


Bareskrim Kawal Deportasi 52 WN Cina Sindikat Penipuan Online Internasional

3 hari lalu

Direktorat Tindak Pidana Umum Bareskrim Polri membongkar sindikat penipuan online yang dilakukan 55 WNA diduga berasal dari Cina yang beroperasi di Indonesia, gedung Bareskrim, Mabes Polri, Rabu, 5 April 2023. Tempo/Eka Yudha Saputra
Bareskrim Kawal Deportasi 52 WN Cina Sindikat Penipuan Online Internasional

Salah satu bentuk pengwalan Bareskrim adalah memastikan paspor WNA telah dicap stempel deportasi oleh Imigrasi dan sampai masuk pesawat sesuai tujuan.


Mengatasi Masalah WhatsApp Tidak Bisa Unduh Gambar

3 hari lalu

Ilustrasi WhatsApp. REUTERS/Dado Ruvic/Illustration
Mengatasi Masalah WhatsApp Tidak Bisa Unduh Gambar

Ada tujuh cara yang dapat dilakukan dalam mengatasi masalah di WhatsApp.


Memungkinkan Mengirim Email Rahasia, Begini Cara Menggunakan Fitur Confidential Mode di Gmail

4 hari lalu

Logo Gmail. Kredit: Google Play
Memungkinkan Mengirim Email Rahasia, Begini Cara Menggunakan Fitur Confidential Mode di Gmail

Confidential mode di Gmail dapat digunakan untuk menetapkan tanggal kedaluwarsa pesan atau mencabut aksesnya kapan saja.


Ramai Penipuan Jastip Tiket Coldplay, BPKN Bakal Panggil Promotor Konser

4 hari lalu

Petugas menata barang bukti saat konferensi pers kasus penipuan tiket konser Coldplay di Polda Metro Jaya, Jakarta, Senin, 22 Mei 2023. Dua tersangka diduga telah menipu 60 orang dengan kerugian Rp 257 juta. TEMPO/ Febri Angga Palguna
Ramai Penipuan Jastip Tiket Coldplay, BPKN Bakal Panggil Promotor Konser

Wakil Ketua BPKN RI Mufti Mubarok menanggapi ramainya penipuan jasa titip atau jastip tiket konser Coldplay dan akan memanggil pihak promotor konser.