ledifha.com – JAKARTA – Dalam era digital yang dimaksud semakin maju, modus kecurangan juga bergabung mengalami perkembangan semakin canggih. Salah satu modus terbaru yang tersebut sedang marak adalah penyalahgunaan berkedok “surat cinta” dari Direktorat Jenderal Pajak (DJP).
Modus ini memanfaatkan kepanikan serta ketidaktahuan publik tentang prosedur perpajakan untuk mencuri data pribadi juga menguras tabungan korban.
Modus Operandi Penipu
Pengamat keamanan siber Vaksin.com Alfons Tanujaya mengatakan, penipu biasanya memulai aksinya dengan mengirimkan instruksi WhatsApp yang digunakan mengatasnamakan petugas pajak.
Pesan yang disebutkan berisi informasi tentang adanya permasalahan pada data perpajakan korban, lengkap dengan data pribadi yang tersebut valid seperti alamat, nama, NIK, NPWP, lalu nomor telepon. Informasi pribadi yang mana akurat ini menciptakan korban mudah percaya kemudian terpancing untuk mengikuti instruksi selanjutnya.
Setelah korban lengah, penipu akan menggunakan dua metode untuk menjerat korbannya:
1. Phishing: Korban diarahkan ke situs palsu yang tersebut mirip dengan Google Play Store untuk mengunduh perangkat lunak “M-Pajak” palsu. Program ini sebenarnya adalah malware yang digunakan akan mencuri SMS dari ponsel korban, termasuk kode OTP (One-Time Password) yang tersebut digunakan untuk operasi perbankan.
2. Social Engineering: Penipu akan menelepon korban kemudian mengaku sebagai petugas call center pajak. Dengan berbekal data pribadi korban, penipu akan meyakinkan korban bahwa mereka mempunyai tunggakan pajak atau permasalahan perpajakan lainnya. Korban kemudian akan diarahkan untuk mentransfer beberapa uang ke tabungan penipu.
“Hal yang cukup mengejutkan adalah penipu memiliki data otentik wajib pajak. Tentunya ini menjadi pertanyaan besar bagaimana data wajib pajak sedetail ini sanggup bocor kemudian dieksploitasi oleh penipu,” ujar Alfons.
Dari hasil investigasi Alfons, ia menemukan beberapa hal yang mana wajib dicurigai apabila pemilik bidang usaha ataupun individu mendapatkan “surat cinta” dari Direktorat Jenderal Pajak (DJP). Antara lain:
1. Informasi pribadi yang mana valid: Penipu mempunyai akses ke data pribadi wajib pajak yang digunakan seharusnya bersifat rahasia, seperti alamat, nama, NIK, NPWP, nomor telepon, kemudian email.
2. Website palsu: Penipu menyebabkan situs palsu yang digunakan sangat mirip dengan Google Play Store untuk mengelabui korban agar mengunduh perangkat lunak berbahaya.