Foldertekno.com – JAKARTA – Dalam era digital yang semakin maju, modus pembohongan juga mengambil bagian mengalami perkembangan semakin canggih. Salah satu modus terbaru yang tersebut sedang marak adalah kecurangan berkedok “surat cinta” dari Direktorat Jenderal Pajak (DJP).
Modus ini memanfaatkan kepanikan dan juga ketidaktahuan penduduk tentang prosedur perpajakan untuk mencuri data pribadi dan juga menguras account korban.
Modus Operandi Penipu
Pengamat keamanan siber Vaksin.com Alfons Tanujaya mengatakan, penipu biasanya memulai aksinya dengan mengirimkan arahan WhatsApp yang mana mengatasnamakan petugas pajak.
Pesan yang dimaksud berisi informasi tentang adanya hambatan pada data perpajakan korban, lengkap dengan data pribadi yang tersebut valid seperti alamat, nama, NIK, NPWP, lalu nomor telepon. Fakta pribadi yang dimaksud akurat ini memproduksi korban mudah percaya lalu terpancing untuk mengikuti instruksi selanjutnya.
Setelah korban lengah, penipu akan menggunakan dua metode untuk menjerat korbannya:
1. Phishing: Korban diarahkan ke situs palsu yang dimaksud mirip dengan Google Play Store untuk mengunduh aplikasi mobile “M-Pajak” palsu. Aplikasi ini sebenarnya adalah malware yang akan mencuri SMS dari ponsel korban, termasuk kode OTP (One-Time Password) yang digunakan digunakan untuk operasi perbankan.
2. Social Engineering: Penipu akan menelepon korban kemudian mengaku sebagai petugas call center pajak. Dengan berbekal data pribadi korban, penipu akan meyakinkan korban bahwa mereka itu mempunyai tunggakan pajak atau hambatan perpajakan lainnya. Korban kemudian akan diarahkan untuk mentransfer banyak uang ke tabungan penipu.
“Hal yang mana cukup mengejutkan adalah penipu miliki data otentik wajib pajak. Tentunya ini menjadi pertanyaan besar bagaimana data wajib pajak sedetail ini bisa jadi bocor serta dieksploitasi oleh penipu,” ujar Alfons.
Dari hasil investigasi Alfons, ia menemukan beberapa hal yang wajib dicurigai jikalau pemilik bidang usaha ataupun individu mendapatkan “surat cinta” dari Direktorat Jenderal Pajak (DJP). Antara lain:
1. Informasi pribadi yang dimaksud valid: Penipu mempunyai akses ke data pribadi wajib pajak yang seharusnya bersifat rahasia, seperti alamat, nama, NIK, NPWP, nomor telepon, kemudian email.
2. Portal palsu: Penipu memproduksi situs palsu yang dimaksud sangat mirip dengan Google Play Store untuk mengelabui korban agar mengunduh perangkat lunak berbahaya.