Baca berita dengan sedikit iklan, klik di sini
TEMPO.CO, Jakarta - Field Chief Security Officer, JAPAC, Palo Alto Networks, Ian Lim, mengungkap beberapa modus serangan phising yang muncul selama periode pelaporam Surat Pemberitahuan (SPT) Tahunan pajak. Phising merupakan upaya penjahat siber untuk mendapatkan informasi data seseorang dengan teknik pengelabuan.
Baca berita dengan sedikit iklan, klik di sini
“Biasanya e-mail dan pesan teks penipuan dirancang untuk mengelabui penerima agar memberikan informasi pribadi dan nomor kartu kredit mereka,” ujar Ian Lim kepada Tempo pada Jumat, 17 Maret 2023.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Menurut dia ada yang berbeda tahun ini serangan phising didukung dengan hadirnya ChatGPT—semacam robot percakapan (chatbot) dengan teknologi artificial intelligence (AI). Teknologi itu dapat membuat pesan-pesan penipuan menjadi lebih sulit untuk dideteksi.
“Ejaan atau tata bahasa yang buruk dan font atau gambar yang tidak lazim telah menjadi ciri khas pada tahun-tahun sebelumnya, tapi menggunakan kecerdasan buatan seperti ChatGPT dapat mengubah faktor tersebut,” tutur dia.
Berikut bentuk phising yang beredar selama periode pelaporan SPT Tahunan pajak:
1. Melalui email
Pertama, Ian Lim menjelaskan, penipuan melalui e-mail. Ciri-cirinya, biasanya isinya penuh dengan kesalahan pengejaan yang membuat seakan-akan penerima email berhak atas pengembalian pajak. Serta disertai sebuah tautan.
Setelah mengklik tautan yang disematkan di dalam email, penerima akan diarahkan ke halaman palsu portal Direktorat Jenderal Pajak (DJP) Kementerian Keuangan dan dimintai nomor telepon, serta kode pos mereka.
“Setelah selesai melakukannya, mereka akan diarahkan ke halaman lain yang meminta detail kartu kredit mereka,” kata dia.
Selanjutnya: 2. Melalui SMS...
2. Melalui SMS
Kedua adalah penipuan melalui pesan pendek SMS. Menurut Ian Lim, penipuan ini biasanya menuduh penerima soal penghindaran pajak dan pendapatan yang tidak dilaporkan. Hal itu mendorong korbannya untuk memberikan klarifikasi lebih lanjut melalui sebuah tautan.
Tautan tersebut, kata Ian Lim, akan mengarahkan korban ke formulir yang menanyakan nama lengkap dan detail kartu kredit pengguna. Dia pun memberikan contoh pesannya:
“Surat Pemberitahuan Pajak Tahunan Anda telah diperbarui untuk memasukkan pendapatan yang tidak dilaporkan dan penghindaran pajak. Harap berikan klarifikasi lebih lanjut di tautan.”
Selain itu, Ian Lim juga menjelaskan, melalui telepon, scam juga bisa dilakukan. Biasanya penjahat siber melepon menyamar sebagai petugas DJP. Serta menakut-nakuti korban dengan menuntut pembayaran segera menggunakan kartu debit prabayar, kartu hadiah, atau transfer bank, dan mengancam akan melibatkan polisi setempat.
3. Penipuan lainnya
Penipuan lainnya biasanya korban menerima email dengan lampiran surat yang diklaim berasal dari DJP, yang menginstruksikan mereka untuk membayar pajak penghasilan atas hasil investasi mereka. Email penipuan yang mengaku dari DJP, menginstruksikan penerima email untuk mengisi SPT PPN.
Ian Lim mengingatkan bahwa semua layanan outbound call (panggilan keluar oleh DJP ke Wajib Pajak) dilakukan oleh petugas Kring Pajak dengan nomor 1500200 atau dari Kantor Pelayanan Pajak (KPP) tempat wajib Pajak terdaftar.
“Bentuk lainnya penipuan melalui pesan WhatsApp, di mana di dalamnya ada lampiran PDF yang menyerupai faktur pajak,” ucap Ian Lim.
Lalu, ada situs web phishing yang menginstruksikan penerima untuk memberikan nomor telepon mereka untuk mendapatkan pengembalian PPN. Situs phising tersebut mengatasnamakan institusi DJP lengkap dengan logo mereka.
Dia pun mengingatkan bahwa biasanya Wajib Pajak dapat melakukan verifikasi kebenaran nomor telepon resmi kantor pelayanan pajak (KPP) dengan mengakses laman pajak.go.id. “Dengan demikian, jika ada panggilan masuk selain dari Kring Pajak dan KPP, Wajib Pajak perlu waspada,” kata dia.
Ikuti berita terkini dari Tempo di Google News, klik di sini.
Foto 
