Momen batas akhir waktu pelaporan Surat Pemberitahuan Tahunan (SPT) Pajak pada akhir Maret 2023 dimanfaatkan kelompok penipu untuk menjaring korban.
Kali ini aksinya dilakukan dengan lebih terorganisir dan komplit, penipu sampai menyiapkan domain khusus https://pajak.contact untuk menyaru sebagai situs pajak pemerintah dan memanfaatkan domain tersebut untuk membuat alamat email efiling@pajak.contact guna mengelabui korbannya, mirip dengan alamat email resmi di efiling@pajak.go.id.
Tidak cukup mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing tersebut, maka ia akan dikelabui untuk memasukkan data nomor kartu ATM dan kartu kredit korbannya.
Cerdiknya lagi, aplikasi pencuri APK yang memalsukan sebagai aplikasi pajak ini menamai dirinya "handphone kamu" sehingga ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya kemungkinan besar tertipu karena yang meminta izin akses adalah "hanphone kamu". Padahal "handphone kamu" sebenarnya adalah nama aplikasi berbahaya tersebut.
Nama domain sudah dipersiapkan
Scammer terlihat sudah merencanakan aksinya dengan baik, terbukti dari usahanya membeli domain www.pajak.contact dan domain ini dibeli khusus untuk melakukan aksi penipuan ini pada tanggal 18 Maret 2023 dengan menggunakan registrar Google (lihat gambar 1).
Domain pajak.contact ini dibeli selain untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id karena mengandung unsur nama "pajak" (lihat gambar 2), juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id dan disamarkan dengan alamat palsu efiling@pajak.connect.
Ada banyak aktivitas jahat yang dilakukan situs ini seperti mengelabui korbannya untuk memasukkan data finansial penting seperti informasi Kartu Kredit/Debit seperti 16 digit nomor kartu, masa berlaku, CVV dan nama pemilik kartu (lihat gambar 3)
(asj/afr)