Kiat Bedakan Penipu dari DJP

Oleh: Muhammad Rizqi Bustami, pegawai Direktorat Jenderal Pajak

Beberapa tahun lalu, penipuan hipnotis di dalam bus umum, yang juga dikenal sebagai gendam, sering terdengar. Gendam sering dijadikan modus kejahatan, termasuk penipuan, dengan membuat korban tidak sadar dan secara sukarela menuruti kemauan pelaku. Biasanya korban manut-manut saja menyerahkan perhiasan atau memberikan uang. Banyak orang meyakini bahwa jika tiba-tiba ditepuk ketika di dalam bus, itu harus waspada dan membaca doa-doa untuk menghindari gendam. 

Selayaknya virus yang bermutasi, kejahatan yang dulu mungkin terkenal dengan gendam, kini di era digital dan media sosial, berkembang menjadi praktik manipulasi psikologis atau bisa disebut social engineering. Banyak orang tanpa sadar memberikan informasi penting, seperti password, data diri, bahkan sejumlah uang kepada pihak-pihak tidak bertanggung jawab. Social engineering merupakan praktik manipulasi psikologis yang dilakukan pelaku dengan berpura-pura menjadi pihak terpercaya, termasuk mengatasnamakan instansi resmi seperti Direktorat Jenderal Pajak (DJP). Salah satu alasan mengapa penipuan jenis ini sulit dikenali adalah karena pelaku sangat piawai dalam meniru bahasa, prosedur, dan tampilan komunikasi resmi DJP. 

Seolah Sama tetapi Berbeda 

Pelaku penipuan social engineering sering kali menyusun pesan menggunakan bahasa formal mirip komunikasi resmi dari DJP. Mereka (penipu) memahami bahwa sebagian besar wajib pajak percaya pada pesan yang ditulis dengan gaya formal dan resmi. Bahkan, pelaku menambahkan detail seperti nomor surat atau scan surat untuk lebih meyakinkan calon korban. 

Penipu sering menggunakan logo, cap, atau bahkan alamat email yang sangat identik dengan yang digunakan oleh DJP, meskipun sebenarnya palsu. Sebagai contoh, mereka mungkin menggunakan domain email yang sekilas tampak resmi seperti @pajak.go.id tetapi sebenarnya menggunakan domain palsu seperti @pajak.go.cc atau kombinasi lainnya.  

Social engineering juga sulit dikenali karena pelaku sering kali membujuk wajib pajak dengan prosedur yang terlihat sah dan masuk akal. Misalnya, penipu mungkin meminta informasi untuk "memverifikasi" data diri atau "mengonfirmasi" data pembayaran pajak, yang terdengar seperti prosedur umum yang mungkin dilakukan petugas pajak. 

Pelaku memanfaatkan “ketakutan” wajib pajak sebagai alat untuk memanipulasi. Tidak jarang pelaku akan mengancam calon korban dengan sanksi, hukum, atau denda pajak jika tidak kunjung diberikan informasi atau pembayaran pajak. Rasa takut dan panik sering kali membuat orang tidak berpikir jernih dan menuruti permintaan dalam situasi mendesak yang diberikan tanpa sempat memastikan kebenarannya. Padahal berulang kali DJP menyampaikan bahwa membayar pajak itu tidak lewat petugas pajak. Wajib pajak akan diberikan kode billing kemudian dapat melakukan pembayaran pajak melalui bank persepsi atau kantor pos. 

Dalam beberapa kasus, pelaku menargetkan calon korban secara personal. Mereka mungkin telah memperoleh sebagian informasi pribadi calon korban melalui sumber lain, dan kemudian menggunakan informasi tersebut untuk membuat pesan yang relevan dengan persona calon korban. Misalnya, pelaku mungkin sudah tahu nomor pokok wajib pajak (NPWP) dan kegiatan usaha calon korban kemudian menggunakannya untuk meminta pembayaran pajak atas usaha yang dilakukan. DJP dalam pemberitaan dan konten media sosial telah menegaskan bahwa data yang dikelola olehnya tidak bocor. 

Kendati social engineering sulit dikenali, ada beberapa cara yang bisa diambil untuk menghindari menjadi korban manipulasi.  

Cek Detail Alamat Email Pengirim 

Komunikasi resmi dari DJP hanya menggunakan domain email @pajak.go.id. Jika menerima email dari domain yang berbeda seperti, @pajak.go.cc, meskipun mirip, itu adalah tanda penipuan. Jangan pernah memberikan informasi pribadi melalui email dari domain selain @pajak.go.id.

Konfirmasi Ulang ke Kring Pajak atau Kantor Pajak 

Kalau menerima pesan mengatasnamakan DJP yang mencurigakan, hubungi langsung DJP melalui saluran resmi seperti Kring Pajak 1500200 atau kunjungi pajak.go.id/unit-kerja untuk memperoleh kontak resmi kantor pajak tempat NPWP terdaftar. Saat ini, seluruh kantor pajak di daerah memiliki media sosial yang mudah dicari. Dengan konfirmasi ulang melalui saluran resmi Wajib Pajak bisa memastikan kebenaran informasi yang diterima. 

Waspada Memperoleh Tekanan Berlebihan 

Yakinlah komunikasi dari petugas pajak tidak menggunakan ancaman atau tekanan waktu yang berlebihan. Apabila pesan yang diterima menyertakan ancaman hukuman dalam batas waktu yang tidak masuk akal, itu kemungkinan besar adalah penipuan. Instansi resmi umumnya memberikan waktu yang cukup bagi masyarakat untuk menyelesaikan kewajiban mereka. Apalagi instansi perpajakan yang tidak mungkin ingin “membunuh kegiatan usaha” wajib pajaknya. 

Jangan Install File APK dari Sumber Tidak Dikenal 

Salah satu modus penipuan yang paling marak adalah pengiriman file APK yang diklaim sebagai aplikasi terkait pajak dari DJP. Tidak jarang file APK juga diserupakan dengan file PDF dan diberi judul Surat Tagihan Pajak sehingga Wajib Pajak akan diminta untuk membuka file tersebut. Ketahuilah aplikasi resmi DJP, seperti m-Pajak, hanya dapat diunduh melalui Google Play Store atau App Store resmi. 

Periksa Ulang Identitas Pengirim 

Saat menerima pesan atau email dari DJP, pastikan untuk memeriksa identitas pengirim secara mendetail. Selain domain email, lihat metadata pengirim pada email, terutama pada layanan seperti Gmail, untuk melihat header asli dari email tersebut. Seperti cara yang telah dipublikasikan DJP pada postingan instagram @ditjenpajakri [klik disini]. Telusuri menu pada Gmail dan pilih opsi ini di menu "show original" pada email yang mencurigakan. 

Kesimpulan 

Social engineering atau praktik manipulasi psikologis menjadi salah satu modus penipuan yang paling sulit dikenali karena penipu mencoba meniru “cara-cara” komunikasi selayaknya petugas pajak. Dengan menggunakan bahasa, identitas, dan bahkan tanda pengenal abal-abal yang identik dengan DJP atau petugas pajak, pelaku kejahatan siber berusaha untuk memanipulasi korban. Namun, dengan memahami tanda-tanda penipuan dan selalu waspada dalam membalas pesan yang tidak mencurigakan, Kawan Pajak bisa melindungi diri dari ancaman kejahatan siber ini. 

Dengan mempraktikkan kiat-kiat di atas, Wajib Pajak dapat lebih waspada untuk menghindari jebakan siber yang semakin marak terjadi. Selalu ingat untuk “konfirmasi ulang” sebelum bertindak dan jangan mudah percaya pada komunikasi yang tampaknya mendesak atau mengancam. Jangan ragu untuk menghubungi Kantor Pajak atau Kring Pajak melalui kontak resmi untuk memastikan kebenaran informasi agar Kawan Pajak terlindungi dari ancaman kejahatan Social Engineering. Dari artikel ini semoga pembaca dapat meningkatkan insting seperti wanita yang sedang mencurigai pasangannya berbohong sehingga terhindar dari tindak penipuan. 

Stay private! Stay secure! 

*) Artikel ini merupakan pendapat pribadi penulis dan bukan cerminan sikap instansi tempat penulis bekerja.

Konten yang terdapat pada halaman ini dapat disalin dan digunakan kembali untuk keperluan nonkomersial. Namun, kami berharap pengguna untuk mencantumkan sumber dari konten yang digunakan dengan cara menautkan kembali ke halaman asli. Semoga membantu.