Liputan6.com, Jakarta - Modus penipuan lapor SPT yang mengatasnamakan otoritas pajak marak terjadi. Direktorat Jenderal Pajak (DJP) Kementerian Keuangan secara rutin pun mengingatkan masyarakat untuk berhati-hati terhadap berbagai modus aksi kejahatan ini terutama di tengah musim penyampaian Surat Pemberitahuan (SPT) Tahunan.
Penipuan semacam ini dapat terjadi dalam berbagai bentuk dan kesempatan. Para pelaku berupaya mencari keuntungan pribadi dari wajib pajak yang lengah.
Advertisement
Oleh karena itu, penting bagi setiap wajib pajak untuk memahami berbagai taktik penipu. Mengenali ciri-ciri penipuan dan mengetahui langkah pencegahan adalah kunci untuk melindungi diri dari kerugian finansial serta kebocoran data pribadi.
Beragam Modus Penipuan SPT yang Perlu Diwaspadai
Penipu memanfaatkan momen pelaporan SPT Tahunan dan digitalisasi layanan perpajakan untuk melancarkan aksinya, salah satunya melalui email phishing dan pesan palsu. Pelaku seringkali mengirimkan email atau pesan WhatsApp yang seolah-olah berasal dari DJP dengan berbagai narasi, seperti surat tagihan pajak (STP) palsu, pemberitahuan kelebihan pembayaran, atau tawaran layanan perpajakan tertentu. Tautan atau lampiran dalam pesan tersebut dirancang untuk mencuri data atau membahayakan perangkat penerima jika diklik.
Perlu diperhatikan bahwa domain email penipu seringkali dibuat sangat mirip dengan domain resmi DJP (@pajak.go.id), misalnya `@e-pajak.-go.id`, sehingga wajib pajak harus teliti. Pesan WhatsApp juga kerap berasal dari nomor tidak dikenal, tanpa identitas resmi, dan menggunakan bahasa mendesak atau menakut-nakuti untuk meminta informasi sensitif seperti NPWP, NIK, hingga informasi perbankan.
Modus penipuan lainnya melibatkan pembuatan tautan palsu yang meniru situs resmi DJP Online atau sistem Coretax. Tautan seperti djp[.]linepajak-go[.]com atau pajak[.]xzgo[.]cc bertujuan untuk mencuri username, password, bahkan kode OTP wajib pajak saat mereka mencoba masuk. DJP hanya menggunakan domain resmi pajak.go.id untuk seluruh layanannya.
Selain itu, penipu juga meminta wajib pajak mengunduh file APK atau aplikasi palsu, seperti “M-Pajak palsu” atau file konfirmasi pembaharuan data wajib pajak. File-file ini berpotensi mengandung malware yang dapat mengambil alih akses perangkat korban (remote access) dan menguras rekening bank tanpa disadari.
Pelaku penipuan juga beraksi melalui panggilan telepon, mengaku sebagai petugas pajak dan bahkan menyebutkan data pribadi korban untuk meyakinkan. Mereka dapat mengarahkan korban untuk melakukan “verifikasi data Coretax” dengan biaya tertentu atau mengirimkan file PDF via WhatsApp. Modus yang lebih canggih melibatkan permintaan screen sharing melalui WhatsApp Call, yang kemudian digunakan untuk mengambil alih akses HP korban dan menguras rekening.
Pesan atau telepon penipuan ini seringkali menggunakan nada mendesak, disertai ancaman sanksi seperti denda atau penyitaan aset jika tidak segera ditindaklanjuti. Puncaknya, mereka dapat meminta transfer uang ke rekening pribadi dengan alasan “biaya administrasi” atau “denda”.
Kenali Ciri Komunikasi Resmi DJP
Untuk menghindari menjadi korban, wajib pajak perlu mengenali perbedaan antara komunikasi resmi DJP dan penipuan yang mengatasnamakan otoritas pajak. DJP selalu menggunakan domain email resmi @pajak.go.id untuk semua korespondensi elektronik. Selain itu, DJP tidak pernah mengirimkan file APK atau tautan aplikasi melalui WhatsApp atau email pribadi wajib pajak.
Pembayaran pajak yang sah hanya dilakukan melalui Kode Billing (MPN G3) dan bank/pos persepsi yang ditunjuk, bukan ke rekening pribadi. DJP juga tidak akan memberikan panduan verifikasi data melalui telepon pribadi, apalagi meminta screen sharing atau akses ke perangkat wajib pajak. Pesan mencurigakan yang berasal dari nomor tidak dikenal dan meminta data sensitif seperti kata sandi akun pajak, kode OTP, atau informasi keuangan, adalah indikasi kuat penipuan.
Langkah Pencegahan dari Modus Penipuan SPT
Direktorat Jenderal Pajak menyarankan wajib pajak untuk selalu memverifikasi informasi yang diterima melalui saluran resmi DJP. Saluran tersebut meliputi telepon Kring Pajak 1500200, akun X (Twitter) @DitjenPajakRI atau @kring_pajak, serta fitur Live Chat di situs www.pajak.go.id. Jika ragu, datang langsung ke Kantor Pelayanan Pajak (KPP) terdekat juga merupakan cara paling aman untuk memastikan keabsahan informasi.
Wajib pajak juga diimbau untuk tidak mengklik tautan atau mengunduh file dari nomor atau email yang tidak dikenal dan mencurigakan. Hindari membagikan data pribadi sensitif seperti kata sandi, kode OTP, atau informasi perbankan kepada pihak yang tidak dikenal atau tidak terverifikasi.
Terakhir, untuk menjaga keamanan data, penting untuk selalu memperbarui antivirus pada perangkat dan mengubah kata sandi akun secara berkala. Dengan kewaspadaan dan langkah pencegahan yang tepat, wajib pajak dapat melindungi diri dari berbagai modus penipuan yang mengintai.