Di era digital ini, kemudahan akses informasi dan layanan publik sayangnya dibarengi dengan meningkatnya risiko kejahatan siber. Tak terkecuali, layanan perpajakan yang dikelola oleh Direktorat Jenderal Pajak (DJP) Kementerian Keuangan.
Penipuan yang mengatasnamakan DJP kini semakin marak dan canggih. Modus yang paling berbahaya dan sering terjadi adalah melalui serangan digital seperti Phising (pencurian data melalui situs palsu) dan penyebaran Aplikasi Palsu (APK berbahaya). Para penipu ini bekerja dengan sangat rapi, meniru identitas, tampilan, hingga gaya komunikasi resmi DJP, membuat Wajib Pajak (WP) lengah dan tanpa sadar menyerahkan data pribadi atau bahkan mentransfer uang ke rekening penjahat.
Modus Utama Serangan Digital (Phishing dan Aplikasi Palsu)
Modus penipuan pajak yang paling masif saat ini memanfaatkan teknologi digital. Dua jenis serangan ini menjadi sorotan utama karena dampaknya yang fatal: pencurian identitas dan kebocoran data finansial.
Phising (Pencurian Data Melalui Situs dan Tautan Palsu)
Phising adalah upaya penipu untuk “memancing” data penting Rekan (seperti username, password, atau detail kartu kredit) dengan menyamar sebagai institusi tepercaya. Dalam konteks perpajakan, modus ini dilakukan dengan cara:
- Pesan Mendadak dengan Tautan Mencurigakan: Rekan akan menerima email, SMS, atau pesan daring (misalnya WhatsApp atau Telegram) yang seolah-olah berasal dari DJP. Pesan ini seringkali berisi pemberitahuan mendesak, seperti “Tunggakan Pajak Rekan Akan Diblokir” atau “Segera Verifikasi Data Pajak Rekan untuk Pencairan Kelebihan Bayar.”
- Mengarah ke Situs Palsu (Spoofing Website): Dalam pesan tersebut, terdapat tautan (link) yang mengarahkan Rekan ke situs tiruan (palsu) yang sangat menyerupai laman resmi DJP. Begitu Rekan memasukkan username dan password di situs palsu tersebut, data Rekan langsung dicuri oleh penipu.
Ciri-Ciri Situs Phising:
- Domain Tidak Resmi: Tautan yang diberikan biasanya tidak berakhiran pajak.go.id. Penipu sering menggunakan domain yang terlihat mirip, seperti djp.linepajak-go.com atau pajak.xzgo.cc, atau variasi lain yang mengecoh.
- Instruksi Aneh: Situs palsu seringkali meminta Rekan memasukkan data yang tidak relevan dengan DJP, seperti PIN ATM atau One Time Password (OTP) yang seharusnya dijaga kerahasiaannya.
File Aplikasi Berbahaya (APK) Palsu
Ini adalah salah satu modus paling baru dan paling berbahaya yang menargetkan pengguna ponsel pintar (smartphone), terutama melalui aplikasi pesan instan seperti WhatsApp.
- Pengiriman File APK: Penipu mengirimkan pesan yang berisi file dengan ekstensi .apk (format aplikasi untuk Android) yang mengatasnamakan DJP. Pesan ini bisa berupa pemberitahuan seperti “Surat Peringatan Pembayaran Pajak” atau “Petunjuk Pemadanan Data” yang dikemas dalam bentuk file aplikasi.
- Malware dan Pencurian Data: Begitu Rekan mengunduh dan mengklik file .apk tersebut, malware (perangkat lunak jahat) akan secara otomatis terpasang di ponsel Rekan. Malware ini berfungsi untuk mencuri data pribadi, termasuk kontak, data perbankan, hingga informasi sensitif lainnya yang ada di ponsel Rekan.
Penting Diketahui: DJP TIDAK PERNAH MENGIRIM FILE DENGAN EKSTENSI APK melalui email, WhatsApp, atau saluran pesan daring lainnya. Abaikan dan segera hapus pesan yang mengandung file .apk yang mengatasnamakan DJP.
Modus Klasik: Penyaruan Identitas dan Tagihan Fiktif
Selain serangan digital, penipu juga menggunakan metode klasik yang memanfaatkan penyamaran dan tagihan palsu untuk menipu WP secara finansial.
Pesan Palsu Tagihan Pajak dan Pembayaran ke Rekening Pribadi
Modus ini memanfaatkan ketakutan wajib pajak terhadap tunggakan atau denda. Rekan akan dihubungi (melalui email, pesan daring, atau telepon) dan diberitahu bahwa Rekan memiliki tunggakan pajak yang harus segera dilunasi. Pelaku akan mengarahkan untuk segera mentransfer sejumlah uang ke rekening pribadi (atas nama perorangan atau lembaga tidak resmi) dengan alasan untuk “melunasi tagihan,” “mempercepat proses,” atau “mengurus denda.”
Fakta yang Wajib Diingat: Seluruh pembayaran pajak di Indonesia hanya dilakukan melalui kode billing resmi yang diterbitkan oleh DJP/Kementerian Keuangan. Pembayaran kode billing tersebut akan langsung masuk ke kas negara, BUKAN ke rekening pribadi pejabat, pegawai, atau institusi non-resmi manapun. Jika diminta transfer ke rekening pribadi, 100% itu adalah penipuan.
Spoofing Email dan Penyaruan Pejabat DJP
Penipuan Email (Spoofing): Penipu mengirimkan email tagihan atau informasi pajak yang alamat email pengirimnya tampak seperti resmi (menggunakan identitas institusi DJP), padahal sebenarnya bukan. Mereka memanipulasi header email agar terlihat berasal dari domain @pajak.go.id. Oknum berpura-pura menjadi pejabat atau pegawai DJP dan menghubungi WP. Mereka dapat menggunakan nomor telepon, email, atau pesan daring. Selain meminta transfer dana, mereka juga bisa memberikan instruksi aneh seperti meminta WP mengunduh aplikasi mencurigakan yang menyerupai aplikasi resmi DJP (seperti M-Pajak) dengan dalih pemadanan data.
Jebakan Penipuan Rekrutmen DJP
Selain menargetkan WP, penipu juga menyasar masyarakat yang mencari pekerjaan dengan mengatasnamakan proses rekrutmen pegawai di lingkungan DJP.
Modus Operandi: Pelaku meminta sejumlah uang kepada calon korban dengan iming-iming pendaftaran, jaminan kelulusan, atau biaya administrasi untuk rekrutmen Calon Pegawai Negeri Sipil (CPNS) atau tenaga non-organik (seperti petugas keamanan atau pengemudi) di DJP.
Fakta Resmi:
Informasi rekrutmen ASN/CPNS di lingkungan Kementerian Keuangan (termasuk DJP) hanya disampaikan melalui saluran resmi Kementerian Keuangan dan TIDAK DIPUNGUT BIAYA APAPUN (gratis).
Informasi rekrutmen tenaga non-organik juga disampaikan melalui saluran resmi masing-masing unit kerja DJP dan TIDAK DIPUNGUT BIAYA.
Jika Rekan diminta membayar sejumlah uang untuk pendaftaran atau proses rekrutmen DJP, segera abaikan karena itu adalah penipuan.
Cara Pencegahan yang Wajib Rekan Lakukan
Untuk melindungi diri dari berbagai modus penipuan di atas, Rekan harus selalu waspada dan menerapkan langkah-langkah verifikasi yang ketat. Inilah panduan praktis dari DJP:
| Jenis Komunikasi | Tindakan Penipuan | Cara Memastikan Keaslian |
| Situs Web/Tautan | Tautan yang dikirim melalui email/pesan daring meminta login atau data pribadi. | Selalu periksa domain. Domain resmi DJP HANYA pajak.go.id. Abaikan tautan yang tidak berakhiran domain ini. |
| Email pemberitahuan, tagihan, atau imbauan yang seolah-olah resmi. | Selalu periksa alamat pengirim! Email resmi DJP HANYA berakhiran @pajak.go.id. | |
| Pesan Daring (WhatsApp, dll.) | Pesan berisi file dengan ekstensi .apk (aplikasi), atau permintaan transfer ke rekening pribadi. | Jangan pernah buka/unduh file .apk DJP tidak pernah mengirim file APK. Verifikasi nomor WhatsApp kantor pajak di laman resmi DJP (pajak.go.id/unit-kerja). |
| Pembayaran Tagihan | Permintaan transfer dana ke rekening pribadi atau lembaga non-resmi. | Pembayaran pajak HANYA melalui Kode Billing resmi yang disetor ke Kas Negara. |
| Data Pribadi/Kata Sandi | Permintaan untuk memperbarui data pribadi atau memberikan kata sandi melalui tautan/pesan. | Jaga kerahasiaan data Rekan. Ganti kata sandi secara berkala. Jangan pernah masukkan kata sandi Rekan di situs yang tidak memiliki domain pajak.go.id. |
Jika menerima informasi atau permintaan yang mencurigakan yang mengatasnamakan DJP, jangan panik dan segera lakukan langkah berikut:
- Stop dan Periksa: Jangan terburu-buru mengklik tautan, mengunduh file, atau mentransfer uang. Ambil jeda, dan periksa kembali semua ciri-ciri keaslian yang disebutkan di atas.
- Hubungi Saluran Resmi DJP: Untuk memastikan kebenaran dan validitas informasi, segera hubungi salah satu saluran resmi DJP ini:
- Kring Pajak: Telepon ke 1500200
- Email Pengaduan: pengaduan@pajak.go.id
- Situs Pengaduan: pengaduan.pajak.go.id
- Kunjungi atau hubungi KPP tempat Rekan terdaftar.
- Media Sosial Resmi: Akun X/Twitter @kring_pajak atau saluran media sosial DJP resmi lainnya.
- Jika Rekan sudah menjadi korban penipuan dan mengalami kerugian finansial atau data, segera laporkan kejadian tersebut kepada pihak kepolisian untuk ditindaklanjuti.
Kesimpulan
Ancaman penipuan pajak adalah risiko nyata yang mengintai setiap Wajib Pajak di Indonesia. Para penipu terus berinovasi, menggunakan teknologi dan psikologi untuk memanfaatkan kelengahan kita. Dengan memahami modus operandi utama, khususnya serangan Phising dan penyebaran Aplikasi Palsu (APK) yang sangat berbahaya, serta selalu berpegang teguh pada prinsip verifikasi saluran resmi (domain pajak.go.id dan email @pajak.go.id), Rekan telah membangun pertahanan diri yang kuat.
Selalu ingat, pembayaran pajak yang benar adalah pembayaran ke kas negara melalui kode billing resmi. Jangan biarkan uang Rekan jatuh ke tangan penipu. Waspada, teliti, dan pastikan setiap transaksi dan komunikasi perpajakan dilakukan melalui jalur yang sah. Waspada adalah Kunci Keamanan Pajak!