TEMPO.CO, Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menjelaskan muncul aktivitas scam atau skema penipuan untuk mendapatkan uang, barang, atau data di batas akhir pelaporan Surat Pemberitahuan (SPT) Tahunan pada Maret 2023. Kelompok penipu atau hacker itu memanfaatkan momen tersebut untuk mencari korban.
“Kali ini tidak tanggung-tanggung, aksi penipuan dilakukan dengan lebih terorganisir dan komplit,” ujar Alfons lewat keterangan tertulis pada Selasa, 28 Maret 2023.
Penipu, kata dia, mempersiapkan domain khusus https://pajak.contact guna menyaru sebagai situs pajak pemerintah dan memanfaatkan domain tersebut untuk membuat alamat email efiling@pajak.contact guna mengelabui korbannya. Korban nantinya mengira itu dari alamat resmi pajak yang sebenarnya efiling@pajak.go.id dan melakukan broadcast ke wajib pajak dengan mengirimkan tautan berisi file APK (Android Package Kit).
Di mana ketika file APK itu di-instal akan menampilkan aplikasi Android yang sangat mirip dengan tampilan situs kantor pajak. Tidak cukup mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing itu, maka ia akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit korbannya.
Alfons menyarankan, jika sudah terlanjur menginstal aplikasi pencuri SMS, bisa dilakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS. Caranya melakukan pengecekan dengan cara klik Pengaturan lalu pilih Privasi, kemudian pilih Manajer izin.
Setelah itu, gulung ke bawah dan pilih SMS untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS. Nantinya akan terlihat bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon.
“Sedangkan aplikasi yang tidak berhak mengakses SMS tapi mendapatkan izin adalah ‘handphone kamu’ dan ‘Shopee express’. Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segera di uninstal,” tutur Alfons.