Kecerdikan Pelaku buat Korban Bingung
“Cerdiknya lagi, aplikasi pencuri APK yang memalsukan sebagai aplikasi pajak ini menamai dirinya ‘handphone kamu’,” tutur Alfons.
Sehingga ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya kemungkinan besar tertipu. Karena yang meminta izin akses adalah ‘handphone kamu’, padahal itu sebenarnya nama aplikasi berbahaya tersebut.
“Salah satu kepiawaian pembuat aplikasi pencuri SMS ini adalah terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya, karena memilih nama aplikasi yang tidak umum dengan nama aplikasi ‘handphone kamu’ dan icon yang kosong,” ujar dia.
Hal tersebut, kata Alfons, akan membuat pemilik ponsel bingung, apalagi ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS. Logikanya mana mungkin pemilik ponsel tidak membolehkan handphonenya sendiri membaca dan mengirimkan SMS.
“Dan kemungkinan permintaan akses tersebut akan diizinkan oleh pemilik ponsel,” ucap dia.
Direncanakan dengan Baik, Modus Scam lebih Canggih
Alfons menilai modus tersebut lebih canggih dari sebelumnya, di mana aksi penipuan hanya dilakukan secara terpisah dan sepotong-sepotong. Sebelumnya, kata dia, penipuan hanya memanfaatkan file APK yang berdiri sendiri dan dikirimkan melalui Whatsapp guna mencuri SMS OTP m-banking dengan berbagai tema.
“Seperti APK kurir paket, APK undangan nikah, APK tagihan BPJS, dan APK surat tilang berdiri sendiri,” kata dia.
Menurut Alfons, scammer terlihat sudah merencanakan aksinya dengan baik, terbukti dari usahanya membeli domain www.pajak.contact. Domain ini dibeli khusus untuk melakukan aksi penipuan ini pada 18 Maret 2023 dengan menggunakan register Google.
Domain pajak.contact ini dibeli untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id karena mengandung unsur nama "pajak”. Selain itu juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id dan disamarkan dengan alamat palsu efiling@pajak.connect.
“Ada banyak aktivitas jahat yang dilakukan situs ini. Salah satunya mengelabui korbannya untuk memasukkan data finansial penting seperti informasi Kartu Kredit/Debit seperti 16 digit nomor kartu, masa berlaku, CVV, dan nama pemilik kartu,” tutur Alfons.
Aksi pengiriman aplikasi pencuri SMS APK selain dikirimkan melalui tautan menggunakan email juga diberikan pada situs ini yang menyaru sebagai file pdf. “Yang jika diklik akan mengirimkan file dengan nama info_Detail_Tagihan_Pajak***.apk dengan ukuran 5,2 MB,” ujar Alfons.
MOH. KHORY ALFARIZI
Pilihan Editor: Begini Cara Kerja APK Scam di Akhir Periode Lapor SPT, Buat Bingung Korban via Aplikasi Handphone Kamu