Nextren.com - Menyongsong akhir batas waktu pelaporan wajib pajak akhir Maret 2023, kelompok penipu tak ketinggalan memanfaatkan momen tersebut, untuk mendapatkan korban.
Sebelumnya aksi penipuan hanya dilakukan secara terpisah dan sepotong-sepotong dimana penipuan memanfaatkan file APK saja, yaitu file APK dikirimkan melalui Whatsapp guna mencuri SMS OTP m-banking dengan berbagai tema seperti APK kurir paket, APK undangan nikah, APK tagihan BPJS dan APK surat tilang dan semuanya berdiri sendiri.
Kali ini Kali ini tidak tanggung-tanggung, aksi penipuan dilakukan dengan lebih terorganisir dan komplit.
Penipu mempersiapkan domain khusus https://pajak.contact guna menyaru sebagai situs pajak pemerintah dan memanfaatkan domain tersebut untuk membuat alamat email efiling@pajak.contact.
Tujuannya untuk mengelabui korbannya, agar mengira dari alamat resmi pajak, padahal sebenarnya efiling@pajak.go.id.
Penipu melakukan broadcast ke wajib pajak dengan mengirimkan tautan yang berisi file .APK, yang jika diinstal akan menampilkan aplikasi Android dengan tampilan yang sangat mirip dengan tampilan situs kantor pajak.
Tidak hanya mengirimkan APK pencuri SMS, jika korbannya termakan oleh situs phishing tersebut, maka korban akan dikelabui untuk memasukkan data nomor kartu ATM dan Kartu Kredit korbannya.
Cerdiknya lagi, aplikasi pencuri APK yang memalsukan sebagai aplikasi pajak ini menamai dirinya "handphone kamu".
Sehingga ketika muncul peringatan dari Android kepada pemilik ponsel atas hak akses berbahaya yang diminta pemiliknya, maka kemungkinan besar korban akan tertipu, karena yang meminta izin akses adalah "hanphone kamu".
Padahal "handphone kamu" sebenarnya adalah nama aplikasi berbahaya tersebut.
Nama domain sudah dipersiapkan
Scammer terlihat sudah merencanakan aksinya dengan baik, terbukti dari usahanya membeli domain www.pajak.contact dan domain ini dibeli khusus untuk melakukan aksi penipuan ini pada tanggal 18 Maret 2023 dengan menggunakan registrar Google (lihat gambar 1).
Domain pajak.contact ini dibeli selain untuk menampilkan situs phishing yang mirip dengan situs kantor pajak yang asli www.pajak.go.id, karena mengandung unsur nama "pajak" (lihat gambar 2).
Domain itu juga digunakan untuk membuat alamat email dari kantor pajak efiling@pajak.go.id dan disamarkan dengan alamat palsu efiling@pajak.connect.
Gambar 2, Situs phishing pajak.contact yang memalsukan situs pajak.go.id
Ada banyak aktivitas jahat yang dilakukan situs ini seperti mengelabui korbannya untuk memasukkan data finansial penting seperti informasi Kartu Kredit/Debit seperti 16 digit nomor kartu, masa berlaku, CVV dan nama pemilik kartu (lihat gambar 3)
Gambar 3, Situs phishing ini mengelabui korbannya untuk memasukkan data kartu kredit dan debit
Aksi pengiriman aplikasi pencuri SMS APK (Android Package Kit) itu, selain dikirimkan lewat tautan email, juga diberikan pada situs ini yang menyaru sebagai file .pdf.
File tersebut jika diklik akan mengirimkan file dengan nama "info_Detail_Tagihan_Pajak***.apk dengan ukuran 5,2 MB.
Handphone kamu
Salah satu kepiawaian pembuat aplikasi pencuri SMS ini adalah terlihat sangat mengerti bagaimana cara kerja sistem Android yang dieksploitasinya, karena memilih nama aplikasi yang tidak umum dengan nama aplikasi "handphone kamu" dan icon yang kosong.
Hal ini akan membingungkan pemilik ponsel ketika muncul peringatan bahwa aplikasi tersebut meminta hak akses berbahaya seperti membaca dan mengirimkan SMS (lihat gambar 4).
Logikanya mana mungkin pemilik ponsel tidak membolehkan handphonenya sendiri membaca dan mengirimkan SMS ? Dan kemungkinan permintaan akses tersebut akan di izinkan oleh pemilik ponsel.
Gambar 4, Nama aplikasi "handphone kamu" dipilih untuk menipu korbannya memberikan izin mengirim dan melihat SMS
Jika anda terlanjur menginstal aplikasi pencuri SMS atau ingin melakukan pengecekan aplikasi apa saja yang memiliki hak untuk membaca SMS anda, maka Anda dapat melakukan pengecekan sendiri.
Caranya dengan klik [Pengaturan] lalu pilih [Privasi], lalu pilih [Manajer izin]. Lanjutkan dengan gulung ke bawah, pilih [SMS] untuk melihat aplikasi apa saja yang memiliki hak untuk membaca SMS (lihat gambar 5).
Gambar 5, Cek aplikasi apa saja yang memiliki hak
Dari gambar di atas, terlihat bahwa aplikasi yang memiliki hak akses yang wajar terhadap SMS adalah Google, Google Play Store, Messenger (Facebook), Pesan (aplikasi bawaan ponsel membaca SMS) dan Telepon.
Sedangkan aplikasi yang tidak berhak mengakses SMS tetapi mendapatkan izin adalah "handphone kamu" dan "Shopee express". Dua aplikasi terakhir adalah aplikasi APK pencuri SMS yang harus segeda di uninstal.
(Alfons Tanujaya, pakar Keamanan Data Vaksin.com)