Direktorat Jenderal Pajak (DJP) mencatat peningkatan signifikan kasus penipuan pajak berbasis digital yang kerap muncul pada musim pelaporan. Modus yang digunakan beragam dan kerap dibuat seolah-olah berasal dari instansi resmi, sehingga berpotensi mengecoh masyarakat.
DJP mengingatkan, pelaku penipuan tidak hanya mengincar uang, tetapi juga data pribadi yang sensitif. Jika korban terjebak, dampaknya dapat menimbulkan kerugian finansial sekaligus membuka peluang penyalahgunaan identitas.
Berdasarkan informasi dari situs resmi DJP, berikut lima modus penipuan pajak yang paling sering terjadi, beserta ciri-ciri dan langkah pencegahannya.
1. Phishing lewat tautan di pesan singkat
Modus ini umumnya dikirim melalui WhatsApp atau SMS dengan narasi yang memicu kepanikan atau iming-iming keuntungan. Contohnya, pesan yang menyebut akun NPWP akan dinonaktifkan dalam waktu singkat dan meminta penerima mengeklik tautan untuk verifikasi, atau SMS yang menjanjikan pengembalian pajak dan meminta korban mengklik link untuk klaim.
Ketika tautan dibuka, korban diarahkan ke situs tiruan yang menyerupai laman DJP Online. Di sana korban diminta memasukkan data seperti username, kata sandi, hingga kode OTP. Data tersebut kemudian dicuri pelaku.
DJP juga mengingatkan adanya penipuan yang meniru alamat teknis DJP, termasuk yang dikaitkan dengan sistem Coretax DJP. Ciri pentingnya, domain resmi DJP selalu berakhiran pajak.go.id. Jika alamat situs memuat tanda hubung, tambahan domain, atau tidak berakhir pada pajak.go.id, masyarakat diminta waspada.
Langkah pencegahan yang disarankan: tidak mengeklik tautan dari pesan yang tidak jelas, mengetik sendiri alamat resmi DJP di peramban (pajak.go.id), serta mengingat bahwa DJP tidak pernah meminta kata sandi atau OTP melalui SMS, email, maupun telepon.
2. Email palsu dengan lampiran berbahaya
Modus berikutnya menyasar pengguna email, termasuk pelaku usaha. Penipu mengirim email yang tampak resmi, lengkap dengan kop surat dan tanda tangan digital, dengan subjek yang dibuat formal dan mendesak, misalnya terkait surat pemberitahuan tunggakan atau verifikasi laporan SPT tahunan.
Email biasanya menyertakan lampiran yang diminta segera dibuka. Lampiran tersebut dapat berupa file berbahaya seperti .exe, .scr, atau dokumen Word/PDF yang mengandung macro jahat. Jika dibuka, perangkat bisa terinfeksi malware yang berpotensi mencuri data perbankan, kata sandi email, hingga informasi perusahaan.
Ciri email palsu antara lain alamat pengirim bukan berdomain @pajak.go.id, melainkan menggunakan layanan email umum atau domain yang menyerupai; memaksa penerima mengunduh file terkompresi (.zip, .rar) atau berekstensi tidak lazim; serta meminta data pribadi atau pembayaran di luar sistem resmi.
DJP menyarankan masyarakat memeriksa alamat pengirim secara detail, tidak membuka lampiran mencurigakan, dan melakukan verifikasi melalui Kring Pajak 1500200 jika ragu.
3. Telepon dan social engineering
Dalam modus ini, pelaku menelepon dan mengaku sebagai petugas pajak dari kantor pusat atau bagian penagihan. Mereka dapat berbicara dengan nada profesional, bahkan mengancam, serta menyebut informasi tertentu seperti nama lengkap atau jenis usaha untuk membangun kepercayaan.
Pelaku biasanya menginformasikan adanya tunggakan pajak besar yang harus dibayar hari itu juga, disertai ancaman denda atau penyitaan aset. Pada akhirnya, korban diminta mentransfer uang ke rekening pribadi dengan dalih biaya administrasi atau denda.
DJP menegaskan, pembayaran pajak tidak pernah dilakukan ke rekening pribadi. Pembayaran dilakukan melalui Kode Billing (MPN G3) dan bank/pos persepsi. DJP juga tidak akan meminta PIN, kata sandi, atau OTP lewat telepon.
Jika menerima telepon semacam ini, masyarakat diminta tidak panik, mencatat identitas penelepon dan KPP yang disebut, lalu memverifikasi melalui Kring Pajak 1500200 atau mendatangi KPP terdekat.
4. Permintaan instalasi aplikasi palsu (APK scam)
Modus ini memanfaatkan penggunaan smartphone. Penipu mengirim pesan yang mengklaim korban harus memasang aplikasi baru DJP untuk pembaruan data, misalnya aplikasi verifikasi NPWP atau aplikasi Coretax DJP. File diberikan dalam bentuk .apk melalui tautan langsung, bukan lewat toko aplikasi resmi.
Jika dipasang, aplikasi berbahaya dapat membaca SMS masuk termasuk kode OTP perbankan, mengakses kredensial saat korban membuka aplikasi keuangan, hingga mengambil alih perangkat.
DJP mengingatkan, aplikasi resmi hanya tersedia di toko aplikasi resmi (Play Store atau App Store) dengan pengembang Direktorat Jenderal Pajak. Masyarakat diminta tidak memasang file dari sumber tidak dikenal dan melakukan konfirmasi ke Kring Pajak 1500200 jika menerima pesan mencurigakan.
5. Penipuan berkedok lelang barang sitaan pajak
Penipu juga memanfaatkan ketertarikan masyarakat pada barang murah dengan menyebarkan informasi lelang palsu melalui media sosial atau situs tiruan. Pelaku mengaku sebagai panitia lelang DJP atau DJKN dan menawarkan barang seperti kendaraan atau gawai dengan harga jauh di bawah pasaran.
Korban yang tertarik kemudian diminta mentransfer uang sebagai uang jaminan lelang atau biaya administrasi ke rekening pribadi. Setelah uang dikirim, pelaku menghilang.
DJP menegaskan, lelang resmi barang sitaan pajak hanya dilakukan oleh Kantor Pelayanan Kekayaan Negara dan Lelang (KPKNL) di bawah DJKN. Informasi lelang resmi tersedia di https://www.lelang.go.id/, dan pembayaran uang jaminan lelang dilakukan ke Rekening Penampungan Lelang (RPL) milik KPKNL, bukan rekening pribadi.
Cara mengenali komunikasi resmi DJP
DJP mengimbau masyarakat berpegang pada sejumlah prinsip: email resmi DJP berdomain @pajak.go.id, situs resmi berakhiran .pajak.go.id, dan aplikasi resmi hanya tersedia di Play Store atau App Store. DJP juga tidak pernah meminta password, PIN, atau OTP, serta pembayaran pajak hanya melalui Kode Billing (MPN G3).
Komunikasi yang mendesak, bernada mengancam, atau meminta transfer ke rekening pribadi perlu dicurigai sebagai penipuan.
Langkah darurat jika terlanjur menjadi korban
Jika sudah terlanjur terjebak, DJP menyarankan korban segera mengamankan akun digital dengan mengganti kata sandi dan menghapus aplikasi mencurigakan, serta menghubungi bank untuk memblokir rekening atau kartu. Korban juga diminta melapor melalui Kring Pajak 1500200 dan mendatangi KPP terdekat, serta membuat laporan polisi bila kerugian signifikan.
Selain itu, korban dapat memanfaatkan kanal pengaduan seperti aduannomor.id, aduankonten.id, atau iasc.ojk.go.id.
DJP mengingatkan, kewaspadaan menjadi kunci karena penipuan pajak kini banyak terjadi secara digital dan memanfaatkan kelengahan. Masyarakat diminta tidak mudah percaya pada pesan mendadak yang mengatasnamakan pajak, terutama jika meminta data sensitif melalui saluran yang tidak aman.
