JAKARTA - Pembobolan rekening nasabah bank pengguna mobile banking (m-banking) dengan modus pengiriman application package file (APK) semakin bervariasi. Selain berkedok kurir, undangan pernikahan, tagihan BPJS dan tagihan PLN, ada pula berkedok pengiriman informasi pajak.

Dikutip dari Kompas.com, Direktorat Jenderal Pajak (DJP) Kementerian Keuangan mengingatkan kepada masyarakat bahwa pihaknya tidak pernah menyampaikan informasi terkait perpajakan dalam bentuk file APK melalui media WA maupun Telegram kepada wajib pajak.

"Saat ini semakin marak penyebaran program berbahaya dengan mengirimkan program APK melalui aplikasi layanan pengirim pesan seperti WhatsApp dan Telegram. Direktorat Jenderal Pajak tidak pernah menyampaikan informasi atau bukti apapun dalam bentuk file APK," kata Direktur Jenderal Penyuluhan, Pelayanan, dan Humas Ditjen Pajak, Neilmadrin Noor lewat surat pengumumannya, Sabtu (4/2/2023).

Surat pengumuman itu diterbitkan Ditjen Pajak melalui akun Twitter @DitjenPajakRI dan laman resmi pajak.go.id dengan nomor PENG-2/PJ.09/2023 tentang Penipuan yang Mengatasnamakan Direktorat Jenderal Pajak.

"Segala bentuk penyampaian informasi hanya menggunakan email dengan akun terdaftar domain @pajak.go.id atau domain yang dinyatakan valid oleh sistem DJP. Segala bentuk informasi yang mengarahkan wajib pajak untuk mengunduh program APK adalah penipuan," lanjut Neil.

Dia juga kembali mengingatkan bahwa Ditjen Pajak hanya memiliki satu nomor saluran resmi untuk berkomunikasi dengan masyarakat melalui Kring Pajak. "Layanan resmi call center DJP hanya melalui Kring Pajak 1500200. Jika wajib pajak mendapatkan telepon dari pihak yang mengatasnamakan DJP selain dari nomor tersebut, wajib pajak dapat langsung melakukan konfirmasi melalui Kring Pajak atau kantor pajak terdaftar," katanya.

Berkedok Kurir, Undangan Pernikahan, Tagihan BPJS dan Tagihan PLN

Masyarakat juga perlu mewaspadai penipuan dengan menggunakan file berjenis APK berkedok tukang paket (kurir), tagihan PLN, undangan pernikahan dan tagihan BPJS.

Modus penipuan yang dilakukan via WhatsApp ini umumnya berupa nomor yang tidak dikenal tiba-tiba mengirimkan pesan berupa pengiriman paket, tagihan PLN, tagihan BPJS, atau undangan pernikahan yang disertai dengan file APK.

File APK ini diberi nama sesuai dengan kedok yang sedang dijalankan pelaku. Misalnya, jika berpura-pura sebagai kurir ekspedisi, nama file APK seperti resi paket.apk.

Kemudian jika berpura-pura mengirimkan undangan pernikahan maka nama filenya Undangan Pernikahan Digital.apk dan jika kedoknya tagihan PLN atau BPJS nama filenya lembar tagihan.APK atau PLN.apk.

Apapun nama filenya, file APK ini dikirimkan pelaku untuk memancing calon korban agar tergerak untuk mengklik atau membuka file tersebut. Setelah korban membuka file APK itu, pelaku dapat melancarkan aksinya, yaitu mencuri data pribadi korban terutama data perbankan.

Lantas apa file APK itu? APK merupakan format file yang digunakan untuk menghimpun berbagai elemen guna memasang aplikasi pada Android. Ciri format ini yakni tertera tulisan APK atau .apk pada akhir nama file.

Secara sederhana, APK merupakan format yang mirip dengan format .rar atau .zip yang mengompresi, mengekstrak, atau mengarsip data tertentu menjadi satu kesatuan. Bedanya, APK khusus digunakan untuk instalasi aplikasi Android.

Dosen Ilmu Komputer Universitas Sebelas Maret (UNS) Surakarta Rosihan Ari Yuana mengatakan, file APK yang dikirim pelaku berisi aplikasi yang dibuat sedemikian rupa oleh pemrogramnya agar dapat mencuri data pada ponsel korban.

"Aplikasi tersebut bisa dibuat dengan tujuan membaca data yang ada di smartphone, termasuk data SMS, data phonebook, bahkan apa yang kita ketik di keyboard smartphone," kata Rosihan, seperti diberitakan Kompas.com, 8 Desember 2022.

Aplikasi dirancang agar tidak terlihat bahwa jebakan itu sudah dipasang di ponsel. Lalu, pelaku akan memanfaatkan data pribadi yang ada di ponsel untuk menguras saldo di m-banking atau e-wallet korban.

"Kalau dia mau menguras saldo rekening, cukup aplikasi dibuat supaya bisa mendapatkan data OTP dari SMS, kemudian username dan password mobile banking yang didapat dari data karakter yang diketikkan di keyboard," ucap Rosihan.

Beberapa waktu lalu, seorang nasabah bank pemerintah menjadi korban penipuan ini, mengatasnamakan kurir J&T Express yang akan mengirim paket ke korban dengan mengirimkan sebuah file yang harus diunduh dan diinstall korban. Hal ini diunggah oleh akun Instagram @evan_neri.tftt yang mem-posting chat WhatsApp berisi pesan yang berpura-pura ada paket dari sebuah ekspedisi.

"Pelaku pura2 dari jasa ekspedisi lalu mengirimkan file dgn ekstensi APK. Klo tidak jeli dan hanya melihat judul file, bakal terkecoh pingin nge-klik dan unduh file nya," ungkap akun tersebut dikutip Rabu (7/12/2022).

Lantaran tak jeli melihat file tersebut, korban mengkliknya. Alhasil saldo mobile banking korban diklaim ludes.

"Dalam kasus ini, korban terlanjur mengunduh file tsb. Dan tanpa diketahui korban, saldo BRIMO ludes. Korban mengaku tidak pernah menjalankan atau membuka aplikasi apapun dan mengisi user Id maupun password pada situs lain," lanjut dia.

Bagaimana cara menghindarinya?

Langkah awal untuk menghindari modus penipuan ini adalah dengan mengenali dan mengidentifikasi format file APK tersebut. File APK ini dapat dikenali dari tulisan APK atau .apk pada akhir nama file.

Apabila menemukan pesan dari nomor yang tidak dikenal mengirimkan file APK, maka jangan sampai mengklik atau membuka file tersebut.

PT Bank Rakyat Indonesia (Persero) Tbk atau BRI mengimbau nasabah untuk tidak sembarangan membuka link atau file dalam bentuk dokumen atau APK dari sumber yang tidak dipercaya baik itu berkedok kurir paket pengiriman, undangan pernikahan digital, perusahaan listrik. Bahkan penipuan ini ada juga yang berkedok pergantian kartu ATM BRI.

Namun perlu dicatat, BRI hanya menghubungi nasabah melalui nomor contact center resmi yaitu 14017 atau 1500017 dan melalui WhatsApp Sabrina dengan nomor 0812-12-14017 yang terverifikasi atau memiliki centang hijau.

"Jangan klik pesan dan unduh File dari sumber yang mencurigakan termasuk mengisi dan memberikan data rahasia seperti Username, Password, PIN, Kode OTP, M-Token dan CVC/CVV," tulis keterangan BRI.

Demikian juga dengan BPJS Kesehatan yang menyebut tidak pernah menambahkan lampiran apa pun dalam pesan WhatsApp pengingat tunggakan iuran peserta mandiri.

"Jika bapak atau ibu mendapat chat seperti contoh berikut atau chat lainnya yg menyertakan lampiran berupa (file.apk) mohon tidak membuka lampiran tersebut karena merupakan salah satu modus kejahatan untuk meretas HP," tulis BPJS Kesehatan dalam keterangannya.***