Membuat ringkasan dengan AI Uang ratusan juta rupiah milik seorang wajib pajak raib setelah menerima telepon dari seseorang yang mengaku petugas Direktorat Jenderal atau Ditjen Pajak Kementerian Keuangan terkait Coretax. Penelepon itu menyebutkan data sensitif seperti Nomor Pokok Wajib Pajak (NPWP) dan Nomor Induk Kependudukan (NIK) korban, yang membuat calon korban kesulitan membedakan ini resmi atau penipuan.
Ida Bagus Mandhara Brasika melalui akun Instagram @mandharabrasika bercerita, penipuan itu dialami oleh salah satu rekan kerjanya. Pelaku mengaku ingin mengonfirmasi kesalahan pada akun Coretax, sistem administrasi perpajakan terintegrasi milik Ditjen Pajak yang digunakan untuk pendaftaran, pembayaran hingga pelaporan Surat Pemberitahuan (SPT) Tahunan.
Tanpa aktivasi Coretax, wajib pajak tidak dapat melaporkan SPT Tahunan. Untuk wajib pajak orang pribadi, tenggat pelaporan jatuh pada Maret.
“Anehnya, mereka (penipu) dengan lancar menyebutkan data-data yang tidak pernah kami publikasikan, seperti NPWP dan sebagainya,” tulis Bagus melalui akun Instagram-nya, dikutip Rabu (18/2).
Lihat postingan ini di InstagramSebuah kiriman dibagikan oleh Ida Bagus Mandhara Brasika (@mandharabrasika)
Setelah membangun kepercayaan, pelaku mengirim tautan unduhan aplikasi Coretax palsu dan menawarkan bantuan melalui fitur berbagi layar. Dari sana, PIN, username, dan password diketahui. Dalam hitungan menit, saldo ratusan juta rupiah di rekening hilang.
Katadata.co.id telah meminta izin kepada Bagus melalui pesan langsung Instagram untuk mengutip ceritanya, dan yang bersangkutan mengizinkan.
Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat Ditjen Pajak Inge Diana Rismawanti mengakui terdapat banyak modus penipuan yang mengatasnamakan instansi. Ditjen Pajak pun mengimbau masyarakat tetap waspada terhadap penipuan yang mencatut pejabat atau pegawai.
Pada akhir pekan lalu, Ditjen Pajak mengeluarkan surat imbauan agar masyarakat mewaspadai penipuan yang mengatasnamakan pajak. Pelaku disebut menggunakan data NIK dan NPWP dengan dalih mengonfirmasi data perpajakan atau implementasi aplikasi Coretax.
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menyoroti data pribadi penduduk Indonesia yang telah bocor dan beredar di dark web, terkait dugaan penipuan berkedok layanan Coretax itu. Berbekal NIK, NPWP, nomor telepon hingga informasi finansial, pelaku dapat membangun skenario yang jauh lebih kredibel.
Saat pelaku menyebutkan data pribadi yang presisi, persepsi legitimasi meningkat dan korban lebih mudah percaya. Ketika tekanan psikologis ditambahkan, misalnya ancaman akun pajak bermasalah, korban terdorong mengambil keputusan cepat tanpa verifikasi.
“Secara tidak langsung, hal ini (penipuan berkedok Coretax) diakibatkan oleh data yang bocor,” kata Alfons kepada Katadata.co.id, Rabu (18/2).
Dalam konteks ini, kebocoran data tidak selalu menjadi penyebab tunggal, melainkan faktor yang memperbesar probabilitas keberhasilan serangan. Dalam skema social engineering, presisi informasi menjadi pengungkit utama.
Alfons menilai sistem pelaporan seperti Sistem Indonesia Anti-Scam Centre (IASC) Otoritas Jasa Keuangan (OJK) maupun kanal Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) belum diimbangi langkah kuratif yang efektif. Proses penegakan hukum juga dinilai masih lambat dalam memproses penipuan daring.
Ia mengusulkan beberapa langkah. Pertama, menambahkan fitur pengecekan penggunaan NIK dalam registrasi simcard berbasis biometrik, khususnya nomor prabayar, sehingga pemilik dapat mengecek dan melaporkan jika KTP disalahgunakan.
Kedua, memperkuat peran perbankan dalam verifikasi identitas atau know your customer (KYC) saat pembukaan rekening, guna mencegah penyalahgunaan KTP untuk menampung dana hasil kejahatan.
Ketiga, OJK dan PPATK perlu menyediakan kanal yang sigap untuk menelusuri alur dana hasil kejahatan siber dan membantu proses penegakan hukum.
Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha menyatakan kebocoran data dalam skala masif memperluas jumlah informasi sensitif yang berada di luar kendali pemiliknya. Ketika data diperdagangkan atau disalahgunakan, pelaku dapat menyusun serangan yang lebih terarah dan meyakinkan melalui teknik social engineering maupun pemalsuan identitas.
Ia menambahkan, bukti empiris menunjukkan sebagian besar kasus penipuan di Indonesia berasal dari eksploitasi psikologis korban, serta kelemahan dalam verifikasi identitas dan autentikasi digital. “Hal ini sering diperparah oleh rendahnya literasi keamanan digital,” kata dia kepada Katadata.co.id, pekan lalu.
Riset Identity Theft Resource Center (ITRC) dalam 2025 Annual Data Breach Report juga menunjukkan, bahwa 88% dari 1.000 lebih korban yang menerima pemberitahuan kebocoran data di Amerika Serikat, mengalami dampak lanjutan, termasuk peningkatan percobaan penipuan dan pengambilalihan akun perbankan maupun media sosial.
Meski berbasis di AS, pola itu menunjukkan bagaimana data bocor menjadi pengungkit efektivitas penipuan.
Indonesia Rawan Penipuan
Data nasional menunjukkan skala masalah yang tidak kecil. IASC OJK menerima 432.637 aduan sejak 22 November 2024 hingga 14 Januari 2026, dengan total kerugian Rp 9,1 triliun. Dana yang berhasil diblokir Rp 436,88 miliar.
PPATK juga melaporkan total transaksi penipuan mencapai Rp 22,53 triliun sepanjang tahun lalu, dengan modus mulai dari skema ponzi, investasi bodong, business email compromise (BEC), hingga berbagai bentuk penyamaran identitas.
Kasus Coretax menjadi gambaran mikro dari eksposur risiko penipuan. Kerentanan juga tecermin dalam Riset Global Fraud Index 2025 yang disusun Sumsub, perusahaan teknologi perangkat lunak asal Inggris. Dari 112 negara yang diteliti, Indonesia menempati urutan kedua negara paling rentan terhadap penipuan digital, membaik dibandingkan 2024 yang berada di peringkat pertama.
Indonesia memperoleh skor 6,53 dari skala 10, dengan intensitas aktivitas penipuan 4,93 dan intervensi pemerintah di level 0,57. Skor ini tidak hanya merefleksikan jumlah kasus, tetapi tingkat eksposur risiko berdasarkan kombinasi upaya fraud digital, anomali identitas, penyalahgunaan dokumen, hingga pola transaksi mencurigakan.
Metodologi riset berbasis analisis jutaan proses verifikasi identitas dan transaksi lintas industri, termasuk fintech, kripto, dan layanan keuangan digital, dengan pendekatan risk-based scoring yang menggabungkan frekuensi, kompleksitas modus, serta tingkat keberhasilan pelaku.
Peringkat itu menempatkan Indonesia dalam radar risiko tinggi bagi pelaku dan korban fraud digital.
Menanggapi riset itu, Kementerian Komunikasi dan Digital (Komdigi) menyatakan tengah mengonsolidasikan berbagai layanan dan sistem pencegahan lintas-sektor. Direktur Pengawasan Sertifikasi dan Transaksi Elektronik Teguh Arifiyadi mencontohkan integrasi layanan seperti IASC OJK serta kanal pelaporan penipuan milik Komdigi dan Kepolisian.
“Itu sedang kami upayakan konsolidasi,” kata Teguh saat ditemui di Jakarta, pekan lalu (12/2).
Selain konsolidasi layanan, pemerintah berencana mewajibkan registrasi simcard ponsel berbasis biometrik, seperti pemindaian wajah mulai Juli. Verifikasi identitas juga akan diperkuat dalam layanan pemerintah.
Menurut Teguh, mayoritas kasus penipuan di Indonesia bukan semata akibat kelemahan infrastruktur teknologi, melainkan faktor manusia. Lebih dari 70% kasus terjadi melalui skema social engineering atau manipulasi psikologis yang memanfaatkan kelengahan korban.
Korban pun tidak terbatas pada kelompok dengan tingkat pendidikan rendah. Profesional seperti profesor, dokter hingga tenaga ahli dapat menjadi sasaran ketika lengah.
Sementara itu, Anggota Komisi I DPR dari Fraksi PKB Oleh Soleh menyoroti pelindungan data pribadi menjadi kunci pencegahan penipuan online. Oleh karena itu, ia mendorong pemerintah segera merealisasikan pembentukan Badan Pelindungan Data Pribadi sesuai amanat Undang-Undang Pelindungan Data Pribadi (UU PDP).
Kasus Coretax menunjukkan bagaimana kebocoran data, kelemahan verifikasi, dan manipulasi psikologis bertemu dalam satu ekosistem risiko. Persoalannya bukan semata satu modus, melainkan celah struktural dalam tata kelola data dan keamanan digital. Selama celah ini belum tertutup, ruang bagi pelaku penipuan untuk beradaptasi dan mengembangkan skema baru akan tetap terbuka.
Dapatkan pengalaman membaca lebih nyaman dan nikmati fitur menarik lainnya lewat aplikasi mobile Katadata.
