Email "PT Globalindo" Tawaran Manajer — Cara Decode Apakah Itu Asli atau Palsu
Lagi sibuk cari kerja, tiba-tiba inbox kamu masuk email dari "HRD PT Globalindo Perkasa" yang menawarin posisi manajer operasional dengan gaji Rp 18 juta. Padahal kamu minggu lalu baru apply posisi staff admin via job portal. Terlihat seperti keberuntungan, kan? Tapi tunggu dulu — sebelum reply dan kirim KTP + rekening, decode dulu email itu.
Penipu semakin pintar meniru format email korporasi. Domain yang mirip, signature rapi pakai logo perusahaan, bahkan footer dengan alamat kantor yang sebagian valid. Makanya kamu butuh checklist teknis untuk membedakan email loker palsu dari yang asli — bukan cuma ngecek "apakah minta bayar" tapi juga ngecek header email, source domain, dan link yang dimuat.
Singkatnya: Email loker palsu sekarang bisa nyamar profersional banget — cek domain pengirim, header email, dan link sebelum klik apapun. Chat ChatBot Cell buat topup paket data riset biar kamu tetap online verifikasi tawaran kerja.
12 Ciri-Ciri Email Loker Palsu — Versi Teknis
1. Domain Email Tidak Sesuai Perusahaan
Perusahaan resmi pakai domain sendiri: hrd@ptmajubersama.co.id. Email dari Gmail (hrd.ptmajubersama@gmail.com) atau Yahoo yang mengaku perusahaan besar adalah red flag level 1. Bahkan kalau domainnya terlihat mirip (pt-majubersama.com vs aslinya ptmajubersama.co.id), cek dulu lewat whois.com.
2. Header "Received From" Tidak Konsisten
Buka Show Original di Gmail (tombol tiga titik → Show Original). Cek bagian Received: from. Kalau pengirim mengaku dari server perusahaan A tapi Received: from menunjukkan server IP di negara lain atau layanan email murah, itu hampir pasti palsu.
3. Email Sign-off Tidak Profesional
Email resmi ditutup dengan nama lengkap, jabatan, dan kontak perusahaan. Email palsu sering cuma pakai nama seperti "Tim HRD" atau "Anna" tanpa jabatan dan tanpa nomor telepon kantor (hanya nomor WhatsApp pribadi).
4. Subjek Terlalu Generik atau Terlalu Sensasional
Subjek seperti "URGENT JOB OFFER", "SELAMAT ANDA DITERIMA", atau "Tawaran Kerja Senilai Rp 20 Juta" adalah taktik clickbait. Perusahaan resmi menyebut posisi spesifik dan nomor referensi lamaran di subjek: "Interview Schedule — Admin Staff Application #2026-0892".
5. Kesalahan Tata Bahasa dan Tipografi
Email perusahaan resmi di-rewrite beberapa kali sebelum dikirim. Kalau email berisi typo banyak, salah kapital, atau grammar aneh (terjemahan mesin), itu ciri penipu yang cuma copy-paste template.
6. Link Phishing di Body Email
Hover (jangan klik) ke setiap link di email. Lihat URL yang muncul di status bar browser. Kalau link mengarah ke domain yang tidak dikenali (jobverify-portal.com, upload-document.xyz), jangan klik. Buka tab baru, ketik manual domain resmi perusahaan, login dari sana.
7. Lampiran File yang Mencurigakan
Email resmi melampirkan job description PDF, company profile, atau interview invitation. Email palsu sering melampirkan formulir kosong minta data KTP/KK/npwp, file .exe, .scr, atau .zip yang tidak wajar (bisa berisi malware).
8. Minta Data Sensitif di Tahap Awal
KTP, KK, NPWP, nomor rekening, ibu maiden name, PIN — tidak ada perusahaan resmi yang minta ini di email pertama. Wajar data KTP diminta setelah interview dan ada LoA (Letter of Acceptance) resmi.
9. Gaji di Atas Pasar untuk Posisi yang Dilamar
Kamu apply staff admin, ditawarin manajer dengan gaji Rp 18 juta? Itu bukan promosi, itu jebakan. Penipu paham kalau korban yang surprise cenderung langsung percaya dan luluh.
10. Tidak Pernah Melamar, Tapi Dapat Tawaran
Email tawaran kerja dari perusahaan yang kamu tidak pernah apply? Di dunia profesional, cold outreach dari internal HR itu jarang banget dan selalu didahului LinkedIn message, bukan email mentah-mentah.
11. Pressure "Balas dalam 24 Jam"
Tekanan waktu adalah taktik klasik scammer. Mereka mau kamu mikir singkat, gak sempat verifikasi. Perusahaan resmi biasanya kasih waktu 2-3 hari untuk konfirmasi interview.
12. Signature Tidak Konsisten dengan Email Sebelumnya
Kalau kamu sebelumnya pernah chat dengan HR perusahaan X via email resmi, cek signature email lamanya. Bandingin dengan email baru yang kamu terima. Kalau font beda, logo beda versi, atau alamat beda — itu penyamaran.
Tabel Perbandingan: Email Asli vs Email Palsu
| Aspek Teknis | Email Asli | Email Palsu |
|---|---|---|
| Domain pengirim | @perusahaan.co.id resmi |
@gmail.com, @yahoo.com, domain mirip |
| SPF / DKIM / DMARC | Pass (cek di Show Original) | Fail atau tidak terverifikasi |
| Subjek | Spesifik dengan nomor referensi | "URGENT JOB OFFER" / "SELAMAT DITERIMA" |
| Salam pembuka | Menyebut nama kamu: "Yth. Budi" | "Dear Applicant" / "Yth. Bapak/Ibu" |
| Body | Deskripsi pekerjaan, tahapan seleksi | Fokus ke gaji besar + biaya muka |
| Link | Domain resmi perusahaan | Domain asing, minta login ulang |
| Lampiran | Job description PDF | Form KTP kosong, .exe, .zip |
| Signature | Nama lengkap + jabatan + telp kantor | "Tim HRD" + nomor WA pribadi |
| Footer | Alamat kantor, NPWP perusahaan | Hanya nomor WhatsApp |
Cara Cek Header Email di Gmail dan Outlook
Di Gmail
- Buka email yang mau dicek
- Klik tiga titik vertikal di pojok kanan atas
- Pilih Show Original
- Cek bagian
Authentication Results— harus menampilkanspf=pass,dkim=pass,dmarc=pass - Cek bagian
Received: from— IP server dan negara asal - Kalau ada
Received: fromdari negara yang gak relate sama perusahaan (misal Nigeria, Rusia), itu palsu
Di Outlook (Web)
- Buka email → klik tiga titik → View → View message source
- Cari baris
Received:danAuthentication-Results - Kalau
spf=failataudkim=fail, hapus email, jangan klik apapun
Taktik Phishing yang Sering Dipakai Penipu Loker
Phishing = penyamaran jadi entitas terpercaya. Penipu loker pakai taktik ini:
- Typosquatting domain — bikin domain yang ketinggalan 1 huruf (
pt-majubersama.comvs asliptmajubersama.co.id). Korban gak sadar beda. - Logo palsu — screenshot logo perusahaan asli dari website, tempel di email. Format PNG/JPG gak bisa diverifikasi.
- Form phishing — lampirkan link Google Forms atau WordPress yang minta KTP + KK + nomor rekening. Wajar form, gak wajar field yang diminta.
- Email spoofing — bahkan header
From:bisa di-spoof (palsu). TapiReceived: fromtidak bisa dipalsukan — itu selalu jujur. - QR code phishing — baru-baru ini, penipu kirim QR code di email "buat verifikasi wajah". QR itu sebenarnya link ke form phishing.
Langkah Verifikasi Sebelum Reply Email Loker
Sebelum kamu reply atau klik apapun, lakukan checklist ini:
- Cek domain pengirim lewat
whois.com— kapan didaftarkan? Siapa pemiliknya? Domain yang baru dibuat 1 bulan lalu = curiga. - Compare dengan website resmi perusahaan yang diklaim. Domain harus match persis (bukan mirip).
- Cek di LinkedIn — apakah HRD yang mengirim email punya profile aktif dengan history jelas?
- Google nama perusahaan + "penipuan" atau "scam" — lihat hasilnya.
- Telepon nomor kantor dari website resmi (bukan dari email). Tanya apakah posisi ini benar dibuka.
- Cek NIB perusahaan di
oss.go.id— legalitas terdaftar resmi. - Cek lowongan di job portal resmi (JobStreet, Kalibrr, LinkedIn) — perusahaan asli biasanya cross-post lowongan di multiple channel.
- Konsultasi dengan mentor/karir coach kalau ragu. Mata kedua lebih jeli.
Apa yang Harus Dilakukan Kalau Udah Reply Email Palsu?
Kalau kamu udah reply dan ngirim data, ini langkah darurat:
- Jangan transfer uang apapun walau diminta "biaya administrasi"
- Ganti password email kamu sekarang juga — penipu mungkin udah dapat akses via link phishing
- Pantau rekening bank dan aktifkan notifikasi transaksi
- Pantau SLIK OJK tiap bulan — kalau ada pinjol misterius atas nama kamu, segera lapor
- Lapor ke email provider — Gmail/Outlook punya tombol "Report Phishing"
- Lapor ke Bareskrim Cyber (
patroli-siber.id) dengan screenshot email + header lengkap - Warn orang lain — share pengalamanmu di grup pencari kerja
FAQ — Pertanyaan yang Sering Muncul
1. Email perusahaan resmi selalu pakai domain sendiri?
Iya, hampir selalu. Pengecualian: perusahaan startup kecil yang masih pakai Google Workspace free atau belum punya domain sendiri. Tapi tetap, kalau domainnya @gmail.com dan ngaku PT besar, 100% palsu.
2. Saya klik link di email palsu tapi gak input apapun. Bahaya?
Mungkin aman, tapi tetap waspada. Beberapa link phishing bisa jalanin script drive-by download yang install malware tanpa kamu sadar. Scan HP/laptop dengan antivirus dan pantau aktivitas aneh.
3. Email palsu minta saya upload CV ke Google Forms mereka. Aman?
Tidak. Google Forms bisa diisi siapapun, tapi data yang kamu kirim sekarang milik penipu. Jangan upload apapun ke form dari email yang belum terverifikasi.
4. Cara tahu email "Interview Invitation" itu asli?
Cek apakah kamu sebelumnya apply ke perusahaan itu. Cek nama HRD di LinkedIn. Cek alamat lokasi interview di Google Maps — perusahaan resmi punya review dari karyawan/ex-karyawan.
5. Penipu mengirim email dari domain yang sama persis dengan perusahaan asli. Mungkin?
Sangat sulit karena ada SPF/DKIM/DMARC yang dipasang perusahaan resmi. Tapi bisa terjadi kalau ada email spoofing. Makanya cek Authentication-Results di header — kalau fail, itu palsu walau domainnya sama.
Kesimpulan — Verifikasi Teknis Sebelum Klik Apapun
Email loker palsu bukan cuma soal "jangan transfer uang". Itu udah terlalu basic. Penipu sekarang pakai domain mirip, logo asli, header palsu, link phishing — semua dirancang supaya kamu klik tanpa mikir. Cara terbaik bertahan: treat every email loker sebagai mencurigakan sampai terbukti asli. Cek domain, cek header, cek link, tanya HR langsung via telepon dari website resmi (bukan dari email).
Satu klik link phishing bisa compile seluruh data kamu: KTP, NPWP, rekening, bahkan riwayat chat. Lebih baik 30 menit verifikasi dibanding berbulan-bulan urus kebocoran identitas.
👉 Chat ChatBot Cell buat topup kuota internet murah — biar kamu tetap online verifikasi setiap email loker yang masuk tanpa drama kuota habis.





