Bali e Jacarta, Indonésia – No final do ano passado, a mulher balinesa Nih Lu Putu Rustini teve o maior choque da sua vida quando tentou levantar dinheiro num multibanco para concluir um projeto de renovação na sua casa ancestral.
Trabalhando como faxineira durante o dia e babá à noite, Rustini economizou 37 milhões de rupias indonésias (US$ 2.340) em uma conta no Bank Rakyat Indonesia, o maior banco da Indonésia.
Mas o caixa eletrônico apresentava saldo quase zero.
Quando ela visitou a filial local da BRI, um caixa informou-a de que seu dinheiro havia acabado.
“Eles disseram que um hacker roubou meu dinheiro e não poderiam devolvê-lo”, disse Rustini à Al Jazeera.
“Não é justo porque demorei muito para ganhar esse dinheiro, mas os hackers o levaram em segundos. Fiquei chocado.”
I Made Rai Dwi Ada Diatmika, um fabricante de artigos de couro em Bali, teve uma experiência semelhante em agosto passado, quando tentou fazer sua primeira retirada em anos.
Um hacker esgotou suas economias de 72 milhões de rupias (US$ 4.650) em maio anterior.
Tal como no caso de Rustini, a BRI recusou-se a aceitar a responsabilidade pela perda.
“Quando abri a conta no BRI, há três anos, eles me pediram para baixar o aplicativo deles no meu telefone. Disseram que era mais seguro porque eu receberia relatórios diários. Mas nunca usei porque esqueci a senha”, disse Diatmika à Al Jazeera.
“Colocamos nosso dinheiro no banco por segurança. Mas se os hackers conseguem entrar tão facilmente e encontrar todos os nossos dados, a BRI deve ter um grande problema com a sua segurança.”
Rustini e Diatmika estão entre os vários clientes da BRI cujas poupanças foram roubadas por hackers através do aplicativo móvel do banco.
Sendo a maior economia do Sudeste Asiático, com o quarto maior número de utilizadores da Internet e o quinto maior sector de comércio electrónico do mundo, a Indonésia é um alvo atraente para os cibercriminosos.
Dados publicados pela Agência Nacional de Cibernética e Criptografia da Indonésia mostram que houve 361 milhões de anomalias de tráfego online entre 1º de janeiro e 26 de outubro no país no ano passado.
Os ataques a contas de e-mail na Indonésia aumentaram 85% no terceiro trimestre de 2023, mesmo com a diminuição das violações em países como os EUA e a Rússia, de acordo com dados recolhidos pela empresa de segurança cibernética sediada nos Países Baixos, Surfshark.
Entretanto, a Indonésia ocupa o terceiro lugar entre os países do G20 na prevenção e gestão de ameaças cibernéticas, de acordo com o Índice Nacional de Segurança Cibernética da Estónia.
“Há muita informação por aí indicando que a Indonésia é uma das maiores fontes e alvos mundiais de crimes cibernéticos”, disse Gatra Priyandita, analista do Centro de Política Cibernética do Australian Strategic Policy Institute em Sydney, à Al Jazeera.
“Os indonésios são, de certa forma, mais vulneráveis devido à sua má higiene digital. Eles estão se tornando mais conscientes do problema, mas quando 200 milhões de pessoas acessam a Internet de repente, elas estarão sempre mais vulneráveis.”
Os sites governamentais são o alvo número um dos hackers cibernéticos na Indonésia, seguidos pelos setores energético e financeiro, de acordo com a pesquisa Mandiant M-Trends 2023.
“Os bancos são alvos porque são os bancos onde está o dinheiro”, disse Muharto, chefe de informação da BRI, que como muitos indonésios tem apenas um nome, num fórum em Jacarta, em Junho.
“Os cibercriminosos estão agora a colaborar entre si e a operar como um grupo com capacidades combinadas”, disse ele, acrescentando: “Os bancos não podem combater o crime cibernético sozinhos e devem sinergizar (os seus esforços) com o governo e os reguladores”.
A BRI não compartilha publicamente dados sobre quantas contas de seus clientes foram hackeadas e não respondeu aos pedidos de comentários da Al Jazeera.
No entanto, o banco afirma que “tomou medidas para combater o crime cibernético” como “um pilar” da sua missão, citando o seu trabalho com a polícia e os investimentos em software de segurança cibernética de ponta vendido por empresas como a Elastic Security nos EUA.
“Seus recursos e capacidades, além de nossos dados, tornam-no perfeito para nossas necessidades operacionais”, disse Tri Danarto, chefe do departamento de operações de segurança da BRI, em um comunicado à imprensa no ano passado.
Em Fevereiro do ano passado, o BRI fechou permanentemente a versão do website dos seus serviços de banca electrónica e desviou todas as transacções online para a sua nova aplicação bancária móvel BRImo, alegando que era “mais seguro” e “mais fácil de aceder aos clientes”.
A BRI também afirma que se esforça para educar os clientes sobre os perigos da instalação de aplicativos misteriosos e da abertura de links e e-mails suspeitos.
Em julho, uma cliente da BRI na cidade de Malang, em Java Oriental, relatou que tinha 1,4 mil milhões de rupias (90.330 dólares) roubados da sua conta, que o banco descobriu que ela tinha ativado ao clicar num convite de casamento falso enviado no WhatsApp.
“Este incidente ocorreu porque a vítima vazou dados pessoais e secretos de transações bancárias para partes irresponsáveis”, disse o gerente da agência BRI Malang, Sutoyo Akhmad Fajar, em um comunicado na época, acrescentando que, embora o banco simpatizasse com a vítima, só poderia pagar uma indenização. quando culpado.
Ardi Sutedja Kartawidjaya, presidente do Fórum Indonésio de Segurança Cibernética em Jacarta, disse que “em 90% dos ataques cibernéticos contra contas bancárias, a culpa é do cliente devido à sua negligência e esquemas de fraude que estão se tornando cada vez mais sofisticados”.
Mas se for provado que a vítima não permitiu a violação, os fundos em falta podem ser substituídos ao abrigo do sistema de garantia de depósitos do governo indonésio.
“Primeiro, a vítima deve apresentar um boletim de ocorrência, que é obrigado a investigar de acordo com a Lei de Proteção de Dados Pessoais de 2022. Mas tenha em mente que este processo leva algum tempo, pois requer habilidades complexas de investigação digital forense”, disse Kartawidjaya à Al Jazeera. .
Priyandita da ASPI disse que a capacidade das autoridades indonésias para investigar tais crimes é limitada devido a um número limitado de especialistas em perícia digital.
“A Agência Nacional de Cibercriminalidade e Encriptação teve o seu orçamento reduzido de 2 biliões (rupias) em 2019 para 100 mil milhões (rupias) durante a pandemia – uma altura em que era indiscutivelmente necessário mais financiamento. O orçamento é agora de 600 mil milhões (rupias), mas ainda não é suficiente”, afirmou.
Em Bali, a vítima do crime cibernético, Diatmika, enfrentou em primeira mão o problema da falta de recursos.
“Forneci à polícia todos os detalhes, incluindo o nome e o número da conta da pessoa em Java que roubou meu dinheiro. Mas eles disseram que não tinham orçamento para viajar até Java e investigar, e que se eu quisesse um reembolso, teria que brigar com o banco. Mas para fazer isso eu precisava de um advogado. Não tenho mais dinheiro, então fui forçado a desistir”, disse ele.
Tal como Diatmika, Rustini, que insiste que não baixou nenhuma aplicação suspeita nem clicou em links suspeitos, inicialmente não pretendia combater a BRI, considerando que o custo de contratar um advogado estava fora do seu alcance.
Mas depois que o escritório de advocacia balinês Malekat Hukum se ofereceu para representá-la gratuitamente, ela apresentou queixa à polícia.
Além de abrir uma ação contra a BRI, Malekat Hukum abriu um processo junto à Instituição de Resolução Alternativa de Disputas da Indonésia, na esperança de resolver a questão por meio de mediação.
Até agora, a BRI não respondeu aos pedidos de mediação.
Ni Luh Arie Ratna Sukasari, parceiro de Malekat Hukum, disse que as perdas de Rustini são a ponta do iceberg na BRI.
“O BRI Bank é famoso por ataques cibernéticos. Ouvi falar de muitos casos em que os seus clientes perderam tudo e precisamos de fazer algo a respeito”, disse ela à Al Jazeera.
“Eles deveriam servir seus clientes e proteger o dinheiro deles. O argumento deles de que não são responsáveis simplesmente não se sustenta. São eles que precisam de melhor segurança, não seus clientes. E se eles não podem oferecer serviços bancários on-line seguros, não deveriam oferecê-los – ponto final.”
Diatmika disse que conhece outros clientes da BRI que foram enganados de forma semelhante.
“Havia um homem que morava a apenas três minutos da minha casa. Ele teve um derrame e morreu depois que 1 bilhão de rupias (US$ 64.500) foram roubados de sua conta. A família dele teve que vender a casa”, disse ele.
O especialista em segurança cibernética Kartawidjaya disse que o fenômeno não é exclusivo da BRI.
“Quase todos os prestadores de serviços financeiros na Indonésia sofrem ataques cibernéticos constantes. Mas a maioria não relata tais eventos por razões de gestão de reputação”, disse ele.
Priyandita disse temer que a segurança cibernética no país piore antes de melhorar.
“A Indonésia aposta na tecnologia digital como um importante motor de crescimento, mas a segurança cibernética simplesmente não é a prioridade que deveria ser”, disse ele.
“Estão sendo feitos esforços para responder ao problema, mas novamente estes são limitados pelos recursos.”
