১৯ আগস্ট ২০১৯  ঢাকা, বাংলাদেশ  
শেষ আপডেট এই মাত্র    
ADS

নিরাপত্তা ঝুঁকিতে ব্যাংক ॥ প্রযুক্তিগত সুরক্ষায় পিছিয়ে

নিরাপত্তা ঝুঁকিতে ব্যাংক ॥ প্রযুক্তিগত সুরক্ষায় পিছিয়ে
  • দেশের মোট ব্যাংকের অর্ধেকই এখন সাইবার নিরাপত্তা সঙ্কটে ;###;এটিএম কার্ড স্কিমিং, কার্ড ক্লোনিং ও সর্বশেষ ‘জ্যাকপট’ ম্যালওয়্যার দিয়ে গ্রাহকের অর্থ আত্মসাত

রহিম শেখ ॥ বাংলাদেশের আর্থিক লেনদেনের পরিধি বাড়লেও প্রযুক্তিগত সুরক্ষার দিক থেকে পিছিয়ে আছে দেশের ব্যাংকিং খাত। দেশের মোট ব্যাংকের অর্ধেকই এখন সাইবার নিরাপত্তা ঝুঁকির মধ্যে রয়েছে। বাংলাদেশ ইনস্টিটিউট অব ব্যাংক ম্যানেজমেন্টের (বিআইবিএম) এক গবেষণায় বলা হয়েছে, ব্যাংকিং খাতের ৪৩ শতাংশ জালিয়াতির ঘটনা প্রযুক্তিভিত্তিক। সাম্প্রতিক বছরগুলোতে এটিএম কার্ড স্কিমিং, কার্ড ক্লোনিং ও সর্বশেষ ‘জ্যাকপট’ ম্যালওয়্যার দিয়ে গ্রাহকের অর্থ আত্মসাতের ঘটনা ঘটেছে। এর ফলে ব্যাংকগুলোর সাইবার নিরাপত্তা হুমকি বহুগুণে বেড়ে গেছে। এখনও বাংলাদেশে এটিএম মেশিন থেকে টাকা উত্তোলনের ক্ষেত্রে ‘এক স্তর’ নিরাপত্তা অর্থাৎ কেবল পাসওয়ার্ড দিয়ে টাকা তোলা যায়। নেক্সট জেনারেশন ফায়ারওয়াল সফটওয়্যার পুরোপুরি স্থাপন করতে পারেনি অধিকাংশ ব্যাংক। এছাড়া পুরনো এটিএম মেশিন দিয়ে চলছে বাংলাদেশের বেশিরভাগ ব্যাংকের সেবা। অটোমেটেড টেলার মেশিনের (এটিএম) অপারেটিং সিস্টেম দুর্বলতার সুযোগ নিয়ে বিভিন্ন ব্যাংকের বুথ থেকে বিপুল পরিমাণ অর্থ চুরি করে নিচ্ছে হ্যাকাররা। সংশ্লিষ্টরা বলছেন, একজন ব্যক্তির চেয়ে সংশ্লিষ্ট ব্যাংকের সচেতন হওয়ার প্রয়োজন সবচেয়ে বেশি। জানা গেছে, ১৯৯২ সালে বাংলাদেশে প্রথম অটোমেটেড টেলার মেশিন যা সংক্ষেপে এটিএম মেশিন নামে পরিচিত তা চালু করা হয়েছিল। এরপর দুই হাজার সালের পর দ্রুত সেই সংখ্যা বাড়তে থাকে। এই মুহূর্তে সারাদেশে দশ হাজারের বেশি এটিএম বুথ রয়েছে, যার অর্ধেকের বেশি বুথ ডাচ্-বাংলা ব্যাংকের। বাংলাদেশে ডেবিট ও ক্রেডিট কার্ডের ব্যবহার প্রতিবছর বাড়ছে। সঙ্গে সঙ্গে বাড়ছে জালিয়াতির পরিমাণও। ব্যাংকিং খাতের প্রযুক্তিনির্ভর ৫০টি জালিয়াতির ঘটনা বিশ্লেষণ করে তৈরি বাংলাদেশ ইনস্টিটিউট অব ব্যাংক ম্যানেজমেন্টের (বিআইবিএম) এক গবেষণা প্রতিবেদনে বলা হয়েছে, প্রযুক্তিভিত্তিক ব্যাংকিং জালিয়াতির ঘটনা সবচেয়ে বেশি ঘটছে এটিএম ও প্লাস্টিক কার্ডের মাধ্যমে। প্রায় ৪৩ শতাংশ জালিয়াতির ঘটনা প্রযুক্তিভিত্তিক। জালিয়াতির ঘটনার মধ্যে ২৫ শতাংশ মোবাইল ব্যাংকিংয়ের মাধ্যমে ঘটছে। অনলাইন চেক ক্লিয়ারিং (এসপিএস) ও ইলেকট্রনিক ফান্ড ট্রান্সফারের (ইএফটি) মাধ্যমে ঘটছে ১৫ শতাংশ। ইন্টারনেট ব্যাংকিংয়ে ১২ শতাংশ, ব্যাংকিং সফটওয়্যারের মাধ্যমে ৩ শতাংশ এবং সুইফটের মাধ্যমে ২ শতাংশ জালিয়াতির ঘটনা ঘটে। বাংলাদেশ ইনস্টিটিউট অব ডেভেলপমেন্ট স্টাডিজের (বিআইডিএস) সিনিয়র ফেলো ড. নাজনীন আহমেদ জনকণ্ঠকে বলেন, ‘প্রযুক্তিনির্ভর প্রতারণা বা অপরাধের বিষয়ে গ্রাহককে অবশ্যই সচেতন হতে হবে। তবে এই অপরাধ প্রতিরোধে সংশ্লিষ্ট প্রতিষ্ঠান ও আইনশৃঙ্খলা বাহিনীর প্রস্তুতি থাকতে হবে। প্রযুক্তির সুরক্ষা ও অপরাধ প্রতিরোধের দায়িত্ব তাদের ওপরই বর্তায়। আইনশৃঙ্খলা বাহিনীর তথ্য বলছে, অনলাইন ব্যাংকিং প্রতারণার ঘটনায় দেশের বিভিন্ন থানায় ৩০৭টি মামলা আছে। এর মধ্যে অনলাইন ব্যাংকিং প্রতারণার ঘটনায় ১৭২টি এবং মোবাইল ব্যাংকিংয়ের প্রতারণা নিয়ে ১৩৫টি মামলা দায়ের হয়। অনলাইন ব্যাংকিং প্রতারণায় বিভিন্ন সময়ে গ্রেফতার হয়েছে ৮২ জন।

জানা যায়, গত রমজানে কেন্দ্রীয় ব্যাংক থেকে এটিএম বুথে পর্যাপ্ত টাকা রাখা এবং সাইবার নিরাপত্তা জোরদার করার কথা বলা হলেও অনেক ব্যাংকই কেন্দ্রীয় ব্যাংকের কোন নির্দেশই মেনে চলেনি। যার ফলে চলতি বছরের ১ জুন ডাচ-বাংলা ব্যাংকের খিলগাঁওয়ের এটিএম বুথ থেকে কার্ড জালিয়াতি করে তিন লাখ টাকা উত্তোলনের ঘটনায় ইউক্রেনের সাত নাগরিককে আটক করে ডিবি পুলিশ। সিআইডির বিশেষ পুলিশ সুপার মোল্লা নজরুল ইসলাম জানান, এটিএম বুথ ও এটিএম কার্ডের মাধ্যমে জালিয়াতির ঘটনা শুধু বাংলাদেশে নয়, বিশ্বের বিভিন্ন দেশেই হচ্ছে। এমন অপরাধের আদ্যোপান্ত জানতে একটি বিশেষ আন্তর্জাতিক টিম গঠিত হয়েছে। যেসব দেশে এমন প্রতারণার ঘটনা ঘটেছে, সেইসব দেশের আইনশৃঙ্খলা বাহিনী ও কেন্দ্রীয় ব্যাংকের সমন্বয়ে কমিটি গঠিত হয়েছে। তিনি বলেন, এটি একটি আন্তর্জাতিক প্রতারণা। চক্রের সদস্যরা বিভিন্ন দেশে নিজের নাম ঠিকানা ভুল দিয়ে প্রবেশ করে এমন অপরাধমূলক কর্মকা- চালাচ্ছে। চক্রের সদস্যরা কিভাবে এটিএম কার্ড ও এটিএম বুথ থেকে জালিয়াতির মাধ্যমে অর্থ হাতিয়ে নিয়েছে তা বিস্তারিতভাবে জানার চেষ্টা চলছে।

‘জ্যাকপট’ ম্যালওয়্যার দিয়ে চুরি ॥ যে পদ্ধতিতে এটিএম বুথে সর্বশেষ হ্যাকিং-এর ঘটনা ঘটেছে, সেটা একেবারেই নতুন একটি ব্যবস্থা। এ পদ্ধতিতে যে কার্ড দিয়ে জালিয়াতরা টাকা তুলে নেয়, সেটার মধ্যে জ্যাকপট নামে একটি বিশেষায়িত ম্যালওয়্যার স্থাপন করে একটি নির্দিষ্ট এটিএম বুথকে তার ব্যাংকের নেটওয়ার্ক থেকে বিচ্ছিন্ন করে ফেলা যায়। এরপর ওই মেশিন থেকে অগণিত পরিমাণ অর্থ তুলে নেয়া সম্ভব। এ বিষয়ে জানতে চাইলে সাইবার ক্রাইম বিশেষজ্ঞ তানভির হাসান জোহা জনকণ্ঠকে বলেন, জ্যাকপট ম্যালওয়্যার দিয়ে যখন এটিএম বুথে অর্থ চুরি হয়, তখন যেহেতু কোন গ্রাহকের এ্যাকাউন্ট নম্বর ব্যবহার করতে হয় না, ফলে তিনি ব্যক্তিগতভাবে ক্ষতিগ্রস্ত হন না। যে কারণে এখানে একজন ব্যক্তির চেয়ে সংশ্লিষ্ট ব্যাংকের সচেতন হবার প্রয়োজন বেশি। তবে ডেবিট বা ক্রেডিট কার্ডের সাধারণ নিরাপত্তার জন্য তিনি বলেন, এখনও বাংলাদেশে এটিএম মেশিন থেকে টাকা উত্তোলনের ক্ষেত্রে ‘এক স্তর’ নিরাপত্তা অর্থাৎ কেবল পাসওয়ার্ড দিয়ে টাকা তোলা যায়। এর বদলে যদি ‘টু ফ্যাক্টর অথেনটিকেশন’ মানে পাসওয়ার্ড দেয়ার পর মোবাইল বা অন্য কোন যন্ত্রে ব্যাংক থেকে পাঠানো আরেকটি কোড সরবরাহ করা হয় এবং সেটি ব্যবহার করে গ্রাহক টাকা তুলতে পারবেন, এমন ব্যবস্থা চালু করা যায়, তাহলে নিরাপত্তা জোরদার হবে। এছাড়া পাসওয়ার্ড গোপন রাখতে হবে। কখনই অন্যের সঙ্গে শেয়ার করা যাবে না।

কার্ড স্কিমিং ॥ বাংলাদেশে গত কয়েক বছর ধরে ক্যাশ মেশিনের সঙ্গে স্কিমিং যন্ত্র বসিয়ে কার্ড জালিয়াতি, পিন ও পাসওয়ার্ড জালিয়াতির অভিযোগ শোনা যাচ্ছে। এ ব্যবস্থায় এটিএম মেশিনের সঙ্গে ছোট্ট একটি যন্ত্র জুড়ে দেয়া থাকে, যার মাধ্যমে ডেবিট বা ক্রেডিট কার্ডের সব তথ্য কপি হয়ে যায়, পরে যা ব্যবহার করে নির্দিষ্ট কোন এ্যাকাউন্টের অর্থ হাতিয়ে নেয়া যায়। এ ধরনের কয়েকটি ঘটনা পরপর ঘটার পর ২০১৬ সালে গ্রাহকের কার্ডের সুরক্ষা দিতে প্রতিটি এটিএম বুথে এন্টি স্কিমিং ও পিন শিল্ড ডিভাইস বসানো বাধ্যতামূলক করে বাংলাদেশ ব্যাংক।

কার্ড ক্লোনিং ॥ এ ব্যবস্থায় কোন ডেবিট বা ক্রেডিট কার্ডের যাবতীয় তথ্য কপি করে নেয়ার পর নতুন একটি কার্ডে মোবাইল ফোনের সিমের মতো একটি চিপ স্থাপন করে ক্লোনিং করা সম্ভব। মানে হুবহু আরেকটি কার্ড তৈরি করা যাবে এবং এ ব্যবস্থাতেও নির্দিষ্ট একটি এ্যাকাউন্টের পুরো নিয়ন্ত্রণ চলে যায় আরেকজনের কাছে। প্রযুক্তি বিশেষজ্ঞ জোহা বলছেন, অনেক সময় শপিং মলের মেশিনে ডেবিট বা ক্রেডিট কার্ডের মাধ্যমে বিল দেন অনেকে। কিন্তু সেখানে থাকতে পারে কার্ডে তথ্য হাতিয়ে নেয়ার শঙ্কা। যে মেশিনে কার্ড সুইপ করে আমরা বিল দিই, সেখানে থাকতে পারে কার্ড রিডার যার মাধ্যমে ওই কার্ডের তথ্য কপি হয়ে যাবে, যার মাধ্যমে একটি ক্লোন কার্ড বানানো সম্ভব। এমনকি সেটা দিয়ে ‘অনলাইনে আনলিমিটেড’ কেনাকাটা করা সম্ভব। কার্ড রিডার নানা আকারের হতে পারে, অত্যাধুনিক কার্ড হতে পারে এমনকি পাতলা পলিথিনের মতো একটি পরত দেয়া। মানে বিল দেয়ার যে মেশিন, তাতে একটা পলিথিনের মতো পাতলা স্তরও হাতিয়ে নিতে পারে আপনার কার্ডের সব তথ্য। এজন্য গ্রাহককে খেয়াল রাখতে হবে বিল দেয়ার যে মেশিন যেন স্বাভাবিক থাকে, কোন আলগা কিছু না থাকে।

পুরনো এটিএম মেশিন দিয়ে চলছে বাংলাদেশের বেশিরভাগ ব্যাংক ॥ অটোমেটেড টেলার মেশিনের (এটিএম) অপারেটিং সিস্টেম দুর্বলতার সুযোগ নিয়ে বিভিন্ন ব্যাংকের বুথ থেকে বিপুল পরিমাণ অর্থ চুরি করে নিচ্ছে হ্যাকাররা। অথচ বর্তমান অপারেটিং সিস্টেম উইন্ডোজ এক্সপি ও উইন্ডোজ ৭ পরিবর্তন করে অনায়াসেই এ ধরনের অর্থ চুরি রোধ করা সম্ভব। তবে এতে বিপুল পরিমাণ অর্থ ব্যয় হবে- এ কারণে ঝুঁকি নিয়েই পুরনো এটিএম মেশিন দিয়েই এ কার্যপরিচালনা অব্যাহত রেখেছে ব্যাংকগুলো। জানা গেছে, এক ধরনের ম্যালওয়্যার ব্যবহার করে টাকা সরিয়ে নেয়ার ঘটনা ঘটাচ্ছে হ্যাকাররা। এর মধ্যেই এটিএম মেশিনের এই দুর্বলতা সম্পর্কে ইউরোপ, লাতিন আমেরিকা এবং এশিয়ার দেশগুলোর আইনশৃঙ্খলা রক্ষা বাহিনীকে ২০১৪ সালেই সাবধান করে দিয়েছে ইন্টারপোল। অথচ সেই পুরনো এটিএম মেশিন দিয়ে চলছে বাংলাদেশের বেশিরভাগ ব্যাংক। এ অপারেটিং সিস্টেম পরিবর্তন করতে হলে পুরো এটিএম মেশিনই পরিবর্তন করতে হবে। সম্প্রতি শুধু ডাচ-বাংলা ব্যাংকেই নয় কমপক্ষে আরও ৫টি ব্যাংকে ভল্ট থেকে এ সিস্টেমের কারণে টাকা সরিয়ে নিয়েছে হ্যাকাররা।

জানা গেছে, জালিয়াত চক্র ২০১৬ সালের ৬ থেকে ১২ ফেব্রুয়ারির মধ্যে দেশের ভেতরে ইস্টার্ন ব্যাংক, মিউচুয়াল ট্রাস্ট ব্যাংক, সিটি ব্যাংক ও ইউনাইটেড কমার্শিয়াল ব্যাংকের (ইউসিবি) এটিএম বুথে ‘স্কিমিং ডিভাইস’ বসিয়ে ১ হাজার ২০০ গ্রাহকের তথ্য চুরি করে। এর মধ্যে ৪০ জন গ্রাহকের ২০ লাখ ৫৯ হাজার টাকা হাতিয়ে নেয়ার তথ্য পাওয়া যায়। এ ছাড়া দেশের বাইরে থেকেও কয়েক শ’ গ্রাহকের তথ্য চুরি করেছে ওই চক্র। গ্রাহকের কার্ড ক্লোন বিদেশে হলেও টাকা তোলা হয়েছে বাংলাদেশ থেকে। আর তাই এটিএম ব্যাংকিংয়ের ক্ষেত্রে মানসম্মত ও নিরাপদ তথ্যপ্রযুক্তি ব্যবহারের পরামর্শ দিয়েছেন বিশেষজ্ঞরা। একই সঙ্গে দক্ষ জনবল তৈরির ওপরও জোর দিয়েছেন তারা। বিশেষজ্ঞদের মতে, এটিএম ব্যাংকিংয়ের জালিয়াতি বন্ধ করতে প্রথমেই দেশে যেসব এটিএম মেশিন বসানো হয়েছে সেগুলোর প্রতিটির বিষয়ে তদন্ত করতে হবে। পাশাপাশি এটিএম খাতে অবকাঠামোগত উন্নয়নও বাড়াতে হবে।

এনবিআরের কাস্টমস গোয়েন্দা ও তদন্ত অধিদফতরের তদন্ত অনুযায়ী, ব্যাংকগুলো কমদামী ও নিম্নমানের এটিএম বেশি স্থাপন করেছে। এর একটা বড় অংশ বিভিন্ন দেশ থেকে আনা হয়েছে কম্পিউটার যন্ত্রাংশের কথা বলে। ব্যাংকিং খাতের প্রযুক্তি অটোমেটেড ট্রেলার মেশিন (এটিএম) আমদানিতে শুল্ক ফাঁকির বিষয়ে জাতীয় রাজস্ব বোর্ডের শুল্ক গোয়েন্দা ও তদন্ত অধিদফতর তদন্ত অনেকটাই এগিয়ে এনেছে। এতে দেখা যায়, অধিকাংশ এটিএম মেশিন আমদানিতে শুল্ক পরিশোধ করা হয়নি। আবার কোন কোন ক্ষেত্রে কম্পিউটার যন্ত্রাংশ দেখিয়ে এসব এটিএম মেশিন আমদানি করা হয়েছে।

সূত্র জানায়, বাংলাদেশে যেসব এটিএম মেশিন ব্যবহার হয়ে আসছে তার মধ্যে যুক্তরাষ্ট্রের এনসিআর মেশিনের সংখ্যা চার হাজার সাত শ’ ৭৩টি, জার্মানির উইনকোর মেশিনের সংখ্যা আড়াই হাজার এবং অন্যান্য উৎপাদনকারী প্রতিষ্ঠানের মেশিনের সংখ্যা চার শ’। এনবিআরের কাস্টমস গোয়েন্দা ও তদন্ত অধিদফতরের তথ্য অনুযায়ী, যুক্তরাষ্ট্রের বিখ্যাত এনসিআর করপোরেশনের এটিএম মেশিনের দাম ১০ লাখ টাকার বেশি হলেও ব্যাংকগুলো মাত্র ৫ থেকে ৬ লাখ টাকার এটিএম মেশিন বিভিন্ন স্থানে স্থাপন করেছে। এ কারণে এসব মেশিন সহজেই ক্লোন করতে পারছে জালিয়াত চক্র। এই চক্র তাদের উন্নত প্রযুক্তি ব্যবহার করে দেশের ভেতরেও ক্লোন করেছে। আবার দেশের বাইরে থেকেও ক্লোন করেছে।

সাইবার অপরাধ আইন সম্পর্কে জানেন না অনেকেই ॥ সাইবার অপরাধ দমনে কঠোর আইন আছে। কিন্তু এ আইন সম্পর্কে তেমন একটা জানেন না অনেকেই। প্রযুক্তি সম্পর্কেও সচেতন নন তারা। মূলত বাংলাদেশে ২০০৬ সালে প্রথম সাইবার অপরাধ প্রতিরোধ আইন (আইসিটি এ্যাক্ট) প্রণয়ন হয়। ২০১৩ সালে এই আইন সংশোধন করে সরকার। ওই বছরই ঢাকায় স্থাপন হয় দেশের একমাত্র সাইবার ট্রাইব্যুনাল। আইনের ৫৪ ধারা অনুযায়ী, কম্পিউটার বা কম্পিউটার সিস্টেমের ক্ষতি, অনিষ্টসাধন যেমন, ই-মেইল পাঠানো, ভাইরাস ছড়ানো, সিস্টেমে অনধিকার প্রবেশ বা সিস্টেমের ক্ষতি করা অপরাধ। এর শাস্তি সর্বোচ্চ ১৪ বছর কারাদ- এবং সর্বনিম্ন ৭ বছর কারাদ- বা ১০ লাখ টাকা পর্যন্ত জরিমানা। ৫৬ ধারা অনুযায়ী, কেউ যদি ক্ষতি করার উদ্দেশে এমন কোন কাজ করেন, যার ফলে কোন কম্পিউটার রিসোর্সের কোন তথ্য বিনাশ, বাতিল বা পরিবর্তন হয় বা এর উপযোগিতা হ্রাস পায় অথবা কোন কম্পিউটার, সার্ভার, নেটওয়ার্ক বা কোন ইলেকট্রনিক সিস্টেমে অবৈধভাবে প্রবেশ করেন, তবে এটি হবে হ্যাকিং অপরাধ। যার শাস্তি সর্বোচ্চ ১৪ বছর কারাদ- এবং সর্বনিম্ন ৭ বছর কারাদ- বা এক কোটি টাকা পর্যন্ত জরিমানা। ৫৭ ধারা অনুযায়ী, কোন ব্যক্তি যদি ইচ্ছাকৃতভাবে ওয়েবসাইটে বা অন্য কোন ইলেকট্রনিক বিন্যাসে কোন মিথ্যা বা অশ্লীল কিছু প্রকাশ বা সম্প্রচার করেন, যার দ্বারা মানহানি ঘটে, আইনশৃঙ্খলার অবনতি হয় অথবা রাষ্ট্র বা ব্যক্তির ভাবমূর্তি ক্ষুণœ হয়, তাহলে এগুলো হবে অপরাধ। এর শাস্তি সর্বোচ্চ ১৪ বছর কারাদ- এবং সর্বনিম্ন ৭ বছর কারাদ- এবং এক কোটি টাকা পর্যন্ত জরিমানা। সাইবার অপরাধ প্রতিরোধ আইনে দায়ের হওয়া মামলার ৯০ ভাগই দায়ের হয়েছে আইনের ৫৭ ধারায়।