रिपोर्टआइतबार, २२ भाद्र , २०७६

एटीएम ह्याकिङले जोखिममा डिजिटल कारोबार

हिमालखबर

–रमेश कुमार र रामु सापकोटा

उच्चस्तरको प्रविधि मार्फत ब्याङ्कको रकम चोरिएको घटनाले नेपाली ब्याङ्किङ प्रणालीको डिजिटल कारोबार उच्च जोखिममा रहेको देखाउँछ। 

एटीएम मेसिनबाट गैरकानूनी तरीकाले झिकिएकाे नेपाली रुपैयाँ, डलर तथा यूराे सटही गरेकाे रकम ।  तस्वीर : नेपाल प्रहरी

नबिल ब्याङ्कको एटीएमबाट प्रभु ब्याङ्कको कार्ड प्रयोग गरी रकम झिक्न लाग्दा भिसा नेटवर्कले सूचना पायो । भिसाले रकम भुक्तानी दिन ‘नेप्स’ सँग प्रमाणीकरण माग्यो । तर, नेप्ससँग त्यो सूचना नै पुगेन, ह्याकरले बीचमै ह्याक गरी कृत्रिम सफ्टवेयर मार्फत भिसालाई रकम दिन जवाफ दियो । भिसाले एटीएमलाई सो सूचना पास गर्‍यो र धमाधम रकम झिकियो ।

 महानगरीय प्रहरी परिसर काठमाडौंले नक्कली भिसा कार्ड प्रयोग गरी ब्याङ्कको एटीएम ‘ह्याक’ गरेर चोरी गर्ने ६ विदेशीलाई पक्राउ गर्‍यो । यीमध्ये पाँच चिनियाँ नागरिक १४ भदौमा पक्राउ परे भने चिनियाँ मूलका एक फ्रान्सेली १५ भदौमा विमानस्थलबाट समातिए ।

नेपाल राष्ट्र ब्याङ्कले गरेको प्रारम्भिक अनुसन्धान अनुसार भिसा इन्टरनेशनलसँग आबद्ध वित्तीय संस्थाका लागि विद्युतीय भुक्तानी सेवा प्रदान गर्ने संस्था नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम लिमिटेड (नेप्स) का सदस्य सात ब्याङ्कहरूको नक्कली एटीएम कार्ड प्रयोग गरी रकम झिकिएको छ ।

यो विधिबाट नेपालका ६८ एटीएमबाट रु.१ करोड ८९ लाख ४४ हजार र भारतका २४ ब्याङ्कका १३२ एटीएमबाट भारु १ करोड ५ लाख ८७ हजार गरी कुल रु.३ करोड ५८ लाख ८४ हजार निकालिएको छ । नेप्सले घटनाको अनुसन्धान गर्न फरेन्सिक टोली बोलाइसकेको छ । भिसाले भने सिङ्गापुरबाट विज्ञ पठाएको छ । 

नक्कली एटीएम कार्डको प्रयोग गरी व्यक्तिको ब्याङ्क खाताबाट रकम चोरिने घटना हुँदै आए पनि नेटवर्क वा स्वीचमै घुसपैठ गरी रकम चोर्ने ‘हाइटेक ब्याङ्किङ फ्रड’ नेपालका लागि नौलो हो । यो घटनाले नेपालको ब्याङ्किङ सुरक्षा प्रणालीमा ह्याकिङको गम्भीर जोखिम हुने सङ्केत गरेको छ । चिनियाँहरूले ब्याङ्किङ प्रणाली र स्वीचको ठूलो सूचनामा पहुँच पाएको हुनसक्ने घटनाको अध्ययन गरेका राष्ट्र ब्याङ्कका एक अधिकारी बताउँछन् ।

पक्राउ परेका चिनियाँ नागरिक भरिया मात्रै भएको र यसका योजनाकार रहेका स्पेनी नागरिक सहितको टोली विदेशमै भएको खुल्नुले जोखिम नहटेको उनले बताए । ती अधिकारी भन्छन्, “यस्तो ठगीको योजना दुई–चार दिनमा र एक–दुई जनाले गर्न सक्दैनन्, महीनौं लगाएर असाध्यै चलाख र प्रविधिको ज्ञान भएको टोली संलग्न देखिन्छ ।”

यसअघि नक्कली एटीएम कार्डबाट रकम झिकेको अभियोगमा पटक पटक गरी १८ विदेशी पक्राउ परेका थिए । तर उनीहरूले ग्राहकको पिन नम्बर तथा सूचना गोप्य तरिकाले चोरेर रकम झिकेका थिए । राष्ट्र ब्याङ्कका प्रवक्ता लक्ष्मीप्रपन्न निरौला पनि अहिलेको घटनाले ब्याङ्किङ डिजिटल सुरक्षातर्फ गम्भीर नबने जोखिम हुने सङ्केत गरेको बताउँछन् ।

स्वचालित सुरक्षा प्रणाली कमजोर

ग्राहकले एटीएम बुथबाट रकम झिक्दा आपसमा जोडिएका ब्याङ्क, भुक्तानी सेवा प्रदायक स्वीच, भिसा र मास्टरकार्ड सहितका नेटवर्क गरी फरक—फरक निकायका प्रणाली स्वचालित रूपमा संलग्न हुन्छन् ।

अन्तर ब्याङ्क वित्तीय कारोबारका लागि नेशनल क्लियरिङ हाउस (एनसीएचएल), स्मार्ट चोइस टेक्नोलोजी (एससीटी) तथा नेपाल इलेक्ट्रोनिक पेमेन्ट सिस्टम (नेप्स) लगायत स्वीच नेपालमा छन् । अहिले भएको घटनामा भिसा र स्वीच बीचको आपसी सूचना प्रणालीमा अनधिकृत तवरले छिरेर नियन्त्रण र तोडमोड गरेको देखिन्छ ।

उदाहरणका लागि, भुक्तानी सेवा प्रदायक संस्था नेप्सको प्रणालीमा आवद्ध प्रभु ब्याङ्कको कार्ड भिसा नेटवर्कमा आबद्ध नबिल ब्याङ्कको एटीएममा छिराउँदा ब्याङ्क, नेप्स र भिसाबीच स्वचालित सम्पर्क आवश्यक हुन्छ । भिसा र नेप्सबीच हुनुपर्ने स्वचालित सम्पर्कमा ह्याकर छिरेर प्रणालीलाई नियन्त्रणमा लिई रकम चोरी गरिएको छ ।

राष्ट्र ब्याङ्कका प्रवक्ता निरौलाका अनुसार भिसाले रकम झिक्न दिन पठाएको प्रमाणीकरणको सूचना नेप्ससम्म पुग्नै नदिई बीचैमा रोकेर ह्याकर आफैंले सूचना पठाएका थिए ।

नेप्स वा भिसामध्ये कुनै एकको सूचना सुरक्षा प्रणालीको कमजोरीका कारण ह्याकरले मौका पाएको हुनसक्ने विज्ञहरू बताउँछन् । तर, भिसाले नेप्सको प्रणालीबाट रकम धमाधम झिकिएकोमा आशङ्का जनाउँदै सचेत हुन जनाउ नै दिएको स्रोतले जनाएको छ । राष्ट्र ब्याङ्कका एक अधिकारी भने नेप्स र ब्याङ्कका कर्मचारीले नै मिलेमतोमा ह्याकरलाई सूचना चुहाएको हुनसक्ने आशङ्का गर्छन् ।

महानगरीय प्रहरी परिसर काठमाडौंका प्रवक्ता प्रहरी नायब उपरीक्षक होविन्द्र बोगटी ह्याकरले उच्चस्तरको प्रविधि मार्फत ब्याङ्कको तथ्याङ्कमा नै पहुँच पुर्‍याएर सूचना चोरेको देखिने बताउँछन् ।

उनका अनुुसार ह्याकरले ब्याङ्कको रेकर्डमा कारोबार भएको विवरण समेत नदेखिने गरी प्रमुख सर्भरलाई बाइपास गरेर रकम निकालेका थिए । यो घटना स्वचालित प्रविधिको सुरक्षाको कारणबाट नभई मानवीय चलाखीका कारण मात्रै पत्ता लागेकाले जोखिम भने कायमै छ ।

प्रवक्ता बोगटी ह्याकरले ब्याङ्कमा पठाएको मालवेयर भाइरस भएको इमेल खोलिएपछि ब्याङ्किङ प्रणालीको सूचना उनीहरूले पाएको आशङ्का गर्छन् । त्यसकै आधारमा उनीहरूले नक्कली सर्भर बनाएर स्वीच मार्फत हुने सूचना आदानप्रदान नियन्त्रण गरेको अनुमान छ । जसले गर्दा ब्याङ्कको वास्तविक सर्भरमा कुनै जानकारी नै पुग्दैन । एटीएम नै रित्तिने गरी पैसा झस्किएकाले मात्र ब्याङ्कहरू झस्किएका थिए ।

अमेरिकाको साइबर सुरक्षामा संलग्न संस्था प्रुफ पोइन्टका अनुसार मालवेयर भाइरसले कम्प्युटर प्रणालीलाई नै नियन्त्रणमा लिन सक्छ । यो भाइरसबाट ब्याङ्किङ प्रणाली ह्याक गर्नेहरूले ग्राहकको ‘युजरनेम’ र ‘पासवर्ड’ थाहा पाउँछन् । ब्याङ्कले प्रयोग गर्ने स्वीचको सफ्टवेयरमाथि मालवेयर ह्याकरहरूले भाइरस मार्फत आक्रमण गरेको अनुमान छ ।

स्वीच त्यस्तो इन्जिन हो, जसले एटीएमको सिस्टम र सम्बन्धित ब्याङ्कलाई जोड्छ । स्वीचले कारोबार हुनुअघि र भएपछिका सूचनाहरू एटीएमबाट ब्याङ्क र ब्याङ्कबाट एटीएमसम्म पुर्‍याउँछ । उनीहरूले ग्राहकको तथ्याङ्क भने चोरी गर्न पाए/पाएनन् भन्ने जानकारी फरेन्सिक रिपोर्टपछि मात्रै थाहा हुनेछ ।

ह्याकरले भाइरस अट्याक गरेर रकम निकाल्न नसक्ने सुरक्षा प्रणाली ब्याङ्कहरूले अपनाउन नसकेको महानगरीय प्रहरी परिसरका प्रवक्ता बोगटी बताउँछन् । सुरक्षा प्रणाली चुस्त दुरुस्त बनाउन विद्युतीय भुक्तानी सेवा प्रदान गर्ने संस्था नेप्स पनि चुकेको देखिन्छ ।

नेप्सले आफूसँग आबद्ध ब्याङ्कको एटीएम गतिविधिको स्वचालित अनुगमन गरेको देखिंदैन । १८ ब्याङ्क र वित्तीय संस्थालाई नेप्सले कार्ड सम्बन्धी होस्टिङ र स्विचिङ सेवा दिन्छ ।

अद्यावधिक अपडेट नहुँदा जोखिम

राष्ट्र ब्याङ्कले जोखिम रोक्न तत्कालका लागि अन्तरब्याङ्क एटीएम कारोबार रोक्ने, एटीएमबाट रकम झिक्ने सीमा घटाउने जस्ता कदम चालेको छ । प्रहरीले भने ब्याङ्कहरूको सुरक्षा प्रणालीलाई बलियो पार्न तत्काल उच्च सुरक्षा प्रविधि अपनाउन सुझाव दिएको छ । ब्याङ्कहरूले डेटा सुरक्षालाई अनावश्यक खर्चका रूपमा लिंदा सुरक्षा प्रणाली कमजोर भएको विज्ञहरू बताउँछन् ।

नेपालमा राष्ट्रिय भुक्तानी प्रणाली स्थापना गर्दै आइरहेको नेपाल क्लियरिङ हाउस लिमिटेडका प्रमुख कार्यकारी अधिकृत (सीईओ) निलेशमान प्रधान भने अनलाइन तथा विद्युतीय माध्यमबाट हुने कारोबार अन्तर्राष्ट्रिय मापदण्ड अनुसारकै भएको बताउँछन् ।

डिजिटल कारोबारमा संसारभरि नै सुरक्षा चुनौती रहेको उनको भनाइ छ । ब्याङ्कहरूलाई स्वीच प्रदान गर्दै आएका संस्थाहरूले अन्तर्राष्ट्रिय गुणस्तरकै सेवा दिइरहे पनि ब्याङ्कले सुरक्षाका लागि लगानी नगर्दा ह्याकिङ हुने जोखिम बढ्ने उनी बताउँछन् ।

भौतिक रूपमा उपस्थित नै नभई क्षणभरमा ठूलो रकम चोरी हुने घटना संसारभरि बढिरहेका छन् । गत साता मात्रै जर्मनीमा मास्टर कार्डको प्रयोग मार्फत एक ब्याङ्कबाट १५ लाख युरो चोरी भयो ।

तथ्याङ्क र सूचनाको सुरक्षामा ध्यान नपुर्‍याउने देशहरूमा त ह्याकरहरूले आक्रमण गर्ने संभावना झनै धेरै हुन्छ । “त्यसैले आफ्नो थैलीको मुख बलियोसँग बन्द गर्नुको विकल्प छैन”, राष्ट्र ब्याङ्कका प्रवक्ता निरौला भन्छन् ।

नेपालमा पछिल्लो समय विद्युतीय र इन्टरनेटमा आधारित इ–ब्याङ्किङ कारोबार बढिरहेको छ । एटीएम, पीओएस (पोइन्ट अफ सेल), टेली ब्याङ्किङ, इन्टरनेट ब्याङ्किङ, मोबाइल ब्याङ्किङ लगायतले आर्थिक कारोबार सहज बनाएको छ । ब्याङ्कहरूले विद्युतीय माध्यमबाट भुक्तानी गर्दा ग्राहकलाई रकम सहुलियत दिने योजना पनि ल्याइरहेका छन् ।

यी सुविधासँगै जोखिम बढेको पछिल्ला घटनाले देखाएका छन् । कात्तिक २०७४ मा एनआईसी एशिया ब्याङ्कको स्वीफ्टमा ह्याक गरी डलर खाताबाट करोडौं रकम चोरिएको थियो । राष्ट्र ब्याङ्कले रकम ट्रान्सफर गरिएका देशका केन्द्रीय ब्याङ्कलाई आग्रह गरेर अधिकांश रकम फिर्ता ल्याए पनि चीन र जापानका ब्याङ्क खातामा ट्रान्सफर गरिएको केही रकम भने फिर्ता नै आएन ।

सुरक्षाको कारण यसअघि राष्ट्र ब्याङ्कले पुरानो प्रविधिमा आधारित म्याग्नेटिक स्ट्रीप (कार्डको पछाडि कालो मोटो धर्को हुने) को सट्टा चिप कार्ड प्रयोग गर्न ब्याङ्कहरूलाई निर्देशन दिएको थियो ।

ह्याकिङ घटनापछि राष्ट्र ब्याङ्कका कार्यकारी निर्देशक बमबहादुर मिश्र संयोजकत्वको अध्ययन समितिले १८ भदौमा गर्भनर डा. चिरञ्जीवी नेपाललाई बुझाएको प्रतिवेदनमा पनि म्याग्नेटिक स्ट्रीपमा आधारित कार्ड भएकाले चोरी गर्न सजिलो भएको उल्लेख छ । यसलाई पूर्ण रूपमा हटाउन र तीन महीनाभित्र चिप प्रणालीमा जान सुझाव दिइएको छ ।

ब्याङ्कहरूले चिप र म्याग्नेटिक स्ट्रीप मिश्रित कार्ड प्रयोग गरिरहेका छन् । विदेशीले नेपालमा म्याग्नेटिक स्ट्रीप भएको कार्ड लिएर आउने र नेपालीले पनि विदेश जाँदा त्यस्तो कार्ड समेत प्रयोग गर्नुपर्ने भएकाले चिप कार्ड मात्रै जारी गर्न नसकिएको ब्याङ्कहरू बताउँछन् ।

राष्ट्र ब्याङ्कले जोखिम रोक्न तत्कालका लागि अन्तरब्याङ्क एटीएम कारोबार रोक्ने, एटीएमबाट रकम झिक्ने सीमा घटाउने जस्ता कदम चालेको छ । प्रहरीले भने ब्याङ्कहरूको सुरक्षा प्रणालीलाई बलियो पार्न तत्काल उच्च सुरक्षा प्रविधि अपनाउन सुझाव दिएको छ । ब्याङ्कहरूले डेटा सुरक्षालाई अनावश्यक खर्चका रूपमा लिंदा सुरक्षा प्रणाली कमजोर भएको विज्ञहरू बताउँछन् ।

नेपाल प्रहरीको केन्द्रीय अनुसन्धान ब्यूरो (सीआईबी) ले २०७० सालदेखि एटीएम ह्याक गर्ने विरुद्ध कारबाही शुरू गरेको थियो । यस क्रममा साउन २०७६ सम्म १८ विदेशी र चार नेपाली पक्राउ परेका छन् । उनीहरू विरुद्ध सीआईबीले २ करोड ७७ लाख ४४ हजार ४३१ बिगो रकम दाबी गरेको थियो । 

मुद्रा सटही धन्दा !

एटीएम ह्याकरमाथि अनुसन्धान गरिरहेको महानगरीय प्रहरी परिसर काठमाडौंको टोलीले १६ भदौमा मनी एक्सचेञ्ज सेन्टरका सञ्चालक सहित चार जनालाई पक्राउ गर्‍यो । हात्तीसारको माया मनोर बुटिक होटलबाट फरार भएका तीन विदेशी ह्याकरले १४ भदौमा ठमेलस्थित डेक्सो मनी एक्सचेन्ज सेन्टरबाट रु.२९ लाख ९९ हजार नेपाली रुपैयाँ साटेर २५ हजार ८५६ अमेरिकी डलर लिएका थिए । यो घटनाबाट मनी एक्सचेन्ज सेन्टरहरूले कालो धनको कारोबार गर्ने गरेको खुलेको छ ।

मनी एक्सचेन्च सेन्टरहरूले सधैं एकै खालको ओपनिङ र क्लोजिङ ब्यालेन्स देखाएर वास्तविक कारोबार लुकाउने गरेको प्रहरी अनुसन्धानले देखाएको छ ।

पछिल्लो घटनामा २९ लाख ९९ हजार नेपाली रुपैयाँ कारोबार गरेको ठमेलस्थित डेक्सो मनी एक्सचेन्जले कतै रेकर्ड राखेको थिएन । प्रहरीले राष्ट्र ब्याङ्कलाई मनी एक्सचेन्जको कारोबार पारदर्शी बनाउन सीसीटीभी अनिवार्य राख्ने व्यवस्था गर्न सुझाव दिएको छ ।

१५ मिनेटको प्रहरी अप्रेशन

दरबारमार्गस्थित नबिल ब्याङ्कको एटीएममा चिनियाँ मूलका व्यक्तिहरू पटक पटक आवतजावत गरिरहेपछि सुरक्षागार्डले तुरुन्तै ब्याङ्कका कर्मचारीलाई जानकारी दिए । लगत्तै ब्याङ्कका कर्मचारीले प्रहरी परिसर काठमाडौंमा खबर गरे ।

सूचना पाएको १५ मिनेटभित्र प्रहरी नायब उपरीक्षक होविन्द्र बोगटीको कमाण्डमा नौ जनाको टोली त्यहाँ पुग्यो । दरबारमार्गस्थित नबिल ब्याङ्कको एटीएमबाट पैसा निकालेर बाहिरिंदै गरेका चिनियाँ नागरिक चु लियनकाङ २० थान नक्कली भिसा कार्ड सहित पक्राउ परे ।

प्रहरीले लियनकाङको साथमा हात्तीसारस्थित माया मनोर बुटिक होटलको चाबी फेला पार्‍यो । प्रहरी टोली तुरुन्तै होटल पुग्दा लिफ्ट प्रयोग गरी भागिरहेका थप चार चिनियाँ पनि पक्राउ परे ।

पक्राउ परेका चिनियाँहरू १३ भदौमा चीनबाट त्रिभुवन अन्तर्राष्ट्रिय विमानस्थल हुँदै नेपाल आएका र १६ भदौमा फर्किने योजनामा थिए । उनीहरू १३२ थान नक्कली भिसा कार्ड प्रयोग गरेर विभिन्न ब्याङ्कको डेटा ह्याक गर्ने योजनामा थिए । लूटको योजना स्पेनमा बनाएको प्रहरी अनुसन्धानबाट खुलेको छ ।

प्रहरीले १५ भदौमा एटीएम ह्याकिङमा संलग्न थप तीन विदेशीमध्ये एक जना चिनियाँ मूलका फ्रान्सेली नागरिकलाई त्रिभुवन विमानस्थलबाट पक्राउ गर्‍यो । चोरीमा संलग्न आठमध्ये दुई जना अझै फरार छन् । प्रहरीले पक्राउ परेकामाथि मुलुकी फौजदारी संहिता अन्तर्गत ब्याङ्किङ कसुरमा अनुसन्धान गरिरहेको छ ।

प्रतिकृया दिनुहोस