पुष २८ गते, काठमाण्डौं- नेपालका अधिकांश बैंकको विद्युतीय प्रणाली विकास गरेको एउटा कम्पनीको बैंक खाताबाट करोडौँ रकम चोरी भएपछि वित्तीय संस्थामा राखिएको बचतकर्ताको रकम कति सुरक्षित छ कुराले चर्चा पाएको छ।
साइबर सुरक्षासम्बन्धी अधिकारीहरूले यो घटनापछि सतर्कता अपनाउन सर्वसाधारणलाई आग्रह गरेका छन्।
उनीहरूका अनुसार केही वर्षयता यस्ता प्रकारका घटनाको सङ्ख्या बढेको छ र बैंकहरूबाटै रकम चोरी गर्ने नयाँ प्रवृत्ति पनि देखा परेको छ।
नेपालको केन्द्रीय बैंकले हालै सार्वजनिक गरेको एउटा अध्ययन प्रतिवेदनले पनि साइबर माध्यमबाट हुने वित्तीय ठगी र शङ्कास्पद कारोबार केही वर्षयता बढ्दै गएको देखाएको छ।
उक्त प्रतिवेदनका अनुसार भुक्तानीसम्बन्धी साइबर अपराध कुनै एउटा क्षेत्रमा मात्र नभएर धेरैतिर फैलिएको देखिएको छ।
सिटिजन्स ब्याङ्कको खाताबाट कसरी रकम चोरी भयो
सिटिजन्स बैंक लिमिटेडमा रहेको एफवनसफ्ट इन्टरन्याश्नल प्रालिको नाममा रहेको बैंक खाताबाट गत अक्टोबरमा ठूलो रकम चोरी भएपछि त्यसले बचतकर्ताको रकम सुरक्षाबारे चिन्ता बढाएको हो।
उक्त बैंकको विद्युतीय प्रणालीको विकास नै एफवनसफ्टले गरेको र चोरी भएको खाता सञ्चालन हुने शाखामा समेत विद्युतीय प्रणाली उसैले जडान गरेकाले पनि चिन्ता अझ बढी भएको जानकारहरू बताउँछन्।
नेपाल प्रहरीको साइबर ब्यूरोले त्यसलाई “खातामा अनधिकृत व्यक्तिको पहुँच” भनेको छ। यद्यपि प्रहरीले सुरुमा “ह्याकिङ” भएको भन्ठानेर अनुसन्धान थालेको थियो।
ब्यूरोका अनुसार गत अक्टोबर १ देखि ४ भित्र एफवनसफ्टको खाताबाट पटकपटक गरी तीन करोड ५१ लाख रुपैयाँभन्दा बढी रकम अनधिकृत रूपमा निकालिएको थियो।
“त्यसरी पटकपटक गरेर निकालेको रकम पटकपटक गरेर फरकफरक व्यक्तिको खाताहरूमा पठाइएको पाइएको छ। त्यसका विभिन्न तह देखिन्छन् र यसमा यूकेको ‘युजर आईडी’ पनि प्रयोग भएको देखिएकाले रकम विदेश पुर्याइएको पनि हुन सक्छ,” ब्यूरोका प्रवक्ता दिपकराज अवस्थीले भने।
उनका अनुसार उक्त खातामा अनधिकृत पहुँच पुर्याउने व्यक्तिहरूले विशेष गरी बेरोजगार युवाहरूलाई खाता खोल्न लगाएर ती खातामा सुरुमा रकम पठाउने र त्यसबाट अन्य व्यक्तिका खाताहरूमा रकम पठाउने गरेको पाइएको छ।
उक्त घटनाबारे ब्यूरोले बुझाएको अनुसन्धान प्रतिवेदनका आधारमा जिल्ला सरकारी वकिलको कार्यालय काठमाण्डूले गत साता नै जिल्ला अदालत काठमाण्डूमा विद्युतीय माध्यमबाट भएको ठगीविरुद्ध मुद्दा दायर गरेको छ।
‘डार्क वेब’मा संवेदनशील सूचना
एफवनसफ्ट समूहका कार्यकारी निर्देशक सुवास शर्माले आफ्नो कम्पनीको कर्पोरेट बैंकिङ खाताबाट रकम चोरिएको विषयलाई समग्र एफवान सफ्टकै प्रणालीलाई जोडेर प्रचार गरिएको दाबी गरेका छन्।
उनका अनुसार एफवनसफ्टले विकास गरेको मोबाइल बैंकिङ र इन्टरनेट बैंकिङ सेवा विभिन्न बैंक तथा वित्तीय संस्थाहरूले लिइरहेका छन्।
उनका अनुसार हाल ५४ वटा बैंक तथा वित्तीय संस्थाहरूले एफवनसफ्टको मोबाइल बैंकिङ र १७ वटाले इन्टरनेट बैंकिङ सेवा लिइरहेका छन्।
“त्यसै गरी हामीले ११ वटा बैंकहरुलाई कर्पोरेट इन्टरनेट बैंकिङ भन्ने सेवा बनाएर इन्स्टल गरिदिएका छौँ,” उनले भने, “हामी पनि सिटिजन्स बैंकको कर्पोरेट ग्राहक भएकाले सोही प्रणाली चलाउँछौँ। यो पासवर्ड चोरीको घटना हो, प्रणाली ह्याकिङ होइन।”
उक्त प्रणालीमा आबद्ध भएका संस्थाहरूलाई बैंकबाट एउटा ‘सूपर यूजर’ र त्यसको पासवर्ड प्रदान गर्ने र उक्त ‘सूपर यूजर’भित्र कम्पनीले आफ्ना कर्मचारीलाई थप ‘यूजर’ बनाएर वितरण गर्ने उनले बताए।
“हामीले चार वर्षअघि पाएको सूपर यूजरबाट अन्य यूजरहरू बनाएर हाम्रा कर्मचारीलाई दियौँ। फाइनान्समा कर्मचारी आउने र जाने भइरह्यो। हामीले सूपर यूजर थियो भन्ने बिर्सियौँ। अरू यूजरबाटै काम हुन्थ्यो,” शर्माले भने।
उनका अनुसार गत अक्टोबरमा सोही ‘सूपर यूजर’बाट अन्य ‘यूजर’ बनाएर रकम चोरी गरिएपछि मात्र कम्पनीले थाहा पाएको थियो।
शर्माले आफ्नो कम्पनीको ‘सूपर यूजर’को पासवर्ड ‘डार्क वेब’ भनिने हाम्रो दृष्टिबाट लुगेको इन्टरनेट अर्कै संसारमा राखिएको पाइएको बताए।
त्यसले गर्दा एफवनसफ्टको कुनै कर्मचारी वा पूर्वकर्मचारीमार्फत् पासवर्ड दुरुपयोग भएकोभन्दा पनि उनीहरूको प्रणालीको कुनै कम्प्युटरको ब्राउजरमा सेभ भएको पासवर्ड माल्वेअरका माध्यमबाट चोरिएको हुन सक्ने अनुसन्धान अधिकारीहरूले बताएका छन्।
अनुसन्धानकर्ताहरूले ब्याङ्क तथा एफवनसफ्टका कर्मचारीलाई एवं पूर्व कर्मचारीसँग सोधपुछ गरेको बुझिएको छ।
यद्यपि प्रहरीले हालसम्म एफवनसफ्टको ‘सूपर यूजर’को पासवर्ड कसरी डार्क वेबसम्म पुग्यो अनि त्यसमा मुख्य रूपमा को संलग्न भएका थिए भनेर पत्ता लगाउन सकेको छैन। त्यसबारे पत्ता लगाउन अझै अनुसन्धान जारी रहेको अवस्थी बताउँछन्।
चुनौती बन्दै टेलिग्राम
अनुसन्धान अधिकारीहरूले दिएको जानकारी तथा उक्त मुद्दाको अभियोगपत्रमा समावेश अभियुक्तसँगको बयानमा उल्लेख भएअनुसार एफवनसफ्टको खातामा अनधिकृत पहुँच पुर्याउने व्यक्तिहरूले धेरै जनालाई जागिरको लोभमा आफ्नो ठगीको कार्यमा सहभागी बनाएको देखिएको छ।
अभियुक्तहरूले “विशेष गरी बेरोजगार युवाहरूलाई प्रयोग गरेर धेरैवटा खाता खोल्न लगाउने र त्यसबाट रकमहरू अन्य खातामा पठाउने गरेको” पाइएको अवस्थीले बताए।
“त्यस्तो कार्यका लागि उनीहरूले सामाजिक सञ्जालको र विशेष गरी ‘टेलिग्राम’को प्रयोग गर्ने गरेको भेटिएको छ,” उनले भने।
अवस्थीले दिएको जानकारीअनुसार पछिल्ला दिनहरूमा नेपालमा टेलिग्राम एपका माध्यमबाट अनलाइन ठगी र अन्य विद्युतीय चोरी गर्ने क्रम बढेको छ।
उनले भने, “सुरुमा टेलिग्राममा कुराकानी हुने र नगद विभिन्न बैंक खाताहरूमा हाल्न लगाउने गरेको पाइएको छ।”
तर टेलिग्राम च्यानलको ‘एड्मिन’बारे पत्ता लगाउन अन्य एपमा भन्दा कठिन हुन्छ। “फेसबुक, यूट्यूब वा अन्य सामाजिक सञ्जालका हकमा हामीले लेखेर पठाएपछि त्यस्तो आपराधिक कार्य गर्न प्रयोग भएको प्रोफाइल वा लिङ्कबारे जानकारी पाउन सकिन्छ तर टेलिग्राममा त्यस्तो संयुन्त्र नै छैन,” उनले भने।
“टेलिग्राममलाई हामीले लेख्दा पनि उसले केही जानकारी नदिएकाले समस्या भएको छ।”
टेलिग्रामले अन्य सामाजिक सञ्जाल वा एपहरूले जस्तो सहजै जानकारी नदिने भएकाले विद्युतीय चोरीमा संलग्न हुनेले त्यसको फाइदा उठाइरहेको अधिकारीहरू बताउँछन्।
जोगिन के गर्ने?
नेपाल राष्ट्र बैंकको वित्तीय जानकारी एकाइले साइबर माध्यमबाट हुने ठगी तथा गलत क्रियाकलापबारे अध्ययन गरेर तयार पारेको “रणनीतिक विश्लेषण प्रतिवेदन”मा नियामक निकायहरू, बैंक तथा वित्तीय संस्थाहरू, मोबाइल वालेट सेवा सञ्चालकदेखि कानुन कार्यान्वयन गर्ने निकायहरूलाई समेत यस्ता गतिविधि रोक्न आवश्यक कदमहरू चाल्न सुझाव दिइएको छ।
त्यस्ता सुझावहरूमा वित्तीय संस्थाहरूले ग्राहकको पहिचानसम्बन्धी विवरणलाई कसिलो पार्नुपर्ने पनि एउटा छ। एउटै नम्बरबाट धेरैवटा मोबाइल वालेट वा खाताहरू खोलिए त्यसलाई निगरानी गर्नुपर्ने सुझाव त्यसमा समेटिएको छ।
आवश्यक नीतिगत र प्राविधिक व्यवस्थाहरू गर्न पनि त्यसमा सुझाइएको छ भने वित्तीय संस्था तथा वालेटहरूमा खोलिने नयाँ खाताहरूमा अस्वाभाविक कारोबार भए त्यसलाई कारोबार सीमा लगाउनसम्म सकिने सुझाव त्यसमा छ। यस्ता गतिविधिहरूको नियन्त्रणका लागि उजुरी गर्ने छुट्टै संरचना बनाएर टोलफ्री नम्बर उपलब्ध गराउन पनि सकिने सुझावसमेत त्यसमा समेटिएको छ।
ग्राहक र कर्मचारीलाई साइबर सुरक्षासम्बन्धी जानकारी दिनुपर्ने र नयाँ प्रविधिबारे सचेत बनाउनुपर्ने प्रतिवेदनमा उल्लेख छ।
साइबर ब्यूरोका प्रवक्ता अवस्थी पनि बैंकमा राखेको पैसाको सुरक्षित भएको प्रत्याभूति गर्नका लागि विशेषगरी खाता वाल सावधान हुनुपर्ने बताउँछन्। “खाता भएको मानिसले ‘टू-फ्याक्टर अथेन्टिकेटर’ राख्नुका साथै सावधानी अपनाउनुपर्छ अनि कसैले आफ्ना गोप्य जानकारी दिनू भनेर अनुरोध गर्दा पनि दिनु हुँदैन,” उनले भने।
अधिकारीहरू तथा विज्ञहरूका अनुसार बैंकमा राखिएको रकम सुरक्षित गर्न खातावालले सावधानी अपनाउनु पर्छ :
१.अरुले सजिलै थाहा नपाउने पासवर्ड र पिन प्रयोग गर्ने
२.समयसमयमा पासवर्ड परिवर्तन गरिरहने
३.एप तथा अन्य साइबर सुरक्षासम्बन्धी अप्डेटहरू उपलब्ध हुनेबित्तिकै अप्डेट गर्ने
४.आफ्नो ‘यूजरनेम’ तथा पासवर्ड कसैलाई पनि नदिने
५.डेबिट तथा क्रेडिट कार्डहरूको विस्तृत विवरण अन्य व्यक्तिसँग साझा नगर्ने
६.ब्याङ्क तथा आर्थिक कारोबारसँग जोडिएका पासवर्डहरू ब्राउजरमा सेभ नगर्ने
७.दोहोरो सुरक्षात्मक उपाय जस्तै ‘टू फ्याक्टर अथेन्टिकेटर’लगायतको प्रयोग गर्ने
८.एक पटक मात्र प्रयोग गर्न मिल्ने पासवर्ड अर्थात् ‘ओटीपी’ कसैलाई नदिने
एफनसफ्टका शर्मा आफूहरूको खाताबाट रकम चोरिनुमा सुरक्षात्मक हिसाबले केही “त्रुटि हुन पुगेको” स्वीकार्छन्।
तर मोबाइल तथा इन्टरनेट बैंकिङमा ‘टू-फ्याक्टर’ भनिने दुई तहको सुरक्षा मापदण्ड अपनाइएकाले त्यस्तो अवस्था नरहेको बताउँछन्।
यद्यपि उनी “साइबर सुरक्षा भनेको सामूहिक प्रयासबाट मात्र सम्भव हुने” बताउँदै मुख्यत: खातावालले नै सुरक्षाका निम्ति ध्यान दिनुपर्ने बताउँछन्।बीबीसी नेपाली