সুইফট টেকনিশিয়ানদের অবহেলায় বাংলাদেশ ব্যাংকের রিজার্ভ চুরি !

ক্রাইম নিউজ সার্ভিসঃ বিশ্বজুড়ে আলোড়ন সৃষ্টি করা বাংলাদেশ ব্যাংকে সাইবার চুরির ঘটনা তদন্ত করছে বাংলাদেশ পুলিশের অপরাধ তদন্ত বিভাগ। সিআইডির অতিরিক্ত উপ-মহাপরিদর্শক শাহ আলমকে উদ্ধৃত করে রয়টার্সের এক প্রতিবেদনে বলা হয়েছে, সেই টেকনিশিয়ানরা বাংলাদেশে প্রথমবারের মতো ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ এর সঙ্গে সুইফটকে যুক্ত করে যান। এতেকিছু লুপহোল খুঁজে পাওয়া যায়। ওই সময়ই বাংলাদেশ ব্যাংকের ঝুঁকি অনেক বেশি বেড়ে গেছে।

রিজার্ভ চুরির ঘটনার তিন মাস আগে বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে একটি নতুন ট্রানজেকশন সিস্টেম যুক্ত করে যান সুইফটের টেকনিশিয়ানরা; আর তাদের ‘অবহেলার কারণেই’ বাংলাদেশের কেন্দ্রীয় ব্যাংকের সার্ভার হ্যাকারদের সামনে অনেক বেশি উন্মুক্ত হয়ে পড়ে বলে মনে করছেন পুলিশের তদন্তকারীরা।

নাম প্রকাশ না করে কেন্দ্রীয় ব্যাংকের একজন কর্মকর্তার বরাত দিয়ে রয়টার্সের প্রতিবেদনে বলা হয়, বাংলাদেশ ব্যাংকে সুইফট মেসেজিং প্ল্যাটফরমের সঙ্গে ‘রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম’ যুক্ত করার সময় নিরাপত্তা নিশ্চিত করার জন্য যে প্রক্রিয়াগুলো অনুসরণ করার কথা সুইফট ঠিক করে দিয়েছে, তাদের টেকনিশিয়ানরাই তা করেননি।

আর এ কারণে কেন্দ্রীয় ব্যাংকের সুইফট মেসেজিং প্ল্যাটফরমে প্রবেশ করার সুযোগ অনেক বেড়ে যায়। এমনকি সহজ একটি পাসওয়ার্ড দিয়ে রিমোট একসেসের (অন্য একপি কম্পিউটার থেকে) মাধ্যমেও ওই প্ল্যাটফরমে ঢোকার সুযোগ থেকে যায়।

পুলিশ বলছে, বাংলাদেশ ব্যাংকের ওই প্ল্যাটফরমের সাইবার নিরাপত্তার জন্য কোনো ফায়ারওয়াল ছিল না। ব্যবহার করা হচ্ছিল সাধারণ সুইচ।

কেন্দ্রীয় ব্যাংকের ওই কর্মকর্তা বলেন, “দুর্বলতাগুলো খুঁজে দেখা সুইফটের দায়িত্ব ছিল, কেননা তারাই ওই সিস্টেম বসিয়ে দিয়ে গেছে। কিন্তু দেখা যাচ্ছে, তারা তা করেনি।”

রয়টার্সের প্রতিবেদনে বলা হয়, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইন্যান্সিয়াল টেলিকমিউনিকেশনের বা সু্ইফটের প্রধান মুখপাত্র নাতাশা ডিটেরান বাংলাদেশের কর্তৃপক্ষের এ অভিযোগের বিষয়ে কোনো মন্তব্য্য করতে রাজি হননি। বাংলাদেশে সুইফট তাদের বা বাইরে থেকে কোনো টেকনিশিয়ান পাঠিয়েছিল কি না- সে বিষয়েও কিছু বলতে তিনি অস্বীকৃতি জানিয়েছেন।

সুইফটের টেকনিশিয়ানদের কাজের বিষয়ে বাংলাদেশের পুলিশ বা কেন্দ্রীয় ব্যাংকের বক্তব্যের সত্যতা স্বাধীনভাবে তদন্ত করা রয়টার্সের পক্ষে সম্ভব হয়নি।

প্রতিবেদনে বলা হয়েছে, “তাদের অভিযোগ সঠিক হয়ে থাকলে সুইফটের ওপর আস্থায় ফাটল ধরবে, কেননা এই প্ল্যাটফরমই এখন আন্তর্জাতিক আর্থিক লেনদেনের মেরুদণ্ড।”

যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্ক ও সুইফট কর্তৃপক্ষের সঙ্গে বৈঠক করতে রোববার রাতে গভর্নর ড. ফজলে কবিরের নেতৃত্বে বাংলাদেশ ব্যাংকের চার সদস্যের একটি প্রতিনিধি দল সুইজারল্যাণ্ডের উদ্দেশ্যে রওনা হয়েছেন।

মঙ্গলবার বেসেলে ওই বৈঠকে রিজার্ভ চুরির ঘটনা এবং খোয়া যাওয়া আট কোটি দশ লাখ ডলার আদায়ের বিষয়টি গুরুত্ব পাবে বলে কেন্দ্রীয় ব্যাংকের কর্মকর্তারা জানিয়েছেন।

রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের মাধ্যমে স্থানীয় ব্যাংকগুলো ও কেন্দ্রীয় ব্যংক বড় অংকের লেনদেনের বিষয়গুলো নিজেদের মধ্যে মেটাতে পারে। গতবছর অক্টোবরে বাংলাদেশ ব্যাংকে ওই সিস্টেম বসানো হয়। পরে তা যুক্ত করা হয় সুইফট মেসেজিং সিস্টেমের সঙ্গে।

এরপর ফেব্রুয়ারিতে হ্যাকাররা ফেডারেল রিজার্ভ ব্যাংক অব নিউ ইয়র্কে রক্ষিত বাংলাদেশের এক বিলিয়ন ডলার বিভিন্ন অ্যাকাউন্টে সরিয়ে নিতে ভুয়া বার্তা পাঠায় সুইফট মেসেজিং সিস্টেমের মাধ্যমে। ঢাকায় বাংলাদেশ ব্যাংকের সার্ভার ব্যবহার করেই বার্তা পাঠানোর কাজটি করা হয়েছিল বলে এখন পর্যন্ত তদন্তকারীদের ধারণা।

ফেডারেল রিজার্ভের পাঠানো ৩৫টি অর্থ স্থানান্তরের আদেশের মধ্যে অধিকাংশ আটকে গেলেও চারটি আদেশে ৮টি কোটি ১০ লাখ ডলার ফিলিপাইনে এবং একটি আদেশে দুই কোটি ডলার শ্রীলঙ্কার একটি ব্যাংককে পাঠিয়ে দেওয়া হয়।

বানান ভুলের কারণে সন্দেহ হওয়ায় শ্রীলঙ্কায় যাওয়া টাকা আর অ্যাকাউন্টে জমা হয়নি। কিন্তু ফিলিপাইনে যাওয়া অর্থের পুরোটাই স্থানীয় মুদ্রায় বদলে ফেলা হয়, এর একটি বড় অংশ চলে যায় জুয়ার টেবিলে। বাকি টাকার কোনো খোঁজ এখনও মেলেনি।

রিজার্ভ চুরির তদন্ত কতদূর এগিয়েছে সে বিষয়ে রয়টার্সকে কোনো তথ্য দিতে রাজি হননি বাংলাদেশ ব্যাংকের মুখপাত্র। তবে তিনি বলেছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম এখন ভালোভাবেই কাজ করছে।

বিপুল সংখ্যক দেশ ওই ধরনের সিস্টেম ব্যবহার করায় তার ভেতরে কোনো ঝুঁকি আছে বলেও মনে করছে না বাংলাদেশের কেন্দ্রীয় ব্যাংক।

পুলিশ বলছে, সুইফটের টেকনিশিয়ানরা যে নেটওয়ার্কের মাধ্যমে রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের সঙ্গে সুইফটকে যুক্ত করে গেছেন, ওই একই নেটওয়ার্ক ব্যবহার করে কেন্দ্রীয় ব্যাংকের প্রায় পাঁচ হাজার কম্পিউটার, যেগুলো আবার উন্মুক্ত ইন্টারনেটের সঙ্গে যুক্ত।

তদন্তকারীরা মনে করছেন, রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেমের জন্য আলাদা লোকাল এরিয়া নেটওয়ার্ক তৈরি করে নেওয়া উচিৎ ছিল, যাতে কেন্দ্রীয় ব্যাংকের অন্য কম্পিউটার থেকে এই নেটওয়ার্কে প্রবেশ করা না যায়।

আর রিয়েল টাইম গ্রস সেটেলমেন্ট সিস্টেম বা সুইফট সিস্টেমের জন্য আলদা করে কোনো ফায়ারওয়ালও টেকনিশিয়ানরা তৈরি করেননি, যাতে নেটওয়ার্কে সন্দেহজনক অনুপ্রবেশ ঠেকিয়ে দেওয়া সম্ভব হয়।

আর ওই সিস্টেম বসানোর সময় সুইফট টেকনিশিয়ানরা একটি ওয়্যারলেস কানেকশনের ব্যবস্থা করেন, যাতে বন্ধ সুইফট রুমের বাইরে ব্যাংকের অন্য কম্পিউটার থেকেও ওই সিস্টেমে প্রবেশ করা যায়। কিন্তু চলে যাওয়ার সময় ওই রিমোট একসেস আর বিচ্ছিন্ন করে যাননি তারা। ফলে সাধারণ পাসওয়ার্ড ব্যবহার করেই ওই সিস্টেমে প্রবেশ করার সুযোগ থেকে যায়।

পেনড্রাইভের মাধ্যমে গুরুত্বপূর্ণ কম্পিউটারে যাতে ম্যালওয়্যার বসানো না যায়, সেজন্য সাধারণত এ ধরনের সার্ভারের ইউএসবি পোর্ট অকার্যকর করে রাখা হয়। কিন্তু কেন্দ্রীয় ব্যাংকের ওই সুইফট সিস্টেমের ক্ষেত্রে তা করা হয়নি বলেও পুলিশের বরাত দিয়ে জানিয়েছে রয়টার্স।

এর আগে বিএই সিসটেমস নামের একটি ব্রিটিশ সাইবার নিরাপত্তা প্রতিষ্ঠান দাবি করে, রিজার্ভ চুরির ক্ষেত্রে সুইফটের ক্লায়েন্ট সফটওয়্যার ‘অ্যালায়েন্স একসেস’ থেকে ভুয়া মেসেজ পাঠানোর পর তার ট্র্যাক মুছে ফেলতে যে ম্যালওয়্যার চোরেরা ব্যবহার করেছিলে, তা খুঁজে পেয়েছে তারা।

বিএইর গবেষকরা বলছেন, evtdiag.exe নামের ওই ম্যালওয়্যারে এমন কিছু বৈশিষ্ট যোগ করা হয়েছে, যার মাধ্যমে নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। আবার বাংলাদেশ ব্যাংকের সুইফট সার্ভার থেকে অর্থ স্থানান্তরের ভুয়া আদেশ পাঠানোর পর সেই তথ্য মুছে ফেলা যায়।

এই ম্যালওয়্যার ব্যবহার করে সার্ভারে রাখা অ্যাকাউন্ট ও লেনদেনের তথ্যে পরিবর্তন আনা, এমনকি সুইফট থেকে আসা বার্তা বদলে দিয়ে ভুয়া বার্তা প্রিন্ট করারও সুযোগ রাখা হয়েছে বলে বিএইর তথ্য।

Please follow and like us:
0

You May Also Like

Leave a Reply

Your email address will not be published. Required fields are marked *

SuperWebTricks Loading...