काठमाडौं । नेपाल राष्ट्र बैंकको प्रत्यक्ष निर्देशन र वाणिज्य बैंकहरुसमेतको लगानीमा तयार भएको ‘कनेक्ट आईपीएस’ को भुक्तानी प्रणाली कति सुरक्षित छ ? आपराधिक समूहले कनेक्ट आईपीएसको सिस्टममै अनधिकृत पहुँच पु-याएर ४ करोड रुपैयाँभन्दा बढी ठगी गरेको खुलासा भएसँगै यो प्रश्न अहिले एउटा गम्भीर सवाल बनेको छ । कुरा यतिमै सीमित छैन, कनेक्ट आईपीएसबाट ठगिनेमा सर्वसाधारण मात्रै होइन चार्टर्ड एकाउन्टेन्टदेखि सेयर कारोबारीसम्म रहेको खुलासासँगै यसको भुक्तानी प्रणालीको सुरक्षामाथि झन जटिल प्रश्न तेर्सिएको छ ।
‘कनेक्ट आईपीएस’ को भुक्तानी प्रणाली कति सुरक्षित ?
काठमाडौंको भोटाहिटीस्थित साइबर ब्युरोका प्रवक्ता एसपी दीपकराज अवस्थीका अनुसार कनेक्ट आईपीएसमार्फत करिब ४ करोड रुपैयाँ चोरी भइसकेको अनुसन्धानबाट खुलेको छ । जसमा एकै जनाको ३६ लाख रुपैयाँसम्म चोरी भएको छ । ३६ लाख रुपैयाँ सर्वसाधारणको खाताबाट चोरी भएको होइन, एक जना सीए अर्थात् चार्टर्ड एकाउन्टेन्टको खाताबाट चोरी भएको हो ।
साइबर ब्युरोका प्रवक्ता एसपी अवस्थीका अनुसार, पछिल्ला दिनमा यससँग सम्बन्धित करिब ७० वटा उजुरी दर्ता भएका छन् ।
कनेक्ट आईपीएसमा अनधिकृत पहुँच पु¥याई रकम चोरी भइरहेको भएपनि कनेक्ट आईपीएस भने यसलाई सहजै स्वीकार गर्न तयार देखिँदैन । कनेक्ट आईपीएसका प्रतिनिधि सोभित शर्मा कनेक्ट आईपीएसमार्फत् रकम चोरी गर्नु असम्भव ठान्छन् । उनी आफूहरुको सिस्टममा खराबी नभएको पनि जिकिर गर्छन् ।
तर, सत्य यो हो कि दि अलर्ट र एटी अलर्टका नाममा आएका फिसिङ साइटसहितका अनधिकृत म्यासेजका कारण कनेक्ट आईपीएसबाट रकम गायव भइरहेको छ ।
कनेक्ट आईपीएस नेपालको एकीकृत भुक्तानी सेवा हो, जुन नेपाल राष्ट्र बैंकको प्रतक्ष्य निर्देशनमा सञ्चालित छ । यो एक डिजिटल भुक्तानी प्रणाली हो जसले बैंक, वित्तीय संस्था र ग्राहकलाई एउटै प्लेटफर्ममा जोडेर सुविधाजनक, छिटो र सुरक्षित भुक्तानी सेवा उपलब्ध गराउने दाबी गर्छ ।
कनेक्ट आईपीएसमार्फत करिब ४ करोड रुपैयाँ चोरी भइसकेको अनुसन्धानबाट खुलेको छ । जसमा एकै जनाको ३६ लाख रुपैयाँसम्म चोरी भएको छ । पछिल्ला दिनमा यससँग सम्बन्धित करिब ७० वटा उजुरी दर्ता भएका छन्
– एसपी दीपकराज अवस्थी, प्रवक्ता, साइबर ब्युरो
कनेक्ट आईपीएसमार्फत एक बैंकबाट अर्को बैंकमा रकम ट्रान्सफर वा स्थान्तरण गर्न सकिन्छ । साथै सरकारी राजश्व तिर्न र क्युआर कोडमार्फत भुक्तानी गर्नसमेत कनेक्ट आईपीएस प्रयोग गर्ने गरिन्छ ।
केही दिनअघि मात्रौ कनेक्ट आईपीएस मार्फत एक जना उपभोक्ताले आफ्नो खातामा भएको १४ लाख ६० हजार रुपैयाँ एकै क्लिकमा गुमाउनु परेको साइबर ब्युरोको जनाएको छ । पीडितको आग्रहमा यो नाम यहाँ गोप्य राखिएको छ ।
कुरा गत मे २२ को हो । काठमाडौंमै घर भएका एक चार्टर्ड एकाउन्टेन्टलाई त्यस दिन एउटा म्यासेज आयो । म्यासेजमा भनिएको थियो, ‘तपाईँको कनेक्ट आईपीएसको लिंक अकाउन्ट सुरक्षाका कारण सस्पेन्ड गरिएको छ, सेल्फ भेरिफाई गरी पुनः चालु गर्नुहोस् ।’
सो म्यासेज दि अलर्ट नामक एसएमएस सेवा प्रदायकबाट आएको थियो । म्यासेज आएपछि उनले दिइएको लिंकमा क्लिक गरे । उक्त लिंकमा क्लिक गरेपछि युजर नेम र पासवर्ड हाल्ने स्थान आयो, उनले आफ्नो युजरनेम र पासवर्ड हाले । पहिलो पटक युजर नेम र पासवर्ड हाल्दा लग इन भएन । त्यसपछि उनले फेरि युजर नेम र पासवर्ड हाले, त्यसपछि भने मोबाइलमा एउटा म्यासेज आयो । जसमा भनिएको थियो ल्भध म्भखष्अभ म्भतभअतभम ।
उनका अनुसार, कनेक्ट आईपीएसले बेलाबेलामा त्यस्तो म्यासेज पठाउने भएकाले त्यहाँ कोड हानेपछि मात्रै लग इन हुन्थ्यो । उनले मोबाइलमा आएको ओटीपी पनि त्यहाँ इनपुट गरे । तर पनि साइट खुलेन । साइट नखुलेपछि उनी पछि गरौंला भन्दै चुप लागे ।
उनले एक जना व्यक्तिलाई रकम भुक्तानी गर्नुपर्ने भएकाले मे २६ मा कनेक्ट आईपीएसको लग इन गरे । रकम भुक्तानी गर्न खोजे । तर रकम भुक्तानी नै भएन । बरु भुक्तानी गर्न लागेको रकम नै छैन भन्ने म्यासेज आयो, जसलाई insufficient Balance भनिन्छ । भुक्तानी गर्न लागेको रकम नभएको म्यासेज आएपछि उनी आत्तिए । किनकी आफ्नो खातामा १४ लाख ६५ हजार रुपैयाँ रहेको उनलाई थाहा थियो । त्यसपछि उनले बैंक खातामा रहेको ब्यालेन्स चेक गरे । त्यसपछि भने उनी छाँगाबाट खसेको जस्तै भए । आफ्नोे खातामा भएको १४ लाख ६० हजार रुपैयाँ अरु कुनै व्यक्तिले एकै क्लिकमा अर्को बैंक खातामा पठाएको थाहा पाएपछि उनले बैंकलाई सोधे । बैंकले कनेक्ट आईपीएसमार्फत भुक्तानी भएको भन्दै कनेक्ट आईपीएसमै सम्पर्क गर्न भन्यो । कनेक्ट आईपीएसलाई सम्पर्क गरी बुझ्दा उक्त रकम उनको एभरेष्ट बैंकको खाताबाट नेपाल एसबीआई बैंकमा रहेको एक व्यक्तिको खातामा गएको पाइयो । त्यसपछि उनले उक्त खातामा रहेको रकम रोक्का गर्न खोजे । तर सो बैंकको खातामा रकम थिएन ।
उनको कनेक्ट आईपीएसको लग हेर्दा उनलाई म्यासेज आएको भोलिपल्टै मे २३ मा रकम ट्रान्सफर गरिएको देखियो । ५ हजार रुपैयाँ भने उनकै बैंक खातामै छाडिदिएको थियो ।
कनेक्ट आईपीएसमा अनधिकृत पहुँच पु-याएर आपराधिक समूहले आफ्नो रकम लगेको भन्दै उनले आफूले कनेक्ट आईपीएस खोलेर कसैलाई रकम नपठाएको भन्दै कनेक्ट आईपीएस र नेपाल प्रहरीको साइबर ब्युरोमा उजुरी दिए । आफूले रकम नपठाएको र ओटीपी पनि कसैलाई नदिएको बताए ।
त्यसपछि साइबर ब्युरोका अनुसन्धानमा मे २९ मै आपराधिक समूहले उनको कनेक्ट आईपीएसमा अनधिकृत पहुँच पु¥याएर इमेल एड्रेससमेत परिवर्तन गरेको खुल्यो । यति मात्रै होइन, ओटीपी पनि मोबाइल र इमेल दुबैमा जाने बनाएको थाहा पाए ।
साइबर ब्युरोको अनुसन्धानबाट उनलाई आएको फिसिङ साइडबाट नै आपराधिक समूहले उनको कनेक्ट आईपीएसको युजर नेम र पासवर्ड प्राप्त गरेको देखिएको छ । सर्ट यूआरएलमा आएको उक्त फिसिङ साइटको वेभ एड्रेस यिनष्ल।अयललभअतष्उक।अयm नभएर यिनष्ल।अयललभअतउिक।अयm थियो । अर्थात् कनेक्ट आईपीएसको आईको स्थानमा कनेक्ट एलपीएस अर्थात् आईको स्थानमा एल राखिएको थियो, जसबाट उनी झुक्किएका थिए ।
त्यही फिसिङ साइटमा युजरनेम र पासवर्ड हान्दा गिरोहले युजर नेम र पासवर्ड प्राप्त गरेको थियो भने ओटीपी हान्दा ट्रस्टेड डिभाइसको अनुमति पनि दिएका थिए । तर फन्ड ट्रान्सफर अर्थात् रकमान्तर गर्नका लागि उनले कहीँ पनि ट्रान्जेक्सन पिन भने हालेका थिएनन् । तर पनि उनको खाताबाट १४ लाख ६० हजार रुपैयाँ चोरी भयो । यो कनेक्ट आईपीएसकै माध्यमबाट भएको थियो ।
उनी भन्छन्, ‘मैले युजर नेम र पासवर्ड हानेँ, ट्रस्टेड डिभाइसका लागि नयाँ ओटीपी पिन पनि हालेँ जस्तो लाग्छ । तर म के कुरामा स्पष्ट छु भने मैले कहिल्यै ट्रान्जेक्सन पिन हालेकै छैन । मैले कुनै पनि ब्राउजरमा त्यस्तो पिन सेभ गरेको पनि छैन । तर कसरी मेरो रकम ट्रान्सफर भयो भनेर अझैसम्म मैले बुझ्न सकेको छैन ।’
कनेक्ट आईपीएसका प्रतिनिधि सोभित शर्मा भने आफूहरुको सिस्टममा खराबी नरहेको दाबी गर्छन् । उनी भन्छन्, ‘एसएमएस र ओटीपी नगएको भन्ने हुँदै हुँदैन । गएको छ र त्यो हाम्रो सिस्टममा पनि देखिन्छ । अब टेलिकम वा मोबाइल सेवा प्रदायकको सिस्टममै केही फल्ट छ भने भन्न सकिँदैन, नत्र त गएको नै देखिन्छ ।’
ओटीपी गयो र इमेलबाट पायो भने पनि ट्रान्जेक्सन पिन कसरी प्राप्त भयो भन्ने जिज्ञासामा शर्मा डिभाइस कम्प्रोमाइज भएको कारण त्यस्तो भएको हुनसक्ने ठान्छन् । उनी भन्छन्, ‘कुनै मालवेयर पठाएर पहिले इनपुट गरेको ट्रान्जेक्सन पिन हेरेको हुनसक्छ । त्यसपछि मात्रै कनेक्ट आईपीएसमा पहुँच पु¥याएर चोरी गरेको हुनुपर्छ ।’
उनले यस्तो दाबी गरेपनि यो त्यति सम्भव जस्तो देखिँदैन । कम्प्युटरमा मालवेयर पठाएको कुरामा पीडित व्यक्ति भने अस्वीकार गर्छन् । उनी भन्छन्, ‘ट्रान्जेक्सन पिनको सम्बन्धमा कनेक्ट आईपीएसले दिएको जवाफ चित्तबुझ्दो छैन ।’
यति मात्र नभई कनेक्ट आईपीएसको खातामा अनधिकृत पहुँच पु-याउन सेयर बजारसम्बन्धी फिसिङ लिंकसमेत प्रयोग भएको पाइएको छ । डिजिटल सोलुसन नेपाल नामक फेसबुक ग्रुपबाट प्रयोगकर्तालाई निःशुल्क सेयर मार्केट र ट्रेड्रिङसम्बन्धी जानकारी दिने भन्दै अनलाइन क्लासका लागि सफ्टवेयर इन्स्टल गर्न भनिन्छ । अनि सफ्टवेयर इन्स्टल गर्दा पर्मिसन मागिन्छ र पर्मिसन दिएपछि खातावालको ल्यापटप वा डेक्सटप नै गिरोहले हेर्न मिल्ने हुन्छ । त्यहाँ खातावालले कुन कुन खाता चलाएको छ र के के गरिरहेको छ भन्ने सबै कुरा गिरोहले देख्न सक्छ । अनि खातावालले कुन कुन पिन वा पासवर्ड हाल्यो भन्ने कुरासमेत गिरोहले देख्ने भएकाले त्यसबाट नै ह्याक गरेको वा स्क्रिन सेयर गरेको कारण कनेक्ट आईपीएसको अकाउन्टबाट रकम चोरी भएको समेत पाइएको ब्युरोले जनाएको छ ।
साइबर ब्युरोका प्रवक्ता एसपी अवस्थीका अनुसार, कनेक्ट आईपीएसको नक्कली साइट कनेक्ट एलपीएस अमेरिकामा होस्टिङ भएको पाइएको छ । तर सो साइटको सञ्चालन भने भारतको महाराष्ट अर्थात् मुम्बई आसपासबाट भएको देखिएको छ । साथै विभिन्न उपायबाट गिरोहको खोजी भइरहेको र प्राविधिक विश्लेषण गरिरहेको उनको भनाइ छ । गिरोहका सदस्यहरु भारतीय रहेको वा भारतीय भूमिमा रहेर अपराध गरिरहेको हुनसक्ने ब्युरोको अनुमान छ ।
यसरी कनेक्ट आईपीएस ह्याक गरेर चोरी गरिएको रकम विदेशबाट पठाएको रेमिटेन्सको भुक्तानी गर्न तथा नेपालमै सामान किन्नसमेत प्रयोग भएको पाइएको छ । कतिपय अवस्थामा सामान किनेर भुक्तानी गर्नसमेत यस्तो रकमको प्रयोग भएको पाइएको ब्युरोले जनाएको छ ।
कनेक्ट आईपीएस ह्याक गरी ट्रान्सफर गरिएको रकम दोस्रो तहको बैंक खातामा पठाउने र त्यहाँबाट लिनेहरुमध्ये अधिकांशले कि विदेशबाट पठाएको रकमका रुपमा पाएको वा सामान बिक्री गर्दा प्राप्त भएको रकम रहेको पाइएको छ । यद्यपि ब्युरोले कतिपय खाता धनीलाई स्रोत पुष्टि गर्न भनेको छ । अन्यथा उक्त रकम तिर्नुपर्ने भन्दै चेतावनीसमेत दिएको पाइएको छ ।
कसरी हुन्छ चोरी ?
अनुसन्धानमा खुलेअनुसार, द अलर्ट वा एटी अलर्टका नाममा विभिन्न व्यक्तिहरुलाई बल्क एसएमएस जाने गरेको छ । सोही बल्क एसएमएसमा गिरोहले फिसिङ लिंक पठाएर कनेक्ट आईपीएसको जस्तै नक्कली वेभसाइट बनाएर कनेक्ट एलपिएस बनाउँछ । अनि कनेक्ट आईपीएस वा बैंक अकाउन्ट सस्पेन्ड भएको भन्ने म्यासेज पठाएर पुनः सुचारु गर्न लिंकमा क्लिक गर्न भनिन्छ । जब लिंकमा क्लिक गरिन्छ, तब फिसिङ साइटको होम पेजमा पुगिन्छ, जुन झट्ट हेर्दा कनेक्ट आईपीएसकै जस्तो लाग्छ ।
त्यहाँ ग्राहकले आफ्नो युजर नेम र पासवर्ड हाल्छन्, जुन युजर नेम र पासवर्ड गिरोहलाई थाहा हुन्छ । उता गिरोहले पनि सोही समयमा तपाईंको युजरनेम र पासवर्ड कनेक्ट आईपीएसको सक्कली वेभपेजमा हानिरहेको हुन्छ ।
त्यसै समयमा तपाईंको मोबाइलमा न्यु ब्राउजर डिटेक्टेड भनेर म्यासेज आउँछ र ओटीपी हान्न भनिन्छ । वास्तवमा त्यो तपाईंले फिसिङ साइटमा क्लिक गर्दाको ओटीपी नभएर गिरोहले क्लिक गर्दाको ओटीपी हुन्छ । उक्त ओटीपी हाल्दा गिरोहले पाउँछन् ।
त्यतिबेला गिरोहले तत्कालै सम्बन्धित व्यक्तिको अकाउन्टबाट रकम ट्रान्सफर गर्दैन । त्यतिबेला खातावालको कनेक्ट आईपीएसमा पहुँच पु¥याएर मात्रै बस्छ र मध्यरात वा खातावाल सम्पर्कभन्दा बाहिर रहने अवस्थामा मात्रै गिरोहले इमेलसमेत परिवर्तन गरी ओटीपी खातावालको इमेलमा पनि आउने बनाएर रकम ट्रान्सफर गर्न खोज्छ ।
रकम ट्रान्सफर गर्नका लागि दुईवटा अवस्था रहन्छ । ५ हजार रुपैयाँसम्म ट्रान्सफर गर्न ओटीपी चाहिँदैन, तर खातावालले राखेको ६ अंकको ट्रान्जेक्सन पिन भने अत्यावश्यक नै हुन्छ । अनि ५ हजार रुपैयाँभन्दा बढी रकम ट्रान्सफर गर्न भने खातावालको मोबाइल र इमेल ठेगानामा समेत ओटीपी आउँछ र त्यहाँ पहिले ट्रान्जेक्सन पिन हालिसकेपछि ओटीपी पनि हाल्नुपर्ने हुन्छ । त्यसपछि मात्रै रकम ट्रान्सफर सम्भव हुन्छ ।
्कसले कसरी चलाउँछ द अलर्ट र एटी अलर्ट ?
द अलर्ट भन्ने बल्क एसएमएस सेवा स्प्यारो एसएमएस नामक कम्पनीले लिएको छ । उक्त सेवाबाट एकैपटक धेरै व्यक्तिलाई म्यासेज पठाउन सकिन्छ । द अलर्ट म्यासेजको सेवा दिने स्प्यारो एसएमएसले पनि उक्त सेवाहरु विभिन्न कम्पनीहरुलाई बिक्री गरेको पाइएको छ । यसरी बिक्री गरेको सेवामध्ये कुनै एक कम्पनीको युजरनेम र पासवर्ड ह्याक गरी गिरोहले विभिन्न व्यक्तिलाई एसएमएस पठाएको पाइएको छ ।
यता, यस्तै प्रकृतिको म्यासेज एटी अलर्टबाट पनि आएको छ । आकाश टेक्नोलोजीले लिएको यो सेवामा पनि अन्य कम्पनीहरुलाई बिक्री गर्ने गरेको हुँदा कसरी म्यासेज गयो भन्दा उनीहरुको सेवा पनि ह्याक भएको भन्ने जवाफ दिइन्छ । यस्तो सेवामा गेटवे दिने टेलिकम र एनसेल वा लिने माउ कम्पनीले भने अहिलेसम्म स्पष्ट जवाफ दिएको छैन ।
(Visited 33 times, 1 visits today)