काठमाडौं । चिनियाँ ह्याकरले नेपाली बैंक ह्याक गर्नु तीन दिन अघिमात्र जर्मनीको एक बैंक पनि यसैगरी ह्याक गरेर रकम लुटिएको खुलेको छ । ब्राजिलियन ह्याकरले जर्मनीको ओल्डेनबर्हिसा ल्याड्स बैंकबाट १८ करोड ७६ लाख ५० हजार लुटेका हुन् । जर्मन बैंक चोरी भएको र नेपाली बैंकहरु चोरी भएको तरिका एउटै भए पनि प्रकृति भने फरक देखिएको छ । ह्याकरहरुले ७ वटा नेपाली बैंकको रकम लुटेको पाइएको छ ।

ती बैंकहरु प्रभु, माछापुच्छ्रे, ग्लोबल आईएमई, जनता, एनआईसी एशिया, सनराइज र सिटिजन्स रहेको अनुसन्धान समितिले तयार पारेको रिपोर्टमा उल्लेख छ ।

यी बैंकको रकम अन्य बैंकको एटीएम प्रयोग गरि निकालिएको देखिएको छ । ह्याकरले नेपाल एसबीआई, कुमारी, नेपाल इन्भेष्टमेन्ट, नबिल, मेगा र एभरेष्टलगायत १७ बैंकको एटीएम मेसिन प्रयोग गरेको प्रारम्भिक अध्ययनले देखाएको छ । यसबाहेक भारतका एसबीआई, एक्सिस, एचडीएफसी, कोटाक महिन्द्रालगायत २४ बैंकबाट रकम निकालिएको देखिएको छ ।

नेपालका विभिन्न सातवटा बैंकबाट रकम चोरी भइरहेकै बेला भारतबाट पनि नेपाली बैंकको रकम चोरी भएको खुलेको हो ।

नेपाल राष्ट्र बैंकको प्रारम्भिक अनुसन्धानबाट नेप्समा आवद्ध सदस्य बैंकहरुको क्लोन भिसा कार्ड प्रयोग गरी भारतका २४ बैंकको एटीएम मेसिन प्रयोग गरी एक करोड पाँच लाख ८७ हजार दुई सय भारतीय रुपैयाँ निकालेको पाइएको छ ।

यसरी १३२ एटीएमबाट नेपाली रुपैयाँ एक करोड ६९ लाख ३९ हजार पाँच सय २० रुपैयाँ निकालेको पाइएको हो । नेपालका जम्मा सातवटा बैंकबाट ३ करोड ५८ लाख ८४ हजार २० रुपैयाँ बराबर रकम चोरी भएको नेपाल राष्ट्र बैंकले जनाएको छ ।

यो रकम सातवटा विभिन्न बैंकको हो । जसमा १७ वटा बैंकका ६८ वटा एटीएम प्रयोग गरेको देखिन्छ । तर कुन बैंकको कति रकम लुटियो भन्ने बारे सार्वजनिक गरिएको छैन ।

यो चोरी भदौ १४ गते (अगस्ट ३१) मा भएको थियो । यसअघि अगस्ट २७ मा जर्मनीको बैंक लुटिएको थियो । बैंकको मास्टर कार्डको सूचना चोरेर २ हजार जना उपभोक्ताको नक्कली कार्ड बनाएर रकम निकालिएको थियो । नेपालमा भने भिसा कार्ड प्रयोग गर्दा सूचना एप्रुभल गराउने क्रममा मालवेयर प्रयोग गरिएको आशंका गरिएको छ ।

यसो त दुवै घटनामा चिप कार्ड र म्याग्नेटिक कार्ड प्रयोग गरिएको देखिन्छ । जसअनुसार जर्मन बैंकमा उपभोक्ताको खाताबाट रकम डेबिट भएको (झिकिएको) देखिन्छ भने नेपालमा त्यस्तो भएको हालसम्म खुलेको छैन । नेपालमा हालसम्मको अनुसन्धानले सूचना स्विच वा बैंकबाट चोरिएको देखाउँछ भने जर्मन बैंकको प्रयोगकर्ताको सूचना कार्डबाट नै क्लोनन भएको देखिन्छ । यस्तो किसिमको घटना नेपालमा भइसकेको छ ।

जर्मनीमा भएको घटनामा लुटिएका उपभोक्ताको रकम बैंकले फिर्ता गरिसकेको छ भने कार्ड ब्लक गरेर उपभोक्तालाई नयाँ कार्ड प्रदान गरिएको छ । नेपालमा भने हालसम्म अन्तर बैंक कारोबार मात्र बन्द गरिएको छ ।

प्रारम्भिक अनुसन्धानबाट भिजा इन्टरनेसनलसँग आवद्ध नेप्सका सदस्य बैंकहरुको क्लोन गरिएको डेबिट तथा क्रेडिट कार्ड प्रयोग गरी गत शनिबार बिहान ११ः०० बजे देखि साँझ ४ः३५ सम्ममा नेपालबाट  १ करोड ८९ लाख ४४ हजार ५ सय रुपैयाँ र भारतबाट १ करोड ६९ लाख रुपैयाँ गरी कुल नेपाली रुपैयाँ ३ करोड ५८ लाख ८४ हजार २० रुपैयाँ बराबरको रकम झिकिएको पाइएको छ ।

यद्यपि उक्त समय भएको कारोबारमध्ये केही कारोबार वास्तविक रहेको पाइएको छ । तर थप अन्य कारोबारहरुको प्रमाणिकरण गर्ने कार्य भई रहेकोले क्षति भएको रकम सो भन्दा केही कम हुन सक्ने अनुमान राष्ट्र बैंकको छ ।

राष्ट्र बैंकको अनुमानअनुसार भिजा नेटवर्क वा नेप्स स्विच वा दुई प्रणालीबीच कही कतै कसैले अनधिकृत रुपमा नियन्त्रणमा लिई उल्लेखित कपटपूर्ण कारोबार हुन गएको अनुमान राष्ट्र बैंकको छ । यस सम्बन्धमा फरेन्सिक विज्ञबाट प्रतिवेदन प्राप्त नगरी केही भन्न नसकिने नेपाल राष्ट्र बैंकका कार्यकारी निर्देशक बमबहादुर मिश्रले बताए ।

‘फलब्याक कारोबार’ गरेर रकम चोरियोः अनुसन्धान समिति

राष्ट्र बैंकका कार्यकारी निर्देशक मिश्रको नेतृत्वमा गरिएको अनुसन्धानले केही नयाँ आयाम थपेको छ । अनुसन्धानले ‘फलब्याक कारोबार’ गरेर रकम चोरिएको शंका पनि गरेको छ ।

नेपाल तथा नेपालबाहिर (भारत)बाट ठूलो मात्रामा रकम अनधिकृत रुपमा निकालिनुको कारण कार्ड जारी गर्ने संस्थाले फलब्याक कारोबार स्वीकार गर्नु पनि रहेको अनुसन्धानमा संलग्न अधिकारीले बताएका छन् । समितिको प्रारम्भिक प्रतिवेदनमा रकम चोरी म्याग्नेटिक स्ट्राइपका कारण भएको जनाएको छ ।

इस्युअरले चिपमा आधारित कार्ड स्वीकार नगरेको अवस्थामा म्याग्नेटिक स्ट्राइपका माध्यमबाट कारोबार गर्न अनुमति दिने भएकाले रकम चोरिएको उनले बताए । चिप स्वीकार गर्ने प्रविधि नभएको अवस्थामा चिपमा आधारित कार्ड म्याग्नेटिक स्ट्राइप कारोबारमा फल ब्याक हुने कारोबारलाई फलब्याक कारोबार भनिन्छ ।

नेपाली बैंक तथा वित्तीय संस्थाको एटीएममा मात्र नभएर यस्ता संस्थाले जारी गरेका डलर कार्ड विदेशी टर्मिनलमा म्याग्नेटिक स्ट्राइपका आधारमा कारोबार हुने गर्छन् । यसले कार्डको सुरक्षा झनै कमजोर बनाउँछ ।

समितिले नेपालका बैंक तथा वित्तीय संस्थाहरुबाट जारी भएका नेपाली मुद्राका डेबिट तथा क्रेडिट कार्डहरु अब उप्रान्त अनिवार्य रुपमा प्राप्ति गर्ने र जारी गर्ने दुवै संस्थातर्फ चिप र पिनको माध्यमबाट मात्र कारोबार हुने व्यवस्था मिलाउन सुझाव दिएको छ । नेपाल बाहिर यस्तो कार्ड प्रयोग हुँदा नेपालका कार्ड जारी गर्ने बैंकले फलब्याक कारोबार स्वीकार नगर्ने व्यवस्था मिलाउनु पर्ने सुझाव समितिको छ ।

यसैगरी नेपाली बैंक तथा वित्तीय संस्थाहरुले जारी गरेका डलर कार्डको हकमा विदेशी एटीएम वा पीओएसमा प्राप्ति गर्दा म्याग्नेटिक स्ट्राइपको फलब्याक कारोबार नहुने व्यवस्था मिलाउनु पर्ने सुझाव दिइएको छ भने बैंक तथा वित्तीय संस्थाबाट यसअघि जारी भएका सबै म्याग्नेटिक स्ट्राइप कार्ड (नन–चिप कार्ड) ३ महिनाभित्र चिपमा आधारितद्वारा विस्थापन गर्ने व्यवस्था मिलाउनु पर्ने सुझाव दिइएको छ ।

यसैगरी नेपालमा सञ्चालनमा रहेका सम्पूर्ण एटीएम मेसिन र पीओएस मेसिनलाई ३ महिनाभित्र चिप र पिन स्वीकार गर्न सक्ने गरी सक्षम बनाउन आवश्यक व्यवस्था मिलाउनु पर्ने सुझाव दिएको छ ।

यस्तै हाल घटेको घटनाहरुको फरेन्सिक विज्ञद्वारा सुक्ष्म अध्ययन तथा विश्लेषण गरी प्राप्त  सुझावहरु कार्यान्वयन गर्नुपर्ने, इजाजतपत्रप्राप्त बैंक तथा वित्तीय संस्थाहरु, भुक्तानी सेवा प्रदायक कम्पनीलाई आ–आफ्नो सूचना प्रविधि तथा इलेक्ट्रोनिक माध्यमबाट हुने भुक्तानी प्रणालीको जोखिम मूल्यांकन गरी जोखिम न्यूनीकरणका आवश्यक उपायहरु अवलम्बन गर्न निर्देशन दिनुपर्ने सुझाव पनि समितिको छ र त्यसबाहेक कार्ड प्रणालीलगायत भिसा, मास्टर कार्डको हिसाब मिलान अनिवार्य रुपमा कारोबार भएको अर्को दिनभित्र गर्ने व्यवस्था मिलाउनु पर्ने सुझाव पनि समितिको छ ।

समितिले दिएको अर्को सुझाव यस्ता संस्थाले साताभर चौबिसै घण्टा सुरक्षा अपरेसन केन्द्र सञ्चालन गरी सूचना प्रविधिको क्षेत्रमा उत्पन्न हुन सक्ने जोखिमहरुलाई नियमित रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने रहेको छ ।

यस्तै निम्न सुझाव दीर्घकालमा कार्यान्वयन गर्न आग्रह गरिएको छ ।

–     कार्डसँग सम्बन्धित नेटवर्क र सिस्टमको सुपरिवेक्षण नियमित रुपमा गर्नु पर्ने ।

–     कार्डसँग सम्बन्धित सूचना प्रणालीको वार्षिक रुपमा अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।

–    कार्डसँग सम्बन्धित प्रणालीको भीएपीटी अर्धपार्षिक रुपमा गर्ने व्यवस्था मिलाउनु पर्ने ।

–    कार्डसँग सम्बन्धित प्रणालीको जोखिम मूल्यांकन त्रैमासिक रुपमा गरी सम्बन्धित बैंकको जोखिम व्यवस्थापन समितिमा छलफल गर्ने व्यवस्था मिलाउनु पर्ने ।

–    एटीएम कक्षमा जडित सीसीटीभीको नियमित रुपमा केन्द्रीकृत रुपले अनुगमन गर्ने व्यवस्था मिलाउनु पर्ने । साथै, यस्तो अनुगमन शनिबार लगायत अन्य विदाको दिनमा समेत नियमित रुपले गर्ने व्यवस्था मिलाउनु पर्ने ।

–    इजाजतपत्रप्राप्त वित्तीय सेवा प्रदायक संस्थाहरुले साईबर सेक्युरिटीको जोखिमबाट हुन सक्ने सम्भावित नोक्सानी न्यूनीकरण गर्न साइबर सेक्युरिटी बीमा गर्नु पर्ने व्यवस्था मिलाउनु पर्ने ।

–    कार्डबाट हुने कारोबारको सीमा नियन्त्रणका लागि भिसा, मास्टरकार्ड लगायत अन्य भुक्तानी प्रणाली सञ्चालकहरुबाट सबै बैंक तथा वित्तीय संस्थाहरुले कारोबारको सीमा निर्धारण गर्ने सेवा लिनुपर्ने व्यवस्था मिलाउनु पर्ने ।

–    ती संस्था ले प्रिभिलेज एक्सेस म्यानेजमेन्ट प्रयोग गरी सूचना प्रविधि प्रणालीको महत्वपूर्ण पूर्वाधार सुरक्षित राख्ने व्यवस्था मिलाउनु पर्ने ।

–    पेमेन्ट कार्ड इन्डस्ट्रि र डेटा सेक्युरिटि स्ट्यान्डर्ड पालना गर्ने र एटीएम स्विच सञ्चालन गर्ने बैंकहरुले वार्षिक रुपले पीसीआई–डीएसएस अडिट गर्ने व्यवस्था मिलाउनु पर्ने ।