काठमाडौं । शनिबार काठमाडौंका केही बैंकमा नक्कली भिसा कार्डमार्फत करोडौं रुपैयाँ बैंकबाट लुटिएको घटना सार्वजनिक भयो । काठमाडौंका विभिन्न बैंकका एटीएम प्रयोग गरेर रकम लुटिँदै गर्दा समातिएका एकजना चिनियाँ नागरिकका माध्यमबाट ६ जना चिनियाँ तथा ३ नेपाली समातिएका छन् ।
केही बैंकरले समयमा सूचना प्राप्त गरेपछि प्रहरीसँगको समन्वयमा अघि बढ्दा करोडौं रकम जोगिएको छ भने केही पक्राउ पनि परे ।

कार्डबाहक बैंकबाट एप्रुभल नै नलिइ अर्को बैंकको एटीएम मेसिन प्रयोग गरेर १ करोड ६८ लाख रुपैयाँ चोरी भएको तथ्य बाहिरिएको भए पनि कम्तिमा पनि साढे तीन करोड रुपैयाँ काठमाडौंका बैंकबाट निकालिएको हुन सक्ने आशंका गरिएको छ । काठमाडौं प्रहरी परिसरका प्रवक्ता होविन्द्र बोगटीले अहिले घटनाको अनुसन्धान जारी रहेको जानकारी दिँदै सबै कुरा सार्वजनिक गर्न नमिल्ने बताए ।

यो घटनाका कारण बैंकका सेवाग्राहीले केही समय एटीएम प्रयोग गर्न पाएनन् भने बैंकहरुले पनि विशेष सतर्कता अपनाए । ह्याकरहरुले बैंकलाई नसोधी तथा आफैंले बनाएको (चोरेको) डाटाबेस प्रयोग गरेर रकम निकालेका थिए । रकम चोरी गर्ने क्रम तबसम्म जारी रह्यो जबसम्म बैंकका कर्मचारीलाई एटीएमबाट चाँडोचाँडो रकम सकिएको जानकारी भएन ।

जब जानकारी भयो त्यसबेलासम्म रकम निकालिसकेका थिए ।

एउटा एटीएममा ३५ लाख रुपैयाँसम्म राख्ने स्पेस हुन्छ । तर, बैंकहरुले २० देखि २५ लाख रुपैयाँ हाराहारीमा एटीएममा पैसा राख्ने गरेका छन् । बिदाको दिन एटीएमबाट रकम अस्वाभाविक रुपमा निकालिँदै गरेको सूचना प्राप्त भएपछि बैंकले एटीएमको गतिविधि नियमित रुपमा निरीक्षण गरिरह्यो । त्यतिबेर शनिबारको दिन २–३ बजेको हुँदो हो ।

नबिल बैंकको एटीएमका सूरक्षा गार्डले बैंकलाई खबर गरेपछि नबिलले प्रभु बैंकलाई खबर गर्यो । सन्देश थियो, “तपाईंको बैंकको कार्ड प्रयोग गरेर अस्वाभाविक रुपमा एटीएमबाट रकम निकालिँदै छ ।” यति कुरा जानकारी पाएपछि प्रभु बैंकका एकजना उच्च कर्मचारीले काठमाडौं प्रहरी परिसरका प्रवक्ता होबिन्द्र बोगटीलाई खबर गरेका थिए ।

प्रहरीको टोली त्यहाँ पुग्दा बैंकका गार्डले एटीएम मेसिनबाट रकम निकाल्दै गरेका चिनियाँ नागरिकलाई रोकेर राखेका थिए ।

प्रहरीले पनि निकै अग्रसरता देखायो । खबर गरेको केही मिनेटमै प्रहरी घटनास्थलमा पुग्यो । त्यहीँ बरामद भयो चिनियाँ नागरिकको झोला, केही रकम र उनीहरु बसेको होटलको चाबी । होटलको नाम थियो, माया मनोहर बुटिक होटल, नक्साल ।

प्रहरीले सोही होटलबाट भाग्न ठीक्क परेका अरु चारजनालाई पनि समात्यो र साथबाट नेपाल र विदेशी मुद्रा गरी करिब डेढ करोड रुपैयाँ बरामद गर्यो ।

कसरी गरे ह्याक ?

ह्याकरले एटीएम कार्ड प्रयोग भएको बैंकलाई नै नसोधी रकम निकालेको देखिएको छ । उनीहरुले नेप्सको स्विचअगाडि नै ‘मालवेयर’ प्रयोग गरी सबै सूचना ‘सत्य’ छ भन्न कम्प्रोमाइज गराएको पाइएको छ । एटीएममा कार्ड हालेपछि प्रविष्ट गरिएको सूचना भिसा, स्विच र सम्बन्धित कार्डबाहक बैंकबाट ‘एप्रुभल’ गराउनुपर्ने हुन्छ ।

जसक्रममा एटीएमले सुरुमा भिसामा सूचना पठाउँछ । त्यसपछि भिसाले स्विचमा सूचना पठाउँछ । स्विचले सम्बन्धित बैंकमा खबर गरेर रकम निकाल्ने अनुमति दिन्छ । यसक्रममा भिसा, स्विच र बैंक गरी तीनै एटीएम मेसिनमा हालिएको सूचना सही हो कि हैन भेरिफाइ गरिन्छ ।
तर, यो घटनामा भिसाबाट स्विचमा सूचना पठाउने क्रममा बीचैमा ‘एट्याक’ गरेर प्रणालीलाई कम्प्रोमाइज गराइएको देखिन्छ ।

यसको अर्थ गलत सूचना भए पनि स्विचले त्यो सूचनालाई ‘सत्य’ हो भनिरह्यो । स्विचले यसरी बैंकलाई जानकारी नै नगराइ रकम निकाल्ने अन्मति दियो । स्विचले अनुमति दिएपछि एटीएम मेसिनले धमाधम पैसा दिन थाल्यो । तर, बैंकलाई जानकारी नै भएन ।
सोहीकारण नक्कली कार्डमात्र भए पनि चाहेजति रकम निकालियो ।

एटीएमबाट रकम निकाल्न प्रयोग गरिएको सबै एटीएम कार्डको पिन नम्बर थियो, ६६६६ । स्रोत भन्छ, “ह्याकरले आफैंले बनाएको डेटाबेसका आधारमा स्विचबाट एप्रुभल लिएको देखिन्छ ।”  यसरी ह्याक भएको डेटा नेप्सबाट एक्स्ट्र्याक्ट गरिएको देखिन्छ ।
स्विचमा नपुग्दै मालवेयर राखिँदा एउटै कार्डबाट ७० पटकसम्म रकम निकालिएको पाइएको छ ।

तर एकदिनमा एउटा कार्डबाट पाँचपटकसम्म मात्रै रकम निकाल्न मिल्छ । यसरी धेरैपल्ट, धेरै रकम र गलत पिन नम्बर प्रयोग गरिए स्विचले अनुमति नदिनुपर्ने हो तर स्विच नै ह्याक भएकाले समस्या निम्तिएको स्रोतले बाह्रखरीलाई बतायो । स्विचले प्रणालीमा रहेको खाता नम्बर चेक गर्नुपर्ने थियो, त्यो गरेन । ब्यालेन्स चेक गर्नुपर्ने थियो, त्यो गरेन । पिन चेक गर्नुपर्ने थियो, त्यो पनि गरेन ।

कमजारी कसको ?

नेपाल इलेक्ट्रिोनिक पेमेन्ट सिस्टम– एनईपीएस (नेप्स) वाणिज्य बैंकको कन्सोर्टिमबाट बनेको गैरसरकारी भुक्तानी प्रणाली हो । हाल यस कम्पनीमा १५ वटा वाणिज्य बैंक तथा विकास बैंक आवद्ध छन् । कार्ड इस्युमा रेडिमेड समाधान दिन, विभिन्न डेलिभरि च्यानलमार्फत् कारोबार एक्वायर गर्ने, भुक्तानीप्रदायक संस्थाहरुबीच सम्बन्ध स्थापना गर्ने, कारोबारको सेटलमेन्ट गर्ने र यी विषयमा सुरक्षा प्रदान गर्ने उद्देश्यसहित नेप्सको स्थापना गरिएको हो ।

अहिले एटीएम ह्याकको घटनामा नेप्सेको कमजोरी रहेको पाइएको छ । १५ बैंक आवद्ध प्रणाली र संस्थाले सुरक्षामा जति ध्यान दिनुपर्ने थियो त्यति नदिइएको बताइएको छ । यसमा आवद्ध बैंकको ग्राहक संख्या करिब ५० लाख छन् ।  एकजना पूर्वबैंकरले भने, “भारतमा एक वर्षअघि यस्तै प्रकारले चोरी भएको थियो । पुणेको कसमस बैंक पनि अहिले नेप्सेले नै प्रयोग गर्ने ‘बीपीसी’ नाम गरेको स्विच ह्याक गरिएको थियो ।” बीपीसीमा आधारित भएर भिसा र रुपे कार्डको भुक्तानी गेटवे सञ्चालित हुन्थ्यो ।

उनका अनुसार भारतमा नेप्सकै स्विच ह्याक गरिए पनि नेप्सले सावधानी अपनाएन । सतर्कता अपनाएको भए यो क्षति नहुने दाबी उनी गर्छन् । इकोनोमिक टाइम्स अफ इन्डियाका अनुसार भारतमा २ दिनमा ९४ करोड भारतीय रुपैयाँ निकालिएको थियो । जसमध्ये ७८ करोड रुपैयाँ भारत, क्यानाडा, हङकङलगायत २८ देशमा रहेको एटीएमबाट निकालिएको थियो ।

नेपालमा भने प्रारम्भिक अनुसन्धानबाट २५ जना प्रयोग गरिएको आशंका गरिएको छ भारतको उक्त बैंकको रकम चोरी गर्न २५ हजार जना परिचालन गराइएको थियो । यसो त, अहिलेको ह्याकको तयारी ७–८ महिनाअघिदेखि गरिएको पनि खुलेको छ । ७–८ महिनाअघि राष्ट्र बैंकको नाममा आएको जस्तो देखिने गरि एउटा इमेल प्राप्त भयो, जसमा सोधिएको थियो, “तपाईंहरुको डेटा ‘एआईएक्स’ नाम गरेको सर्भरमा छ कि छैन ?”

अहिले बुझ्दा नेप्सेको डेटा एआईएक्स सर्भरमा रहेको देखिएको छ ।

टरेको सम्भावित क्षति
अनुसन्धानमा संलग्नहरुका अनुसार नेपालबाट करिब साढे ३ करोड रुपैयाँ हाराहारीमा रकम निकालेको देखिन्छ । भारतबाट पनि रकम निकालेको आशंका गरिएको छ । सुरुमा नबिल बैंकमा रकम सकिएको सकियै गरेको देखियो । त्यसपछि माया मनोर बुटिक होटल वरपर अधिकांश बैंकको एटीएमबाट निकाल्ने क्रम बढेको अनुसन्धानमा देखिएको छ ।

तत्कालै विज्ञहरुले अध्ययन विश्लेषण गर्दा उनीहरुले डेटा चोर्न मालवेयर नै प्रयोग गरिएको देखियो । यसबाट ७ महिनाअघि प्राप्त भएको इमेल ‘रेकि’जस्तो रहेको आशंका अहिले गरिएको छ । त्यो इमेल नै मालवेयर पठाउने माध्यम बनेको हुन सक्ने आशंका बैंकरहरुको छ । ह्याकरहरु कम्तिमा पनि ९–१० करोड रुपैयाँ लुट्न नेपाल आएको आशंका बैंकरहरुको छ । उनीहरुले निकै ठूलो लगानी गरेको प्रिन्ट भएको कार्ड तथा उनीहरुबाट बरामद भएको सामग्रीबाट प्रमाणित हुन्छ ।

खतरा कायमै छ !
ह्याक गरिएको प्रविधि अझै प्रयोग गर्दा अझै रकम हराउने खतरा कायमै छ । किनकि ह्याक गरिएको डेटा ह्याकरसँग अझै छ । नेप्सेले पुरानै स्विच तथा सर्भर प्रयोग गरेको छ । नेपालबाट केही डर भए पनि भारतबाट अझै पनि धेरै रुपैयाँ निकाल्न सकिन्छ । प्रहरीले प्रभुसँगै जनता बैंक, एनआईसी एशिया बैंक, सनराइज बैंक र ग्लोबल आईएमई बैंकको नक्कली कार्ड प्रिन्ट भएको फेला पारेको छ । जसमध्ये प्रभु बैंक २ महिनाअघिमात्र नेप्समा आवद्ध भएको हो ।