এটিএম হ্যাকিং
দেখুন থিংকের ভিডিও হ্যাকিং কীভাবে করে? অনলাইনে কীভাবে নিরাপদে থাকবেন?
২০১৯এ বাংলাদেশের কিছু পত্রিকায় এই ধরণের একটা খবর এসেছিল:
"ডাচ্-বাংলা ব্যাংকের রাজধানীর বাড্ডার অটোমেটেড টেলার মেশিনের (এটিএম) বুথ থেকে টাকা তোলা হলেও এর কোনো রেকর্ড ব্যাংকের সার্ভারে নেই। এমনকি কোনো গ্রাহকের হিসাব থেকেও টাকা কমে যায়নি। এমনটি আর কখনো দেখা যায়নি। গত শুক্রবার রাত সাড়ে ১১টার দিকে ব্যাংকটির বাড্ডা বুথের দুটি এটিএম বুথ থেকে দুই বিদেশি নাগরিক বিভিন্ন কার্ড ব্যবহার করে একাধিকবার টাকা উত্তোলন করেন।"
বণিকবার্তা লিখেছে, “সেই টাকা কোনো
গ্রাহকের অ্যাকাউন্ট থেকে নেওয়া হয়নি। ওই টাকা নেওয়ার কোনো রেকর্ডও ব্যাংকের মূল
সার্ভারে লিপিবদ্ধ হয়নি। কিন্তু ব্যাংক কর্তৃপক্ষ দেখেছে, ওই বুথ থেকে তিন লাখ টাকা খোয়া গেছে। ঠিক কী ধরনের প্রযুক্তি ব্যবহার
করে এই চুরি হয়েছে, তা এখনও পুলিশ বা ব্যাংক কর্তৃপক্ষ
জানতে পারেনি।”
দুঃখের কথা, এক বছরের বেশি আগেই এই
সম্পর্কে বিস্তারিত খবর এসেছে। এটিএম প্রস্তুতকারী ডিবোল্ড (Diebold) এর একটা নিরাপত্তা মেমোতে এই ব্যাপারে বিস্তারিত বলা হয়েছে ২০১৮-র জানুয়ারীতে।
এই চুরি বুঝতে এটিএম কীভাবে কাজ করে, সেটা
প্রথমে বোঝা লাগবে। এটিএম এর যে অংশগুলি আমরা বাইরে থেকে দেখতে পারি, সেগুলি হচ্ছেঃ
- কার্ড রিডার। এটা কার্ড থেকে কার্ডের নাম্বারটা পড়ে নেয়
- কি-প্যাড। এখানে ব্যবহারকারী তার পিন টাইপ করেন
- স্ক্রিন। এটা ব্যবহারকারীকে বিভিন্ন তথ্য দেখায়
- প্রিন্টার। ব্যবহারকারীকে রসিদ দেয়
যে অংশগুলি দেখা যায় নাঃ
-
ক্যাশ ডিসপেন্সার। এটা একটা ড্রয়ারের মত, যেখানে বিভিন্ন খোপে বিভিন্ন মানের টাকার নোট থাকে
-
কম্পিউটার এবং নেটওয়ার্ক। এটিএম চালানোর নির্দেশনা, এবং ব্যাংকের সার্ভারের সাথে যোগাযোগের কাজ করে।
একজন ব্যবহারকারী যখন টাকা তুলতে যান, তখন
মোটাদাগে এই কাজগুলি হয় বলা যেতে পারেঃ
-
ব্যবহারকারী কার্ড ঢোকালেন, এবং তার পিন
দিলেন এবং কত টাকা চান, তাও দিলেন
-
নেটওয়ার্কের মাধ্যমে তা ব্যাংকের সার্ভারে গেল। যদি কার্ডের
নাম্বারের সাথে পিন মেলে, এবং অ্যাকাউন্টে যথেষ্ট টাকা
থাকে, তাহলে সার্ভার গ্রাহকের অ্যাকাউন্ট থেকে এই তুলে
নেয়া টাকার পরিমাণ বিয়োগ করবে।
তারপর সার্ভারটা এটিএমএর কম্পিউটারটাকে নির্দেশ দেবে
সমপরিমান টাকা মেশিন থেকে বের করে দেয়ার জন্য। তারপর এটিএমএর কম্পিউটার ক্যাশ
ডিসপেন্সারকে নির্দেশ দেবে,
যাতে টাকা বের হয়ে আসে।
উপরের প্যারাগ্রাফটা খেয়াল করুন। সার্ভার বলছে এটিএমএর
কম্পিউটারকে,
কম্পিউটার বলছে ক্যাশ ডিসপেন্সারকে।
মনে করুন, একটা ছেলে বন্ধুদের সাথে খেতে যাবে। সে মা কে গিয়ে
বলল,
মা, খেতে যাব, ৫০০
টাকা দাও। মা বললেন, বাবাকে গিয়ে বল। ছেলে বাবাকে বলল,
বাবাও তাকে টাকা দিলেন।
এখন কেউ যদি কম্পিউটারটাকে হ্যাক করে, যাতে
সে সরাসরি কম্পিউটারকে বলতে পারে ক্যাশ ডিসপেন্সারকে নির্দেশ দিতে? এখানে ঠিক তাই হচ্ছে।
এটা হয়ে গেল, ছেলে বাবাকে গিয়ে বলে, মা
বলেছে ৫০০ টাকা দিতে। মা আসলে বলেন নাই, মা জানেনই না যে
তার নাম ভাঙ্গিয়ে ছেলে টাকা নিচ্ছে।
এটিএম এর বাক্স খুলে, বা দরকার হলে ড্রিল
দিয়ে ছিদ্র করে, কম্পিউটারটাতে সরাসরি সংযোগ নিচ্ছে
দুর্বৃতরা। কোন কোন ক্ষেত্রে তারা কম্পিউটারের হার্ড ডিস্ক খুলে নিজেদের সফটওয়ার
বসানো নতুন হার্ড ডিস্ক বসাচ্ছে।
তারপর যেহেতু কম্পিউটারের নিয়ন্ত্রন তাদের হাতে, তাই
তারা নিজেদের ইচ্ছামত ক্যাশ ডিসপেন্সারকে টাকা বের করার নির্দেশ দিতে পারে,
সার্ভারের সাথে সংযোগ বা অনুমতি ছাড়াই।
স্লট মেশিনে জুয়া খেলার সময় সবচাইতে বড় দান জেতার নাম
জ্যাকপট জেতা--ঝরঝর করে টাকা বের হয় তখন। সেটা থেকে এই চুরির নাম জ্যাকপটিং।
এটার জন্য কয়েকটা সফটওয়ার আছে, এর
মধ্যে নতুনটার নাম উইনপট। চোররা সেটা বানিয়েছে অনেকটা স্লট মেশিনের মত করে (তাদেরও
নিশ্চয় মজা করতে ইচ্ছা হয়)
কীভাবে ব্যাংকগুলি এটা বন্ধ করতে পারে? কঠিন
কিছু নাঃ এটিএম মেশিননের বাক্স যাতে যথাযত লোক ছাড়া খোলা না যায়, সেই ব্যাবস্থা করলেই হবে। শুধু স্ক্রীন, কার্ড
রিডার আর কি-প্যাড বাদে বাকি সবকিছু ইটের দেয়ালের পেছনে
রাখলেই সেটা করা সম্ভব। এছাড়া ভাল অ্যান্টি-ভাইরাস বসাতে
হবে (হার্ড ডিস্ক বদলে ফেললে সেটাতে কাজ হবে না)। হার্ড ডিস্ক বদলে ফেললে যাতে কাজ না করে, সেজন্য
ক্যাশ ডিসপেন্সারের সাথে এনক্রিপটেড যোগাযোগ রাখতে হবে।
বাংলাদেশের ডিজিটাল
নিরাপত্তা ব্যাবস্থা যে দূর্বল, এটা বিদেশী সাইবারঅপরাধীরা ভাল মতই জেনে গিয়েছে এবং তারা সেটার
সূযোগ নিচ্ছে। আশাকরি ব্যাংকগুলি এই ব্যাপারে আরো যত্নবান এবং সাবধান হবে।
কাসপারেস্কি-র সৌজন্যে পাওয়া এই ছবিতে এটিএম জ্যাকপটিং কীভাবে করা হয় সেটা দেখানো হয়েছে
