बैंकिङ खबर/ हालै मात्र नेपालको बैंकिङ क्षेत्रमा नयाँ खालको ह्याकिङ भएको छ । सफ्टवेयर तथा प्रविधि विकासमा काम गर्ने एफवान सफ्ट कम्पनीको बैंक खाताबाट ह्याकरले तीन करोड ४२ लाख रुपैयाँ चोरी गरेका छन् । कम्पनीको अनलाइन बैंकिङ प्रणाली ह्याकिङ गरी खाताबाट पैसा चोरी भएको हो ।
सिटिजन्स बैंक इन्टरनेसनलमा रहेको खातामा भएको यस्तो ह्याकिङमा अन्तर्राष्ट्रिय समूह संलग्न रहेको आशंका गरिएको छ । कम्पनीको उजुरीका आधारमा प्रहरीले घटनाको अनुसन्धान अघि बढाएको छ । एफवान सफ्ट इसेवा, फोनपेजस्ता चर्चित मोबाइल वालेट तथा डिजिटल भुक्तानी सञ्चालन गर्ने कम्पनी हो । कम्पनीले सफ्टवेयर तथा प्रविधि विकास गरी बिक्री– वितरणको भुक्तानी सो खातामा जम्मा गर्दै आएको थियो । दुई महिनाअघि पटक–पटक गरेर सो खाताबाट अनलाइन बैंकिङमार्फत विभिन्न खातामा पैसा ट्रान्सफर भएको हो ।
केही खाताधनीलाई पक्राउ गरी प्रहरीले अनुसन्धान गरिरहेको छ । अनुसन्धान भर्खरै सुरुवाती चरणमा रहेको साइबर ब्युरोले जनाएको छ । स्रोतका अनुसार कर्पाेरेट बैंकिङ प्रणालीमा अनधिकृत रूपमा पहुँच पु¥याएर खाताबाट रकम चोरी भएको छ । बैंक खाता कसरी ह्याकिङ भयो भन्नेमा प्रहरी, बैंक तथा सो कम्पनीका अधिकारी दुई महिनासम्म अन्योलमा छन् ।
यसरी चोरी गरिएको रकम नेपालमै विभिन्न व्यक्तिको खातामा लगिएको छ । कतिपयको टिकटबापतको रकम भुक्तानी गरिएको छ । वैदेशिक रोजगारीमा रहेकालाई हुन्डीको कारोबार मिलाउन नेपालको खातामा पैसा हालिएकाले यसमा अन्तर्राष्ट्रिय गिरोहकै संलग्नता देखिएको प्रहरीले जनाएको छ । यस्तो खालको बैंकिङ ह्याकिङ नयाँ खालको भएकाले समग्र बैंकिङ क्षेत्रकै लागि समेत चुनौती बनेको छ ।
यो त हालै घटेको बैंकिङ ह्याकिङको प्रतिनिधि घटना मात्रै हो । तर नेपालको बैंकिङ क्षेत्रमा पटक–पटक बैंकिङ ह्याकिङका धम्किहरु आउने गरेको छ ।
दुई वर्ष अघि अपरिचित समूहले कुमारी बैंक लिमिटेडको सिष्टम ह्याक गर्ने चेतावनी दियो। बैंकको सूचना प्रविधि शाखामा साउदी ग्रुप नाम गरेको इमेलबाट ह्याकरले सिष्टम ह्याक गर्ने चेतावनीसहितको इमेल आएको आएको थियो । ह्याक गर्ने धम्की आएपछि बैंकको सबै सिष्टम बन्द नै गरिएको थियो । धम्कीपछि बैंकले एटिएम कार्ड, मोबाइल बैंकिङ एप, इन्टरनेट बैंकिङलगायतका सेवा बन्द गरेको थियो ।
पटक पटक ह्याकको धम्की
नेपालका बैंकहरुलाई यसअघि पनि पटक–पटक ह्याक गर्ने धम्की आउने गरेको छ । केही वर्ष अघि राष्ट्रिय वाणिज्य बैंकलगायतका बैंकलाई सिष्टम ह्याक गर्ने धम्की आएको थियो ।
२०७४ कात्तिक ३ मा एनआईसी एसिया बैंकको स्वीफ्ट कोड ह्याक गरी उत्तर कोरियाली ह्याकर समूह ‘लजारुस ग्रुप’ ले ४६ करोड ५६ लाख ५० हजार ५० रुपैयाँ विदेशका विभिन्न बैंकमा ट्रान्सफर गरेको केन्द्रीय अनुसन्धान ब्युरो (सीआईबी) को अनुसन्धानबाट खुलेको थियो।
केही रकम ह्याकरको हातमा परिसकेको थियो । तर, ट्रान्सफर गरिएका बैंकसँग द्विपक्षीय छलफलपछि बाँकी रकम एनआईसी एसियाकै खातामा फिर्ता आयो ।
प्रहरीको विशेष अपरेसन
२०७६ भदौ र असोजमा नेपाल प्रहरीले बैंक÷वित्तीय संस्थाको सिस्टम ह्याक गरी रकम निकाल्ने गिरोहको पहिचान गर्न विशेष अपरेसन नै चलाएको थियो। नबिल बैंक, कृषि विकास बैंक, कैलाश विकास बैंक, पानस रेमिटलगायत बैंक/वित्तीय संस्थाको सिस्टम ह्याक गरी रकम निकाल्ने गरेको भेटिएपछि प्रहरीले अनुसन्धान अघि बढाएको थियो।
अनुसन्धान पश्चात नेपालका बैंकको सिस्टममा अनधिकृत प्रवेश गरेर रकम निकाल्ने गिरोहका योजनाकार काले भनिने पिटर मुम्बईमा रहेको सूचना प्रहरीले पाएको थियो। पिटरकै योजनामा कृषि विकास बैंक र पानस रेमिटबाट अनधिकृत रूपमा रकम निकाल्ने १२ जनालाई महानगरीय अपराध महाशाखाको टोलीले अपरेसनकै क्रममा पक्राउ गरेको थियो । कृषि विकास बैंक लहान शाखाको ४ करोड ७३ लाख ९६ हजार र पानस रेमिटको १२ लाख रुपैयाँ निकालेको भेटिएको थियो।
२०७६ भदौ १५ गते पनि एटीएमका पिन नम्बर ह्याक गरेर एटीएम बुथबाट रकम चोर्ने ६ चिनियाँलाई महानगरीय प्रहरी परिसर काठमाडौंले पक्राउ गरेको थियो। सूचना प्रविधिविज्ञ सुरेश कर्ण साइबर हमलाका दृष्टिले नेपालका बैंक उच्च जोखिममा परेको र त्यसलाई रोक्न सुरक्षित प्रविधिको प्रयोग, अनुगमन र हार्डवेयर/सफ्टवेयरको नियमित अद्यावधिक अनिवार्य हुनुपर्ने बताउँछन् ।
राष्ट्र बैंकका पूर्वगभर्नर दीपेन्द्रबहादुर क्षेत्री नेपाली बैंकिङ क्षेत्रमा पटकपटक ह्याकको धम्कि आउनु दुःखद् रहेको बताउँछन् । धम्कीलाई सामान्य रुपमा लिन नहुने उनको भनाइ छ । तर नेपाली बैंकिङ सिस्टम त्यति धेरै कमजोर भने नभएको उनले बताए ।
नेपालका वित्तीय क्षेत्र बढी जोखिममा
साइबर आक्रमणले नेपालका वित्त क्षेत्र बढी जोखिममा रहेको विज्ञहरूले बताएका छन् । उनीहरूले प्रविधिको विकासले जनजीवन सहज भएको भएता पनि प्रयाप्त रूपमा सतर्कता नअपनाउँदा साइबर आक्रमणको निसानामा नेपालका वित्तीय क्षेत्र पर्न थालेको औंल्याएका हुन् ।
नेपालमा इन्टरनेट प्रयोगकर्ता बढ्दै जानु, इ–कमर्स क्षेत्र फस्टाउनु र कमजोर डिफेन्सिङ प्रणाली बनाउनु सोसियल इन्जिनियरिङमार्फत् पनि वित्तीय क्षेत्र साइबर अपराधीको निसानामा पर्नु रहेको लगपोइन्टका प्रमुख सुरक्षा सूचना अधिकारी रोशन पोख्रेलको भनाइ छ ।
उनले भने, ‘साइबर आक्रमणकारीहरू विभिन्न माध्यमबाट वित्तीय क्षेत्रलाई नै बढी टार्गेट गरी स्क्याम गरिरहेका हुन्छन्। तर वित्तीय क्षेत्रका जानकारहरू आधारभूत सचेतना नअपनाउदैनन् । सोसियल इन्जिनियरिङ पनि अहिलेको मुख्य कारण हो।’
उनका अनुसार सोसल इन्जिनियरिङमार्फत साइबर आक्रमणकारीहरूले प्राविधिक सुरक्षा प्रणालीलाई नै झुक्याएर प्रयोगकर्तालाई दिनप्रतिदिन असुरक्षित बनाइरहेका छन्। बिज सर्भ आईटीका सीईओ प्रभात पोखरेलले साइबर सुरक्षाका कानुनी पक्ष नेपालमा तुलनात्मक रुपमा कमजोर रहेको औंल्याए।
उनले भने, ‘साइबर सुरक्षाबारेको सहकार्य र प्राविधिक क्षमता अभिवृद्धिमा हामी निक्कै पछाडि छौं,तर, विकसित देशहरुले भने कुनै सूचना प्रणालीमा साइबर हमला भए सेवाग्राही र नियामक निकायलाई जानकारी नगराउँदा धेरै ठूलो आर्थिक जरिवाना तिर्नुपर्छ । तर, नेपालमा भने जतिसक्दो यो घटनालाई लुकाउने प्रवृत्ति देखाउँछौं । जुन गलत हो ।’
नास–आईटीका कोषाध्यक्ष अभय पौडेलले साइबर सुरक्षाका विभिन्न पिलरलाई बलियो बनाउन सचेतना कार्यक्रम गर्न अत्यन्त जरूरी रहेको बताए । साथै लगपोइन्टका निर्देशक प्रकाश थापाले १५ वर्षदेखि नेपालमा प्रविधिको क्षेत्रमा काम गर्दै आएको र यूरोप र अमेरिकाका अनुभव नेपालमा उपयोग गर्न तयार रहेको बताए ।
त्यस्तै, नास–आईटीका महासचिव दिपेन चापागाइँले चाहिँ नेपालमा पछिल्लो प्रविधि र साइबर जोखिमका विज्ञ नेपालमा खासै नभएको तथा नेपाल र नेपालीलाई हुनसक्ने जोखिम आफ्नो पनि भएको धारणा राखे । लाइभ साइबर थ्रेट म्यापिङ गर्ने वेबसाइट थ्रेटम्याप डट चेकप्वाइट डटकमका अनुसार मालवेयर पठाएर साइबर आकम्रणको निशानामा नेपाल पहिलो नम्बरमा रहेको छ ।
उक्त वेबसाइटका अनुसार मालवेयर नामक भाइरस पठाएर नेपालका सरकारी तथा संस्थागत वेवसाइटहरूमाथि आक्रमण भइरहेका छन्, जसमा बोटनेट २९.१ प्रतिशत, इन्फोस्टेलर २५.१ प्रतिशत, बैंकिङ १३.१ प्रतिशत, र्यानसमवेयर २१.५ प्रतिशत र मोबाइलमा ०.३ प्रतिशत आक्रमणको प्रयास गरिएको छ।
विश्वमै जटिलता
प्रविधिले बैंकिङ प्रणालीलाई जति सहज बनाएको छ, त्योभन्दा धेरै जोखिम थपेको देखिन्छ। प्रविधिका स–साना त्रृटिहरुलाई हतियार बनाएर संसारभर नै वर्षेनि विभिन्न आपराधिक समूहहरुले बैंकमाथि आक्रमण गर्ने गरेका छन्। नेपालमा मात्रै होइन विश्वका विकसित मुलुकहरुमा पनि यसले जटिल समस्याको रुप लिएको छ।
सयल क्राइम्स इन्फोर्समेन्ट नेटवर्कले सन् २०१९ मा मात्रै अमेरिकाका वित्तीय संस्थाहरुमा ३ हजार ४ सय ९४ साइबर आक्रमण गरेको थियो। सन् २०१८ मा बेलायतमा १४५ वटा बैंकिङ प्रणाली छेडखानीका घटनाहरु रिपोर्ट गरिएको बेलायतको फाइनान्सियल कन्डक्ट अथोरिटी (एफसीए)ले जनाएको छ । २०१७ मा २५ वटा मात्रै यस्ता घटना रिपोर्ट गरिएका थिए ।
कस्तो छ नेपाली बैंकिङ सिस्टम ?
नेपालका बैंकहरूले बैंकिङ कार्यको लागि प्रयोग गर्ने ‘कोर बैंकिङ सिस्टम’ (सिबिएस) अन्तर्राष्ट्रिय स्तरमा चलेकै सफ्टवेयर प्रयोगमा ल्याएका छन्। अधिकांश बैंकहरूले भारतीय कम्पनी इन्फोसिसले बनाएको फिनाकल सफ्टवेयर प्रयोग गर्ने गरेका छन्।
त्यसैगरी, अमेरिकन कम्पनीबेसमा भारतमा बनेको आइप्याक्स र नेपालमै बनेको पुमोरी सफ्टवेयर प्रयोग हुने गरेको छ। यसबाहेक फाट्टफुट्ट अन्य सफ्टवेयरको प्रयोग भए पनि अधिकांश बैंकहरूले यिनै सफ्टवेयर प्रयोग गर्ने गरेका छन्।
नेपाली बैंकिङ सिस्टममा प्रयोग हुने गरेका सफ्टवेयर नै ह्याक हुने सम्भावना कम रहे पनि पब्लिक डोमेनमार्फत् ह्याकरहरूले डाटा लिक गर्न सक्ने आइटी विज्ञहरू बताउँछन्। नेपालका बैंकहरूमा कार्यरत आइटी विज्ञहरू सिबिएसमा सिधै ह्याकिङ सम्भव नभएको बताउँछन्। तर बैंक तथा वित्तीय संस्थाहरूले आधुनिक बैंकिङका लागि प्रवाहमा थप सेवा र शाखा सञ्जाल सञ्चालनको लागि प्रयोग गरिएको ‘पब्लिक डोमेन’का कारण साइबर सुरक्षा चुनौती थपिँदै गएको छ ।