সুইফটের নিরাপত্তা ভেঙেই বাংলাদেশের রিজার্ভ চুরি!
অনলাইন ডেস্ক
বাংলাদেশ ব্যাংকের রিজার্ভের ৮১ মিলিয়ন ডলার চুরি করতে গিয়ে বিশ্বব্যাপী ব্যাংকগুলোকে যুক্ত করা সফটওয়্যার সুইফটের নিরাপত্তা ভেঙেছিল হ্যাকাররা! যুক্তরাজ্যের সাইবার নিরাপত্তাবিষয়ক সেবাদানকারী প্রতিষ্ঠান ‘বিএই সিসটেমস’-এর এক গবেষণায় উঠে এসেছে এই তথ্য।
বাংলাদেশ ব্যাংকের রিজার্ভ চুরির বিষয়ে বার্তা সংস্থা রয়টার্স একটি প্রতিবেদন প্রকাশ করেছে। এতে বলা হয়, সোসাইটি ফর ওয়ার্ল্ডওয়াইড ইন্টারব্যাংক ফাইনানশিয়াল টেলিকমিউনিকেশন (সুইফট) বৈশ্বিক আর্থিক ব্যবস্থার হৃৎপিণ্ড বলে পরিচিত। বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ক্ষেত্রে নিরাপত্তাব্যবস্থা ভাঙতে এই সুইফটের প্ল্যাটফর্ম ব্যবহার করা হয়েছিল বলে নিশ্চিত হয়েছেন বিএই সিসটেমসের নিরাপত্তা গবেষকরা।
রয়টার্সের কাছে বিএইর গবেষকরা জানিয়েছেন, বিশ্বজুড়ে বড় ধরনের সাইবার হামলার পরিকল্পনার অংশ হিসেবে evtdiag.exe নামের একটি ম্যালওয়্যার ছাড়া হয়েছিল। সুইফট প্ল্যাটফর্মের জন্য তৈরি করা এই ম্যালওয়্যারের বৈশিষ্ট্যটাই এমন যে এর মাধ্যমে কোনো নির্দিষ্ট দেশের সুইফট অ্যালায়েন্স একসেস সফটওয়্যারে যোগাযোগ করা যায়। এবং সুইফটের মাধ্যমে অর্থ স্থানান্তরের মেসেজ পাঠানোসহ সেই তথ্য মুছে ফেলার ব্যবস্থাও এতে রাখা হয়েছে।
এদিকে বিষয়টি নিয়ে কথা বলেছেন সুইফটের মুখপাত্র নাতাসা দেটেরান। গত সোমবার বার্তা সংস্থা রয়টার্সকে তিনি জানান, তাঁদের সেবাগ্রহীতার সফটওয়্যারকে টার্গেট করে ম্যালওয়্যার বসানোর বিষয়ে তারা নিশ্চিত হয়েছেন।
নাতাসা রয়টার্সকে আরো বলেন, বিশ্বজুড়ে ১১ হাজার ব্যাংক এবং আরো অনেক আর্থিক প্রতিষ্ঠানকে যুক্ত করেছে সুইফট। আর এই প্রতিষ্ঠানগুলোর নিরাপত্তায় সোমবারই ম্যালওয়্যার প্রতিরোধক একটি ‘সফটওয়্যার আডডেট’ দিয়েছে প্রতিষ্ঠানটি।
এতে ব্যাংকগুলোর ডেটাবেইসে সংরক্ষিত তথ্যে যদি কোনো অসামঞ্জস্য তৈরি হয়, তা চিহ্নিত করে ঠিক করার কাজে সহায়ক হবে নতুন সফটওয়্যার আপডেট। একই সঙ্গে আর্থিক প্রতিষ্ঠানগুলোকে নিরাপত্তাব্যবস্থা নিয়ে সতর্ক করা হয়েছে বলেও জানান তিনি।
উল্লেখ্য, চলতি বছরের ৫ ফেব্রুয়ারি সুইফট সিস্টেমের মাধ্যমে যুক্তরাষ্ট্রের ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্ক থেকে প্রায় এক বিলিয়ন ডলার সরানোর চেষ্টা হয়। সে সময় সুইফট কোড ব্যবহার করে আলাদাভাবে ৩৫টি ভুয়া মেসেজ পাঠানো হয়েছিল ফেডারেল রিজার্ভ ব্যাংকে।
সেই ভুয়া মেসেজের মধ্য থেকে চারটি মেসেজের মাধ্যমে নিউইয়র্ক ফেডারেল রিজার্ভ থেকে প্রথম অর্থ যায় যুক্তরাষ্ট্রের তিনটি ব্যাংকে। এই ব্যাংকগুলো হচ্ছে - ব্যাংক অব নিউইয়র্ক, সিটি ব্যাংক এবং ওয়েলস ফার্গো ব্যাংকে। তারা এই অর্থ পাঠায় ফিলিপাইনের রিজাল কমার্শিয়াল ব্যাংকে। এই ব্যাংক থেকেই টাকাগুলো বিভিন্ন ক্যাসিনোর মাধ্যমে বাজার থেকে বের করে নেওয়া হয়।
ইতিহাসের অন্যতম বৃহৎ এই সাইবার জালিয়াতির ঘটনা জানাজানি হলে ফেব্রুয়ারির শুরুতে বিশ্বজুড়ে আলোড়ন সৃষ্টি হয়। ঢাকায় এসে বাংলাদেশ ব্যাংকের ব্যবহৃত সুইফট সিস্টেম পরীক্ষা করে যান তাঁদের দুই কর্মকর্তা।
সে সময় বাংলাদেশ ব্যাংকের দাবির পরিপ্রেক্ষিতে মেসেজিং সেবা বিষয়ে কথা বলেছিলেন সুইফটের মুখপাত্র নাতাসা। তিনি সে সময় ওয়ালস্ট্রিট জার্নালকে বলেছিলেন, বাংলাদেশ ব্যাংকের অর্থ লোপাটের ঘটনায় তাদের সিস্টেমের কোনো দুর্বলতা ছিল না। এ ছাড়া সুইফটের নেটওয়ার্কে হ্যাকিং-এর মতো ঘটনা ঘটেছে এমন কোনো ইঙ্গিত তাঁরা পাননি বলে জানিয়েছিলেন নাতাসা।
তবে বিএই সিসটেমসের নতুন এই গবেষণার পর রয়টার্স লিখেছে, রিজার্ভ চুরির পর নতুন যেসব তথ্য বেরিয়ে আসছে, তাতে আন্তর্জাতিক অর্থ লেনদেন কাঠামো নিয়ে ভাবার সময় এসেছে। এতদিনের ধারণার চেয়ে এই দুর্বলতা হয়তো বেশিই নাজুক।
তবে এবার সুইফটের মুখপাত্র নাতাসা দেটেরানের দাবি, ওই ম্যালওয়্যারের কারণে সুইফট নেটওয়ার্ক বা মূল মেসেজিং সিস্টেমের নিরাপত্তার কোনো ক্ষতি হয়নি। তিনি বলেছেন, বিশ্বের ১১ হাজার ব্যাংক ও আর্থিক প্রতিষ্ঠান সুইফটের মেসেজিং প্ল্যাটফর্ম ব্যবহার করলেও বাংলাদেশ ব্যাংকের মতো খুব কম প্রতিষ্ঠানই অ্যালায়েন্স একসেস সফটওয়্যারটি ব্যবহার করে। আর এই নির্দিষ্ট সফটওয়্যারটি লক্ষ্য করেই এই ম্যালওয়্যার বানানো হয়েছে।
নাতাসা জানান, ব্যাংকের গুরুত্বপূর্ণ লেনদেনে সুইফটের মাধ্যমে ব্যাংক বিভিন্ন দেনা শোধের বার্তা, এলসি মেসেজ ইত্যাদি পাঠানো যায়। সুইফট প্ল্যাটফর্মে প্রতিটি ব্যাংকের জন্য আলাদা কোড রয়েছে, যা পাঠানো হয় আন্তর্জাতিক তারের মাধ্যমে। এ ছাড়া ব্যাংকগুলো পরস্পরের মধ্যে বার্তা আদান-প্রদানের জন্যও এই কোড ব্যবহার করে থাকে।
সুইফটের এই পদ্ধতিকে নিরাপদ ট্রানজেকশন হিসেবে ধরা হয়। কারণ দুই পক্ষের অর্থ হস্তান্তরের সময় এই কোডগুলোকে এনক্রিপশন করে (সাংকেতিক চিহ্নতে) রূপান্তর করে পাঠানো হয়। এতে তৃতীয় কোনো পক্ষ সেটি পড়তে বা বুঝতে পারে না। আর কোনোভাবে সুইফটের তথ্য ফাঁস হয়ে গেলেও গ্রহণ প্রান্তে ব্যবহারকারীর নাম পরিবর্তন হয়ে যাবে। ফলে পাঠানো বার্তা আর বোঝা যায় না।
