Home শীর্ষ সংবাদ বিকাশ অ্যাপে হ্যাকিং : নিরাপত্তা দুর্বলতায় গ্রাহকের টাকা চুরি

বিকাশ অ্যাপে হ্যাকিং : নিরাপত্তা দুর্বলতায় গ্রাহকের টাকা চুরি

295
SHARE

কক্সবাংলা ডটকম(৬ জুন) :: বিকাশ মোবাইল ওয়ালেট ব্যবহারকারী একজনের সেলফোনে ফোন আসে ১৬ মে দুপুরে। বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে অন্য প্রান্ত থেকে বলা হয়, সেবার মান বৃদ্ধির কাজ চলছে— দয়া করে আপনার বিকাশ অ্যাকাউন্টের পিন নম্বরটি দিন। বিষয়টি সন্দেহজনক মনে হওয়ায় নিজের পিন নম্বরটি গোপন করে চার ডিজিটের অন্য একটি পিন নম্বর দেন ওই গ্রাহক। এরপর ফোনটি কেটে দেন।

মিনিট তিনেক পর ওই গ্রাহকের ফোন নম্বর (মাস্কিং করা) থেকে আবার ফোন আসে। নিজের নম্বর থেকে ফোন আসায় গ্রাহকের সন্দেহ আরো বেড়ে যায়। দ্রুত সেলফোনটি বন্ধ করে দেন। চালু করেন ১৭ মে রাত ৪টায়। সঙ্গে সঙ্গে বেশ কয়েকটি ভেরিফিকেশন কোডের এসএমএস ভেসে ওঠে স্ক্রিনে। পরে বিকাশ অ্যাকাউন্ট চেক করে দেখেন তিন দফায় ১৫ হাজার ৪০০ টাকা উধাও।

পরদিন বিকাশের গ্রাহকসেবা কেন্দ্রে যান ওই গ্রাহক। পুরো বিষয়টি খুলে বলার পর সেখান থেকে জানানো হয়, উচ্চপ্রযুক্তির মাধ্যমে অ্যাকাউন্ট হ্যাক করে টাকা চুরি করে নেয়া হয়েছে। এ বিষয়ে তাদের (বিকাশ) কিছু করার নেই। বিকাশ অ্যাকাউন্ট থেকে টাকা খোয়া যাওয়ার ঘটনায় পরে পুলিশের কাছে আনুষ্ঠানিক অভিযোগ করেন ওই গ্রাহক।

বিকাশ অ্যাপের নিরাপত্তা দুর্বলতার কারণে অ্যাকাউন্ট থেকে টাকা চুরির আরো কিছু অভিযোগ পেয়েছে পুলিশ। এসব অভিযোগ তদন্ত করে দেখছে পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)।

বিষয়টি নিশ্চিত করে সিআইডির মুখপাত্র ও অর্গানাইজড ক্রাইমের বিশেষ পুলিশ সুপার মোল্যা নজরুল ইসলাম বলেন, এ ধরনের বেশ কয়েকটি অভিযোগ আমাদের কাছে এসেছে। সেগুলো তদন্ত করে দেখা হচ্ছে। তদন্ত শেষে জড়িতদের বিষয়ে ব্যবস্থা নেয়া হবে।

তদন্ত-সংশ্লিষ্টরা বলছেন, দুটি পদ্ধতিতে বিকাশ অ্যাপের নিরাপত্তা দুর্বলতা কাজে লাগাচ্ছে অপরাধীরা। সবচেয়ে বেশি প্রচলিত পদ্ধতিটি হচ্ছে— গ্রাহককে বিকাশ গ্রাহকসেবাকর্মী পরিচয় দিয়ে তার অ্যাকাউন্ট নম্বর ও নাম জেনে নেয়া। তারপর কৌশলে গ্রাহককে দিয়ে কিছু নম্বর চেপে সিমটি ডাইভার্ট করিয়ে নেয়া। এক্ষেত্রে ইউএসএসডি মেনুর শর্টকোড ব্যবহার করা হয়। গ্রাহকও অনেক সময় এটি বুঝে উঠতে পারেন না। এরপর বিকাশ অ্যাপের মাধ্যমে ভেরিফিকেশন কোডের আবেদন জানানো হয়।

ফিরতি মেসেজে বিকাশ যে ভেরিফিকেশন কোডটি পাঠায়, সেটি চলে যায় সরাসরি অপরাধীদের হাতে। ওই ভেরিফিকেশন কোড দিয়েই অ্যাপে প্রবেশ করে পিন নম্বর পরিবর্তনের আবেদন জানায় অপরাধীরা।

পরে তারা নতুন পিন নম্বর সৃষ্টি করে ওই অ্যাকাউন্টের টাকা সরিয়ে নেয়। এ পদ্ধতিতে সফল না হলে বিকল্প হিসেবে মাস্কিং ও ক্লোনিংয়ের মাধ্যমে গ্রাহকের অ্যাকাউন্টে প্রবেশের সুযোগ নেয় অপরাধীরা।

তদন্ত কর্মকর্তাদের মতে, যে পদ্ধতিই অনুসরণ করা হোক না কেন, সংশ্লিষ্ট গ্রাহকের অ্যাকাউন্টের বিভিন্ন তথ্য জানা অপরাধীদের জন্য গুরুত্বপূর্ণ। পাশাপাশি ওই গ্রাহক অ্যাপ ব্যবহার করছেন কিনা সেটাও জানা থাকতে হবে। এক্ষেত্রে দুটি উপায়ে এ তথ্য পাওয়া সম্ভব। সেবাদাতা প্রতিষ্ঠানের কেন্দ্রীয় সার্ভার হ্যাকিংয়ের মাধ্যমে তাতে প্রবেশ করে তথ্য সংগ্রহ করা যেতে পারে।

প্রতিষ্ঠানের অভ্যন্তরীণ কর্মীদের মাধ্যমেও এসব তথ্য সংগ্রহ করা সম্ভব। গ্রাহকের পিন নম্বর ও অ্যাকাউন্ট ব্যালান্সের তথ্য থাকার পরও যাচাইকরণ কোডটিও গুরুত্বপূর্ণ। এটি তারা সংগ্রহ করছে গ্রাহককে প্রলুব্ধ করে অথবা সিম ক্লোনিংয়ের মাধ্যমে।

নতুন অ্যাপটির বিষয়ে বিকাশের একাধিক এজেন্টের সঙ্গে যোগাযোগ করা হলে তারাও এর নিরাপত্তা নিয়ে আশঙ্কার কথা জানান। তারা বলছেন, অ্যাপটির মাধ্যমে লেনদেন সহজ হলেও নিরাপত্তার বিষয়টি নিশ্চিত করা সম্ভব হয়নি। কারণ যেকোনো ডিভাইস থেকে অ্যাপটির অ্যাকসেস পাওয়া সম্ভব। ফলে অন্যের ফোন নম্বর ও পিন নম্বর জানা থাকলে যেকোনো ডিভাইস থেকেই অ্যাপটির মাধ্যমে লেনদেনও করা যায়।

তবে নিরাপত্তাজনিত সব ধরনের ঝুঁকি যাচাই-বাছাই করেই অ্যাপটি চালু করা হয়েছে বলে জানান বিকাশের প্রধান নির্বাহী কর্মকর্তা কামাল কাদীর। তিনি বলেন, তার পরও এতে নিরাপত্তা-সংক্রান্ত কোনো ঝুঁকি থেকে থাকলে তা গুরুত্বের সঙ্গে পর্যালোচনা করে ব্যবস্থা নেবে বিকাশ।

বিকাশ অ্যাপে ভেরিফিকেশনের যে ব্যবস্থা রাখা হয়েছে, তাতে নিরাপত্তা নিয়ে ঝুঁকির আশঙ্কা আছে বলে মনে করেন প্রযুক্তি বিশেষজ্ঞরা। কারণ হিসেবে তারা বলছেন, বিকাশের অ্যাপটির নিরাপত্তার বিষয়টি এখন পর্যন্ত এসএমএসভিত্তিক। সিম ও ডিভাইস শনাক্তকরণের কোনো ব্যবস্থা রাখা হয়নি এতে। নিরাপত্তার এ ত্রুটির সুযোগ নিয়ে অপরাধীরা সহজেই যেকোনো বিকাশ অ্যাপ ব্যবহারকারীর অ্যাকাউন্টের তথ্য চুরি করে টাকা হাতিয়ে নিতে পারছেন।

এশিয়া-প্যাসিফিক নেটওয়ার্ক অপারেটর গ্রুপের (এপনিক) পলিসি সিগের কো-চেয়ার ও সাইবার নিরাপত্তা বিশেষজ্ঞ সুমন আহমেদ সাবির বলেন, সাধারণত ভাইবার, হোয়াটসঅ্যাপের মতো একবার ব্যবহারযোগ্য পাসওয়ার্ড (ওটিপি) ভিত্তিক বিভিন্ন অ্যাপ আর্থিক লেনদেনের জন্য ব্যবহার হয় না। তবে ব্যক্তিগত তথ্যের সুরক্ষার জন্য প্রাথমিক নিরাপত্তা ব্যবস্থা হিসেবে এগুলোয় ওটিপি রাখা হয়।

আর্থিক লেনদেনের জন্য নিরাপত্তার বিষয়টি নিয়ে সেভাবে ভাবতে হবে। সিম ক্লোন হয়ে গেলে এবং যদি সেটি চালু রাখা যায়, তবে খুব সহজেই অ্যাকাউন্টের নিরাপত্তা ভেঙে ফেলা সম্ভব। সিম ক্লোনিং একটা বাস্তবতা। ফলে এটি মেনে নিয়েই শুধু ওটিপির ওপর নির্ভর করলে এমন ঘটনা ঘটতে পারে। এক্ষেত্রে নানা ধরনের অথেনটিকেশন ও ভেরিফিকেশনের ব্যবস্থা রাখা যেতে পারে।

মোবাইল ওয়ালেটের নিরাপত্তা নিশ্চিতে কোনো কোনো সেবাদাতা প্রতিষ্ঠান সেলফোন নম্বরের সঙ্গে অতিরিক্ত নম্বর যোগ করছে। এছাড়া সিমনির্ভর নিরাপত্তা ব্যবস্থাও রাখা হয়েছে। ফলে কোনো গ্রাহকের সিম রিপ্লেসমেন্টের ঘটনা ঘটলে তাত্ক্ষণিকভাবে সংশ্লিষ্ট ওয়ালেট বন্ধ হয়ে যাচ্ছে। নির্দিষ্ট সময় পর গ্রাহকের পরিচয় নিশ্চিত হয়ে ওয়ালেটটি পুনরায় চালু করা হচ্ছে।

উল্লেখ্য, গত ১৫ মে আনুষ্ঠানিকভাবে নিজেদের প্রথম অ্যাপ চালুর ঘোষণা দেয় বিকাশ। তবে গুগল প্লে স্টোরে এটি ২৫ এপ্রিল থেকে পাওয়া যায়। এর আগে থেকে প্রতিষ্ঠানটির ইউএসএসডি ভিত্তিক লেনদেন ব্যবস্থা চালু ছিল। অ্যাপের ব্যবহার বাড়াতে এতে লেনদেনে কম চার্জ নেয়ার ঘোষণা দিয়েছে প্রতিষ্ঠানটি। অ্যাপে ক্যাশ আউট করলে হাজারে খরচ হবে ১৫ টাকা। আর অ্যাপের বাইরে লেনদেনে ক্যাশ আউটের খরচ ১৮ টাকা।

SHARE