कनेक्ट आईपीएस ह्याक गरेर ग्राहकको ४ करोड चोरी !

काठमाडौं । कनेक्ट आईपीएस नेपालको एकीकृत भुक्तानी सेवा हो, जुन नेपाल राष्ट्र बैंकको प्रतक्ष्य निर्देशनमा सञ्चालित छ । यो एक डिजिटल भुक्तानी प्रणाली हो जसले बैंक, वित्तीय संस्था र ग्राहकलाई एउटै प्लेटफर्ममा जोडेर सुविधाजनक, छिटो र सुरक्षित भुक्तानी सेवा उपलब्ध गराउने दाबी गर्छ ।

कनेक्ट आईपीएसमार्फत एकीकृत भुक्तानी प्रणाली गर्दा एक बैंकबाट अर्को बैंकमा रकम ट्रान्सफर वा स्थान्तरण गर्न सकिन्छ भने मर्चेन्ट भुक्तानी सरकारी राजश्व तिर्न र क्युआर कोडमार्फत भुक्तानी समेत गर्न सकिन्छ ।

नेपाल राष्ट्र बैंककै प्रत्यक्ष निर्देशन र वाणिज्य बैङ्कहरूसमेतको लगानीमा तयार भएको भुक्तानी प्रणालीचाहिँ कति सुरक्षित छ त ? अहिले यही प्रश्न एउटा गम्भीर सवाल बनेको छ । किनभने कनेक्ट आईपीएसको सिस्टममै अनधिकृत पहुँच पुर्‍याएर आपराधिक समूहले ४ करोड रुपैयाँभन्दा बढी ठगी गरेका छन् । यसरी ठगिनेमा चार्टर्ड एकाउन्टेन्टदेखि सेयर कारोबारीहरू रहेका छन् ।

फिसिङ लिंक पठाएर अनधिकृत पहुँच

नेपालको भुक्तानी प्रणाली अर्थात् कनेक्ट आईपीएसका सम्बन्धमा बेलाबेलामा म्यासेजहरू आउने गर्छन् । एनसीएचएल अलर्ट भनेर आउने त्यस्ता म्यासेजहरूमा कनेक्ट आईपीएससँग सम्बन्धित विषयहरू हुन्थे ।

कनेक्ट आईपीएस चलाउनेहरूलाई बेलाबेलामा पासवर्ड परिवर्तन गरिरहन भनिन्थ्यो र उनीहरूले कनेक्ट आईपीएसको वेभसाइटमा गएर लग इन गरी पासवर्ड परिवर्तन गर्थे ।

गत मे २२ मा पनि काठमाडौंमै घर भएका भएका एक चार्टर्ड एकाउन्टेन्टलाई एउटा म्यासेज आयो, तपाईँको कनेक्ट आईपीएसको लिंक अकाउन्ट सुरक्षाका कारण सस्पेन्ड गरिएको छ, सेल्फ भेरिफाई गरी पुनः चालु गर्नुहोस् ।

दि अलर्ट नामक एसएमएस सेवा प्रदायकबाट आएको उक्त म्यासेजमा एउटा लिंक पनि पठाइएको थियो, जहाँ क्लिक गर्दा कनेक्ट आईपीएसको वेभसाइटमा जान्थ्यो ।

मोबाइल नम्बर ९८४१९५३XXX का कनेक्ट आईपीएस प्रयोगकर्ता सौगात दाहाल (नाम परिवर्तन) लाई दि अलर्ट बाट उक्त म्यासेज आएपछि उनले दिइएको लिंकमा क्लिक गरे । उक्त लिंकमा क्लिक गरेपछि युजर नेम र पासवर्ड हाल्ने स्थान आयो, उनले आफ्नो युजरनेम र पासवर्ड हाले । पहिलो पटक युजर नेम र पासवर्ड खुल्दा लग इन भएन । त्यसपछि उनले फेरि युजर नेम र पासवर्ड हाले, त्यसपछि भने मोबाइलमा एउटा म्यासेज आयो, New Device Detected भन्ने ।

कनेक्ट आईपीएसले बेलाबेलामा त्यस्तो म्यासेज पठाउने भएकाले त्यहाँ कोड हानेपछि मात्रै लग इन हुन्थ्यो, उनले मोबाइलमा आएको ओटीपी पनि त्यहाँ इनपुट गरे । तर पनि साइट नखुलेपछि उनी पछि गरौंला भनी आफ्नो नियमित काममा लागे ।
गत मे २२ मा आएको उक्त म्यासेज र त्यसपछि लगइन गर्ने कोसिस गरेपनि लग इन नभएपछि उनी चुपचाप नै थिए ।

त्यसको चार दिनपछि अर्थात् मे २६ मा उनले कुनै व्यक्तिलाई रकम भुक्तानी गर्नुपर्ने भएकाले कनेक्ट आईपीएसको लग इन गरे । त्यसपछि रकम भुक्तानी गर्न खोज्दा रकम भुक्तानी नै भएन र insufficient Balance अर्थात् भुक्तानी गर्न लागेको रकम नै छैन भन्यो, जबकि उनको बैंक खातामा १४ लाख ६५ हजार रुपैयाँ थियो ।

त्यसपछि उनले बैंक खातामा रहेको ब्यालेन्स चेक गरे । जब बैंक खाताको ब्यालेन्स चेक गरे, उनी छाँगाबाट खसेको जस्तै भए । उनको खातामा भएको १४ लाख ६० हजार रुपैयाँ एकै क्लिकमा अर्को बैंक खातामा पठाइएको रहेछ, जुन उनले गरेकै थिएनन् ।
त्यसलगत्तै सुरुमा उनले बैंकलाई सोधे, बैंकले कनेक्ट आईपीएसमार्फत भुक्तानी भएको भन्दै कनेक्ट आईपीएसमै सम्पर्क गर्न भन्यो । कनेक्ट आईपीएसलाई सम्पर्क गरी बुझ्दा उक्त रकम सौगात दाहालकै एभरेष्ट बैंकको खाताबाट नेपाल एसबीआई बैंकमा रहेको एक व्यक्तिको खातामा गएको पाइयो । त्यसपछि उक्त खातामा रहेको रकम रोक्का गर्न खोज्दा उक्त बैंकको खाता पनि रित्तिइसकेको थियो ।

सौगातको कनेक्ट आईपीएसको लग हेर्दा मे २३ मै खातामा रहेको १४ लाख ६५ हजार रुपैयाँमध्ये एक क्लिकमै १४ लाख ६० हजार रुपैयाँ ट्रान्सफर गरिएको थियो । कनेक्ट आईपीएसमा अनधिकृत पहुँच पुर्‍याएर आपराधिक समूहले अरु सबै रकम ट्रान्सफर गर्दा ५ हजार रुपैयाँ भने पीडितकै बैंक खातामै छाडिदिएको थियो ।

सौगातले आफूले कनेक्ट आईपीएस खोलेर कसैलाई रकम नै नपठाएको भन्दै कनेक्ट आईपीएस र नेपाल प्रहरीको साइबर ब्युरोमा उजुरी दिए । आफूले रकम नपठाएको र ओटीपी पनि कसैलाई नदिएको बताए ।

त्यसपछि अनुसन्धान हुँदा मे २२ मै आपराधिक समूहले सौगातको कनेक्ट आईपीएसमा अनधिकृत पहुँच पुर्‍याएर सौगातको आफ्नो इमेल एड्रेस परिवर्तन गरी ranijinoe+oyzfw@gmail.com राखेको पाइयो । अनि ओटीपी पनि मोबाइल र इमेल दुबैमा जाने बनाएको पाए, जुन काम उनले गरेकै थिएनन् ।

फिसिङ साइटबाट गिरोहले पायो युजर नेम र पासवर्ड

खासमा सौगातलाई आएको फिसिङ साइडबाट नै आपराधिक समूहले उनको कनेक्ट आईपीएसको युजर नेम र पासवर्ड प्राप्त गरेको थियो । सर्ट युआरएलमा आएको उक्त फिसिङ साइटको वेभ एड्रेस login.connectips.com नभएर login.connectlps.com (कनेक्ट एलपिएस) थियो । अर्थात् कनेक्ट आईपीएसको आईको स्थानमा कनेक्ट एलपीएस अर्थात् आईको स्थानमा एल राखिएको थियो, जसबाट सौगात झुक्किएका थिए ।

त्यही फिसिङ साइटमा युजरनेम र पासवर्ड हान्दा गिरोहले युजर नेम र पासवर्ड प्राप्त गरेको थियो भने ओटीपी हान्दा ट्रस्टेड डिभाइसको अनुमति पनि दिएका थिए । तर फन्ड ट्रान्सफर अर्थात् रकमान्तर गर्नका लागि सौगातले कहीँ पनि ट्रान्जेक्सन पिन भने हालेका थिएनन् । तर पनि सौगातको खाताबाट १४ लाख ६० हजार रुपैयाँ चोरी भयो, जुन कनेक्ट आईपीएसकै माध्यमबाट भएको थियो ।

ट्रान्जेक्सन पिन नहाली कसरी भयो रकम ट्रान्सफर ?

सौगातका अनुसार उनी लग इन गर्ने कोसिस गरेको तथा ट्रस्टेड डिभाइसका लागि ओटीपीसमेत हानेको स्वीकार गर्छन् । तर सौगात आफूले कहीँ पनि ट्रान्जेक्सन पिन नहालेको दाबी गर्छन् । लोकपथसँगको भेटमा सौगातले भने, ‘मैले युजर नेम र पासवर्ड हानेँ, ट्रस्टेड डिभाइसका लागि नयाँ ओटीपी पिन पनि हालेँ जस्तो लाग्छ । तर म के कुरामा स्पष्ट छु भने मैले कहिल्यै पनि ट्रान्जेक्सन पिन हालेको छैन र मैले कुनै पनि ब्राउजरमा त्यस्तो पिन सेभ गरेको छैन । तर कसरी मेरो रकम ट्रान्सफर भयो भन्ने अझैसम्म मैले बुझेको छैन ।’

सौगातजस्तै पाँच दर्जन बढीको अकाउन्टमा गिरोहको पहुँच

त्यसो त दि अलर्ट र एटी अलर्टका नाममा आएका फिसिङ साइटसहितको यस्तै अनधिकृत म्यासेजका कारण कनेक्ट आईपीएसबाट पाँच दर्जनभन्दा बढी व्यक्तिहरूको करिब ४ करोड रुपैयाँ गायब भएको छ । भोटाहिटीस्थित साइबर ब्युरोका प्रवक्ता एसपी दीपकराज अवस्थीका अनुसार ब्युरोमा कनेक्ट आईपीएससँग सम्बन्धित करिब ७० वटा उजुरी दर्ता भएका छन् र उनीहरूको करिब ४ करोड रुपैयाँ चोरी भएको पाइएको छ । ब्युरोका अनुसार अर्का एक सिए अर्थात् चार्टर्ड एकाउन्टेन्टको खाताबाट ३६ लाख रुपैयाँ चोरी भएको छ भने धेरै मानिसको खाताबाट रकम चोरी भएको छ ।

कसरी हुन्छ चोरी ?

माथि उल्लेख गरिएअनुसार नै द अलर्ट वा एटी अलर्टका नाममा विभिन्न व्यक्तिहरूलाई बल्क एसएमएस जाने गरेको छ । सोही बल्क एसएमएसमा गिरोहले फिसिङ लिंक पठाएर कनेक्ट आईपीएसको जस्तै नक्कली वेभसाइट बनाएर कनेक्ट एलपिएस बनाउँछ । अनि कनेक्ट आईपीएस वा बैंक अकाउन्ट सस्पेन्ड भएको भन्ने म्यासेज पठाएर पुनः सुचारु गर्न लिंकमा क्लिक गर्न भनिन्छ । जब लिंकमा क्लिक गरिन्छ, तब फिसिङ साइटको होम पेजमा पुगिन्छ, जुन झट्ट हेर्दा कनेक्ट आईपीएसकै जस्तो लाग्छ ।

त्यहाँ ग्राहकले आफ्नो युजर नेम र पासवर्ड हाल्छन्, जुन युजर नेम र पासवर्ड गिरोहलाई थाहा हुन्छ । उता गिरोहले पनि सोही समयमा तपाईँको युजरनेम र पासवर्ड कनेक्ट आईपीएसको सक्कली वेभपेजमा हानिरहेको हुन्छ ।

त्यसै समयमा तपाईँको मोबाइलमा ‘न्यु डिभाइस डिटेक्टेड’ भनेर म्यासेज आउँछ र ओटीपी हान्न भनिन्छ । वास्तवमा त्यो तपाईँले फिसिङ साइटमा क्लिक गर्दाको ओटीपी नभएर गिरोहले सक्कली कनेक्ट आइपिएसमा क्लिक गर्दाको ओटीपी हुन्छ । तपाईँको उक्त ओटीपी पनि त्यही फिसिङ साइटमा हालिदिनु हुन्छ, जुन गिरोहले पाउँछन् र सक्कली कनेक्ट आइपीएसमा हाली पहुँच पुराउँछन् ।

त्यतिबेला गिरोहले तत्कालै तपाईँको अकाउन्टबाट रकम ट्रान्सफर गर्दैन । त्यतिबेला तपाईँको कनेक्ट आईपीएसमा पहुँच पुर्‍याएर मात्रै बस्छ र मध्यरात वा तपाईं सम्पर्कभन्दा बाहिर रहने अवस्थामा मात्रै गिरोहले इमेलसमेत परिवर्तन गरी ओटीपी तपाईँको इमेलमा पनि आउने बनाएर रकम ट्रान्सफर गर्न खोज्छ ।

रकम ट्रान्सफर गर्नका लागि दुईवटा अवस्था रहन्छ । ५ हजार रुपैयाँसम्म ट्रान्सफर गर्न ओटीपी चाहिँदैन, तर तपाईँले राख्नुभएको ६ अंकको ट्रान्जेक्सन पिन भने अत्यावश्यक नै हुन्छ । अनि ५ हजार रुपैयाँभन्दा बढी रकम ट्रान्सफर गर्न भने तपाईँको मोबाइल र इमेल ठेगानामा समेत ओटी आउँछ र त्यहाँ पहिले ट्रान्जेक्सन पिन हालिसकेपछि ओटीपी पनि हाल्नुपर्ने हुन्छ । त्यसपछि मात्रै रकम ट्रान्सफर सम्भव हुन्छ ।

कनेक्ट एलपीएसको डोमिन अमेरिकामा दर्ता, भारतबाट सञ्चालन

कनेक्ट आईपीएसको नक्कली साइट कनेक्ट एलपीएस अमेरिकामा होस्टिङ भएको पाइएको छ । अमेरिकामा होस्टिङ भएको उक्त साइटको सञ्चालन भने भारतको महाराष्ट्र अर्थात् मुम्बई आसपासबाट भएको देखिएको ब्युरोका प्रवक्ता एसपी दिपकराज अवस्थीले लोकपथलाई बताए । साथै विभिन्न उपायबाट गिरोहको खोजी भइरहेको र प्राविधिक विश्लेषण गरिरहेको अवस्थीले बताए । गिरोहका सदस्यहरू भारतीय रहेको वा भारतीय भूमिमा रहेर अपराध गरिरहेको हुनसक्ने ब्युरोको अनुमान छ ।

सेयर बजारको फिसिङ लिंक पठाएर समेत अनधिकृत पहुँच
कनेक्ट आईपीएसको खातामा अनधिकृत पहुँच पुर्‍याउन सेयर बजारसम्बन्धी फिसिङ लिंकसमेत प्रयोग भएको पाइएको छ । डिजिटल सोलुसन नेपाल नामक फेसबुक ग्रुपबाट प्रयोगकर्तालाई निःशुल्क सेयर मार्केट र ट्रेड्रिङसम्बन्धी जानकारी दिने भन्दै अनलाइन क्लासका लागि सफ्टवेयर इन्स्टल गर्न भनिन्छ । अनि सफ्टवेयर इन्स्टल गर्दा पर्मिसन मागिन्छ र पर्मिसन दिएपछि तपाईँका ल्यापटप वा डेक्सटप नै गिरोहले हेर्न मिल्ने हुन्छ ।

त्यहाँ तपाईँले कुन कुन खाता चलाउनु भयो वा के के गर्नुभयो भन्ने सबै कुरा गिरोहले देख्न सक्छ । अनि तपाईँले कुन कुन पिन वा पासवर्ड हाल्नुभयो भन्ने कुरासमेत गिरोहले देख्ने भएकाले त्यसबाट नै ह्याक गरेको वा स्क्रिन सेयर गरेको कारण कनेक्ट आईपीएसको अकाउन्टबाट रकम चोरी भएको समेत पाइएको ब्युरोले जनाएको छ ।

कसले कसरी चलाउँछ द अलर्ट र एटी अलर्ट ?

द अलर्ट भन्ने बल्क एसएमएस सेवा स्प्यारो एसएमएस नामक कम्पनीले लिएको छ । उक्त सेवाबाट एकैपटक धेरै व्यक्तिलाई म्यासेज पठाउन सकिन्छ । द अलर्ट म्यासेजको सेवा दिने स्प्यारो एसएमएसले पनि उक्त सेवाहरू विभिन्न कम्पनीहरूलाई बिक्री गरेको पाइएको छ । यसरी बिक्री गरेको सेवामध्ये कुनै एक कम्पनीको युजरनेम र पासवर्ड ह्याक गरी गिरोहले विभिन्न व्यक्तिलाई एसएमएस पठाएको पाइएको छ ।

यता, यस्तै प्रकृतिको म्यासेज एटी अलर्टबाट पनि आएको छ । आकाश टेक्नोलोजीले लिएको यो सेवामा पनि अन्य कम्पनीहरूलाई बिक्री गर्ने गरेको हुँदा कसरी म्यासेज गयो भन्दा उनीहरूको सेवा पनि ह्याक भएको भन्ने जवाफ दिइन्छ । यस्तो सेवामा गेटवे दिने टेलिकम र एनसेल वा लिने माउ कम्पनीले भने अहिलेसम्म स्पष्ट जवाफ दिएको छैन ।

भाडामा खाता प्रयोग, तराईमा नेपालीका प्रयोग
कनेक्ट आईपीएसमा अनधिकृत पहुँच पुर्‍याई रकम ट्रान्सफर गर्न पनि नेपाली बैंक खाता नै आवश्यक हुन्छ । त्यसका लागि गिरोहले नेपालीहरूकै बैंक खाता प्रयोग गरेको पाइएको छ । यसरी प्रयोग भएका अधिकांश बैंक खाताहरू तराईमा खोलिएका छन् र प्रारम्भिक अनुसन्धानमा अधिकांश २ देखि ५ हजार रुपैयाँसम्म रकम लिएर बैंकको खाता नै भाडामा लगाएको पाइएको छ ।

गिरोहले २ देखि ५ हजार रुपैयाँ दिएर बैंक खाता खोल्न लगाउने र त्यसको युजर नेम वा पासवर्ड, कनेक्ट आईपीएसको युजरनेम र पासवर्ड आदि लिई गिरोहले नै सञ्चालन गर्ने गरेको पाइएको छ ।

हुन्डी र कारोबारको रकम तिर्नसमेत चोरीको रकम प्रयोग

यसरी कनेक्ट आईपीएस ह्याक गरेर चोरी गरिएको रकम विदेशबाट पठाएको रेमिटेन्सको भुक्तानी गर्न तथा नेपालमै सामान किन्नसमेत प्रयोग भएको पाइएको छ । कतिपय अवस्थामा सामान किनेर भुक्तानी गर्नसमेत यस्तो रकमको प्रयोग भएको पाइएको ब्युरोले जनाएको छ ।

कनेक्ट आईपीएस ह्याक गरी ट्रान्सफर गरिएको रकम दोस्रो तहको बैंक खातामा पठाउने र त्यहाँबाट लिनेहरूमध्ये अधिकांशले कि विदेशबाट पठाएको रकमका रूपमा पाएको वा सामान बिक्री गर्दा प्राप्त भएको रकम रहेको पाइएको छ । यद्यपि ब्युरोले कतिपय खाता धनीलाई स्रोत पुष्टि गर्न भनेको छ । अन्यथा उक्त रकम तिर्नुपर्ने भन्दै चेतावनीसमेत दिएको पाइएको छ ।

कनेक्ट आईपीएसकै सुरक्षामा गम्भीर प्रश्न
कनेक्ट आईपीएसमा अनधिकृत पहुँच पुर्‍याई रकम चोरीका सम्बन्धमा कनेक्ट आईपीएस सञ्चालन गर्ने जिम्मा लिएको नेपाल क्लियरिङ हाउसले भने आफ्नो बचाउ गर्ने गरेको छ । लोकपथसँग कुराकानी गर्दै कनेक्ट आईपीएसका प्रतिनिधि सोभित शर्माले आईपीएसको सिस्टममा खराबी नरहेको दाबी गरे । उनले भने, ‘एसएमएस र ओटीपी नगएको भन्ने हुँदै हुँदैन । गएको छ र त्यो हाम्रो सिस्टममा पनि देखिन्छ । अब टेलिकम वा मोबाइल सेवा प्रदायकको सिस्टममै केही फल्ट छ भने भन्न सकिँदैन, नत्र त गएको नै देखिन्छ ।’

ओटीपी गयो र इमेलबाट पायो भने पनि ट्रान्जेक्सन पिन कसरी प्राप्त भयो त भन्ने लोकपथको प्रश्नमा शर्माले डिभाइस कम्प्रोमाइज भएको कारण त्यस्तो भएको हुनसक्ने बताए । उनले भने, ‘कुनै मालवेयर पठाएर पहिले इनपुट गरेको ट्रान्जेक्सन पिन हेरेको हुनसक्छ । त्यसपछि मात्रै कनेक्ट आईपीएसमा पहुँच पुर्‍याएर चोरी गरेको हुनुपर्छ ।’

शर्माले यस्तो भनेपनि त्यो त्यति सम्भव कुरा भने होइन । कम्प्युटरमा मालवेयर पठाएको कुरामा पीडित दाहाल अस्वीकार गर्छन् । उनी भन्छन्, ‘ट्रान्जेक्सन पिनको सम्बन्धमा कनेक्ट आईपीएसले दिएको जवाफ चित्तबुझ्दो छैन ।’