রিজার্ভ চুরি

নাটকীয়ভাবে অর্থ সরিয়েছে হ্যাকাররা

প্রকাশ : ০৬ ফেব্রুয়ারি ২০১৯, ০৮:১৯

নিজস্ব প্রতিবেদক
ama ami

বহুল আলোচিত বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনার ৯ মাস আগে হ্যাকাররা ফিলিপাইনসের ম্যানিলাভিত্তিক রিজাল কমার্শিয়াল ব্যাংকিং করপোরেশনে (আরসিবিসি) পাঁচটি ব্যাংক অ্যাকাউন্ট খুলেছিল। ওই অ্যাকাউন্টগুলোতে অর্থ জমা হওয়ার সময় সেগুলো কনসালট্যান্সি ফিস হিসেবে দেখিয়েছিল হ্যাকাররা। ২০১৬ সালের ৪ ফেব্রুয়ারিতে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশ ব্যাংকের অ্যাকাউন্ট থেকে ১০ কোটি ১০ লাখ ডলার চুরি করতে সমর্থ হয় হ্যাকাররা। ওই ঘটনার তিন বছর পর গত ৩১ জানুয়ারি নিউইয়র্কের সাদার্ন ডিসট্রিক্ট কোর্টে একটি মামলা দায়ের করা হয়েছে বাংলাদেশ ব্যাংকের পক্ষ থেকে। খবর বিবিসি বাংলা।

ওই মামলার বিবরণ অনুযায়ী, ২০১৫ সালের ১৫ মে যে পাঁচজন ভুয়া ব্যক্তির নামে ফিলিপাইনসে ব্যাংক অ্যাকাউন্টগুলো খোলা হয়েছিল, সেই নামগুলো হলো মিশেল ফ্রান্সিকো ক্রুজ, জেসি ক্রিস্টোফার এম ল্যাগ্রোসাস, আলফ্রেড সান্তোস ভেরগারা, এনরিকো টেওডোরো ভাসকয়েজ এবং রালফ ক্যাম্পো পিকাচি। এই অ্যাকাউন্টগুলো এমনভাবে খোলা হয়েছিল, যাতে সেগুলোর মাধ্যমে মার্কিন ডলারে অর্থ লেনদেন করা যায়। সবগুলো অ্যাকাউন্ট মাত্র ৫০০ মার্কিন ডলার দিয়ে খোলা হয়েছিল। এরপর ২০১৬ সালের ৫ ফেব্রুয়ারির আগে ওই অ্যাকাউন্টগুলো থেকে কোনো ধরনের লেনদেনের প্রমাণ পাওয়া যায়নি। ওইদিনই অর্থাৎ ৫ ফেব্রুয়ারিতে ক্রুজ অ্যাকাউন্টে ৬,০০০,০২৯.১২ মার্কিন ডলার, ‘ল্যাগ্রোসাস অ্যাকাউন্টে’ ৩০,০০০,০২৮.৭৯ মার্কিন ডলার, ভেরগারা অ্যাকাউন্টে ১৯,৯৯৯,৯৯০.০০ মার্কিন ডলার এবং ভাসকয়েজ অ্যাকাউন্টে ২৫,০০১,৫৭৩.৮৮ মার্কিন ডলার এসে জমা হয়েছিল। বাংলাদেশ ব্যাংকের দাবি, এগুলো তাদের রিজার্ভ থেকে চুরি যাওয়া অর্থ। এসব অ্যাকাউন্ট থেকে ৯ ফেব্রুয়ারি অর্থগুলো ওঠানো হয়েছিল বলে জানা যায়। এদিকে পিকাচি অ্যাকাউন্টে প্রায় ১৭০ মিলিয়ন মার্কিন ডলার ট্রান্সফার করার নির্দেশনা দিয়েছিল হ্যাকাররা। কিন্তু বাকি চারটির মতো এবার নিউইয়র্ক ফেড ওই অর্থ ট্রান্সফার করেনি। সবগুলো অ্যাকাউন্টেই বাংলাদেশের চলমান বিভিন্ন প্রজেক্ট থেকে ‘কনসালট্যান্সি বা পরামর্শক ফি বাবদ অর্থগুলো জমা হয়েছিল বলে দেখিয়েছে হ্যাকাররা।’

জানা যায়, ওই পাঁচটি ব্যাংক হিসাব খোলার সময় যোগাযোগের ঠিকানায় ভুল তথ্য দেওয়া হয়েছিল। রিজার্ভ চুরির ঘটনার পর ওইসব ঠিকানায় ওইসব নামে কোনো ব্যক্তির সন্ধ্যান পাওয়া যায়নি। এমনকি পিকাচি নামের অ্যাকাউন্টে যোগাযোগের পর্যাপ্ত তথ্যও ছিল না। তাদের প্রত্যেকের নামেই জাল ড্রাইভিং লাইসেন্স দেওয়া হয়েছিল। যেমন : লাইসেন্স প্রদানকারী ল্যান্ড ট্রান্সপোরটেশন অফিসে ভাসকয়েজ নামে কোনো লাইসেন্সের রেকর্ড নেই। ভেরগারার লাইসেন্সের যোগাযোগ নম্বর তার নামে অ্যাকাউন্ট খোলার সময় ব্যবহার করা হয়নি। ল্যাগ্রোসাসের নামে যে লাইসেন্স, সেখানে আরসিবিসির রিজার্ভ অফিসার আদ্রিয়ান রানাস ইউজুইকোর ছবি ব্যবহার করা ছিল। তাদের স্বাক্ষরের সঙ্গে ড্রাইভিং লাইসেন্সের স্বাক্ষরেরও কোনো মিল পায়নি আরসিবিসি। অ্যাকাউন্ট খোলার আবেদনপত্র অনুযায়ী, ভাসকয়েজ, ভারগেরা এবং ক্রুজ সবাই ২০০৫ সালের শুরুর দিকে তিন মাসের মধ্যেই তাদের কর্মজীবন শুরু করে। এমনকি ওই অ্যাকাউন্টগুলো খোলার জন্য আবেদনকারীদের সবাই বিভিন্ন কোম্পানিতে ম্যানেজার/এক্সিউকিউটিভ পদে চাকরি করেছেন বলে আবেদনপত্রে বলা হয়েছে। ওইসব পদ থেকে এদের মাসিক আয় দেখানো হয়েছিল ১,৫০০,০০০ পেসো (যা ২৮,৫০০ মার্কিন ডলারের সমপরিমাণ)। অথচ সেসব কোম্পানির বা তাদের আয়ের কোনো প্রমাণ ছিল না। সাধারণত আরসিবিসির পক্ষ থেকে সব ধরনের সেবার শেষে ধন্যবাদসূচক (থ্যাংক ইউ লেটার) চিঠি ই-মেইলে পাঠানো হয়। কিন্তু পাঁচটির মধ্যে চারটি ই-মেইল বার্তাই ডেলিভারি না হয়ে জুন থেকে আগস্ট, ২০১৫ সালের মধ্যে ফেরত এসেছিল। সাবেক ব্যাংক ব্যবস্থাপক মায়া দেগুইতো ছাড়াও আরসিবিসির কয়েকজন কর্মকর্তা এই অ্যাকাউন্টগুলোর খোলার বিষয়টি অনুমোদন করেছিল বলে অভিযোগ বাংলাদেশের। গত ১০ জানুয়ারি এ ঘটনার সঙ্গে জড়িত অভিযোগে মিজ দেগুইতোকে ৩২ থেকে ৫৬ বছরের কারাদণ্ড দিয়েছেন ফিলিপাইনসের একটি আদালত। সেই সঙ্গে তাকে ১০ কোটি ৯০ লাখ ডলার জরিমানাও করা হয়। চুরির ঘটনার পর ওই ব্যাংকের একজন কর্মকর্তার কম্পিউটারে ২৯ জুলাই, ২০১৫ সালে তৈরি করা একটি ওয়ার্ড ফাইলে ভাসকয়েজ, ক্রুজ এবং ভারগেরার অ্যাকাউন্টগুলোর অনুমোদনের খসড়া পাওয়া যায়।

২০১৬ সালের ৪ ফেব্রুয়ারি ছিল বৃহস্পতিবার। পরের দুই দিন বাংলাদেশ ব্যাংকের কর্মকর্তাদের সাপ্তাহিক ছুটি। অন্যদিকে, চীনা নতুন বর্ষ উপলক্ষে আরসিবিসি ব্যাংকের তিন দিনের ছুটি শুরুর কথা সোমবার, ৮ ফেব্রুয়ারি। আর সেই সুযোগটাই নিয়েছিল উত্তর কোরিয়ার হ্যাকাররা, যারা পেছন থেকে চুরির কাজটি করেছিল। বাংলাদেশ ব্যাংকের পক্ষ থেকে দায়ের করা মামলার বিবরণ এমনটাই বলছে। হ্যাকাররা নেসট্যাগ ও ম্যাকট্রাক নামক ম্যালওয়্যার ব্যবহার করে নেটওয়ার্কে ঢুকতে পেরেছিল। আগে নির্ধারিত বাংলাদেশ ব্যাংকের নেটওয়ার্কে অনুপ্রবেশ করার পর ৪ ফেব্রুয়ারি রাত ৮টা ৩৬ মিনিট নাগাদ সুইফট সিস্টেমে লগ-ইন করতে সমর্থ হয় হ্যাকাররা। পরে রাত প্রায় ৮টা ৫০ থেকে ১০টা ৩০ মিনিট পর্যন্ত নিউইয়র্ক ফেডারেল রিজার্ভ থেকে প্রায় এক বিলিয়ন মার্কিন ডলার সরানোর জন্য ৩৬টি পেমেন্টে অর্ডার পাঠায় তারা। ট্রানজেকশনের তথ্যের গরমিলের কারণে সেখান থেকে মাত্র একটি পেমেন্ট অর্ডার মধ্যবর্তী আরেকটি ব্যাংকে আটকে যায়। বিশ মিলিয়ন ডলারের ওই পেমেন্ট অর্ডারটি করা হয় শ্রীলঙ্কার Shalika Fundation অনুকূলে। কিন্তু প্যান এশিয়া ব্যাংকিং করপোরেশন সেখানে বানান ভুলটি ধরে ফেলে—এটি হবে Shalika Foundation.

বাকি ৩৫টি পেমেন্ট অর্ডার নিউইয়র্ক ফেড বাতিল করে দেয়, কারণ সেখানে মধ্যস্থকারী (ইন্টারমেডিয়ারি) ব্যাংকের পর্যাপ্ত তথ্য ছিল না। পরে হ্যাকাররা সেসব তথ্য আপডেট করে আবার ৩৪টি পেমেন্ট অর্ডার পাঠায়। এটি ঘটেছিল বৃহস্পতিবার রাত ১১টা ৩০টা থেকে শুক্রবার রাত ১টার মধ্যে। ওই রাতেই ৩টা ৫৯ মিনিটে হ্যাকাররা সুইফট সিস্টেম থেকে লগ-আউট করে। সে সময় তাদের কর্মকান্ডের প্রমাণ না রাখতে হ্যাকাররা একটি ম্যালওয়ার ব্যবহার করে। এগুলো পেমেন্ট অর্ডারের পরপরই সব গুরুত্বপূর্ণ তথ্য স্বয়ংস্ক্রিয়ভাবে ডিলিট করে দেয়। পেমেন্টের সময় সব তথ্য যাতে সুইফট প্রিন্টারে বের না হয়, সে জন্য একটি প্রিন্টার বন্ধ করে দেওয়া হয়। যার ফলে মাত্র চারটি পেমেন্ট অর্ডার কার্যকর হয়েছিল বলে মামলার নথিতে বলা হয়েছে। পরে ওই অর্থই ফিলিপাইনসে ক্যাসিনোর মাধ্যমে বেহাত হয়ে যায়। যুক্তরাষ্ট্রের নিউইয়র্ক সাদার্ন ডিস্ট্রিক্ট কোর্টে বাংলাদেশ ব্যাংকের পক্ষ থেকে যে মামলা করা হয়েছে, সেখানে ফিলিপাইনসের পাঁচটি আর্থিক ও ক্যাসিনো প্রতিষ্ঠান, ফিলিপাইনসের ১২ নাগরিক এবং তিনজন চীনা নাগরিকসহ ২০ ব্যক্তি বা প্রতিষ্ঠানকে দায়ী করা হয়েছে।

এদিকে, বাংলাদেশ ব্যাংকের দায়ের করা মামলাকে পলিটিক্যাল স্ট্যান্ট (রাজনৈতিকভাবে লোক দেখানোর চেষ্টা) বলে অভিহিত করেছে আরসিবিসি। ব্যাংকটি বলেছে, নিজেদের দোষ এড়াতে এবং নিজেদের দায়বদ্ধতা ঘোচাতে বাংলাদেশ ব্যাংক এই ভীষণ চেষ্টা করছে। ফিলিপাইনসের এই ব্যাংকটি মামলা লড়ার জন্য যুক্তরাষ্ট্রের কুইন ইমানুয়েল নামে একটি আইনি প্রতিষ্ঠানের সঙ্গে যোগাযোগ করেছে বলে ঘোষণা দিয়েছে।

পিডিএসও/হেলাল