bonikbarta.net নিহাল হাসনাইন
কেন্দ্রীয় ব্যাংকের সার্ভার হ্যাকের উদ্দেশ্যে রিজার্ভ চুরির আগে একটি ফিশিং ই-মেইল বার্তা পাঠিয়েছিল হ্যাকাররা। ওই বার্তায় সাড়া দেয়া হয় কেন্দ্রীয় ব্যাংকের গভর্নর সচিবালয়ের তৎকালীন মহাব্যবস্থাপক এএফএম আসাদুজ্জামানের ব্যবহৃত কম্পিউটার ডিভাইস থেকে। চাকরির জন্য সাক্ষাতের ডাক পাওয়ার প্রত্যাশা জানিয়ে প্রেরক রাসেল আহলাম একটি কভার লেটার ও একটি জীবনবৃত্তান্ত বা বায়োডাটা পাঠিয়েছিলেন ওই ই-মেইল বার্তায়। যে সময় ওই বার্তায় সাড়া দেন এএফএম আসাদুজ্জামান, নির্ধারিত সময়সূচি অনুযায়ী তখন তার কাজের জায়গায় থাকার কথা না। ওই ফিশিং বার্তাকে কাজে লাগিয়েই গভীর রাতে কেন্দ্রীয় ব্যাংকের সার্ভারের নিয়ন্ত্রণ নিয়ে নেয় হ্যাকাররা। পরে রিয়েল টাইম গ্রস সেটেলমেন্টের (আরটিজিএস) মাধ্যমে সরিয়ে নেয়া হয় বাংলাদেশ ব্যাংকের রিজার্ভের অর্থ। এছাড়া রিজার্ভ চুরির আগে একজন ডেপুটি গভর্নরকে অনুপস্থিত দেখিয়ে তড়িঘড়ি করে এ আরটিজিএসের ফাইল অনুমোদনের ঘটনাটিও ঘটে এ দপ্তর থেকেই। রিজার্ভ চুরি নিয়ে সন্দেহজনক এসব সূত্রের প্রায় সবক’টিই গভর্নর সচিবালয়কেন্দ্রিক বলে জানিয়েছেন তদন্তসংশ্লিষ্টরা।
অর্থ ও তথ্য আত্মসাৎ করে নেয়ার উদ্দেশ্যে কোনো মেইল বা লিংক ব্যবহারের ক্ষেত্রে ইন্টারনেট ফিশিং পরিভাষাটি ব্যবহার হয়। মূলত কোনো সংগঠন বা ব্যক্তিকে টার্গেট করে প্রতারণামূলক ই-মেইল পাঠিয়ে স্পর্শকাতর তথ্যে ঢুকে পড়াই হচ্ছে স্পিয়ার-ফিশিং। সংশ্লিষ্ট সূত্রে পাওয়া তথ্য অনুযায়ী, রিজার্ভ চুরির ঘটনায় হ্যাকারদের বার্তা গ্রহণকারী ডিভাইসটি শনাক্তের জন্য কেন্দ্রীয় ব্যাংক থেকে জব্দ করা কম্পিউটারসহ অন্যান্য ডিভাইস ফরেনসিক পরীক্ষার জন্য হেফাজতে নিয়েছিল পুলিশের অপরাধ তদন্ত বিভাগ (সিআইডি)। পাশাপাশি অধিকতর ফরেনসিক পরীক্ষার জন্য কেন্দ্রীয় ব্যাংকের গভর্নর সচিবালয় থেকে জব্দ করা ডিভাইসের নমুনা সংগ্রহ করে নেয়া হয় যুক্তরাষ্ট্রের ফেডারেল ব্যুরো অব ইনভেস্টিগেশনের (এফবিআই) ল্যাবে। কয়েক দফা এসব নমুনা পরীক্ষার পর সংস্থাটি নিশ্চিত হয় রাসেল আহলাম নামে হ্যাকারদের পাঠানো ফিশিং মেইলটি সর্বপ্রথম ক্লিক করা হয় যে ডিভাইস থেকে, সেটি বাংলাদেশ ব্যাংকের গভর্নর সচিবালয়ের কর্মকর্তা এএফএম আসাদুজ্জামানের। তিনি তখন কেন্দ্রীয় ব্যাংকের গভর্নর সচিবালয়ে মহাব্যবস্থাপক ও বাংলাদেশ ব্যাংকের সহকারী মুখপাত্র হিসেবে দায়িত্বে ছিলেন। ব্যাংকের নিজস্ব সার্ভার ব্যবহার করে তিনি ফিশিং মেইলে সাড়া দেন। মেইলটিতে সিভি সংযুক্ত করা ছিল। সেই ফাইলটিতে ক্লিক করার পরই কেন্দ্রীয় ব্যাংকের সুইফট সার্ভারের নিয়ন্ত্রণ নিয়ে নেয় হ্যাকাররা। রাতে বেশ কয়েক ঘণ্টা সময় নিয়ে আরটিজিএসের মাধ্যমে কয়েকটি ট্রানজেকশনে সরিয়ে নেয়া হয় কেন্দ্রীয় ব্যাংকের রিজার্ভের ১০১ মিলিয়ন (১০ কোটি ১০ লাখ) ডলার।
বাংলাদেশ ব্যাংক থেকে জব্দ করা ডিভাইসগুলো নিজেদের ল্যাবে পরীক্ষার পর যুক্তরাষ্ট্রের ক্যালিফোর্নিয়া ডিস্ট্রিক্ট কোর্টে এফবিআইয়ের করা ফৌজদারি মামলার নথিতে সংস্থাটি বলেছে, বাংলাদেশ ব্যাংকের কম্পিউটার নেটওয়ার্কে প্রাথমিকভাবে ঢুকে পড়ার জন্য সব ই-মেইল অ্যাকাউন্ট থেকে প্রায় একই রকম অনেক ‘স্পিয়ার-ফিশিং’ ই-মেইল পাঠানো হয়েছিল। বাংলাদেশ ব্যাংকে সাইবার হামলা চালাতে ও লক্ষ্যবস্তু বানাতে চারটি গুগল অ্যাকাউন্ট ব্যবহার করা হয়েছে। এ চার অ্যাড্রেস থেকে পাঠানো স্পিয়ার-ফিশিং ই-মেইলগুলো ছিল প্রায় একই রকম। এসব ই-মেইল থেকে কেন্দ্রীয় ব্যাংকের সার্ভারে যুক্ত নিজস্ব ই-মেইলে বেশ কয়েকটি ডিভাইসে বার্তা দেয়া হয়। কর্মদিবসের শেষে হওয়ায় তখন অন্য কোনো ডিভাইস থেকে ফিশিং মেইলে সাড়া দেয়া হয়নি। কেবল তৎকালীন গভর্নর সচিবালয়ের জিএমের ব্যবহৃত ডিভাইস থেকে সাড়া দেয়া হয়। ২০১৫ সালের ১১ থেকে ১২ আগস্টের মধ্যে ওই ফিশিং ই-মেইলটিতে ক্লিক করা হয়েছিল।
আসাদুজ্জামান ১৯৮৩ সালে বাংলাদেশ ব্যাংকের জনসংযোগ বিভাগে কনিষ্ঠ কর্মকর্তা হিসেবে যোগ দেন। দীর্ঘ ৩০ বছরের চাকরি জীবনে শ্রেষ্ঠ জনসংযোগ কর্মকর্তা হিসেবে ‘শুভজন পদক’ পান ২০১৫ সালে। এর পরের বছরই ঘটে কেন্দ্রীয় ব্যাংকের রিজার্ভ চুরির ঘটনা। বর্তমানে আসাদুজ্জামান একটি জনসংযোগ প্রতিষ্ঠানের পরিচালক হিসেবে কর্মরত রয়েছেন। মন্তব্য জানার জন্য বেশ কয়েক দফা চেষ্টা করেও তার সঙ্গে যোগাযোগ করা সম্ভব হয়নি।
এদিকে রিজার্ভ চুরির আগে তড়িঘড়ি করে সুইফট সংযোগ দেয়া আরটিজিএস প্রকল্পের ফাইল অনুমোদন করানোর বিষয়টিকেও সন্দেহজনক মনে করছেন সংশ্লিষ্টরা। তাদের মতে, কয়েক ধাপে গভর্নর কার্যালয়ের কর্মকর্তাদের যোগসাজশে কেন্দ্রীয় ব্যাংকের রিজার্ভ চুরির ঘটনাটি ঘটে। আরটিজিএস প্রকল্প বাস্তবায়ন হলে রিজার্ভের অর্থ ঝুঁকিতে পড়তে পারে এমন শঙ্কা থেকে এর বিরোধিতা করে আসছিলেন কেন্দ্রীয় ব্যাংকের তৎকালীন ডেপুটি গভর্নর আবুল কাশেম। পরবর্তী সময়ে তাকে অনুপস্থিত দেখিয়ে একদিনের মধ্যে আরটিজিএস প্রকল্পের ফাইল অনুমোদন করানো হয়। এক্ষেত্রে পুরো কাজটি করা হয় গভর্নর সচিবালয় থেকে।
মামলার তদন্তে যুক্ত এক কর্মকর্তা জানান, আরটিজিএস প্রকল্প পাসের দিন তৎকালীন ডেপুটি গভর্নর আবুল কাশেম অফিসেই ছিলেন। কিন্তু তাকে অনুপস্থিত দেখিয়ে নির্বাহী পরিচালক শুভঙ্কর সাহা নিজে স্বাক্ষর করে প্রকল্প অনুমোদনের জন্য ফাইলটি সরাসরি গভর্নরের সচিবালয়ে পাঠান। সেখান থেকে অনুমোদন দিয়ে ফাইলটি পুনরায় সংশ্লিষ্ট কর্মকর্তাদের টেবিল ঘুরে নথি শাখায় জমা হয়। আবুল কাশেম এখন অবসরে গেছেন।
কেন্দ্রীয় ব্যাংকের এক কর্মকর্তার কক্ষে কথা হয় তার সঙ্গে। রিজার্ভ চুরির আগে কেন্দ্রীয় ব্যাংকে বহিরাগতদের অতিরিক্ত যাতায়াত নিয়েও ক্ষোভ প্রকাশ করেন সাবেক এ ডেপুটি গভর্নর। তবে তিনি এও মনে করেন কেন্দ্রীয় ব্যাংকের কারো দ্বারা রিজার্ভ চুরির মতো অপরাধ সম্ভব নয়। বরং প্রযুক্তির ব্যবহারে পিছিয়ে থেকেও আরটিজিএস প্রকল্পে যুক্ত হতে যাওয়াটাকেই এ চুরির পেছনে বেশি দায়ী বলে মনে করেন তিনি।
ঘটনার সময় বাংলাদেশ ব্যাংকের গভর্নর পদে নিয়োজিত ছিলেন ড. আতিউর রহমান। বণিক বার্তাকে তিনি বলেন, ‘নিউইয়র্ক কোর্টের মামলাটি এখনো চলমান। ওই কোর্ট জানুয়ারি মাসে যে রায় দিয়েছে, সেটি বাংলাদেশের পক্ষেই গেছে। সেখানে তারা স্পষ্ট করে বলেছেন যে ফিলিপাইনের আরসিবিসি ব্যাংক নিউইয়র্ক ফেড থেকে হ্যাকারদের মাধ্যমে বাংলাদেশ ব্যাংকের রিজার্ভের অর্থ গ্রহণ করেছে। কেওয়াইসি (নো ইউর কাস্টমার) ছাড়াই ভুয়া হিসাব খুলে তারা যোগসাজশের মাধ্যমে এ অপকর্ম করেছে। ওই রায়ের শেষ লাইনে বলা হয়েছে, বাংলাদেশ যেসব অভিযোগ করেছে সেগুলো সত্যি। বাংলাদেশের সঙ্গে মধ্যস্থতা করে বিষয়টি আদালতে জানাতে হবে। সেই মধ্যস্থতা এখনো চলছে।এজন্য এ মুহূর্তে রিজার্ভ হ্যাকিং বিষয়ে আমি কোনো মন্তব্য করতে চাচ্ছি না। আমরা আশা করছি দ্রুত বিষয়টি নিউইয়র্ক কোর্টের নির্দেশনামতো নিষ্পত্তি হোক।’
এদিকে বাংলাদেশ ব্যাংকের রিজার্ভ চুরির মামলার তদন্ত প্রতিবেদন এবারো নির্ধারিত দিনে আদালতে জমা দিতে পারেনি সিআইডি। গত ৩১ জুলাই ছিল এ মামলায় প্রতিবেদন জমা দেয়ার নির্ধারিত দিন। কিন্তু ওইদিনও রিজার্ভ চুরির মামলার তদন্ত প্রতিবেদন দাখিল করতে পারেননি তদন্তকারী কর্মকর্তা। পরে প্রতিবেদন জমা দেয়ার জন্য আগামী ২০ সেপ্টেম্বর নতুন তারিখ নির্ধারণ করেছেন ঢাকার চিফ মেট্রোপলিটন ম্যাজিস্ট্রেট (সিএমএম) আদালতের ম্যাজিস্ট্রেট রাজেশ চৌধুরী। এ নিয়ে ৭৩ বারের মতো পেছাল মামলার প্রতিবেদন জমা দেয়ার তারিখ।
মামলার তদন্ত অগ্রগতি সম্পর্কে জানতে চাইলে সিআইডির মুখপাত্র আজাদ রহমান বণিক বার্তাকে বলেন, ‘রিজার্ভ চুরির সঙ্গে আন্তঃদেশীয় কিছু বিষয় জড়িত। বেশ কয়েকটি দেশের কাছে আমরা কিছু তথ্য চেয়েছি। এরই মধ্যে কয়েকটি দেশের তথ্য পেয়েছি। বাকি তথ্য পেলে এ মামলায় আদালতে প্রতিবেদন দাখিল করা হবে।’
রাষ্ট্রপক্ষের প্রধান কৌঁসুলি আব্দুল্লাহ আবু বণিক বার্তাকে বলেন, ‘রিজার্ভ চুরির মামলার তদন্ত প্রতিবেদন আদালতে জমা হলে মামলার বিচারকাজ শুরু হবে। তবে এখনো মামলার তদন্ত প্রতিবেদন আদালতে জমা দিতে পারেনি সিআইডি। আগামী ২০ সেপ্টেম্বর প্রতিবেদন জমা দেয়ার পরবর্তী দিন ধার্য করা হয়েছে। মামলাটি অধিকতর গুরুত্বপূর্ণ ও স্পর্শকাতর হওয়ায় এর পুরো তদন্তই হতে হবে নির্ভুল। সেজন্যই হয়তো কিছু সময় লাগছে। তাড়াহুড়ো করে প্রতিবেদন দিতে গিয়ে রিজার্ভ অপরাধে যুক্ত কেউ যাতে ছাড় পেয়ে না যান, সে বিষয়টিও খেয়াল রাখতে হচ্ছে। আশা করছি তদন্তকারী সংস্থাটি রিজার্ভ চুরির ঘটনায় একটি নির্ভুল প্রতিবেদন দিতে সমর্থ হবে।’
২০১৬ সালের ফেব্রুয়ারিতে নিউইয়র্কের ফেডারেল রিজার্ভ ব্যাংকে বাংলাদেশ ব্যাংকের অ্যাকাউন্ট থেকে ১০১ মিলিয়ন ডলার চুরির ঘটনা ঘটে। চুরি হওয়া রিজার্ভের অন্তত ৮১ মিলিয়ন ডলার ম্যানিলাভিত্তিক আরসিবিসির অ্যাকাউন্টে স্থানান্তর করা হয়। সেখান থেকে ফিলিপাইনের ক্যাসিনোগুলোয় সেগুলো ব্যয় করা হয়। এ ঘটনায় ২০১৬ সালের ১৫ মার্চ বাংলাদেশ ব্যাংকের উপপরিচালক (হিসাব ও বাজেট) জোবায়ের বিন হুদা মতিঝিল থানায় মামলাটি করেন।
বাংলাদেশ ব্যাংকের আইনজীবী আজমালুল হোসেন কিউসি বণিক বার্তাকে বলেন, ‘রিজার্ভ চুরির মামলাটি তদন্তে একটু বেশিই সময় লাগছে। মূলত নির্ভুল একটা তদন্তের জন্য এমন বাড়তি সময়ের প্রয়োজন হচ্ছে। রিজার্ভ চুরির সঙ্গে ১২টা দেশের সংশ্লিষ্টতা রয়েছে। তাদের কাছে তথ্য চাওয়া হয়েছিল। এরই মধ্যে অনেকগুলো দেশ তথ্য পাঠিয়েছে। আবার অনেকেই পাঠায়নি। যেমন চীন থেকে এখনো আমাদের কোনো চিঠির জবাব দেয়া হয়নি। জাপান থেকে কিছু তথ্য এসেছে, তবে পুরোপুরি না। এরই মধ্যে নিউইয়র্ক কোর্টে আমাদের মামলাটি এখতিয়ারভুক্ত হয়েছে। আমরা তাদের চাহিদামতো তথ্য সরবরাহ করছি। তারাও (বিবাদী) হয়তো করছে। এ প্রক্রিয়া শেষ হবে অক্টোবরে। তার পরই হয়তো শুনানি হবে। সেখানে আমরা ইনশা আল্লাহ জয়লাভ করব।’
এখন পর্যন্ত বাংলাদেশ আরসিবিসি থেকে ১৫ মিলিয়ন ডলার এবং শ্রীলংকার একটি ব্যাংকে পাঠানো আরো ২০ মিলিয়ন ডলার উদ্ধার করেছে। চলতি বছরের ১ ফেব্রুয়ারি বাংলাদেশ ব্যাংক যুক্তরাষ্ট্রের আদালতে রিজাল ব্যাংকের বিরুদ্ধে চুরি হওয়া ৬৬ মিলিয়ন ডলার উদ্ধারের জন্য মামলা করে।
রিজার্ভ চুরির ঘটনা ছিল ইতিহাসের সবচেয়ে বড় সাইবার চুরি। এ ঘটনায় এরই মধ্যে একটি সিনেমা তৈরি করেছেন মার্কিন পরিচালক ড্যানিয়েল গর্ডন। ইউনিভার্সাল পিকচার্স হোম এন্টারটেইনমেন্ট থেকে তৈরি করা এ মুভিটি ১৫ আগস্ট মুক্তি পাচ্ছে। তথ্যচিত্রের ট্রেলারে দেখানো হয়েছে, একদল হ্যাকার কীভাবে বাংলাদেশ ব্যাংকের নিরাপত্তা ব্যবস্থা ভেঙে ৮১ মিলিয়ন ডলার চুরি করতে সক্ষম হয় এবং হ্যাকারদের সামান্য একটি ভুল টাইপের কারণে আরো বেশি অর্থ হাতিয়ে নেয়া থেকে রক্ষা পায় বাংলাদেশ ব্যাংক।
