ইলেকট্রনিক মাধ্যমে ব্যাংকিং নিয়ে কিছু লেখার ভাবনা শুরু অনেক আগেই, তারই চেষ্টা হিসাবে ছিল আগের একটা লেখা নিরাপত্তা ঝুঁকি: স্মার্টফোন ও অনলাইন ব্যাংকিং

গত প্রায় এক সপ্তাহ ধরে বাংলাদেশের ব্যাংকিং খাতে , বিশেষ করে এটিএম ব্যাংকিং-এ কার্ড স্কিমিং / এটিএম ব্যাংক স্কিমিং ইত্যাদি শব্দগুলো বেশ শূনা যাচ্ছে গনমাধ্যম ও আমজনতার মাঝে। আমাদের দেশে এইজাতিয় স্কিমিং নতুন হলেও উন্নতবিশ্বে বেশ পরিচিত। একটু টেকনিক্যালি দেখা যাক, এটিএম বা কার্ড স্কিমিং কী এবং কীভাবে সেটা করা যায়।

প্রচলিত এটিএম কার্ডগুলো দুয়েল ফ্যাক্টোর অথেন্টিকেশন (dual factor authentication) ব্যবহার করা । প্রথম ফ্যাক্টোরটি হল, কার্ড নিজে, যার আইডেন্টিটি সাধারনত কার্ডের পিছনের ম্যাগনেটিক স্ত্রিপে লেখা থাকে। তবে কিছু কিছু কার্ডে ব্যবহার করা হচ্ছে ইএমভি (EMV), যা দেখতে অনেকটা মোবাইল এর সিম কার্ডের মত। গতকিছু দিন যে ধরনের স্কিমিং আমরা দেখছি, তাতে মূলত কার্ডের ম্যাগনেটিক স্ত্রিপকে ক্লোন করা হয়েছে আর কোন ভাবে হ্যাক করা হয়েছে পিন কোড। এবার আসা যাক কীভাবে সম্ভব এই কাজ গুলো করা।

ম্যাগনেটিক স্ত্রিপ ক্লোনিং : কোন ম্যাগনেটিক স্ত্রিপের এটিএম কার্ডের পিছনে একটি কাল মোটা দাগ দেখা যায়, এটিই হল ম্যাগনেটিক স্ত্রিপ। ভেঙ্গে বললে চুম্বকের উত্তর মেরু আরে দক্ষিন মেরু এর সন্নিবেশন যার সাহায্যে এটিএম কার্ডের আইডেন্টিটি লেখা থাকে । এই আইডেন্টিটি রেকর্ড করার গানিতিক বিন্যাস অনেকটা পুরনোদিনের টেপ-রেকর্ডারের মাঝে গান রেকর্ড করার মত। বিশ্বব্যাপি একই এলগরিদম ব্যবহার করা হয়ে থাকে এই কাজে, যার ফলে এক ব্যাংকের কার্ড অন্য ব্যাংকের এটিএম বুথে কাজ করে। প্রত্যেকটা এটিএম বুথে একটি করে কার্ড রিডার থাকে যা পড়ে নেয় কার্ডের ইনফরমেশন, যার মাঝে থাকে কার্ড নাম্বার, ইউজারের নাম, ইস্যুয়ার এর আইডেন্টিফিকেশন ইত্যাদি। এখন যদি কোন ভাবে পড়ে ফেলা যায় এই ইনফর্মেশনগুলো তাহলে কার্ড ক্লোন করা সম্ভব। আর সহজ করে বললে ঠিক যেভাবে কার্ডে উত্তর মেরু আরে দক্ষিন মেরু এর সন্নিবেশন আছে, একই সন্নিবেশন কোন কার্ডে করতে পারলেই হবে। বিষয়টা কী খুব বেশী কঠিন মনে হচ্ছে ? তাহলে আবারও চোখ দেয়া যাক পুরনোদিনের টেপ-রেকর্ডারের দিকে, ক্যাসেট টু ক্যাসেট কপি ছিল অনেক সাধারন একটা বিষয়। যেখানে একটা টেপ-রেকর্ডারের একদিকের পকেটে থাকা রিড হেড (read head) পড়ে নিত ইনফর্মেশনগুলো আর অন্য পকেটে থাকা ব্লাংক ক্যাসেটে ইনফর্মেশনগুলো লিখে ফেলত একটা রাইট হেড (write head)। ঠিক একই ভাবে যদি কার্ডটাকে যদি কোন ম্যাগনেটিক কোড রিডারের মাঝে দিয়ে পার করা যায় তাহলে সেই রিডারের হেডের সাহায্যে জোগাড় করা সম্ভব ঐ কার্ডের যাবতীয় ইনফর্মেশন । এই জাতীয় যন্ত্রগুলো মূলত স্কিমিং ডিভাইস হিসাবে পরিচিত।

তাহলে প্রশ্ন আসে, এটিএম বুথে কোথায় স্কিমিং ডিভাইস বসান হয়। মূল দুই ভাবে এটা বসানো যেতে পারে
১। ইন্টারনাল স্কিমিং ডিভাইস – এ ক্ষেত্রে ডিভাইস এর সাথে কোন আলাদা কার্ড রিডার থাকে না । এটিএম মেশিনের ভিতরে ডিভাইস বসান হয়। মূলত এটিএম মেশিনের কার্ড রিডার থেকে মেশিনের কম্পিউটারের (যা সাধারনত একটা উইন্ডোজ ওয়ার্কস্টেশন) পেরিফেরাল পোর্ট পর্যন্ত যে ক্যাবল থাকে, তার মাঝামাঝি ডিভাইসটা বসান হয়, এবং ডিভাইসটা কার্ড রিডার থেকে যাওয়া সব ডাটা ক্যাপচার করে।
২। এক্সটার্নাল স্কিমিং ডিভাইস – আমাদের কাছে সব চেয়ে পরিচিত এটি, মূলত আগেরটা ট্র্যাক করা কঠিন হলেও (যেহেতু বাইরে থেকে দেখা যায় না), এটিএম সেবাদানকারি প্রতিষ্ঠানের কারও সাহায্য ছাড়া বসান প্রায় কঠিন। এক্সটার্নাল স্কিমিং ডিভাইস ঠিক এটিএম মেশিনের কার্ড রিডারের সামনে বসান হয়। সাধারনত এর এমন একটা কভার থাকে যেটা এটিএম মেশিন এর সাথে ডিজাইনের দিক থেকে মিলে যায়, মেশিনে যখনই কোন কার্ড প্রবেশ করান হয় তা এই ডিভাইস এর মাঝে নিয়ে যায়, এবং ডিভাইস এর কার্ড রিডার কার্ড এর ইনফর্মেশন ক্যাপচার করে।

ইদানিং কালে বেশ কিছু স্কিমিং ডিভাইস ব্লু-টুথ প্রযুক্তির সাহায্যে রেকর্ড করা ডাটা হ্যাকারদের কাছে পাঠাতে পারে। এসব ডিভাইস কে একবার বসানর পরে ডাটা কালেক্ট করার জন্য খুলে আনার প্রয়োজন নেই।

আগেই বলেছিলাম এটিএম মেশিন দুয়েল ফ্যাক্টোর অথেন্টিকেশন এর সাহায্যে কাজ করে। কী করে কার্ড ফ্যাক্টর হ্যাক করা যায় সেটা জানলাম, বাকি থাকল পাসওয়ার্ড বা পিন কোড। এটাও দুটি ভাবে পাওয়া যেতে পারে –
১। হিডেন ক্যামেরা ব্যবহার করে – এটিএম বুথে এমন ভাবে একটা ক্যামেরা বসানো, যেটা দিয়ে দেখা যাবে ব্যবহারকারী এর হাতের (আরও ঠিক করে বললে আঙ্গুলের) নড়াচড়া, যাতে ধারনা করা যায় তিনি কী পিন কোড দিলেন। অনেক এক্সটার্নাল স্কিমিং ডিভাইস বিল্ট-ইন ক্যামেরা থাকে ।
২। ফেক কীবোর্ড লেআউট – এক্ষেত্রে এটিএম এর কীবোর্ড বা কীপ্যাডের উপর একই রকমের একটা ডিভাইস বসান হয়, যা ব্যবহারকারীর প্রত্যেকটা স্পর্শ কে রেকর্ড করে।

স্কিমিং ডিভাইসগুলোর মত, এই ডিভাইস গুলোও ব্লু-টুথ এর সাহায্যে ডাটা পাঠাতে পারে।

সমস্যার কথা হচ্ছে, এই ডিভাইসগুল ব্যবহারকারিরা সহজে ধরতে পারেন না। তাহলে প্রশ্ন আসে কীভাবে এটিএম এ নিরাপত্তা আনা যায়?
ক। ত্রাই ফাক্টর অথেন্টিকেশন (Tri Factor Authentication) – ব্যাবহারকারি কার্ড ও পিন কোড দেয়ার পর এককালিন একটা পাসওয়ার্ড পাবেন তার মোবাইলে যেটা ব্যবহার করে উনি সর্বোচ্চ একটি লেনদেন করতে পারবেন। মোবাইল এ পাসওয়ার্ড পাঠান ছাড়াও স্মার্ট কী (smart key) এর সাহায্যে এককালিন পাসওয়ার্ড (one time password – OTP) প্রয়োগ করা যায়।
খ। নিয়মিত পাসওয়ার্ড বদলান – ব্যবহারকারি যদি অনলাইনে নিজের পাসওয়ার্ড কিছুদিন পর পর বদল করেন তাহলে কিছুটা নিরাপত্তা পেতেও পারেন।
গ।পরিচিত এটিএম বুথ ব্যবহার – ব্যবহারকারি যদি নির্দিষ্ট কিছু বুথ ব্যবহার করেন, তাহলে ঐ বুথের মেশিনে কোন পরিবর্তন এলে তা তার নজরে আসবে। এবং সেক্ষেত্রে ঐ বুথ নিশ্চিৎ না হয়ে ব্যবহার না করাই ভালো