ইউপিআই লেনদেনে নতুন আতঙ্ক: ‘ডিজিটাল লুটেরা’ টুলকিটে ফাঁকা হচ্ছে ব্যাংক অ্যাকাউন্ট

ডেইলি ডোমকল, ডিজিটাল ডেস্ক: দেশের ডিজিটাল লেনদেন ব্যবস্থায় এক ভয়াবহ বিপদের সঙ্কেত দিলেন সাইবার বিশেষজ্ঞরা। ইউনিফাইড পেমেন্টস ইন্টারফেস বা UPI-এর নিশ্ছিদ্র নিরাপত্তা বলয় ভেঙে ফেলার নতুন কৌশল তৈরি করেছে সাইবার অপরাধীরা। সাইবার ইন্টেলিজেন্স সংস্থা ‘ক্লাউডসেক’ (CloudSEK)-এর সাম্প্রতিক রিপোর্টে দাবি করা হয়েছে, ‘ডিজিটাল লুটেরা’ নামক একটি বিশেষ টুলকিট ব্যবহার করে গ্রাহকদের অজান্তেই তাঁদের ব্যাংক অ্যাকাউন্ট নিয়ন্ত্রণ করছে প্রতারকরা।

এতদিন মনে করা হতো, ইউপিআই অ্যাপের ‘সিম-বাইন্ডিং’ ফিচারটি অত্যন্ত নিরাপদ। অর্থাৎ, যে ফোনে সিমটি রয়েছে, সেই ফোন ছাড়া অন্য কোথাও সংশ্লিষ্ট ব্যাংক অ্যাকাউন্টটি রেজিস্টার করা সম্ভব নয়। কিন্তু ক্লাউডসেক-এর থ্রেট রিসার্চার শোভিত মিশ্র জানিয়েছেন, “ডিজিটাল লুটেরা কেবল সাধারণ ম্যালওয়্যার নয়, এটি ডিভাইসের বিশ্বাসের ওপর একটি কাঠামোগত আঘাত। অপারেটিং সিস্টেমকেই এমনভাবে নিয়ন্ত্রণ করা হচ্ছে যে সিম-বাইন্ডিং বা অ্যাপ সিগনেচারের মতো প্রথাগত নিরাপত্তা ব্যবস্থাগুলো অকেজো হয়ে পড়ছে।”

রিপোর্ট অনুযায়ী, প্রতারণার জালটি বিছানো হচ্ছে অত্যন্ত সুকৌশলে। ট্রাফিক ফাইন মেটানো বা বিয়ের ডিজিটাল নিমন্ত্রণপত্রের আড়ালে ব্যবহারকারীদের ফোনে একটি ম্যালওয়্যার বা ভাইরাস ইন্সটল করানো হয়। একবার ইন্সটল হয়ে গেলে, ওই অ্যাপটি ফোনের এসএমএস দেখার অনুমতি হাতিয়ে নেয়। এরপর ‘ডিজিটাল লুটেরা’ টুলকিট ব্যবহার করে অপরাধীরা নিজেদের ডিভাইসে বসে ভুক্তভোগীর ফোনের সিস্টেম-লেভেল আইডি এবং এসএমএস ফাংশন বদলে দেয়। পাশাপাশি ব্যাংকের ভেরিফিকেশন মেসেজ বা ওটিপি (OTP) সরাসরি পৌঁছে যায় অপরাধীদের টেলিগ্রাম চ্যানেলে। এমনকি ভুক্তভোগীর ফোনে ভুয়া ‘Sent SMS’ এন্ট্রি তৈরি করা হয় যাতে তাঁর মনে হয় সবকিছু স্বাভাবিক আছে। এর ফলে, আসল সিম কার্ডটি গ্রাহকের ফোনে থাকা সত্ত্বেও, অপরাধীরা অন্য একটি ডিভাইসে ওই ব্যক্তির ইউপিআই অ্যাকাউন্ট রেজিস্টার ও ব্যবহার করতে সক্ষম হচ্ছে।

ক্লাউডসেক জানিয়েছে, টেলিগ্রামের মতো প্ল্যাটফর্মে এই ধরনের অন্তত ২০টি সক্রিয় গোষ্ঠী চিহ্নিত করা হয়েছে। প্রতিটি গ্রুপে ১০০-র বেশি সদস্য রয়েছে। একটি মাত্র গ্রুপের তথ্য বিশ্লেষণ করে দেখা গেছে, মাত্র দু’দিনে প্রায় ২৫ থেকে ৩০ লক্ষ টাকার জালিয়াতি করা হয়েছে। এর থেকেই বোঝা যাচ্ছে, কত দ্রুত এই প্রতারণার মডেলটি ছড়িয়ে পড়ছে। সংস্থাটি জানিয়েছে, তারা ইতিপূর্বেই সংশ্লিষ্ট নিয়ন্ত্রক সংস্থা এবং আর্থিক প্রতিষ্ঠানগুলোকে এই বিষয়ে সতর্ক করেছে। তবে এই বিষয়ে ন্যাশনাল পেমেন্টস কর্পোরেশন অফ ইন্ডিয়া (NPCI)-র পক্ষ থেকে এখনও কোনো আনুষ্ঠানিক প্রতিক্রিয়া পাওয়া যায়নি।

সাইবার বিশেষজ্ঞরা পরামর্শ দিচ্ছেন, অচেনা কোনো সূত্র থেকে আসা লিঙ্ক বা অ্যাপ (বিশেষত এপিকে ফাইল) ফোনে ইন্সটল করবেন না। ফোনের অপারেটিং সিস্টেম আপ-টু-ডেট রাখুন এবং অ্যাপকে এসএমএস পারমিশন দেওয়ার ক্ষেত্রে অত্যন্ত সতর্ক থাকুন।