বাণিজ্য
মোহাম্মদ সুমন
রোববার নভেম্বর ১৭, ২০২৪ ০৮:২৯ পূর্বাহ্ন
সর্বশেষ আপডেট: রোববার নভেম্বর ১৭, ২০২৪ ১১:৫২ পূর্বাহ্ন

পড়তে পারেন

বাণিজ্য

রাজস্ব বোর্ডের সার্ভারে ইচ্ছামতো ঢুকে পড়ছে সাইবার অপরাধীরা

মোহাম্মদ সুমন
রোববার নভেম্বর ১৭, ২০২৪ ০৮:২৯ পূর্বাহ্ন সর্বশেষ আপডেট: রোববার নভেম্বর ১৭, ২০২৪ ১১:৫২ পূর্বাহ্ন

গত ২০ মে চট্টগ্রাম কাস্টম হাউসের উপকমিশনার মোহাম্মদ জাকারিয়া কলকাতায় চিকিৎসাধীন ছিলেন। ওইদিন রাত ১১টা ৩৩ মিনিটে জাতীয় রাজস্ব বোর্ডের অটোমেটেড সিস্টেম ফর কাস্টম ডেটা (অ্যাসাইকুডা) সার্ভারে তার আইডি ও পাসওয়ার্ড ব্যবহার করেন কেউ।

প্রায় আধঘণ্টা পর ওই অনুপ্রবেশকারী আবার লগইন করে ভুয়া ঘোষণার মাধ্যমে আমদানি করা ছয় কোটি টাকার বিদেশি সিগারেট খালাসের শুল্ক প্রক্রিয়া শেষ করেন।

এটি অত্যাধুনিক কৌশল ছিল বলে মনে করছেন কাস্টমসের তদন্ত কর্মকর্তারা।

প্রথমে এই গুরুত্বপূর্ণ সার্ভারে ঢুকতে মোহাম্মদ জাকারিয়ার আইডি ও পাসওয়ার্ড জানতে হয় প্রতারককে। এরপর আরও দুটি অতিরিক্ত সুরক্ষা স্তর পার হতে হয় তাকে।

এই দুটি সুরক্ষা স্তরের একটিতে ওটিপি (ওয়ান-টাইম পাসওয়ার্ড) বাধ্যতামূলক। পাসওয়ার্ডটি স্বয়ংক্রিয়ভাবে আইডি ব্যববহারকারীর মোবাইল ফোনে আসে। সেই ওটিপি ছাড়া সার্ভারে ঢোকা যায় না। সুরক্ষার জন্য সিস্টেমের মাল্টি-ফ্যাক্টর প্রমাণীকরণের গুরুত্বপূর্ণ অংশ।

ওই সময় মোহাম্মদ জাকারিয়া ওটিপি পাননি বলে রাজস্ব বোর্ডের সিস্টেম জেনারেটেড ওটিপি প্রতিবেদনে দেখা গেছে।

অ্যাসাইকুডা সার্ভারের ব্যবহারকারীর আইডি, পাসওয়ার্ড ও আইপির অর্থ অনুমোদিত ব্যবহারকারীরাও অন্য ডিভাইস থেকে বা অন্য আইপি (ইন্টারনেট প্রোটোকল) ব্যবহার করে সিস্টেমে ঢুকতে পারবেন না।

ডিভাইস ট্র্যাকিং রেকর্ডে দেখা গেছে, পিরোজপুরে ভান্ডারিয়া উপজেলা থেকে অন্য ডিভাইস ও আইপি ব্যবহার করে মোহাম্মদ জাকারিয়ার অ্যাকাউন্ট ঢোকা হয়েছিল।

ব্যাটারি উৎপাদন প্রতিষ্ঠান হামকোর আমদানি করা অবৈধ সিগারেট খালাস শেষ পর্যন্ত বন্ধ করে দেওয়া হলেও ওই ঘটনায় আতঙ্কিত কাস্টমস ও রাজস্ব বোর্ডের কর্মকর্তারা।

তারা একে 'গুরুতর জাতীয় সুরক্ষায় হুমকি' হিসেবে দেখছেন। কারণ সার্ভারে অননুমোদিত ব্যক্তির ঢুকে যাওয়ার অর্থ যে কেউ শুল্ক ফাঁকি দিয়ে যে কোনো বা সংখ্যক পণ্য আমদানি-রপ্তানি করতে পারবেন।

ঘটনার মূলে যেতে গত ২২ অক্টোবর সাত সদস্যের কমিটি গঠন করে রাজস্ব বোর্ড।

কাস্টমস তদন্তকারীদের লিখিত জবাবে হামকো আমদানির সঙ্গে তাদের সম্পৃক্ততার কথা অস্বীকার করে। বলা হয়, চালানটি আনতে নিশ্চয়ই অন্য কেউ তাদের প্রতিষ্ঠানের নাম ব্যবহার করেছে।

এ বিষয়ে মন্তব্যের জন্য হামকোর সঙ্গে দ্য ডেইলি স্টার যোগাযোগ করতে পারেনি।

আইটি নিরাপত্তা বিশেষজ্ঞ টিকন সিস্টেম লিমিটেডের প্রতিষ্ঠাতা মোহাম্মদ আজহার উদ্দিন ডেইলি স্টারকে বলেন, 'যখন অননুমোদিত আইপির মাধ্যমে সার্ভারে ঢোকা হয়, তখন সার্ভারের ক্ষতি হয়।'

তিনি আরও বলেন, 'নির্দিষ্ট সময়ে ওটিপি তৈরি না করা প্রাথমিকভাবে সংস্থাটির কারও জড়িত থাকার ইঙ্গিত দেয়। এক্ষেত্রে আসলে কী ঘটেছে বা ঘটছে তা সার্ভার অডিট না করে বলা যাবে না। সার্ভারে সাধারণত সব কিছুর রেকর্ড থাকে। যত তাড়াতাড়ি তা নিরীক্ষা করা হবে, অপরাধীকে ধরা তত সহজ।'

চট্টগ্রাম কাস্টম হাউসের কমিশনার মোহাম্মদ ফয়জুর রহমানের নেতৃত্বে প্রাথমিক তদন্তে মোবাইল ইন্টারনেট ব্যবহার করে ভান্ডারিয়া থেকে রাজস্ব বোর্ডের সার্ভারে ঢোকার প্রধান আসামিসহ চারজনের সম্পৃক্ততা পাওয়া গেছে।

সার্ভারে প্রবেশকারীকে শনাক্ত করেছে প্রাথমিক তদন্ত কমিটি। তার নাম শেখ শেজান (২৩)। তিনি নড়াইলের বাসিন্দা। জাতীয় পরিচয়পত্রের সার্ভার ও ভূমি মন্ত্রণালয়ের ওয়েব পোর্টালসহ সরকারি সার্ভার থেকে তথ্য চুরির অভিযোগে গত কয়েক বছরে বেশ কয়েকবার তাকে গ্রেপ্তার করা হয়। প্রতিবারই কয়েক মাসের মধ্যে জামিনে কারাগার থেকে বেরিয়ে আসেন তিনি।

তার পরিচয়পত্রে নিবন্ধিত ১০টি মোবাইল ফোনের সবগুলোই বন্ধ থাকায় যোগাযোগ করা যায়নি।

মোহাম্মদ জাকারিয়ার আইডি ও পাসওয়ার্ড ব্যবহার করে ভান্ডারিয়া থেকে রাজস্ব বোর্ডের সার্ভারে ঢোকার সময় অনুপ্রবেশকারী একটি বেসরকারি অপারেটরের মোবাইল ইন্টারনেট ব্যবহার করেন।

ডেইলি স্টার অপারেটরের নাম প্রকাশ করছে না। প্রতিষ্ঠানটি কাস্টমস কর্তৃপক্ষকে নিশ্চিত করেছে, ওই সময় ব্যবহৃত ফোন নম্বরটি শেজানের নাম ও জাতীয় পরিচয়পত্র ব্যবহার করে নিবন্ধিত ছিল।

কোনো বিচ্ছিন্ন ঘটনা নয়

চট্টগ্রাম কাস্টম হাউস ও শুল্ক গোয়েন্দাদের তথ্য অনুসারে, ২০১৯ সালের জানুয়ারি থেকে ২০২৪ সালের সেপ্টেম্বর পর্যন্ত রাজস্ব বোর্ডের সার্ভারে প্রবেশ করে অন্তত ৪৮টি আমদানি চালান খালাস ও তিন হাজার রপ্তানি চালানে মাধ্যমে টাকা পাচার করেছে সাইবার অপরাধীরা।

সেই ৪৮ চালানের আমদানি মূল্য ছিল নয় কোটি ৫৮ লাখ টাকা। এসবের মধ্যে ১২টি জব্দ করা হয়। এগুলোর ঘোষিত মূল্য এক কোটি ২৬ লাখ টাকা। আটককৃত চালান পরীক্ষা করে কাস্টমস কর্মকর্তারা দেখতে পান, এসব চালানে ১২৪ কোটি টাকার (প্রায় ১০০ গুণ) সিগারেট ও মদ ছিল।

কাস্টমসের তথ্য বলছে, রপ্তানি পণ্যের ঘোষিত দাম এক হাজার ২১৮ কোটি টাকা। এর কোনোটিই বাংলাদেশে আসেনি।

এসব নিরাপত্তা লঙ্ঘনের বিষয়ে ২১টি তদন্ত প্রতিবেদন দেখেছে ডেইলি স্টার। কোনো তদন্তেই অপরাধীদের খোঁজ মেলেনি।

তদন্তে দেখা যায়—অপরাধী চক্রগুলো আমদানি-রপ্তানি প্রক্রিয়া শেষ করতে কাস্টমসের অন্তত ২৭ কর্মকর্তার আইডি ও পাসওয়ার্ড ব্যবহার করেছে। কিছু ক্ষেত্রে বদলি, অবসরপ্রাপ্ত এবং এমনকি মৃত কর্মকর্তাদের আইডি ব্যবহার করে সার্ভারে ঢুকেছে।

তবে, গত ২০ মে ঘটনার সঙ্গে এগুলোর সম্পর্ক নেই।

সংঘবদ্ধ অপরাধী চক্র

গত জানুয়ারি থেকে মে মাসের মধ্যে মোহাম্মদ জাকারিয়া ও চট্টগ্রাম কাস্টম হাউসের রাজস্ব কর্মকর্তা সোনিয়া সরকার লিজার আইডি ও পাসওয়ার্ড ব্যবহার করে রাজস্ব বোর্ডের সার্ভারে অন্তত ১১৪ বার ঢুকেছে সাইবার অপরাধীরা।

এর সবগুলোর সঙ্গে শেজানের সম্পর্ক না থাকলেও জাকারিয়া বা সোনিয়া কেউই এই ১১৪টি ঘটনার কোনোটিরই ওটিপি পাননি।

এর মধ্যে একটি চালান চট্টগ্রাম বন্দরে পৌঁছেছিল। বন্দর কর্তৃপক্ষ আটকানোর আগেই চক্রটি গত ২ জুন তা খালাস করে নেয়। ফলে ওই কনটেইনারে থাকা পণ্য সম্পর্কে কিছু জানা যায়নি বলে শুল্ক দপ্তরের তদন্ত প্রতিবেদনে বলা হয়েছে।

কাস্টমসের নথিতে দেখা গেছে, মোংলা ইপিজেডে আইনক্স ইন্ডাস্ট্রিজের নামে তা আমদানি করা হয়েছিল।

কাস্টমস কর্তৃপক্ষের কাছে লিখিত জবাবে আইনক্স ইন্ডাস্ট্রিজ জড়িত থাকার কথা অস্বীকার করেছে। প্রতিষ্ঠানটি বলেছে, তাদের পরিচয় ব্যবহার করা হয়ে থাকতে পারে।

মন্তব্যের জন্য প্রতিষ্ঠানটির সঙ্গে যোগাযোগ করা সম্ভব হয়নি।

প্রায় ১৪ কোটি টাকার ১২ লাখ লিটার মদসহ অপর চালানটি গত ৪ সেপ্টেম্বর আটক করেন কাস্টমস কর্মকর্তারা।

সেই ঘটনায় গত ১৪ জানুয়ারি অপরাধী চক্রটি সোনিয়া সরকার লিজার অফিস কক্ষে ঢুকে তার কম্পিউটার থেকে ভোররাত ২টা ৬ মিনিট থেকে ২টা ১৭ মিনিট পর্যন্ত তিনবার ও সেদিন রাত ৯টা ১৪ মিনিটে আরও একবার সার্ভারে ঢোকে। ওই সময় তিনি অফিসে ছিলেন না। ওই সময় তিনি কোনো ওটিপি পাননি বলে শুল্ক তদন্তে উঠে এসেছে।

সোনিয়া সরকার লিজা দ্য ডেইলি স্টারকে বলেন, 'ওই সময় যারা ভবনের নিরাপত্তায় ছিলেন তারা বলতে পারবেন কারা রুমে ঢুকে আমার কম্পিউটার ব্যবহার করেছিলেন।'

পোশাক রপ্তানিকারক প্রতিষ্ঠান সুপ্রিম স্মার্ট ওয়্যার লিমিটেডের নামে চীন থেকে কন্টেইনারটি এসেছিল।

প্রতিষ্ঠানটি সেই পণ্য আমদানির সঙ্গে জড়িত থাকার কথা অস্বীকার করে বলেছে, অপরাধীরা তাদের নাম ব্যবহার করে থাকতে পারে।

সুপ্রিম স্মার্ট ওয়্যার লিমিটেডের ব্যবস্থাপনা পরিচালক আনিসুর রহমান সিনহা বলেন, 'প্রতিষ্ঠানের নামে পণ্য কীভাবে আমদানি করা হয়েছিল সে বিষয়ে আমি নিশ্চিত না। আমার বিশ্বাস, এনবিআরের কিছু অসাধু কর্মকর্তা সাইবার চক্রের অংশ। তারা অবৈধ পণ্য ছেড়ে দেন।'

'সিস্টেমে ত্রুটি আছে'

কাস্টম হাউসের একাধিক আইটি কর্মকর্তা ডেইলি স্টারকে জানান—সিস্টেমটি এমনভাবে ডিজাইন করা হয়েছে, যাতে অনির্ধারিত ডিভাইস ও আইপি থেকে কেউ সার্ভারে ঢুকতে না পারে। একে অপরের সঙ্গে আবদ্ধ। এ ছাড়াও, অটো-জেনারেটেড ওটিপি ছাড়া সিস্টেমে ঢোকা যায় না।

'তদন্ত চলমান আছে' জানিয়ে নাম প্রকাশ না করার শর্তে এক আইটি কর্মকর্তা ডেইলি স্টারকে বলেন, 'দুঃখজনকভাবে, এখানে যা দেখতে পাচ্ছি তা হলো সাইবার অপরাধীদের যখন প্রয়োজন হয় তখন এই সুরক্ষা স্তরগুলো কিছু সময়ের জন্য শিথিল থাকে।'

রাজস্ব বোর্ডের প্রোগ্রামার গোলাম সারওয়ার সার্ভার নিয়ন্ত্রণ করেন। সব কর্মকর্তাদের জন্য ইউজার আইডি তৈরি করেন। কর্মকর্তাদের অবস্থান অনুযায়ী সার্ভারে ঢোকার সীমাও নির্ধারণ করেন তিনি।

কীভাবে কেউ অন্য ডিভাইস থেকে সার্ভারে প্রবেশ করতে পারেন এবং কেন সিস্টেমটি নির্দিষ্ট সময়ে ওটিপি পাঠানো বন্ধ করে দেয় সে সম্পর্কে মন্তব্য করতে অস্বীকার করেন তিনি।

কাস্টমসের এক ঊর্ধ্বতন কর্মকর্তা নাম প্রকাশ না করার শর্তে ডেইলি স্টারকে বলেন, 'অতীতেও সার্ভারে অননুমোদিত অ্যাক্সেস এবং সুরক্ষা লঙ্ঘনের অনেক ঘটনা ঘটেছে। তবে এবারই প্রথম শেজানসহ কমপক্ষে চারজনের বিরুদ্ধে প্রমাণ পাওয়া গেল।'

এটিও প্রথমবারের মতো কাস্টমস কর্মকর্তারা আনুষ্ঠানিকভাবে অনুমোদিত নয় এমন ডিভাইস ও আইপি দিয়ে এই সার্ভারে ঢোকার বিষয়টি শনাক্ত করেছেন।

'তবে এসব চালানের চূড়ান্ত সুবিধাভোগী কারা তা এখনো জানি না,' বলেন সেই কর্মকর্তা।

অ্যাসাইকুডা ওয়ার্ল্ড সার্ভারটি ইউনাইটেড নেশনস কনফারেন্স অন ট্রেড অ্যান্ড ডেভেলপমেন্টের (ইউএনসিটিএডি) ডেভেলপ করা শুল্ক ব্যবস্থাপনা সিস্টেম। আফ্রিকা ও এশিয়ার প্রায় ১০০ দেশে তা ব্যবহার করে। সরবরাহ ব্যবস্থা ও রাজস্ব বাড়াতে এবং দুর্নীতি কমাতে এই সিস্টেমটি ব্যবহার করা হয়।

১৯৯৪ সালে দেশে স্বল্প পরিসরে অনলাইনের মাধ্যমে আমদানি-রপ্তানি কার্যক্রম পরিচালনার জন্য এই সিস্টেমটির ব্যবহার শুরু হয়। ২০১৩ সালে দেশের সব কাস্টম হাউসে এটি চালু হয়।

নিরাপত্তা হুমকি থেকে সিস্টেমটি সুরক্ষিত রাখতে ২০২২ সালে দুই স্তরের নিরাপত্তা ব্যবস্থা চালু হয়।

রাজস্ব বোর্ডের সদস্য (কাস্টমস পলিসি) হোসেন আহমেদ ডেইলি স্টারকে বলেন, '২০২২ সালের আগে ওটিপির ব্যবস্থা ছিল না। নির্দিষ্ট ডিভাইসের জন্য নির্দিষ্ট আইপিও ছিল না। তখন এই দুটি স্তর যুক্ত হয়। সাইবার অপরাধীরা এখনো নিরাপত্তা স্তর এড়িয়ে সার্ভারে ঢুকতে পারছে। এটাই ইঙ্গিত দেয় যে সিস্টেমটিতে ত্রুটি আছে যা আমাদের অজানা।'

তিনি আরও বলেন, 'গত কয়েক বছরে সার্ভার সুরক্ষিত করতে প্রায় ৩০০ কোটি টাকা খরচ হয়েছে। কিন্তু আমদানি-রপ্তানির তথ্য এখনো অরক্ষিত। রাজস্ব বোর্ডের নতুন চেয়ারম্যান বিষয়টি গুরুত্বের সঙ্গে নিয়েছেন। প্রকৃত অপরাধীদের মধ্যে আমাদের কর্মকর্তা থাকলে তাদের চিহ্নিত করার নির্দেশ দিয়েছেন।'

সম্পর্কিত বিষয়:
এনবিআরসাইবার অপরাধ
Apple Google
Click to comment

Comments

Comments Policy

সম্পর্কিত খবর

এস আলম গ্রুপ
| অর্থনীতি

৬ ব্যাংকে এস আলমের জমা ২৬ হাজার কোটি টাকা

২ মাস আগে
অনলাইনে আয়কর রিটার্ন
| কর ও শুল্ক

আগামী জুলাই থেকে পুরোদমে শুরু হতে পারে অনলাইনে আয়কর রিটার্ন

২ মাস আগে
| বাংলাদেশ

নতুন স্বরাষ্ট্র সচিব মোকাব্বির হোসেন, এনবিআর চেয়ারম্যান আবদুর রহমান খান

৩ মাস আগে
রপ্তানি আয়
| অর্থনীতি

সেপ্টেম্বরে রপ্তানি আয় সাড়ে ৩ বিলিয়ন ডলার

১ মাস আগে
| অপরাধ ও বিচার

সাইবার অপরাধের বিবর্তনে প্রযুক্তি

২ বছর আগে
The Daily Star  | English

Each martyr family to get Tk30 lakh: Prof Yunus

Chief Adviser Prof Muhammad Yunus today said each martyr's family will get Tk 30 lakh from the government, reiterating that his government will rehabilitate families of all mass-uprising martyrs and bear the full expanses of the treatment of all the injured..In a televised address to the n

13m ago

Fakhrul meets UK Minister Catherine West

6m ago