রাজস্ব বোর্ডের সার্ভারে ইচ্ছামতো ঢুকে পড়ছে সাইবার অপরাধীরা

গত ২০ মে চট্টগ্রাম কাস্টম হাউসের উপকমিশনার মোহাম্মদ জাকারিয়া কলকাতায় চিকিৎসাধীন ছিলেন। ওইদিন রাত ১১টা ৩৩ মিনিটে জাতীয় রাজস্ব বোর্ডের অটোমেটেড সিস্টেম ফর কাস্টম ডেটা (অ্যাসাইকুডা) সার্ভারে তার আইডি ও পাসওয়ার্ড ব্যবহার করেন কেউ।

প্রায় আধঘণ্টা পর ওই অনুপ্রবেশকারী আবার লগইন করে ভুয়া ঘোষণার মাধ্যমে আমদানি করা ছয় কোটি টাকার বিদেশি সিগারেট খালাসের শুল্ক প্রক্রিয়া শেষ করেন।

এটি অত্যাধুনিক কৌশল ছিল বলে মনে করছেন কাস্টমসের তদন্ত কর্মকর্তারা।

প্রথমে এই গুরুত্বপূর্ণ সার্ভারে ঢুকতে মোহাম্মদ জাকারিয়ার আইডি ও পাসওয়ার্ড জানতে হয় প্রতারককে। এরপর আরও দুটি অতিরিক্ত সুরক্ষা স্তর পার হতে হয় তাকে।

এই দুটি সুরক্ষা স্তরের একটিতে ওটিপি (ওয়ান-টাইম পাসওয়ার্ড) বাধ্যতামূলক। পাসওয়ার্ডটি স্বয়ংক্রিয়ভাবে আইডি ব্যববহারকারীর মোবাইল ফোনে আসে। সেই ওটিপি ছাড়া সার্ভারে ঢোকা যায় না। সুরক্ষার জন্য সিস্টেমের মাল্টি-ফ্যাক্টর প্রমাণীকরণের গুরুত্বপূর্ণ অংশ।

ওই সময় মোহাম্মদ জাকারিয়া ওটিপি পাননি বলে রাজস্ব বোর্ডের সিস্টেম জেনারেটেড ওটিপি প্রতিবেদনে দেখা গেছে।

অ্যাসাইকুডা সার্ভারের ব্যবহারকারীর আইডি, পাসওয়ার্ড ও আইপির অর্থ অনুমোদিত ব্যবহারকারীরাও অন্য ডিভাইস থেকে বা অন্য আইপি (ইন্টারনেট প্রোটোকল) ব্যবহার করে সিস্টেমে ঢুকতে পারবেন না।

ডিভাইস ট্র্যাকিং রেকর্ডে দেখা গেছে, পিরোজপুরে ভান্ডারিয়া উপজেলা থেকে অন্য ডিভাইস ও আইপি ব্যবহার করে মোহাম্মদ জাকারিয়ার অ্যাকাউন্ট ঢোকা হয়েছিল।

ব্যাটারি উৎপাদন প্রতিষ্ঠান হামকোর আমদানি করা অবৈধ সিগারেট খালাস শেষ পর্যন্ত বন্ধ করে দেওয়া হলেও ওই ঘটনায় আতঙ্কিত কাস্টমস ও রাজস্ব বোর্ডের কর্মকর্তারা।

তারা একে 'গুরুতর জাতীয় সুরক্ষায় হুমকি' হিসেবে দেখছেন। কারণ সার্ভারে অননুমোদিত ব্যক্তির ঢুকে যাওয়ার অর্থ যে কেউ শুল্ক ফাঁকি দিয়ে যে কোনো বা সংখ্যক পণ্য আমদানি-রপ্তানি করতে পারবেন।

ঘটনার মূলে যেতে গত ২২ অক্টোবর সাত সদস্যের কমিটি গঠন করে রাজস্ব বোর্ড।

কাস্টমস তদন্তকারীদের লিখিত জবাবে হামকো আমদানির সঙ্গে তাদের সম্পৃক্ততার কথা অস্বীকার করে। বলা হয়, চালানটি আনতে নিশ্চয়ই অন্য কেউ তাদের প্রতিষ্ঠানের নাম ব্যবহার করেছে।

এ বিষয়ে মন্তব্যের জন্য হামকোর সঙ্গে দ্য ডেইলি স্টার যোগাযোগ করতে পারেনি।

আইটি নিরাপত্তা বিশেষজ্ঞ টিকন সিস্টেম লিমিটেডের প্রতিষ্ঠাতা মোহাম্মদ আজহার উদ্দিন ডেইলি স্টারকে বলেন, 'যখন অননুমোদিত আইপির মাধ্যমে সার্ভারে ঢোকা হয়, তখন সার্ভারের ক্ষতি হয়।'

তিনি আরও বলেন, 'নির্দিষ্ট সময়ে ওটিপি তৈরি না করা প্রাথমিকভাবে সংস্থাটির কারও জড়িত থাকার ইঙ্গিত দেয়। এক্ষেত্রে আসলে কী ঘটেছে বা ঘটছে তা সার্ভার অডিট না করে বলা যাবে না। সার্ভারে সাধারণত সব কিছুর রেকর্ড থাকে। যত তাড়াতাড়ি তা নিরীক্ষা করা হবে, অপরাধীকে ধরা তত সহজ।'

চট্টগ্রাম কাস্টম হাউসের কমিশনার মোহাম্মদ ফয়জুর রহমানের নেতৃত্বে প্রাথমিক তদন্তে মোবাইল ইন্টারনেট ব্যবহার করে ভান্ডারিয়া থেকে রাজস্ব বোর্ডের সার্ভারে ঢোকার প্রধান আসামিসহ চারজনের সম্পৃক্ততা পাওয়া গেছে।

সার্ভারে প্রবেশকারীকে শনাক্ত করেছে প্রাথমিক তদন্ত কমিটি। তার নাম শেখ শেজান (২৩)। তিনি নড়াইলের বাসিন্দা। জাতীয় পরিচয়পত্রের সার্ভার ও ভূমি মন্ত্রণালয়ের ওয়েব পোর্টালসহ সরকারি সার্ভার থেকে তথ্য চুরির অভিযোগে গত কয়েক বছরে বেশ কয়েকবার তাকে গ্রেপ্তার করা হয়। প্রতিবারই কয়েক মাসের মধ্যে জামিনে কারাগার থেকে বেরিয়ে আসেন তিনি।

তার পরিচয়পত্রে নিবন্ধিত ১০টি মোবাইল ফোনের সবগুলোই বন্ধ থাকায় যোগাযোগ করা যায়নি।

মোহাম্মদ জাকারিয়ার আইডি ও পাসওয়ার্ড ব্যবহার করে ভান্ডারিয়া থেকে রাজস্ব বোর্ডের সার্ভারে ঢোকার সময় অনুপ্রবেশকারী একটি বেসরকারি অপারেটরের মোবাইল ইন্টারনেট ব্যবহার করেন।

ডেইলি স্টার অপারেটরের নাম প্রকাশ করছে না। প্রতিষ্ঠানটি কাস্টমস কর্তৃপক্ষকে নিশ্চিত করেছে, ওই সময় ব্যবহৃত ফোন নম্বরটি শেজানের নাম ও জাতীয় পরিচয়পত্র ব্যবহার করে নিবন্ধিত ছিল।

কোনো বিচ্ছিন্ন ঘটনা নয়

চট্টগ্রাম কাস্টম হাউস ও শুল্ক গোয়েন্দাদের তথ্য অনুসারে, ২০১৯ সালের জানুয়ারি থেকে ২০২৪ সালের সেপ্টেম্বর পর্যন্ত রাজস্ব বোর্ডের সার্ভারে প্রবেশ করে অন্তত ৪৮টি আমদানি চালান খালাস ও তিন হাজার রপ্তানি চালানে মাধ্যমে টাকা পাচার করেছে সাইবার অপরাধীরা।

সেই ৪৮ চালানের আমদানি মূল্য ছিল নয় কোটি ৫৮ লাখ টাকা। এসবের মধ্যে ১২টি জব্দ করা হয়। এগুলোর ঘোষিত মূল্য এক কোটি ২৬ লাখ টাকা। আটককৃত চালান পরীক্ষা করে কাস্টমস কর্মকর্তারা দেখতে পান, এসব চালানে ১২৪ কোটি টাকার (প্রায় ১০০ গুণ) সিগারেট ও মদ ছিল।

কাস্টমসের তথ্য বলছে, রপ্তানি পণ্যের ঘোষিত দাম এক হাজার ২১৮ কোটি টাকা। এর কোনোটিই বাংলাদেশে আসেনি।

এসব নিরাপত্তা লঙ্ঘনের বিষয়ে ২১টি তদন্ত প্রতিবেদন দেখেছে ডেইলি স্টার। কোনো তদন্তেই অপরাধীদের খোঁজ মেলেনি।

তদন্তে দেখা যায়—অপরাধী চক্রগুলো আমদানি-রপ্তানি প্রক্রিয়া শেষ করতে কাস্টমসের অন্তত ২৭ কর্মকর্তার আইডি ও পাসওয়ার্ড ব্যবহার করেছে। কিছু ক্ষেত্রে বদলি, অবসরপ্রাপ্ত এবং এমনকি মৃত কর্মকর্তাদের আইডি ব্যবহার করে সার্ভারে ঢুকেছে।

তবে, গত ২০ মে ঘটনার সঙ্গে এগুলোর সম্পর্ক নেই।

সংঘবদ্ধ অপরাধী চক্র

গত জানুয়ারি থেকে মে মাসের মধ্যে মোহাম্মদ জাকারিয়া ও চট্টগ্রাম কাস্টম হাউসের রাজস্ব কর্মকর্তা সোনিয়া সরকার লিজার আইডি ও পাসওয়ার্ড ব্যবহার করে রাজস্ব বোর্ডের সার্ভারে অন্তত ১১৪ বার ঢুকেছে সাইবার অপরাধীরা।

এর সবগুলোর সঙ্গে শেজানের সম্পর্ক না থাকলেও জাকারিয়া বা সোনিয়া কেউই এই ১১৪টি ঘটনার কোনোটিরই ওটিপি পাননি।

এর মধ্যে একটি চালান চট্টগ্রাম বন্দরে পৌঁছেছিল। বন্দর কর্তৃপক্ষ আটকানোর আগেই চক্রটি গত ২ জুন তা খালাস করে নেয়। ফলে ওই কনটেইনারে থাকা পণ্য সম্পর্কে কিছু জানা যায়নি বলে শুল্ক দপ্তরের তদন্ত প্রতিবেদনে বলা হয়েছে।

কাস্টমসের নথিতে দেখা গেছে, মোংলা ইপিজেডে আইনক্স ইন্ডাস্ট্রিজের নামে তা আমদানি করা হয়েছিল।

কাস্টমস কর্তৃপক্ষের কাছে লিখিত জবাবে আইনক্স ইন্ডাস্ট্রিজ জড়িত থাকার কথা অস্বীকার করেছে। প্রতিষ্ঠানটি বলেছে, তাদের পরিচয় ব্যবহার করা হয়ে থাকতে পারে।

মন্তব্যের জন্য প্রতিষ্ঠানটির সঙ্গে যোগাযোগ করা সম্ভব হয়নি।

প্রায় ১৪ কোটি টাকার ১২ লাখ লিটার মদসহ অপর চালানটি গত ৪ সেপ্টেম্বর আটক করেন কাস্টমস কর্মকর্তারা।

সেই ঘটনায় গত ১৪ জানুয়ারি অপরাধী চক্রটি সোনিয়া সরকার লিজার অফিস কক্ষে ঢুকে তার কম্পিউটার থেকে ভোররাত ২টা ৬ মিনিট থেকে ২টা ১৭ মিনিট পর্যন্ত তিনবার ও সেদিন রাত ৯টা ১৪ মিনিটে আরও একবার সার্ভারে ঢোকে। ওই সময় তিনি অফিসে ছিলেন না। ওই সময় তিনি কোনো ওটিপি পাননি বলে শুল্ক তদন্তে উঠে এসেছে।

সোনিয়া সরকার লিজা দ্য ডেইলি স্টারকে বলেন, 'ওই সময় যারা ভবনের নিরাপত্তায় ছিলেন তারা বলতে পারবেন কারা রুমে ঢুকে আমার কম্পিউটার ব্যবহার করেছিলেন।'

পোশাক রপ্তানিকারক প্রতিষ্ঠান সুপ্রিম স্মার্ট ওয়্যার লিমিটেডের নামে চীন থেকে কন্টেইনারটি এসেছিল।

প্রতিষ্ঠানটি সেই পণ্য আমদানির সঙ্গে জড়িত থাকার কথা অস্বীকার করে বলেছে, অপরাধীরা তাদের নাম ব্যবহার করে থাকতে পারে।

সুপ্রিম স্মার্ট ওয়্যার লিমিটেডের ব্যবস্থাপনা পরিচালক আনিসুর রহমান সিনহা বলেন, 'প্রতিষ্ঠানের নামে পণ্য কীভাবে আমদানি করা হয়েছিল সে বিষয়ে আমি নিশ্চিত না। আমার বিশ্বাস, এনবিআরের কিছু অসাধু কর্মকর্তা সাইবার চক্রের অংশ। তারা অবৈধ পণ্য ছেড়ে দেন।'

'সিস্টেমে ত্রুটি আছে'

কাস্টম হাউসের একাধিক আইটি কর্মকর্তা ডেইলি স্টারকে জানান—সিস্টেমটি এমনভাবে ডিজাইন করা হয়েছে, যাতে অনির্ধারিত ডিভাইস ও আইপি থেকে কেউ সার্ভারে ঢুকতে না পারে। একে অপরের সঙ্গে আবদ্ধ। এ ছাড়াও, অটো-জেনারেটেড ওটিপি ছাড়া সিস্টেমে ঢোকা যায় না।

'তদন্ত চলমান আছে' জানিয়ে নাম প্রকাশ না করার শর্তে এক আইটি কর্মকর্তা ডেইলি স্টারকে বলেন, 'দুঃখজনকভাবে, এখানে যা দেখতে পাচ্ছি তা হলো সাইবার অপরাধীদের যখন প্রয়োজন হয় তখন এই সুরক্ষা স্তরগুলো কিছু সময়ের জন্য শিথিল থাকে।'

রাজস্ব বোর্ডের প্রোগ্রামার গোলাম সারওয়ার সার্ভার নিয়ন্ত্রণ করেন। সব কর্মকর্তাদের জন্য ইউজার আইডি তৈরি করেন। কর্মকর্তাদের অবস্থান অনুযায়ী সার্ভারে ঢোকার সীমাও নির্ধারণ করেন তিনি।

কীভাবে কেউ অন্য ডিভাইস থেকে সার্ভারে প্রবেশ করতে পারেন এবং কেন সিস্টেমটি নির্দিষ্ট সময়ে ওটিপি পাঠানো বন্ধ করে দেয় সে সম্পর্কে মন্তব্য করতে অস্বীকার করেন তিনি।

কাস্টমসের এক ঊর্ধ্বতন কর্মকর্তা নাম প্রকাশ না করার শর্তে ডেইলি স্টারকে বলেন, 'অতীতেও সার্ভারে অননুমোদিত অ্যাক্সেস এবং সুরক্ষা লঙ্ঘনের অনেক ঘটনা ঘটেছে। তবে এবারই প্রথম শেজানসহ কমপক্ষে চারজনের বিরুদ্ধে প্রমাণ পাওয়া গেল।'

এটিও প্রথমবারের মতো কাস্টমস কর্মকর্তারা আনুষ্ঠানিকভাবে অনুমোদিত নয় এমন ডিভাইস ও আইপি দিয়ে এই সার্ভারে ঢোকার বিষয়টি শনাক্ত করেছেন।

'তবে এসব চালানের চূড়ান্ত সুবিধাভোগী কারা তা এখনো জানি না,' বলেন সেই কর্মকর্তা।

অ্যাসাইকুডা ওয়ার্ল্ড সার্ভারটি ইউনাইটেড নেশনস কনফারেন্স অন ট্রেড অ্যান্ড ডেভেলপমেন্টের (ইউএনসিটিএডি) ডেভেলপ করা শুল্ক ব্যবস্থাপনা সিস্টেম। আফ্রিকা ও এশিয়ার প্রায় ১০০ দেশে তা ব্যবহার করে। সরবরাহ ব্যবস্থা ও রাজস্ব বাড়াতে এবং দুর্নীতি কমাতে এই সিস্টেমটি ব্যবহার করা হয়।

১৯৯৪ সালে দেশে স্বল্প পরিসরে অনলাইনের মাধ্যমে আমদানি-রপ্তানি কার্যক্রম পরিচালনার জন্য এই সিস্টেমটির ব্যবহার শুরু হয়। ২০১৩ সালে দেশের সব কাস্টম হাউসে এটি চালু হয়।

নিরাপত্তা হুমকি থেকে সিস্টেমটি সুরক্ষিত রাখতে ২০২২ সালে দুই স্তরের নিরাপত্তা ব্যবস্থা চালু হয়।

রাজস্ব বোর্ডের সদস্য (কাস্টমস পলিসি) হোসেন আহমেদ ডেইলি স্টারকে বলেন, '২০২২ সালের আগে ওটিপির ব্যবস্থা ছিল না। নির্দিষ্ট ডিভাইসের জন্য নির্দিষ্ট আইপিও ছিল না। তখন এই দুটি স্তর যুক্ত হয়। সাইবার অপরাধীরা এখনো নিরাপত্তা স্তর এড়িয়ে সার্ভারে ঢুকতে পারছে। এটাই ইঙ্গিত দেয় যে সিস্টেমটিতে ত্রুটি আছে যা আমাদের অজানা।'

তিনি আরও বলেন, 'গত কয়েক বছরে সার্ভার সুরক্ষিত করতে প্রায় ৩০০ কোটি টাকা খরচ হয়েছে। কিন্তু আমদানি-রপ্তানির তথ্য এখনো অরক্ষিত। রাজস্ব বোর্ডের নতুন চেয়ারম্যান বিষয়টি গুরুত্বের সঙ্গে নিয়েছেন। প্রকৃত অপরাধীদের মধ্যে আমাদের কর্মকর্তা থাকলে তাদের চিহ্নিত করার নির্দেশ দিয়েছেন।'

Comments

The Daily Star  | English

Each martyr family to get Tk 30 lakh: Prof Yunus

Vows to rehabilitate them; govt to bear all expenses of uprising injured

2h ago