দেশের অন্যতম বড় বহুজাতিক ব্যাংক স্ট্যান্ডার্ড চার্টার্ড বাংলাদেশ (এসসিবি) এর ৫৪ জন গ্রাহকের ক্রেডিট কার্ড থেকে মোট ২৭ লাখ টাকা হাতিয়ে নিয়েছে একটি প্রতারক চক্র।
ঘটনা প্রথম নজরে আসে আগস্টের শেষের দিকে। ব্যাংকের কিছু গ্রাহক কোনো লেনদেন না করেও মোবাইলে ওয়ান-টাইম পাসওয়ার্ড পেতে শুরু করেন। কয়েক সেকেন্ডের মধ্যে বিকাশ ও নগদসহ মোবাইল ফিনান্সিয়াল সার্ভিস (এমএফএস) প্ল্যাটফর্মের মাধ্যমে তাদের অ্যাকাউন্ট থেকে ৫০ হাজার টাকা করে তোলা হয়। প্রতারকরা দ্রুত টাকা অন্যান্য এমএফএস অ্যাকাউন্টে পাঠিয়ে নগদ উত্তোলন করে নেয়। ঘটনার পর ব্যাংক সাময়িকভাবে এমএফএসে ‘অ্যাড মানি’ ফিচার বন্ধ করে। পরে প্রায় ২.৫ লাখ টাকা উদ্ধার করা সম্ভব হয়।
স্ট্যান্ডার্ড চার্টার্ড ব্যাংক জানায়, নিরাপত্তা ব্যবস্থা পর্যালোচনায় তারা কোনো সিস্টেম ত্রুটি খুঁজে পাননি। ব্যাংক বিষয়টি বাংলাদেশ ব্যাংক ও আইন প্রয়োগকারী সংস্থাকে জানিয়েছে। বাংলাদেশ ব্যাংকও তদন্ত শুরু করেছে। প্রাথমিক অনুসন্ধানে মোবাইল নেটওয়ার্ক অপারেটর ও থার্ড-পার্টি সার্ভিস প্রদানকারীর সম্ভাব্য সম্পৃক্ততার ইঙ্গিত মিলেছে। তদন্তে দেখা গেছে, গ্রাহক পর্যায়ে কোনো দুর্বলতা ছিল না।
বাংলাদেশ ব্যাংকের পেমেন্ট সিস্টেমস বিভাগের এক কর্মকর্তা বলেন, প্রতারকরা একই সময়ে কার্ডের তথ্য ও ওটিপি দুটোই হাতিয়ে নিয়েছে। তিনি বলেন, ‘গ্রাহকের ওটিপি ফাঁস হয়েছে থার্ড-পার্টি অ্যাগ্রিগেটর ও টেলিকম অপারেটরের মাধ্যমে। এ দুই প্রতিষ্ঠানে কিছু চক্র জড়িত থাকতে পারে।’ তিনি আরও জানান, ভ্যালু অ্যাডেড সার্ভিস প্রোভাইডার (ভিএএস) নামে পরিচিত থার্ড-পার্টি প্রতিষ্ঠানগুলো মূলত এসএমএস গেটওয়ে, বাল্ক এসএমএস, আইভিআর ও মোবাইল অ্যাপ ইন্টিগ্রেশন সেবা দিয়ে থাকে। প্রাথমিক তদন্তে দেখা গেছে, শুধুমাত্র স্ট্যান্ডার্ড চার্টার্ড ব্যাংকের গ্রাহকরাই এই প্রতারণার শিকার হয়েছেন।
স্ট্যান্ডার্ড চার্টার্ড ব্যাংক ক্ষতিগ্রস্ত গ্রাহকদের তাদের অর্থ ফেরত দিয়েছে। ব্যাংকের সিইও নাসের এজাজ বিজয় বলেন, ‘বাংলাদেশ ব্যাংকের একটি পর্যবেক্ষক দল সংশ্লিষ্ট প্রতিষ্ঠানের কার্যালয় পরিদর্শন করছে। ব্যাংক বিষয়টি আইন প্রয়োগকারী সংস্থার কাছে তথ্যসহ জানিয়েছে।’
গ্রাহক যখন এমএফএস অ্যাপে ‘অ্যাড মানি’ ব্যবহার করেন, তখন কার্ডের তথ্য ও টাকা পরিমাণ লিখতে হয়। নেটওয়ার্কে তা পাঠানো হয় কার্ড ইস্যুকারী ব্যাংকের কাছে। এরপর ব্যাংকের সার্ভার ওটিপি তৈরি করে থার্ড-পার্টি অ্যাগ্রিগেটরের মাধ্যমে গ্রাহকের কাছে পাঠায়। অ্যাগ্রিগেটর মোবাইল অপারেটরের মাধ্যমে কোড পৌঁছে দেয়। তদন্তে দেখা গেছে, প্রতারকরা টাকা নিজেদের অ্যাকাউন্টে নেওয়ার পর ছোট ছোট অঙ্কে একাধিক এমএফএস অ্যাকাউন্টে স্থানান্তর করেছে। এসব অ্যাকাউন্ট এক জেলায় নিবন্ধিত হলেও লাইসেন্স অন্য জেলা থেকে নেওয়া হয়েছিল।
বাংলাদেশ ব্যাংক ইতিমধ্যে ছয়টি ব্যাংক, তিনটি এমএফএস প্রোভাইডার এবং ভিসা ও মাস্টারকার্ডের শীর্ষ কর্মকর্তাদের সঙ্গে বৈঠক করেছে। একটি বিশেষ পরিদর্শন দল গঠন করা হয়েছে। আগামী সপ্তাহে ডেপুটি গভর্নরের সভাপতিত্বে ব্যাংক ও এমএফএস প্রোভাইডারদের সঙ্গে বৈঠক অনুষ্ঠিত হবে। ব্যাংক একটি সার্কুলার জারি করতে যাচ্ছে। এতে গ্রাহক শুধু নিজের এমএফএস অ্যাকাউন্টে ক্রেডিট কার্ডের টাকা পাঠাতে পারবেন, অন্যের অ্যাকাউন্টে নয়।
বেশ কয়েকজন গ্রাহক ফেসবুকে অভিযোগ করেন, তাদের ফোনে ওটিপি আসার কয়েক সেকেন্ডের মধ্যে ব্যাংক অ্যাকাউন্ট থেকে ৫০ হাজার টাকা কেটে নেওয়া হয়েছে। ভুক্তভোগী হাসিন হায়দার লিখেছেন, ‘ওটিপি কারও সঙ্গে শেয়ার করিনি, তবু টাকা চলে গেছে।’ অন্য ভুক্তভোগী সাদিয়া শারমিন বৃষ্টি জানান, সাত বছর ধরে কার্ড ব্যবহার করলেও প্রথমবার এ ধরনের প্রতারণার শিকার হয়েছেন। ব্যাংকের কর্মকর্তারা জানান, ৫৪ জন গ্রাহকের কার্ড থেকে মোট ২৭ লাখ টাকা চুরি হয়েছে। ব্যাংকের প্রযুক্তি দল সিস্টেম পরীক্ষা করেছে, কোনো দুর্বলতা খুঁজে পাওয়া যায়নি।
স্ট্যান্ডার্ড চার্টার্ডের ব্যবস্থাপনা পরিচালক লুৎফুল হাবিব বলেন, ‘গ্রাহকরা অভিযোগ করেছেন। আমরা আইন প্রয়োগকারী সংস্থা ও বাংলাদেশ ব্যাংককে জানিয়েছি। প্রযুক্তি বিভাগের কোনো ত্রুটি পাওয়া যায়নি। ঘটনার মূল কারণ এমএফএস অ্যাপের “অ্যাড মানি” অপশন।’
মিডল্যান্ড ব্যাংকের কার্ড বিভাগের প্রধান মো. আবেদ-উর-রহমান বলেন, অনলাইন জালিয়াতি কমাতে আরও শক্তিশালী সুরক্ষা ব্যবস্থা প্রয়োজন। তিনি বলেন, ‘লেনদেনের পরিমাণ অনুযায়ী একাধিক ওটিপি বা গ্রাহকের আঙুলের ছাপ ব্যবহার করা যেতে পারে।’ এ ঘটনায় বেশ কয়েকটি ব্যাংক ক্রেডিট কার্ডের মাধ্যমে এমএফএসে টাকা স্থানান্তরের সীমা নির্ধারণ করেছে।