काठमाडौँ । ‘स्क्यामिङ’ गरेर बैंक तथा वित्तीय संस्थाबाट पैसा चोरी गर्ने घटनाहरू बाहिरिँदै गर्दा केही वर्षअघि नबिल बैंकले आफ्नो मोबाइल बैंकिङ (एनबैंक) एप्लिकेसनमा सेक्युरिटीको एउटा फिचर थप्यो । यस अनुसार एनबैंक मोबाइल एप्लिकेसन एक्टिभ गर्न सम्बन्धित मोबाइलको सीमकार्ड सोही मोबाइलमा प्रयोग हुनुपर्ने व्यवस्था गरियो ।

बैंकका इन्फर्मेसन सेक्युरिटी अफिसर (आईएसओ) प्रवेश पौडेल यो सुरक्षाको उपायपछि ओटीपी मागेर हुने स्क्यामिङको संख्या धेरै कम भएको बताउँछन् ।

बैंकिङ क्षेत्रको एउटा महत्त्वपूर्ण संस्थाको रूपमा साइबर सुरक्षा सतर्कताका लागि बैंकले गरेको कामको उदाहरण हो यो । नबिलजस्तै अन्य बैंक तथा वित्तीय संस्थाहरूले समेत आफ्नो सिस्टमको सुरक्षामा काम गरिरहेका हुन्छन् । सुक्ष्म ढंगबाट सम्भावित जोखिमको पहिचान गरेर यसको नियन्त्रणका बैंकहरूले काम गर्दै आएका छन् । यसका लागि बैंकहरूले करोडौँ खर्चसमेत गरिरहेका छन् ।

तर, अझै पनि स्क्यामिङको क्रम रोकिएको छैन । पछिल्लो समय त झन् यो क्रम बढेको प्रहरी तथ्याङ्कबाट देख्न सकिन्छ । बैंकको प्रयास र पछिल्ला घटनालाई हेर्दा स्वाभाविक रूपमा प्रश्न उठ्ने गरेको छ— हाम्रो बैंकिङ सिस्टम सुरक्षित छ ? यदि सुरक्षित छ भने स्क्यामिङका यस्ता घटना किन झनै बढिरहेका छन् ?

• बैंकिङ क्षेत्रको सुरक्षा मापदण्डको अवस्था

आईएसओ पौडेल साइबर सुरक्षाको हिसाबले संसारका कुनै पनि आईटी इञ्जिनियरले आफ्नो सिस्टम पूर्ण रूपमा सुरक्षित छ भनेर ग्यारेन्टी गर्न नसक्ने बताउँछन् । यस्तो जोखिम नेपालमा मात्रै नभएर संसारमै हुने र बैंकिङ क्षेत्रमात्रै नभएर अरु सबै क्षेत्रमा उत्तिकै हुने उनको भनाइ छ । तर, बैंकिङ क्षेत्रले पालना गरेको सुरक्षा उपाय कमजोर नभएको उनले बताए ।

कुनै पनि बैंक वा संस्थाको सिस्टम कति सुरक्षित छ भनेर हेर्नुभन्दा सम्भावित जोखिमलाई पहिचान गरेर तत्कालै ‘मिटिगेट’ गर्नसक्ने संयन्त्र कस्तो छ भन्ने कुरा महत्त्वपूर्ण हुने आईएसओ पौडेल बताउँछन् । यो मामिलामा नबिल बैंक अरुभन्दा एक कदम अगाडि नै रहेको उनको दाबी छ ।

एक साता अघिमात्रै बैंकको सिस्टमले आईएसओ २७००१ सर्टिफिकेसन प्राप्त गरेको छ । यो सर्टिफिकेसन प्राप्त गर्नुले बैंकले आफ्नो डाटा सुरक्षाको मापदण्डलाई अन्तर्राष्ट्रिय मापदण्डलाई पूरा गरेको छ भन्ने हो । यो सर्टिफिकेसन पाउने नबिल नेपालको पहिलो बैंक भएको सो बैंकको दाबी छ ।

नबिलबाहेक बैंकिङ क्षेत्रका अन्य संस्थाले पनि सिस्टम सुरक्षाका मापदण्ड पालना गर्दै आएका छन् । यी सबै अवस्था हेर्दा बैंकिङ क्षेत्रले सुरक्षाका लागि गरेको प्रयास कमजोर नभएको पौडेल बताउँछन् । त्यसो त, नेपाल राष्ट्र बैंकले समेत बैंकहरूलाई कोर बैंकिङ सिस्टमदेखि मोबाइल बैंकिङसम्म सुरक्षा मापदण्ड कायम गर्नुपर्नेगरी बाध्यकारी व्यवस्था गरेको छ । त्यसैले बैंकिङ क्षेत्रको समग्र सिस्टमको सुरक्षाबारे शंका गर्नुपर्ने अवस्था देखिँदैन । अहिले आइरहेकामध्ये अधिकांश घटना ग्राहकको व्यक्तिगत असावधानीका कारणले हुने गरेको उनको भनाइ छ ।

• बैंकिङ ठगीका विविध माध्यम र तरिका

पछिल्लो समय बाहिरिएका स्क्यामिङका घटनामध्ये ८० प्रतिशतभन्दा धेरै घटना ग्राहकको व्यक्तिगत असावधानीकै कारणले भएको पौडेल बताउँछन् । यस्तो कार्यमा कतिपय नजानेर संलग्न भइरहेका छन् भने कतिपय जानेर पनि प्रलोभन वा अन्य विभिन्न कारणले संलग्न भएको पौडेलको भनाइ छ । 

पछिल्लो समय सबैभन्दा धेरै स्क्यामिङ सोसल इञ्जिनियरिङमार्फत् हुने गरेको छ । यस अन्तर्गत विभिन्न व्यक्तिलाई जागिर, चिठ्ठा लगायतका प्रलोभन देखाइन्छ । त्यस्तो प्रलोभनमा परेर व्यक्तिले आफ्ना व्यक्तिगत सूचना सम्बन्धित स्क्यामरलाई दिने गरेको पाइन्छ । त्यही सूचनालाई प्रयोग गरेर ठगी गर्ने प्रवृत्ति बढेको छ ।

यसअघि फिसिङमार्फत् धेरै स्क्यामिङ हुने गरेको थियो । यस अन्तर्गत कुनै व्यक्तिले आफू सम्बन्धित बैंक, वित्तीय संस्था वा कुनै सेवाप्रदायक संस्थाको व्यक्ति भएको देखाएर सम्बन्धित व्यक्तिसँग बैंक खाताको युजरनेम, पासवर्ड, ओटीपी मागिन्छ । अहिले पनि यो क्रम हराएको छैन, तर सचेतना बढ्दै जाँदा यो प्रवृत्ति केही कम भएको बुझाइ बैंकर्सको छ ।

इन्फर्मेसन सेक्युरिटी अफिसर पौडेलले भने, ‘पछिल्लो समय जागिर लगाइदिन्छु भन्ने । इन्टाग्राममा ५ वटा लाइक ग¥यो भने २०० रुपैयाँ पाइन्छ भन्नेजस्तो लोभ देखाउने गरेको पाइन्छ । यो सोसल इञ्जिनियरिङ हो । लाइक गरेकै भरमा पैसा कसरी आउँछ भन्ने कुरा ग्राहक आफैँले सोच्ने विषय हो ।’

यी विभिन्न माध्यमबाट ठगीएको पैसालाई वैध बनाउन र सम्बन्धित कारबाहीबाट बच्न स्क्यामरले ‘म्युल अकाउन्ट’ प्रयोग गर्ने गरेका छन् । यसका लागि पनि निर्दोष व्यक्तिको प्रयोग गर्ने गरिएको छ । म्युल अकाउन्ट त्यो हो, जहाँ पैसा सार्न प्रयोग गरिन्छ । जसरी म्युल (खच्चड) ले भारी बोकेर एक ठाउँबाट अर्को ठाउँमा लैजान्छ, म्युल अकाउन्टबाट रकम ट्रान्सफर गराएर अवैध रूपमा कमाइएको पैसालाई वैध बनाउने प्रयास गरिन्छ । यस्तो अवस्थामा कुनै व्यक्तिले कारोबार गरिरहेको हुन्छ, तर त्यो कारोबार गैरकानुनी रूपमा भइरहेको भन्ने नै थाहा हुँदैन । मल्टिपल लेयरमा कारोबार हुँदा प्रहरी वा अनुसन्धान अधिकारीलाई समेत वास्तविक अपराधी को हो भन्ने पत्ता लगाउन गाह्रो हुन्छ । म्युल अकाउन्टकै कारण कतिपय निर्दोष व्यक्तिसमेत कानुनी फन्दामा पर्ने गरेका छन् ।

• कसरी अपनाउने सुरक्षा सतर्कता?

अहिलेसम्म देखिएका प्रवृत्तिलाई आधार मानेर हेर्दा साइबर सुरक्षाको लागि प्रयोगकर्ताकै तहबाट मुख्यतया तीन वटा काम गर्नुपर्ने पौडेलको सुझाव छ । पहिलो, आफ्नो आईडी गोप्य राख्ने । दोस्रो, सोसल मिडियाबाट आउने कन्टेन्ट भेरिफाइ गर्ने । र तेस्रो, कुनै पनि किसिमको प्रलोभनमा नपर्ने ।

मानिसहरूले आफ्ना व्यक्तिगत सूचनाहरू जथाभावी शेयर गरिरहेका हुन्छन् । तर, मोबाइल नम्बर, इमेल ठेगानादेखि जन्ममितिसम्मका सूचना पनि जथाभावी सार्वजनिक गर्नु हुँदैन । त्यस्तै, इन्टरनेट वा अन्य नेटवर्कसँग जोडिने डिभाइसमा कुनै पनि युजरनेम र पासवर्ड सेभ गरेर राख्न हुँदैन । मोबाइलमा आउने ओटीपी लगायत पासवर्ड कसैलाई नदिने हो भने एक तहको सुरक्षित स्वतः भइने पौडेल बताउँछन् ।

आईएसओ पौडेलले भने, ‘कुनै पनि अथेन्टिक निकायले तपाईंसँग पासवर्ड, ओटीपी माग्दैन, किनभने उनीहरूलाई त्यो आवश्यक नै हुँदैन । कसैले माग गर्छ भने त्यसले फ्रड गर्न खोजेको हो भनेर बुझ्दा हुन्छ । यति कुरामात्रै सबैलाई बुझाउन सकियो भने पनि धेरै सुरक्षित भइन्छ ।’

त्यस्तै, सामाजिक सञ्जालमा आउने विभिन्न प्रकारका कन्टेन्टमा विश्वास गरेर उनीहरूले भनेअनुसार गर्दासमेत धेरै प्रयोगकर्ता ठगीमा पर्ने गरेको देखिन्छ । खासगरी कुनै व्यक्तिको कमजोर सुरक्षा सतर्कताको फाइदा उठाएर सामाजिक सञ्जाल ‘कम्प्रेस’ गर्ने र त्यही सामाजिक सञ्जालबाट पैसा माग्ने गरेका घटना पछिल्लो समय बढिरहेका छन् । यदि कसैले क्यासेज गरेर पैसा मागिहालेमा कम्तीमा फोन गरेर भेरिफाइ गर्ने हो भने यसले त्यसरी हुने ठगी रोक्न मद्दत पुग्ने उनको भनाइ छ ।

पछिल्लो समय जागिर, चिठ्ठा वा गिफ्ट लगायतका प्रलोभन देखाएर कुनै पनि लिङ्क खोल्न लगाउने, कुनै एप्लिकेसन डाउनलोड गर्न लगाउने प्रवृत्ति व्यापक रूपमा फैलिएको छ । कतिपय अवस्थामा फेसबुक वा इन्स्टाग्राममा एउटा लाइक गर्नेबित्तिकै १००÷२०० रुपैयाँ आउने लोभ देखाइन्छ । त्यस्ता स्क्यामरले सुरुमा पैसा पठाएजस्तो पनि गर्छन् । तर, पछि विभिन्न तरिकाले लोभ देखाएर पैसा पठाउन लगाएर भाग्ने वा अप्ठ्यारोमा पारेर पैसा असुल्ने गरेको पाइन्छ । फेरि यस्ता काम तत्कालै गर्नुपर्ने भनेर स्क्यामरले सोच्ने मौकासमेत दिँदैनन् । यी तीन वटा कुरामा सतर्क हुने हो भने अधिकांश जोखिम अत्य हुने पौडेलको भनाइ छ ।

• इलेक्ट्रोनिक डिभाइसदेखि र सामाजिक सञ्जाल सुरक्षाका टिप्स

उल्लेखित स्क्यामिङदेखि अन्य सुरक्षाको लागिसमेत इलेक्ट्रोनिक डिभाइस र सामाजिक सञ्जाललाई सुरक्षित बनाउनुपर्छ । यसका लागि आईएसओ पौडेलसँग केही टिप्स छन् । 

उनका अनुसार सबैभन्दा राम्रो उपाय भनेकै सुरक्षित पासवर्ड राख्ने हो । यस्तो पासवर्ड कम्तीमा १२ अक्षरको हुनुपर्छ । त्यसमा अपरकेस, लोअरकेस, स्पेसल क्यारेक्टर तथा नम्बरको फिचर राख्नैपर्छ । कतिपय एक्लिकेसनले त तोकिएको शर्त पूरा नभएको पासवर्डलाई स्वीकार नै नगर्ने व्यवस्थासमेत गरेका छन् ।

यसरी स्वीकार गर्नुको प्रमुख कारण भनेको त्यो पासवर्ड अनुमान गर्न नसकिने होस् भन्ने हो । पछिल्लो समय पासवर्डको अनुमानका लागि समेत टुलको प्रयोग गर्ने गरिएको छ । धेरै व्यक्तिले राख्नसक्ने पासवर्ड राख्दा टुलमार्फत् सजिलै ‘क्र्याक’ गर्न सकिन्छ । युनिक पासवर्ड राखियो भने ह्याकरले अनुमान नै गर्न नसक्ने भएकाले टुलको प्रयोग गर्न समेत सम्भव हुँदैन ।

त्यस्तै, मोबाइल डिभाइस सुरक्षाको लागि त्यसको स्क्रिनमै पासवर्ड राख्नुपर्छ । बायोमेट्रिक राख्ने व्यवस्था गरियो भने यसले थप सुरक्षित बनाउने पौडेल बताउँछन् । यो अवस्थामा डिभाइस हरायो भने पनि मोबाइल बैंकिङ सुरक्षित राख्न सकिन्छ ।

कुनै कारणले मोबाइल वा अन्य इलेक्ट्रोनिक डिभाइस हराउनसक्ने भएकाले यसलाई भेट्टाउन ‘फाइन्ड माई डिभाइस’मा आफ्नो डिभाइस दर्ता गराउन, मोबाइलको आईएमईआई नम्बर सुरक्षित राख्न तथा हराएको सीमकार्डलाई तत्कालै ब्लक गर्न सीमको सेक्युरिटी कोडलाई समेत सुरक्षित राख्न उनको सुझाव छ ।

त्यस्तै, पैसाको कारोबार गर्ने एप्लिकेसन सकेसम्म पब्लिक वाइफाइबाट प्रयोग नगर्न, प्लेस्टोर वा एपस्टोरले सफ्टवेयर अपडेटका लागि नोटिफिकेसन दिएमा सुरक्षित वाइफाइ नेटवर्कबाट तत्कालै अपडेट गर्नुपर्छ । एप अपडेटसँगै सेक्युरिटी अपडेट हुने भएकाले यसमा ढिलो गर्न नहुने उनको भनाइ छ । नयाँ कुनै एप्लिकेसन इन्स्टल गर्दा प्लेस्टोर, एपस्टोर लगायत आधिकारिक र सुरक्षित स्टोरबाट मात्रै गर्न र इन्स्टल गरिएका एपको विश्वसनीयता भेरिफाइ गर्नसमेत उनको सुझाव छ ।त्यस्तै, कुनै मोबाइल मर्मतका लागि छोड्नुपरेमा सामाजिक सञ्जाल र बैंकिङ एप्लिकेसन लगआउट गर्ने तथा सीमकार्ड निकालेर छोड्नुपर्छ । केही समयअघि वीरगञ्जमा यसैगरी मर्मतको सीमसहितको मोबाइल छोड्दा पसलेले नै पासवर्ड परिवर्तन गरेर पैसा चोरेको घटना समेत बाहिर आएको पौडेल बताउँछन् ।

कुनै कारणले ठगीमा परियो वा कसैले सामाजिक सञ्जाल कम्प्रेस गरेमा तत्कालै साइबर ब्युरोमा उजुरी गर्नुको विकल्प छैन । जति छिटो जानकारी भयो, त्यति ट्रयाक गर्न प्रहरीलाई सजिलो हुन्छ, यसले ठगिएको पैसा फिर्ता आउने सम्भावनालाई बलियो बनाउँछ ।

यद्यपि अहिलेसम्म नदेखिएका अन्य विभिन्न जोखिम पनि हुनसक्ने पौडेल बताउँछन् । उनले भने, ‘कहाँनिर के रिस्क हुन्छ भन्ने नै थाहा हुँदैन ।’

चिठ्ठा प¥यो, जागिर पाइयो भन्नेजस्ता कुरामा धेरै खुसी नहुन उनी सुझाव दिन्छन् । यस्ता प्रलोभनबाट ठगिन सकिने उनको भनाइ छ ।

साइबर सुरक्षामा नबिल बैंकको अवस्था

प्रविधिका हिसाबले नेपालका अन्य बैंकभन्दा नबिल बैंक केही अगाडि देखिन्छ । बैंकले नयाँ मोबाइल एप्लिकेसन सुरु गर्दा नियो–बैंकमा आएको थियो । यो अवधारणा अनुसार कुनै पनि बैंकिङ कारोबारलाई शाखामा नपर्ने व्यवस्था गरिएको थियो । संसारका केही विकसित मुलुक यो अवधारणामा गइसकेका छन् ।

तर, नेपालको कानुनी व्यवस्था र नियामकीय निर्देशनले साथ नदिएपछि यो एनबैंकको रूपमा लञ्च भएको थियो । त्यसैले कानुनले दिएको सीमासम्म बैंकले डिजिटल प्रणालीको अभ्यास गर्दै आएको छ ।

अहिले बैंकिङका ६० वटा काम एउटै एप्लिकेसनबाट गर्नेगरी व्यवस्था गरिएको बैंकले जनाएको छ । नयाँ सुविधासँगै सुरक्षाको जोखिमसमेत थपिने भएकाले बैंकले सुरक्षा मापदण्डलाई थप सशक्त बनाएको आईएसओ पौडेल बताउँछन् ।

यसका लागि सेक्युरिटी टेस्टिङ गर्ने, समस्याहरू भेटिए त्यसलाई प्याच गर्ने तथा ग्राहकको सचेतना बढाउने कामहरू प्रोएक्टिभ ढंगले गरिरहेको पौडेल सुनाउँछन् । उनले भने, ‘सेक्युरिटीको कुरामा नबिल बैंक एकदमै सिरियस छ । आईएसओ २७००१ सर्टिफाइड हुनुको यो सशक्त प्रमाण पनि हो । नयाँ आउनसक्ने समस्यालाई पहिचान गरेर यसबाट हुनसक्ने जोखिम कम गर्न हामी जुनसुकै समयमा तयार छौँ ।’