आपल्या शहरातील ताज्या बातम्या आणि ई-पेपर मिळवा मोफत

डाउनलोड करा

डेबिट कार्ड घोटाळा : पेमेंट गेटवे, कस्टमर केअरमधूनही फुटते माहिती, ९९ % गेटवे विदेशी

5 वर्षांपूर्वी
  • कॉपी लिंक
नवी दिल्ली - अजूनपर्यंत क्रेडिट किंवा डेबिट कार्डचे बळी ठरला नसाल तर तुम्ही सुदैवी आहात. देशात कार्ड आणि ऑनलाइन व्यवहारांच्या सुरक्षिततेबाबतची वस्तुस्थिती माहीत झाल्यानंतर तुम्ही असाच विचार कराल. कार्ड जारी करणारे सेंटर, पेमेंट गेटवे आणि कस्टमर केअर यांसारख्या ठिकाणांहून डाटा लीक होतो.
म्हणायला तर डाटा एनक्रिप्टेड असतो, पण हे एनक्रिप्शन अभेद्य नसते. ते सहजपणे फोडले जाऊ शकते. अनेक एटीएम यंत्रांचा सिक्युरिटी प्रोटोकॉल अपडेट नसतो. त्यांचे हार्डवेअर एनक्रिप्शन मॉड्यूल आयटी सिक्युरिटी डिपार्टमेंट वेळोवेळी अपडेट करत नाही. २०११ ते २०१५ पर्यंत पाच वर्षांदरम्यान देशात नोंदणीकृत सायबर गुन्ह्यांची संख्या ५ पट झाली आहे. डेबिट किंवा एटीएम कार्डच्या डाटा चोरीच्या घटनांनी हा मुद्दा पुन्हा चर्चेत आहे. डाटा चोरीची चौकशी करणाऱ्या एका तज्ज्ञाच्या मते क्रेडिट कार्डची माहितीही लीक झाली आहे. अर्थात नाव खराब होण्याच्या भीतीने कोणतीही बँक हे स्वीकारत नाही. त्यामुळेच ज्या १९ बँकांचा डाटा लीक झाला आहे त्यापैकी कोणीही गुन्हासुद्धा दाखल केला नाही. ते ग्राहकांना फक्त पिन किंवा कार्ड बदलण्याची सूचना पाठवत आहेत. यासंदर्भात विचारलेल्या प्रश्नांची उत्तरे आरबीआय किंवा एनसीपीआय यापैकी कुणीही दिली नाहीत.

अनेक बँक घोटाळ्यांची चौकशी करणारे सायबर सुरक्षा तज्ज्ञ मनीष चौधरी यांनी सांगितले की, कार्ड जारी करणारे सेंटर आणि कस्टमर केअरमधूनही डाटा लीक होतो. जयपूरच्या एका चौकशी प्रकरणात त्यांना आढळले की, ग्राहकाने बँकेकडून आलेला डेबिट कार्डचा लिफाफा उघडलाही नव्हता, पण त्याद्वारे अडीच लाख रुपयांचा व्यवहार झाला होता. म्हणजेच कार्डचे डिटेल आणि पासवर्ड जेथून जारी झाले तेथूनच लीक झाले होते, हे निश्चित. एक कोटीपेक्षा जास्त कार्डधारकांची माहिती बाजारात उपलब्ध आहे.

मनीष यांनी कस्टमर केअरद्वारे डाटा लीकचे एक उदाहरणही दिले. त्याची चौकशी त्यांनीच केली होती. बिकानेरच्या एका व्यक्तीने ऑनलाइन तिकीट बुक केले. बँक डिटेल आणि वन टाइम पासवर्ड (ओटीपी) टाकल्यानंतर इंटरनेट डिसकनेक्ट झाले. ऑनलाइन शॉपिंग प्लॅटफाॅर्म (मर्चेंट) पेमेंट गेटवेशी जोडलेले असतात. रक्कम देण्याआधी पेमेंट गेटवेद्वारे मर्चेंटला माहिती दिली जाते. मर्चेंटने ओके केल्यानंतरच ट्रान्झॅक्शन पेमेंट गेटवेमधून प्रोसेस होते. अनेकदा या प्रोसेसच्या वेळी इंटरनेट बंद होते. येथूनच घोटाळा सुरू होतो. कस्टमर केअरचा कर्मचारी त्याची माहिती बाहेर आपल्या साथीदाराला देतो. तो साथीदार ग्राहकाला कस्टमर केअरच्या नावाने फोन करतो. त्यात कॉल फोर्जिंग तंत्रज्ञानाचा वापर होतो. त्यात रिसीव्हरच्या स्क्रीनवर तोच क्रमांक दिसतो, जो कॉलरला हवा असतो. ती व्यक्ती ग्राहकाकडून ट्रान्झॅक्शन आणि कार्ड डिटेल व्हेरिफाय करतो आणि सीव्हीव्ही क्रमांक विचारतो. ग्राहकाला संशयही येत नाही आणि तो क्रमांक सांगतो.

जेव्हा आपण मोबाइलवर कार्डद्वारे पेमेंट करतो तेव्हा पहिल्या ट्रान्झॅक्शनच्या वेळीच एक ऑप्शन असते ‘सेव्ह धिस कार्ड फॉर फास्टर चेकआऊट.’ ते आधीच ‘क्लिक’ म्हणजे ओके असते. आपले त्याकडे लक्ष नसते आणि अॅपमध्ये कार्डचे डिटेल सेव्ह होते. अनेक वित्तसंस्थांसाठी सायबर सुरक्षेचे काम केलेले अभिषेक धाभाई यांच्यानुसार, पेमेंट गेटवेद्वारे ट्रान्झॅक्शन होते तेव्हाच तेथेही कार्डचे डिटेल सेव्ह होते. त्यांनी सांगितले की, रिझर्व्ह बँकेच्या दिशानिर्देशांनुसार, डाटा एनक्रिप्टेड (१२८ बिट) तर असतो, पण हे एनक्रिप्शन पूर्णपणे सुरक्षित नाही. ते सहजपणे डिक्रिप्ट होऊ शकते. देशात एटीएम सुरक्षा दिशानिर्देश १९९५ च्या आसपासचे आहेत. आपला कुठलाही सिक्युरिटी प्रोटोकॉल किंवा इन्फ्रास्ट्रक्चर नाही. त्याचे संचालन विदेशी कंपन्या करतात. ९९ % पेमेंट गेटवे विदेशी आहेत. त्यामुळे डाटा अनेक ठिकाणांहून जातो. तो मध्येच कुठेही हॅक होऊ शकतो. ते म्हणाले की, आम्ही सॉफ्टवेअरबाबत अमेरिका आणि हार्डवेअरबाबत चीनवर अवलंबून आहोत. या वेळी डाटा चोरीत अमेरिका आणि चीनचेही नाव येत आहे. असे गुन्हे ए‌वढ्या वेगाने का वाढत आहेत? कारण फक्त ५% प्रकरणांत दोषींना शिक्षा होते.

मनीष यांच्यानुसार, १० पैकी ८ प्रकरणांची तर नोंदच होत नाही. दूरवरच्या भागातील एटीएम स्किमिंग करणारे गुन्हेगार तर एवढे निर्ढावले आहेत की आता ते बँकेला लागून असलेल्या एटीएममध्येही मॅग्नेटिक स्ट्रिप रीडर आणि कॅमेरे लावत आहेत. रीडर कार्डचे डिटेल घेते आणि कॅमेऱ्यात पासवर्ड रेकॉर्ड होतो. गुन्हेगार त्याद्वारे कार्डचे क्लोन बनवतात. अटक टाळण्यासाठी ते क्लोन कार्डचा वापर दुसऱ्या राज्यांत करतात. अभिषेक यांच्यानुसार, सरकार, आरबीआय किंवा तपास संस्थांकडे अशा गुन्ह्यांच्या चौकशीसाठी तज्ज्ञच नाहीत. काय करायचे हे अधिकाऱ्यांनाही माहीत नाही. बँकांमध्ये तर इन्फर्मेशन किंवा सायबर सुरक्षेचे मूलभूत उपायच नाहीत. उद्या जर मोठी घटना घडली तर कोणी काहीच करू शकणार नाही.

हास्यास्पद गोष्ट म्हणजे या वेळी बँका हेच म्हणत आहेत की, आमच्या नेटवर्कमध्ये ‘स्किमिंग’ झाले नाही, इतर बँकांत समस्या आहे. ज्या हिताची पेमेंट सर्व्हिसबद्दल असे म्हटले जात आहे की, तिच्या प्लॅटफॉर्मचा वापर करून हॅकर्सने डाटा चोरला, तिनेही याचा इन्कार केला आहे. असेच उत्तर मास्टरकार्ड, व्हिजा आणि रूपेचे आहे, त्यांच्या प्लॅटफाॅर्मवर हे कार्ड आहेत. दररोज सुमारे २.५ कोटी ट्रान्झॅक्शन हँडल करणाऱ्या एनपीसीआयनेही म्हटले आहे की आमच्या यंत्रणेत कोणतीही गडबड नाही. एका बँकेच्या ज्येष्ठ अधिकाऱ्याने सांगितले की, यंत्रणेत दुरुस्ती झाली असे बँका भलेही म्हणत असल्या तरी सध्या त्यांची फॉरेन्सिक चौकशी सुरू आहे. चौकशी पूर्ण होण्यास आणखी काही दिवस लागतील. त्यानंतर डाटा कुठून चोरी झाला आणि प्रत्यक्षात किती कार्डांना फटका बसला हे समजेल. देशात सुमारे ७० कोटी डेबिट कार्ड आणि अडीच कोटी क्रेडिट कार्ड आहेत. नीलसन या रिसर्च फर्मनुसार, २०१५ मध्ये जगभरात १६ अब्ज डॉलर म्हणजे १.०६ लाख कोटी रुपयांचा कार्ड घोटाळा झाला. त्यात वार्षिक २० % दराने वाढ होत आहे.

घोटाळ्याची अशीही एक नवी पद्धत
एटीएम आणि क्रेडिट कार्ड््सवर रेडिओ फ्रिक्वेन्सी आयडेंटिफिकेशन चिप लावलेली असते. ती रीड करून माहितीची चोरी केली जाऊ शकते. त्यामुळे जगभरात सुरक्षा संस्था आणि जाणकार लोकांना आरएफआयडी रीडर डिव्हाइसपासून वाचण्याचा सल्ला देत आहेत. हे डिव्हाइस कुठे लावले आहे, हे समजणे कठीण आहे. या डिव्हाइसच्या मदतीने कोणीही तुमच्यापासून दूर बसलेलेही तुमच्या कार्डची माहिती कार्डवर लावलेल्या चिपद्वारे चोरू शकते. भारतात सध्या अशी प्रकरणे समोर आली नाहीत, पण विदेशात तर आता आरएफआयडी-ब्लॉकिंग वॉलेटही विकत आहेत.

यामुळे जास्त सुरक्षित असतात चिपचे कार्ड
एटीएम मशीनमध्ये मॅग्नेटिक स्ट्रिपच्या डेबिट कार्डद्वारे पूर्ण डिटेल जाते. त्यामुळे त्यांचे क्लोन करणे सहज शक्य होते. चिपच्या कार्डात डाटा एनक्रिप्टेड होतो. त्यात ट्रान्झेक्शननंतर फक्त युनिक कोड ट्रान्समिट होतो. माहिती मिळवण्यासाठी ते डिकोड करावे लागेल. त्यामुळे ते जास्त सुरक्षित असते.

आपल्या बँकेचे एटीएम यामुळे जास्त सुरक्षित
एका बँकेचे एटीएम कार्ड जेव्हा दुसऱ्या बँकेच्या एटीएम मशीनमध्ये वापरले जाते तेव्हा कार्डचे डिटेल आधी सेंट्रल सर्व्हरला जाते. त्याला ‘हँडओव्हर प्रोटोकॉल’मधून जावे लागते. त्यात अनेक पॉइंट असतात. डाटा कुठूनही लीक होऊ शकतो. आपल्या बँकेच्या एटीएमचा वापर केल्यास माहिती फक्त त्याच बँकेच्या सर्व्हरपर्यंत जाते.
बातम्या आणखी आहेत...