कॉसमॉस बँकेतील लूट कशी केली असावी?

पाषाणभेद's picture
पाषाणभेद in तंत्रजगत
15 Aug 2018 - 4:19 am

कॉसमॉस बँकेतील लूट कशी केली असावी? एटीएम स्वीच काय असते? आपला नेहमीचा पण आडव्हान्स नेटवर्क स्विच की एन्क्रीप्शन डिव्हाईस? की ती एक सिस्टीम असते ज्यात पेमेंट हे एटीएम मशीन मधून अथोराईज करण्यापासून ते पैसे हातात येण्यापर्यंत त्याची सर्व प्रोसेस केली जाते?
की हॅकर्सनी डमी पेमेंट गेटवे स्थापन केला होता?
की हॅकर्सनी वीसा कार्डाला समांतर व्यवस्था स्थापन केली होती?

बँक अधीकार्‍याच्या मते लुट ही कमी रकमेच्या अनेक व्यवहारांनी केली गेली जसे १०० डॉलर ते २००० डॉलर वैगेरे. आणि ते ही पेट्रॉल पंप , एटीएम मधून.
संदर्भः https://www.youtube.com/watch?v=Cijv1GVlGqw (श्री. मिलींद काळे, चेअरमन, कॉसमॉस बँक)
(२ तास १३ मिनीटात १२ हजार व्यवहार झालेत.)

आता निरनिराळ्या २५/३० देशांतून अशा कमी रकमेच्या व्यवहारांनी ९५ कोटी लुटणे अशक्य वाटते. तेवढे प्रशिक्षीत मनुष्यबळ कोणत्याही दरोडेखोरांच्या / हॅकर्सच्या टोळीला इतक्या विविध देशांत रात्री/दिवसा ७/८ तास ठेवणे अशक्यप्राय गोष्ट आहे.

डार्क नेट, डीप वेब चा हा प्रकार नसावा? कारण यात एका ठिकाणी बसून निरनिराळ्या देशांचे आयपी अ‍ॅड्रेस घेता येवू शकतात.

एवढी मोठी लुट होते म्हणजेच यंत्रणेत काहीतरी तृटी होती. मानवी हस्तक्षेप सोडला तर तांत्रीक बाबीत काय तॄट होती , असावी? बँकेचे एटीएम हे व्यवहार करणार्‍या सर्व्हरबरोबर शक्यतो (किंवा नेहमीच) व्हीपीएन कनेक्षन ने कनेक्टेड असतात. आणि हे कनेक्षन फायरवॉलमधून होत असते.
काही वेळा असे व्हीपीएन कनेक्षन (एटीएम किंवा ब्रांच कनेक्टीव्हीटी साठी) पॉईंट टू पॉईंट लिंकने किंवा एमपीएलएस लिंकने (एक प्रकारची एनक्रिप्टेड पी टू पी लिंकच) सुरक्षीत केले गेलेले असतात. मग असे काय झाले की हे सेक्यूअर्ड व्हीपीएन टनेल फोडल्या गेले?

की पासवर्ड लिक झाला होता काय? हि व्यवस्था पाहणार्‍या अ‍ॅडमीन, किंवा त्या डिपार्टमेंटच्या एखाद्याचा सहभाग असू शकतो काय?
नॅशनल पेमेंट गेटवे/ एनीएफटी/ आरटीजीएस पेमेंट प्रोसेसमध्ये तॄटी होती काय?
असल्यास अशा तॄटींवर मात करता येईल काय? काय सुधारणा अपेक्षीत आहेत?
आपण आयटीत जरी अव्वल स्थानावर असलो तरी आपल्याकडे तांत्रीक रिपीटेटीव्ह कामेच (आय टि हमाल) जास्त केली जातात. ( हे खरे सॉप्टवेअर नाही, आदी आदी चर्चा येथे अनाठाई आहे.) असे असतांना पैशाच्या व्यवहारांसाठी ऑनलाईन, इंटरनेट आदीवर किती भिस्त ठेवली पाहीजे? आणि आपण जरी ऑनलाईन व्यवहार केले नाहीत तरी इतर कुणी आपले बँकेतले पैसे परस्पर ऑनलाईन व्यवहाराने लुटू शकतो. यामुळे बँकेच्या संगणकीय व्यवहारांवर किती भिस्त ठेवली पाहीजे?

छोट्या बँकांच्य आयटी प्रणाली अजून विकसीत झालेल्या नाहीत. माझाच अनुभव सांगतो. एनकेजीएसबी को ऑफ. बँकेच्या माझ्या पासबुकमध्ये जमा / खर्चाच्या रकमेच्या रकान्यात रकमेचा आकडा रू. 894:40 असा न छापता तो रू. 894,40 असा छापला जात होता. मी याबाबत तक्रार केली असता चलता है छाप उत्तर आले.

एटीएमचा पीन विसरलो असता आठ दिवसांनी तो पीन हेडऑफीसमधून छापलेल्या कार्बन कागदावर बँकेत आला. मी स्वतः चौकशी केली असता तो मला घेण्यास बँकेत जावे लागले. यात दिवसांचा अपव्यय झाला.

तेथेच माझ्या खात्यात सिस्टीम रू. ५००००/- जास्त दाखवत होती. मी ती रक्कम काढूही शकत होतो. पण मी याबाबत अगदी मॅनेजरला सांगूनही ती दुरूस्ती पाच महीने होवूनही झालेली नव्हती.

पुन्हा तेथेच माझे एक मोठे एनईएफटी पेमेंट समोरच्या पार्टीला त्याच दिवशी सकाळी केले असता संध्याकाळपर्यंत मिळालेले नव्हते. ते दुसर्या दिवशीही मला रिव्हर्ट झाले नव्हते. चौकशी केली असता बँकेच्या डेटा सेंटरच्या युपीएसला आग लागल्याचे सांगितले गेले. मला ते पटले नाही पण मग तोपर्यंत माझ्या पैशांची स्थिती कोठे आहे हे देखील समजले नव्हते. नंतर मी ज्या बँकेतून पैसे ट्रान्सफर केले त्या येस बँकेत चौकशी केली असता तुमचे पेमेंट क्लिअर झाले असे समजले.

मोठ्या बँकाही काही मागे नसाव्यात. मला आयसीआयसीआय बँकेच्या माझ्याच नावाने असलेल्या दुसर्या खातेधारकाचे व्यवहारांचे ईमेल्स कालपरवापर्यंत येत होते. मी तक्रार केल्यानंतर ते थांबले.

आयडीबीआय बँकेचे दररोजचे बँकमॅनेजर आणि त्याच्या सहकार्‍यांचे ऑफीशीअल आकडेवारी, दररोजचे व्यवहार, रकमा असलेले ईमेल्स देखील मागे मला येत होते.

सेंट्रल बँकेचा अधीकारी माझा रजीस्टर्ड फोन नंबर बदलायला घाबरत होता.

थोडक्यात काही बँकांच्या आयटी रिसोर्समध्ये व्यवस्था, देखभाल यथातथा असते.

कशा प्रकारे हि लूट केली असावी? काही तर्क?

(टिपः काही तांत्रीक शब्दांना मराठीत प्रतिशब्द तयार नसल्याने इंग्रजी शब्द वापरले आहेत.
आयटीतले तंत्रज्ञ सगळ्या मराठी फोरमवर असतीलच असे नाही. त्यामुळे हाच लेख / चर्चा इतर मराठी संस्थळावर टाकलेला आहे जेणे करून अधिक माहीती मिळावी व सर्वसामान्यांना आर्थीक व्यवहारात खबरदारी घेता यावी. त्याचप्रमाणे नक्की कोणत्या सदरात टाकावा हे न समजल्याने येथे टाकला आहे. तो योग्य ठिकाणी हलवला तरी चालेल.
संपादकांना पटलेले नसेल तर लेख उडवला तरी हरकत नाही. धन्यवाद.)

प्रतिक्रिया

बँक / रिझव बँक यांचे कामकाज आणि आइटी असे दोन्ही जाणणारा मनुष्य नसतो.
या दोन्ही शाखा वेगवेगळे काम करतात आणि धरसोड करत व्यवहार उरकतात.

अभिजित - १'s picture

15 Aug 2018 - 1:44 pm | अभिजित - १

जर का ग्लोबल कार्ड द्याचा अट्टाहास केला नसता तर गुन्हा फक्त भारता पुरताच मर्यादित राहिला असता. सध्या सर्व बँक global card ची customer वर जबरदस्ती करत आहेत. हे पूर्ण चुकीचे आहे. हा प्रकार २०१४ नंतर सुरु झाला आहे. आणि या जबरदस्ती मागे कोण आहे ते सांगितले तर मला शिव्या पडतील !! मी गप्प राहतो.

पहिल्यांदाच स्पष्ट करतो की बॅंकेच्या कामकाजाची फारशी माहिती नाही. कार्ड क्लोनिंगबाबत एक अंदाज आहे की ते कसे काम करत असावे

सदर प्रकरणात काही पैसे ए.टी.एम मधून रोख स्परूपात काढल्याचे वाचण्यात आले तरीही ही रक्कम कोणत्याही ग्राहकाच्या अकाऊंटमधून डेबीट झालेली नाही. हे कसे झाले असावे ह्याबबतचा माझा एक अंदाज आहे.

ए.टि.एम मशीन आणि बॅंक या प्रत्यक्ष जोडलेल्या नसाव्यात. सगळ्या बॅंकांच्या सगळ्या ग्राहकाची माहिती एका ए.टी.एम मद्धे नसावी.

ती सगळी माहिती आपल्या कार्डच्या मॅग्नेटिक पट्टीत असते. आपण कार्ड टाकले की ती माहिती मशीन रीड करते. यात अकाऊंट नंबर , नाव , आणि बॅलन्स अशी माहिती असावी.हयामुळे आपण कोणत्याही बॅंकेच्या मशीनमद्दे कोणतेही कार्ड वापरतो.

लक्षात घ्या की हा व्यवहार होताना मशीनने बॅंकेकडचा डाटा न वापरता कार्डवरचा डाटा वाचून व्यवहार केला (कदाचित)

आता जर मला कळाले की कार्डवर माहिती कशी भरतात तर मी खोट्या माहितीने भरलेले कार्ड तयार करु शकेन.

माझे नाव अ.ब.क आहे , अकाऊंट नंबर १३३ आहे आणि त्यावरचा बॅलन्स १००० रु आहे अशी माहिती मी भरली.

अर्थात हे अकाऊंट माझे बॅंकेत असणार नाही. ते अकाऊंट वर्च्यूअल (आभासी) आहे (केवळ कार्डवर आहे)

मी कार्ड टाकून १००० पेक्षा कमी रक्कम आता काढू शकेन. ही रक्कम कोणत्याहि ग्राहकाच्या अकाऊंटला अर्थात डेबिट पडणार नाही.

जेव्हा हा डाटा बॅंकेकडे जाईल आणि त्या अकाऊंटला प्रत्यक्षात डेबीट लावतील तेव्हा ते अकाऊंटच नाही हे बॅंकेला आत्ता समजेल.

जाणकारांनी ह्या शक्यतेवर प्रकाश टाकावा.

हि सगळी बँक ची फेकूगिरी आहे. मी पण तो SMS वाचला आहे. पण पेपर मधील बातमी काहीतरी वेगळेच सांगते. कि पेपर खोटे बोलतो ?

https://maharashtratimes.indiatimes.com/maharashtra/pune-news/cyber-atta...
तसेच, रूपे डेबिट कार्डधारकाच्या खात्यामधून पैसे कमी झाल्याची तक्रार टोल फ्री क्रमांकावर आली होती. त्यानंतर रूपे डेबिट कार्डधारकांची सेवाही बंद केली.

राजेंद्र मेहेंदळे's picture

17 Aug 2018 - 2:23 pm | राजेंद्र मेहेंदळे

प्रत्येक बँकचे मुख्य ऑफिस आणि ईतर शाखा व ए. टी.एम. हे पाभेंनी वर सांगितल्याप्रमाणे MPLS किंवा VPN लिंकने (ईंटरनेट वर एन्क्रिप्टेड टनेल वापरुन) जोडलेले असतात. शाखेतुन किंवा ए. टी.एम मधुन पैसे काढायची सुचना आली की मुख्य ऑफिसमधला सर्वर तिची पडताळणी करतो आणि मग पैसे मिळतात. हे व्हेरिफिकशन काही सेकंदात होते.
याच् प्रमाणे प्रत्येक बँकेची RTGS/NEFT व्यवहारांसाठी रिझर्व्ह बँकेशी कनेक्टिव्हिटी असते आणि व्हिसा कार्ड वरुन होणार्‍या व्यवहारांसाठी व्हिसा कंपनीशी कनेक्टिव्हि टी असते . या दोन कनेक्टिव्हिटी आंतरबँक आणि व्हिसा व्यवहारांसाठी वापरल्या जातात.

आता सर्व ए. टी.एम ना सतत पोलिंग करणारा जो ए. टी.एम स्विच असतो तो आणि असे अनेक सर्व्हर(जसे की ऑथेंटीकेशन) बँकेच्या सिक्युअर डाटासेंटरमध्ये फायरवॉल वगैरेच्या मागे असतात. हॅकर्सकडुन या सर्व सिस्टीमचे चाचपणी (प्रोबिंग/पेनेट्रेशन टेस्टिंग) जगभर सतत चालुच असणार हे गृहित धरुनच या सिस्टीम वेळोवेळी अपडेट करणे जरुर असते. थोडक्यात ही रॅट रेस आहे, जो एक पायरी पुढे गेला (हॅकर किवा बँक) तो जिंकला. बहुतेक बँकांनी हे सर्व काम कोणत्यातरी मातबर कंपनीला किवा अनेक कंपन्यांना दिलेले असते. आणि ते नीट काम करताहेत हे बघण्यासाठी बँकेचा स्वतःचा आय.टी. चमु असतो.

आता मला जे समजले ते
कॉसमॉसच्या ए. टी.एम स्विच चा आय.पी. मिळवणे आणि कुठलेतरी निष्काळजीपणे उघडे राहिलेले पोर्ट वापरुन त्यात प्रवेश करणे हॅकर्सना जमले. त्यानी त्या सर्व्हरचे क्लोनिंग बाहेर कुठेतरी तयार केले. मग अनेक छोट्या छोट्या व्यवहारांद्वारे रक्कम काढणे चालु केले. ते व्यवहार व्हिसा कंपनीच्या गेटवे वापरुन होत होते. पण ते बँकेने पडताळले आणि ऑथेंटीकेट केले आहेत असे भासत होते. ही पडताळणी बँकेच्या सर्व्हर वरुन नाही तर त्या क्लोन सर्व्हर वरुन होत होती. त्या मुळे बँकेला याचा पत्ताच नव्हता. शेवटी व्हिसा कंपनीला या सगळ्याचा संशय आला आणि त्यांनी कॉसमॉसला कळवले तेव्हा हे जागे झाले. सगळ्यात जास्त व्यवहार १३-१५ ऑगस्टमध्ये झाले म्हणुन संशय आला.(तो पण व्हिसा ला, बँकेला नाहीच). आधीही असे व्यवहार थोड्या थोड्या प्रमाणात झाले असतीलच एकदम मोठा हात मारायच्या आधी टेस्ट म्हणुन.

या सर्व प्रकारात कॉसमॉसची इज्जत धुळीला मिळाली आहे. त्यांना सेवा पुरवणारे आय. टी. व्हेंडरवर कडक कारवाई आणि पेनल्टी वगैरे मारली जाईलच पण बाकी बँकेनीही यातुन बोध घ्यावा आणि आपली सिक्युरीटी अपडेट करावी ही अपेक्षा.

चौकटराजा's picture

18 Aug 2018 - 8:27 am | चौकटराजा

मी नुकतीच एक क्राईम पेट्रोल ची एपिसोड पाहिली . त्यात बेंका खाजगी आय टी सेवा पुरविणार्या कंपनीला काम देतात व त्या कंपनीतील कर्मचारी असा प्लान घडवून आणतात अशी थीम होती . मला इथेही हीच आशंका आहे. एखादा पासवर्ड " आतील" माणसाने हेतूपूर्वक वा चुकून बाहेर दिला असावा .

शाम भागवत's picture

17 Aug 2018 - 7:44 pm | शाम भागवत

एकदम परफेक्ट.
शेवटचा पॅरा जास्त महत्वाचा.

इतर बँका नक्कीच जाग्या होतील.
पीसीए मुळे बर्‍याच सरकारी बँकांना रिकव्हरी व्यतिरिक्त बाकी काही करण्यासारखे कामही नाहीये म्हणा. :)

आमच्या सारख्या सर्वसामान्य जनतेला बरेच काही समजले . Thanks !!

ट्रेड मार्क's picture

21 Aug 2018 - 12:51 am | ट्रेड मार्क

मध्यंतरी एक ATM हॅकिंगची हकीकत वाचली होती. यात रात्री कधीतरी ATM डिस्पेन्सर मधून अचानक नोटा बाहेर टाकल्या जायच्या आणि मग बाहेर थांबलेली एक व्यक्ती येऊन त्या नोटा गोळा करून निघून जायची. सुरुवातीला ATM मध्ये काही गडबड झाली असं वाटलं. पण नंतर अश्या घटना जगभरात बऱ्याच ठिकाणी घडल्या ज्यात कित्येक मिलियन डॉलर्स चोरीला गेले. ATM वरील क्यामेरा बघून त्यावेळेला नोटा घ्यायला आलेल्या व्यक्तींचा शोध घेतला तर प्रत्येक वेळेला वेगवेगळी व्यक्ती होती आणि त्यातही त्या चरसी, होमलेस लोक किंवा भुरटे चोर अश्या व्यक्ती होत्या. त्यांच्याकडून फक्त एवढीच माहिती मिळाली कि त्यांना ५००-१००० च्या बदल्यात फक्त नोटा गोळा करायला सांगण्यात आलं होतं. कोणी सांगितलं वगैरे त्यांना काही सांगता आलं नाही.

यात ATM मशीन कॅसिनोमधल्या स्लॉट मशीन सारखी कॅश बाहेर टाकत असल्याने याला "जॅकपॉटिंग" असं नाव पडलं. बऱ्याच संशोधनांती असं आढळून आलं की हॅकर्सनी हे करण्यासाठी एक सोपी पद्धत वापरली होती. सुरुवात कशी केली तर असे ATM हॅक करण्यासाठी त्यांना बँकेच्या कॉम्पुटर प्रणालीमध्ये शिरकाव करणे आवश्यक होते. म्हणून त्यांनी कोणाला तरी बँकेत फक्त एखाद्या टेलरचे (Teller) नाव बघण्यासाठी पाठवले. सहसा एन्टरप्राईस इमेल ऍड्रेस पाहिलेनाव.आडनाव@कंपनी.कॉम किंवा तत्सम स्टॅंडर्ड फॉरमॅटमध्ये असतात. अश्याच एका टेलरला एक निरुपद्रवी वाटणारी एक ई-मेल पाठवण्यात आली, ज्याला एक वर्ड डॉक्युमेंट सारखी दिसणारी अटॅचमेंट होती. ई-मेल मध्ये मजकूर असा लिहिण्यात आला होता की टेलरला ती अटॅचमेंट उघडावीशी वाटेल. एकदा अटॅचमेंट उघडली की स्क्रीनवर विशेष काहीच होणार नाही पण अंतर्गत प्रोसेस होईल आणि हॅकरला बँकेच्या प्रणालीत प्रवेश मिळेल. एकदा हे झालं की मग फक्त काम काय तर एक ATM टार्गेट करायचं आणि एखादा भुरटा गाठून त्याला ते पैसे पैसे गोळा करायला पाठवायचं.

तज्ज्ञांना कसबसं हे हॅकिंग थांबवण्यात यश आलं पण तोपर्यंत बरेच पैसे गेले होते. परंतु शेवटपर्यंत हे कोणाचं काम होतं हे काही शोधून काढता आलं नाही. अजूनही या हॅकर्सचा ग्रुप पकडला गेला नाहीये. यावर्षी सुद्धा डायबोल्ड आणि NCR या दोन ATM बनवणाऱ्या कंपन्यांनी, तसेच FBI ने अमेरिकेत असे प्रकार होऊ शकतील अशी वॉर्निंग दिली होती.

पण यापेक्षाहि लो-टेक पद्धत वापरून ATM हॅक करणे शक्य आहे.

त्यामुळे यात ग्लोबल कार्ड वगैरेचा काही संबंध नाही, तसेच भारत किंवा भारतीय बँका तांत्रिकदृष्ट्या मागासलेल्या असण्याचा पण संबंध नाही. जेव्हा बँका अस्तित्वात नव्हत्या तेव्हाही चोर कसेही करून पैसे लुटत होते. बँका आल्या पण कॉम्पुटर्स अस्तित्वात नव्हते तेव्हाही चोर बँकांमधून पैसे लुटत होते. आता कॉम्पुटर आहेत, फायरवॉल्स आहेत पण आता चोर सुद्धा सोफिस्टिकेटेड झाले आहेत. हा चोर पोलिसांचा खेळ असाच चालू राहणार. कार्ड क्लोनिंग तसेच फोन करून कार्ड/ बँक डिटेल्स घेणे वगैरे आता जुन्या पण अजूनही जोरात असलेल्या पद्धती आहेत.