রিজার্ভ চুরি: বাংলাদেশ ব্যাংকের রিজার্ভ থেকে 'কনসালটেন্সি ফি'র নামে ফিলিপিন্সের অ্যাকাউন্টে টাকা সরিয়েছিল হ্যাকাররা

যুক্তরাষ্ট্রের নিউইয়র্কে ফেডারেল রিজার্ভ ব্যাংকে রাখা বাংলাদেশ ব্যাংকের বৈদেশিক মুদ্রার মজুত থেকে হ্যাকাররা যেভাবে ফিলিপিন্সে অর্থ পাঠিয়েছিল।

বহুল আলোচিত বাংলাদেশ ব্যাংকের রিজার্ভ চুরির ঘটনার নয় মাস আগে পাঁচটি ব্যাংক অ্যাকাউন্ট খোলা হয়েছিল ফিলিপিন্সের ম্যানিলা-ভিত্তিক রিজাল কমার্শিয়াল ব্যাংকিং কর্পোরেশন (আরসিবিসি)-তে।

২০১৬ সালের ৪ঠা ফেব্রুয়ারিতে ফেডারেল রিজার্ভ ব্যাংক অব নিউইয়র্কে রক্ষিত বাংলাদেশে ব্যাংকের অ্যাকাউন্ট থেকে ১০ কোটি ১০ লাখ ডলার (যা বাংলাদেশী মুদ্রায় ৮১০ কোটি টাকার সমপরিমান) চুরি করতে সমর্থ হয় হ্যাকাররা। এই ঘটনার তিন বছর পর গত ৩১শে জানুয়ারি নিউইয়র্কের সাদার্ন ডিসট্রিক্ট কোর্টে একটি মামলা দায়ের করা হয়েছে বাংলাদেশ ব্যাংকের পক্ষ থেকে।

ওই মামলার বিবরণ অনুযায়ী, ২০১৫ সালের ১৫ই মে যে পাঁচজন ভুয়া ব্যক্তির নামে ফিলিপিন্সে ব্যাংক অ্যাকাউন্টগুলো খোলা হয়েছিল সেই নামগুলো হলো - মিশেল ফ্রান্সিকো ক্রুজ, জেসি ক্রিস্টোফার এম. ল্যাগ্রোসাস, আলফ্রেড সান্তোস ভেরগারা, এনরিকো টেওডোরো ভাসকয়েজ এবং রালফ ক্যাম্পো পিকাচি।

আরো পড়ুন: রিজার্ভ চুরির আগে চাকরি চেয়েছিল হ্যাকাররা

কোন অ্যাকাউন্টে কত সরানো হয়েছিল?

এই অ্যাকাউন্টগুলো এমনভাবে খোলা হয়েছিল, যাতে সেগুলোর মাধ্যমে মার্কিন ডলারে অর্থ লেনদেন করা যায়।

সবগুলো অ্যাকাউন্ট মাত্র ৫০০ মার্কিন ডলার দিয়ে খোলা হয়েছিল। এরপর ২০১৬ সালের ৫ই ফেব্রুয়ারির আগে ওই অ্যাকাউন্টগুলো থেকে কোন ধরণের লেনদেনের প্রমাণ পাওয়া যায়নি।

ওইদিনই অর্থ্যাৎ ৫ই ফেব্রুয়ারিতে 'ক্রুজ অ্যাকাউন্টে' ৬,০০০,০২৯.১২ মার্কিন ডলার, 'ল্যাগ্রোসাস অ্যাকাউন্টে' ৩০,০০০,০২৮.৭৯ মার্কিন ডলার, 'ভেরগারা অ্যাকাউন্টে' ১৯,৯৯৯,৯৯০.০০ মার্কিন ডলার এবং ভাসকয়েজ অ্যাকাউন্টে ২৫,০০১,৫৭৩.৮৮ মার্কিন ডলার এসে জমা হয়েছিল। বাংলাদেশ ব্যাংকের দাবি, এগুলো তাদের রিজার্ভ থেকে চুরি যাওয়া অর্থ।

এসব অ্যাকাউন্ট থেকে ৯ই ফেব্রুয়ারি অর্থগুলো উঠানো হয়েছিল বলে জানা গিয়েছে।

এদিকে 'পিকাচি অ্যাকাউন্টে' প্রায় ১৭০ মিলিয়ন মার্কিন ডলার ট্রান্সফার করার নির্দেশনা দিয়েছিল হ্যাকাররা, কিন্তু বাকি চারটির মত এবার নিউইয়র্ক ফেড ওই অর্থ ট্রান্সফার করেনি।

আরো পড়ুন:

রিজার্ভ চুরি: তিন বছর পরে বাংলাদেশ ব্যাংকের মামলা

বাংলাদেশের অর্থ চুরি:ফিলিপিন্স ব্যাংক কর্মকর্তার জেল

রিজার্ভ চুরি: কেন জড়িতরা চিহ্নিত হচ্ছে না?

যেসব নামে অর্থ জমা হয়েছিল অ্যাকাউন্টগুলোতে

সবগুলো অ্যাকাউন্টেই বাংলাদেশের চলমান বিভিন্ন প্রজেক্ট থেকে 'কনসালটেন্সি বা পরামর্শক ফি' বাবদ অর্থগুলো জমা হয়েছিল বলে বলা হচ্ছে।

'ক্রুজ অ্যাকাউন্টে' বাংলাদেশ ইনভেস্টমেন্ট প্রমোশন অ্যান্ড ফাইনান্সিং ফ্যাসিলিটি (আইপিএফএফ) প্রজেক্ট সেল থেকে, 'ল্যাগ্রোসাস' অ্যাকাউন্টে ঢাকা ম্যাস র‍্যাপিড ট্রান্সপোর্ট ডেভেলপমেন্ট প্রজেক্ট থেকে, 'ভেরগারা' অ্যাকাউন্টে ভেড়ামারা কমবাইন্ড সাইকেল পাওয়ার প্রজেক্ট থেকে এবং 'ভাসকয়েজ' অ্যাকাউন্টে কাঁচপুর-মেঘনা-গোমতী ২ প্রজেক্ট থেকে কনসালটেন্সি ফি হিসেবে অর্থ জমা দেখানো হয়।

যেভাবে খোলা হয়েছিল অ্যাকাউন্টগুলো

পাঁচটি অ্যাকাউন্টের ক্ষেত্রেই হিসাব খোলার সময় দেওয়া যোগাযোগের ঠিকানায় ভুল তথ্য দেওয়া হয়েছিল।

রিজার্ভ চুরির ঘটনার পরে ওই সব ঠিকানায় গিয়ে ওইসব নামে কোন ব্যক্তির সন্ধান পাওয়া যায়নি। এমনকি পিকাচি নামের অ্যাকাউন্টে যোগাযোগের পর্যাপ্ত তথ্যও ছিল না।

তাদের প্রত্যেকের নামেই জাল ড্রাইভিং লাইসেন্স দিয়ে অ্যাকাউন্ট খোলা হয়েছিল। যেমন, লাইসেন্স প্রদানকারী ল্যান্ড ট্রান্সপোরটেশন অফিসে 'ভাসকয়েজ' নামে কোন লাইসেন্সের রেকর্ড নেই। 'ভেরগারা'র লাইসেন্সের যোগাযোগ নাম্বার তার নামে অ্যাকাউন্ট খোলার সময় ব্যবহার করা হয়নি।

ল্যাগ্রোসাস'র নামে যে লাইসেন্স সেখানে আরসিবিসি'র রিজার্ভ অফিসার আদ্রিয়ান রানাস ইউজুইকো'র ছবি ব্যবহার করা ছিল।

এমনকি অ্যাকাউন্ট খোলার সময় তারা যে ড্রাইভিং লাইসেন্স দিয়েছিলেন, সেগুলোও জাল ছিল। তাদের স্বাক্ষরের সঙ্গে ড্রাইভিং লাইসেন্সের স্বাক্ষরেরও কোন মিল পায়নি আরসিবিসি।

অ্যাকাউন্ট খোলার আবেদনপত্র অনুযায়ী, 'ভাসকয়েজ', 'ভারগেরা' এবং 'ক্রুজ' সবাই ২০০৫ সালের শুরু দিকে তিন মাসের মধ্যেই তাদের কর্মজীবন শুরু করে। এমনকি ওই অ্যাকাউন্টগুলো খোলার জন্য আবেদনকারীদের সবাই বিভিন্ন কোম্পানিতে 'ম্যানেজার/এক্সিউকিউটিভ' পদে চাকরি করেছেন বলে আবেদনপত্রে বলা হয়েছে।

ওইসব পদ থেকে অ্যাকাউন্টধারীদের সবারই মাসিক আয় দেখানো হয়েছিল ১,৫০০,০০০ পেসো (যা ২৮,৫০০ মার্কিন ডলারের সমপরিমান)। অথচ সেসব কোম্পানির বা তাদের আয়ের কোন প্রমাণ ছিল না।

সাধারণত আরসিবিসি'র পক্ষ থেকে সব ধরনের সেবার শেষে ধন্যবাদসূচক (থ্যাংক ইউ লেটার) চিঠি ইমেইলে পাঠানো হয়। কিন্তু পাঁচটির মধ্যে চারটি ইমেইল বার্তাই ডেলিভারি না হয়ে জুন থেকে অগাস্ট, ২০১৫-এর মধ্যে ফেরত এসেছিল।

সাবেক ব্যাংক ব্যবস্থাপক মায়া দেগুইতো ছাড়াও আরসিবিসি'র কয়েকজন কর্মকর্তা এসব অ্যাকাউন্টগুলোর খোলার বিষয়টি অনুমোদন করেছিল বলে অভিযোগ বাংলাদেশের।

গত ১০ই জানুয়ারি এই ঘটনার সাথে জড়িত থাকার অভিযোগে মিজ দেগুইতোকে ৩২ থেকে ৫৬ বছরের কারাদণ্ড দিয়েছে ফিলিপিন্সের একটি আদালত। সেইসঙ্গে তাকে ১০ কোটি ৯০ লাখ ডলার জরিমানাও করা হয়।

চুরির ঘটনার পর ওই ব্যাংকের একজন কর্মকর্তার কম্পিউটারে ২৯শে জুলাই, ২০১৫ -এ তৈরি করা একটি ওয়ার্ড ফাইলে ভাসকয়েজ, ক্রুজ এবং ভারগেরার অ্যাকাউন্টগুলোর অনুমোদনের খসড়া পাওয়া যায়।

অর্থ সরিয়ে নেওয়ার মুহূর্তগুলো

২০১৬ সালের ৪ই ফেব্রুয়ারি ছিল বৃহস্পতিবার। পরের দুদিন বাংলাদেশ ব্যাংকের কর্মকর্তাদের সাপ্তাহিক ছুটি। অন্যদিকে, চীনা নতুন বর্ষ উপলক্ষে আরসিবিসি ব্যাংকের তিনদিনের ছুটি শুরুর কথা সোমবার, ৮ই ফেব্রুয়ারি।

আর সেই সুযোগটাই নিয়েছিল উত্তর কোরিয়ার হ্যাকাররা, যারা পেছনে থেকে চুরির কাজটি করেছিল - বাংলাদেশ ব্যাংকের পক্ষ থেকে দায়ের করা মামলার বিবরণ এমনটাই বলছে।

হ্যাকাররা 'নেসট্যাগ' ও 'ম্যাকট্রাক' নামক ম্যালওয়্যার ব্যবহার করে নেটওয়ার্কে ঢুকতে পেরেছিলো।

পূর্বে নির্ধারিত বাংলাদেশ ব্যাংকের নেটওয়ার্কে অনুপ্রবেশ করার পর ৪ই ফেব্রুয়ারি রাত ৮:৩৬ মিনিট নাগাদ সুইফট সিস্টেমে লগ-ইন করতে সমর্থ হয় হ্যাকাররা।

পরে রাত প্রায় ৮:৫০ থেকে ১০:৩০টা পর্যন্ত নিউইয়র্ক ফেডারেল রিজার্ভ থেকে প্রায় এক বিলিয়ন মার্কিন ডলার সরানোর জন্য ৩৬টি পেমেন্টে অর্ডার পাঠায় তারা।

ট্রানজেকশনের তথ্যের গড়মিলের কারণে সেখান থেকে মাত্র একটি পেমেন্ট অর্ডার মধ্যবর্তী আরেকটি ব্যাংকে আটকে যায়। বিশ মিলিয়ন ডলারের ওই পেমেন্ট অর্ডারটি করা হয় শ্রীলঙ্কার 'Shalika Fundation' অনুকূলে। কিন্তু প্যান এশিয়া ব্যাংকিং কর্পোরেশন সেখানে বানান ভুলটি ধরে ফেলে - এটি হবে 'Shalika Foundation'।

বাকি ৩৫টি পেমেন্ট অর্ডার নিউইয়র্ক ফেড বাতিল করে দেয়, কারণ সেখানে মধ্যস্থকারী (ইন্টারমেডিয়ারি) ব্যাংকের পর্যাপ্ত তথ্য ছিল না।

পরবর্তীতে হ্যাকাররা সেসব তথ্য আপডেট করে পুনরায় ৩৪টি পেমেন্ট অর্ডার পাঠায়। এটি ঘটেছিল বৃহস্পতিবার রাত ১১:৩০টা থেকে শুক্রবার রাত ১:০০টার মধ্যে।

ওই রাতেই ৩:৫৯ মিনিটে হ্যাকাররা সুইফট সিস্টেম থেকে লগ-আউট করে। সেসময় তাদের কর্মকান্ডের প্রমাণ না রাখতে হ্যাকাররা একটি ম্যালওয়ার ব্যবহার করে। এগুলো পেমেন্ট অর্ডারের পরপরই সকল গুরুত্বপূর্ণ তথ্য স্বয়ংস্ক্রিয়ভাবে ডিলিট করে দেয়।

পেমেন্টের সময় সব তথ্যগুলো যাতে সুইফট প্রিন্টারে বের না হয়, সেজন্য একটি প্রিন্টার বন্ধ করে দেয়া হয়। যার ফলে মাত্র চারটি পেমেন্ট অর্ডার কার্যকরী হয়েছিল বলে মামলার নথিতে বলা হয়েছে।

পরে এই অর্থই ফিলিপিন্সে ক্যাসিনোর মাধ্যমে বেহাত হয়ে যায়।

যাদের বিরুদ্ধে মামলা হয়েছে

যুক্তরাষ্ট্রের নিউইয়র্ক সাদার্ন ডিস্ট্রিক্ট কোর্টে বাংলাদেশ ব্যাংকের পক্ষ থেকে যে মামলা করা হয়েছে সেখানে ফিলিপিন্সের পাঁচটি আর্থিক ও ক্যাসিনো প্রতিষ্ঠান, ফিলিপিন্সের ১২ জন নাগরিক এবং তিনজন চীনা নাগরিকসহ রয়েছেন মোট ২০ ব্যক্তি বা প্রতিষ্ঠানকে দায়ী করা হয়েছে:

১. ফিলিপিন্সের অন্যতম বড় ব্যাংক 'রিজাল কমার্শিয়াল ব্যাংকিং কর্পোরেশন' বা আরসিবিসি

২. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের জুপিটার শাখার সাবেক ম্যানেজার মায়া দেগুইতো

৩. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের জুপিটার শাখার সাবেক সিনিয়র কাস্টমার রিলেশনস অফিসার অ্যাঞ্জেলা রুথ টরেস

৪. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের তৎকালীন প্রেসিডেন্ট এবং সিইও লরেনজো ভি. ট্যান

৫. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের তৎকালীন রিটেইল ব্যাংকিং গ্রুপের প্রধান রাউল ভিক্টোর বি. ট্যান

৬. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের তৎকালীন রিটেইল ব্যাংকিং গ্রুপের ন্যাশনাল সেলস ডিরেক্টর ইজমায়েল এস, রেয়েস

৭. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের তৎকালীন রিটেইল ব্যাংকিং গ্রুপের রিজিওনাল সেলস ডিরেক্টর ব্রিজিট আর ক্যাপিনা

৮. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের তৎকালীন ডিস্ট্রিক্ট সেলস ডিরেক্টর নেস্টর ও. পিনেডা

৯. ফিলিপিন্সের নাগরিক এবং আরসিবিসি ব্যাংকের জুপিটার শাখার তৎকালীন কাস্টমার সার্ভিসের প্রধান রোমুলডো এস. অ্যাগ্রাডো

১০. ম্যানিলার ব্যবসায়িক সংগঠন 'ফিলরেম সার্ভিস কর্পোরেশন'

১১. ফিলিপিন্সের নাগরিক এবং ফিলরেম-এর সহ-স্বত্ত্বাধিকারী সালুদ বাতিস্তা

১২. ফিলিপিন্সের নাগরিক এবং ফিলরেম-এর সহ-স্বত্ত্বাধিকারী মিশেল বাতিস্তা

১৩. ফিলিপিন্সের ব্যবসায়িক প্রতিষ্ঠান 'সেঞ্চুরিটেক্স ট্রেডিং'

১৪. ফিলিপিন্সের নাগরিক এবং সেঞ্চুরিটেক্স ট্রেডিং-এর মালিক উইলিয়াম সো গো

১৫. ফিলিপিন্সের ক্যাসিনো প্রতিষ্ঠান 'ব্লুমবেরি রিসোর্ট অ্যান্ড হোটেলস'-এর সোলেয়ার রির্সোট অ্যান্ড ক্যাসিনো

১৬. ফিলিপিন্সের ক্যাসিনো প্রতিষ্ঠান 'ইর্স্টান হাওয়াই লেইজার কোম্পানি লিমিটেড'-এর মাইডাস হোটেল অ্যান্ড ক্যাসিনো

১৭. ফিলিপিন্সের নাগরিক এবং ইর্স্টান হাওয়াই লেইজার কোম্পানি লিমিটেড-এর একজন স্বত্ত্বাধিকারী কাম সিন ওয়ং ওরফে কিম ওয়ং

১৮. চীনের নাগরিক ওয়েকাং জু

১৯. চীনের নাগরিক ডিং ঝিঝে

২০. চীনের নাগরিক গাও শুহুয়া

এছাড়া, মামলার দলিলে আরও উল্লেখ করা হয়েছে -- জন ডজ ১-২৫: রিজার্ভ চুরির সাথে সংশ্লিষ্ট যেকোন ব্যাক্তি এবং যাদের নামে ভুয়া অ্যাকাউন্টগুলো খোলা হয়েছিল।

কী বলছে আরসিবিসি?

এদিকে, বাংলাদেশ ব্যাংকের দায়ের করা মামলাকে 'পলিটিক্যাল স্ট্যান্ট (রাজনৈতিকভাবে লোক দেখানোর চেষ্টা)' বলে অভিহিত করেছে আরসিবিসি।

"আনীত অভিযোগগুলো সব মিথ্যা এবং এখানে (যুক্তরাষ্ট্রে) মামলা করার কোন অধিকার তাদের (বাংলাদেশ ব্যাংকের) নেই কারণ বিবাদী পক্ষের কেউই যুক্তরাষ্ট্রে থাকেন না," পহেলা ফেব্রুয়ারি দেয়া এক বিবৃতিতে দাবি করে ব্যাংকটি।

তারা বলেছে, বাংলাদেশ ব্যাংকের নিজস্ব ভুলে, নিরাপত্তা ব্যবস্থায় ত্রুটি থাকার কারণে তারা (বাংলাদেশের কেন্দ্রীয় ব্যাংক) এই ক্ষতির সম্মুখীন হয়েছে।

"আমরা বিশ্বাস করি, তারা নিজেদের তদন্ত থেকে পাওয়া তথ্য গোপণ করেছে এবং তাদের দোষ অস্বীকার করেছে। বরং তারা অন্যদের দোষারোপ করে চলেছে।"

ব্যাংকটি আরও বলেছে, নিজেদের দোষ এড়াতে এবং নিজেদের দায়বদ্ধতা ঘোচাতে বাংলাদেশ ব্যাংক এই ভীষণ চেষ্টা করছে।

ফিলিপিন্সের এই ব্যাংকটি মামলা লড়ার জন্য যুক্তরাষ্ট্রের কুইন ইমানুয়েল নামে একটি আইনী প্রতিষ্ঠানের সাথে যোগাযোগ করেছে বলে ঘোষণা দিয়েছে।