இலங்கையின் அரச நிறுவனங்கள் டிஜிட்டல் மயமாகி வரும் சூழலில், மிகவும் அதிர்ச்சியூட்டும் ஒரு நிதியியல் மோசடி அண்மையில் வெளிச்சத்திற்கு வந்துள்ளது. இலங்கை தபால் திணைக்களம், அமெரிக்க தபால் சேவைக்கு (USPS) செலுத்த வேண்டிய 625,000 அமெரிக்க டொலருக்கும் அதிகமான பொதுப் பணம், சர்வதேச சைபர் கொள்ளையர்களால் மிக லாவகமாக திசைதிருப்பப்பட்டுள்ளது.
இலங்கை திறைசேரியில் (Treasury) நடந்த 2.5 மில்லியன் டொலர் மோசடியைத் தொடர்ந்து, இந்த தபால் திணைக்கள விவகாரமும் அம்பலமாகியிருப்பது ஒட்டுமொத்த நாட்டின் டிஜிட்டல் பாதுகாப்பு கட்டமைப்பையுமே கேள்விக்குறியாக்கியுள்ளது.
எப்படி நடந்தது இந்த நிதானமான கொள்ளை?
இந்த மோசடி ஒரே நாளில் நடந்த ஒன்றல்ல. சைபர் குற்றவாளிகள் மிகவும் பொறுமையாக, திட்டமிட்டு அரங்கேற்றிய ஒரு Business Email Compromise (BEC) எனப்படும் மின்னஞ்சல் ஏமாற்று வேலை இதுவாகும்.
சர்வதேச தபால் பணிகளுக்கான கொடுப்பனவு விபரங்களை உலகளாவிய தபால் ஒன்றியம் (Universal Postal Union – UPU) தான் வழக்கமாக வழங்குகிறது. ஆனால், குற்றவாளிகள் இந்த உத்தியோகபூர்வ மின்னஞ்சல் முகவரியை ஒத்த, மிகச் சிறிய எழுத்து மாற்றத்தைக் கொண்ட ஒரு போலி மின்னஞ்சல் முகவரியை (Look-alike domain) உருவாக்கியுள்ளனர். உதாரணத்திற்கு, “australia” என்ற வார்த்தையில் உள்ள ‘i’ எழுத்துக்குப் பதிலாக ‘1’ என்ற எண்ணைப் பயன்படுத்தி “austral1a” என்று ஏமாற்றுவது போன்ற ஒரு தந்திரம் இது.
- ஆரம்பகட்ட சோதனை (2024): முதலில் வெறும் 900 டொலர்களை அனுப்பி கணக்குச் செயல்பாட்டைச் சோதித்துள்ளனர். இதை தபால் திணைக்களம் கவனிக்கத் தவறியுள்ளது.
- முதல் பெரிய ஏமாற்று (பெப்ரவரி 2025): கணக்கு சரியாக வேலை செய்வதை உறுதி செய்துகொண்டு, 435,864 டொலர்களைப் போலி கணக்கிற்கு மாற்ற வைத்துள்ளனர்.
- இரண்டாவது ஏமைற்று (அக்டோபர் 2025): மேலும் 190,891 டொலர்கள் அதே பாணியில் அனுப்பப்பட்டுள்ளது.
மொத்தமாக 626,755 அமெரிக்க டொலர்கள் அமெரிக்காவின் டெலவெயர் (Delaware) பகுதியில் உள்ள ஒரு போலி வங்கிக் கணக்கிற்குச் சென்று சேர்ந்துள்ளது. தங்களுக்குப் பணம் கிடைக்கவில்லை என அமெரிக்கத் தரப்பு உத்தியோகபூர்வமாக அறிவித்த பிறகே, இலங்கை அதிகாரிகள் விழித்துக்கொண்டனர்.
எங்கு தவறியது பாதுகாப்பு?
குற்றப்புலனாய்வுத் திணைக்களத்தின் (CID) கணினி குற்றப் புலனாய்வுப் பிரிவினர் நீதிமன்றத்தில் சமர்ப்பித்த விபரங்களின்படி, இந்த மோசடியில் அதிகாரிகள் தரப்பில் நேர்ந்த சில பாரதூரமான அலட்சியங்கள் வெளிப்பட்டுள்ளன:
மின்னஞ்சலை மின்னஞ்சலால் சரிபார்த்த தவறு: வங்கி விபரங்கள் மாறிவிட்டதாக போலி மின்னஞ்சல் வந்தபோது, தபால் திணைக்கள அதிகாரிகள் அதே மின்னஞ்சல் இழையிலேயே (Email thread) பதில் அனுப்பி விபரங்களைச் சரிபார்த்துள்ளனர். அந்த மின்னஞ்சல் கணக்கு ஏற்கனவே ஹேக்கர்களின் கட்டுப்பாட்டில் இருந்ததால், அவர்கள் “ஆம், விபரங்கள் உண்மைதான்” எனப் பதிலளித்துள்ளனர்.
வங்கிக் கணக்கு மாறும் போது, அதை மாற்று வழிமுறைகள் (தொலைபேசி அழைப்பு அல்லது உத்தியோகபூர்வ கடிதங்கள்) மூலம் உறுதிப்படுத்தத் தவறியதே இந்த பேரழிவுக்கு முக்கிய காரணம். மேலும், பணம் அனுப்பப்பட்ட பின்னர் உரிய தரப்பிடம் இருந்து அதற்கான ரசீதுகள் (Receipts) பெறப்பட்டு, கணக்குகள் சரிபார்க்கப்படாமல் இரண்டு வருடங்களாக இந்த மோசடி மறைந்திருந்துள்ளது.
தற்போதைய நிலை மற்றும் பாடம்
தற்போது கொழும்பு கோட்டை நீதவான் நீதிமன்ற உத்தரவின் பேரில், இலங்கை கணினி அவசர தயார்நிலை குழு (SLCERT) தபால் திணைக்களத்தின் மின்னஞ்சல் கட்டமைப்பை முழுமையான கள ஆய்வுக்கு உட்படுத்தியுள்ளது. இந்த நிதி மோசடி தொடர்பாக கணினி குற்றங்கள் சட்டம் மற்றும் பொதுச் சொத்துக்கள் சட்டத்தின் கீழ் விரிவான விசாரணைகள் நடக்கின்றன.
இந்த சம்பவம் இலங்கை தபால் திணைக்களத்திற்கு மட்டுமல்ல, அரச மற்றும் தனியார் துறையில் உள்ள அனைத்து நிதியியல் பிரிவுகளுக்கும் ஒரு மிகப்பெரிய எச்சரிக்கை மணியாகும்.
- தொலைபேசி விதி: வங்கிக் கணக்கு விபரங்களை மாற்றக் கோரி எந்தவொரு மின்னஞ்சல் வந்தாலும், அதைத் தொலைபேசி வழியாகவோ அல்லது நேரிலோ தொடர்பு கொண்டு உறுதிப்படுத்தாமல் பணப் பரிமாற்றம் செய்யக் கூடாது.
- இரட்டை அங்கீகாரம்: பெரிய தொகைகளை மாற்றும் போது, குறைந்தது இரு அதிகாரிகள் தனித்தனியாக விபரங்களைச் சரிபார்க்கும் நடைமுறை (Two-person authorization) கட்டாயமாக்கப்பட வேண்டும்.
டிஜிட்டல் யுகத்தில் தொழில்நுட்பம் எவ்வளவு வளர்கிறதோ, அவ்வளவு தூரம் மனித அலட்சியத்தைப் பயன்படுத்தி ஏமாற்றும் இந்த ‘சமூகப் பொறியியல்’ (Social Engineering) ஆபத்துகளும் அதிகரித்துக் கொண்டே செல்கின்றன என்பதற்கு இந்த $625,000 இழப்பே சாட்சி.
