ডিজিটাল ফাইন্যান্সের এক মূল আস্থার ব্যবস্থাকে লক্ষ্য করছে একটি অদৃশ্য বাজার
MIT Technology Review জানিয়েছে, প্রতারকেরা Telegram-এ বিক্রি হওয়া অবৈধ টুল ব্যবহার করে ব্যাংক এবং ক্রিপ্টো প্ল্যাটফর্মের পরিচয় যাচাই, বিশেষ করে “Know Your Customer” বা KYC face scan, বাইপাস করছে। তাদের তদন্তে প্রকাশনাটি 22টি প্রকাশ্য Chinese-, Vietnamese-, এবং English-language Telegram চ্যানেল ও গ্রুপ শনাক্ত করেছে, যেগুলো bypass kit এবং চুরি করা বায়োমেট্রিক ডেটা বিজ্ঞাপন করছিল। এসব টুল এমন উপায় হিসেবে উপস্থাপিত হচ্ছে, যা এমন সম্মতি-প্রক্রিয়া এড়াতে সাহায্য করে যা নিশ্চিত করার জন্য তৈরি যে অ্যাকাউন্টটি একজন বাস্তব ব্যক্তির এবং ব্যবহারকারীর মুখ প্রথমে জমা দেওয়া পরিচয়পত্রের সঙ্গে মেলে।
এর প্রভাব গুরুতর, কারণ KYC চেক ডিজিটাল ফাইন্যান্সে fraud, mule accounts, এবং money laundering ঠেকানোর ভিত্তি। যদি এই চেকগুলোকে messaging channel-এ খোলাখুলিভাবে বিক্রি হওয়া একটি পণ্যে পরিণত করা যায়, তাহলে যেটা নিরাপত্তার স্তর বলে মনে হয়, সেটাই অপরাধী বিশেষজ্ঞদের জন্য বাজারের সুযোগ হয়ে উঠতে পারে। এই গল্পটি শুধু একটি চতুর exploit নিয়ে নয়। এটি identity evasion-এর একটি supply chain নিয়ে।
প্রতিবেদনটি এই উদ্বেগকে একটি জীবন্ত উদাহরণ দিয়ে বোঝায়। কম্বোডিয়ার একটি money-laundering কেন্দ্র থেকে কাজ করা এক প্রতারক একটি Vietnamese banking app দেখায়, যা অ্যাকাউন্ট-সংযুক্ত একটি ছবি এবং তারপর একটি video liveness check চায়। বৈধ live camera feed ব্যবহার করার বদলে, প্রতারক একটি মেলেনি এমন ছবি ব্যবহার করে, তবু পাস করে যায়। তদন্ত অনুযায়ী, এটি সম্ভব কারণ অনেক bypass kit virtual camera technique ব্যবহার করে প্রত্যাশিত live camera stream-কে অন্য ভিডিও বা ছবির সঙ্গে বদলে দেয়।
দুর্বলতা হলো “liveness” কীভাবে ডিভাইস স্তরে নকল করা যায়
দেওয়া পাঠ্যের মূল প্রযুক্তিগত বিষয় হলো, এসব টুল সাধারণত biometric system-কে platform level-এ সত্যিকারের ব্যবহারকারীর নিখুঁত অনুকরণ করে ভেঙে দেয় না। বরং ফোনের operating system বা app environment-কে compromise করে camera feed বদলে দেয়। একবার যদি একটি liveness check নকল ইনপুটকে real-time video হিসেবে মেনে নেয়, তাহলে নিরাপত্তা প্রক্রিয়ার বাকি অংশ ভেঙে পড়তে পারে।
এটি গুরুত্বপূর্ণ, কারণ অনেক ব্যবহারকারী মনে করেন face check password বা সাধারণ document upload-এর চেয়ে স্বাভাবিকভাবেই শক্তিশালী। নীতিগতভাবে, অনেক সময় তাই-ই হয়। কিন্তু MIT Technology Review-এর প্রতিবেদন দেখায়, এসবের কার্যকারিতা device এবং application pipeline-এর integrity-এর ওপর কতটা নির্ভরশীল। প্রতারকেরা যদি app কী দেখছে তা নিয়ন্ত্রণ করতে পারে, তাহলে face check একটি biometric safeguard-এর বদলে tooling ও fraud service-এর কাছে দুর্বল একটি presentation test হয়ে যেতে পারে।
তদন্তে বলা হয়েছে, এই kit-গুলো Binance-এর মতো বড় crypto exchange থেকে স্পেনের BBVA-এর মতো ব্যাংক পর্যন্ত লক্ষ্য করে বলে দাবি করে। কিছু চ্যানেলে হাজার হাজার member বা subscriber ছিল। ওই চ্যানেলগুলোর সব দাবি সত্য না হলেও, উৎস উপাদানে বর্ণিত বিজ্ঞাপনের ব্যাপ্তি একটি যথেষ্ট পরিণত বাজারের ইঙ্গিত দেয়, যা নিয়ে উদ্বেগ থাকা স্বাভাবিক।
আর্থিক অপরাধ আরও service-oriented হয়ে উঠছে
রিপোর্ট করা Telegram ecosystem-এর একটি চোখে পড়ার মতো বৈশিষ্ট্য হলো, এটি কতটা স্পষ্টভাবে বাজারজাত করা হচ্ছে। গল্পে এমন চ্যানেলের কথা বলা হয়েছে, যারা “all kinds of KYC verification services” বিজ্ঞাপন দিচ্ছে এবং নিজেদের secure ও professional হিসেবে তুলে ধরছে। এই ভাষা অনেক কিছু বলে। এটি এমন একটি অপরাধী অর্থনীতির ইঙ্গিত দেয়, যা ক্রমশ বৈধ software এবং outsourcing business-এর অনুকরণ করছে। প্রতিটি fraud ring-কে আর নিজস্ব পদ্ধতি উদ্ভাবন করতে হয় না; বিশেষজ্ঞরা turnkey bypass capability বড় illicit network-এ বিক্রি করতে পারে।
এই service model system-level risk বাড়ায়। যখন fraud technique মানসম্মত পণ্য হয়ে যায়, তখন তা দ্রুত ছড়িয়ে পড়ে, কম প্রযুক্তি-দক্ষ actor-দের হাতেও পৌঁছে যায়, এবং একক countermeasure দিয়ে নিয়ন্ত্রণ করা কঠিন হয়ে ওঠে। ব্যাংক ও exchange একটি প্রতিরক্ষা স্তর উন্নত করতে পারে, কিন্তু দেখবে একটি নতুন package ইতিমধ্যেই বিক্রি হচ্ছে, যা operators-কে সেটি এড়িয়ে যাওয়া শেখাচ্ছে।
তদন্তটি financial security-তে পুরনো cat-and-mouse dynamics-ও তুলে ধরে। প্রতিষ্ঠানগুলো আরও উন্নত onboarding ও verification step চালু করলে, অপরাধীরা মানিয়ে নেয়। এই পর্যায়টি বেশি গুরুত্বপূর্ণ কারণ এই অভিযোজন সরাসরি biometric trust system-কে লক্ষ্য করে, যাকে বহু কোম্পানি upgrade path হিসেবে দেখেছে।
কেন এটি crypto বা একটি অঞ্চল ছাড়িয়ে গুরুত্বপূর্ণ
যদিও প্রতিবেদনে কম্বোডিয়া, Vietnamese banking app, এবং global crypto exchange-সংক্রান্ত উদাহরণ আছে, মূল সমস্যাটি ভৌগোলিকভাবে সীমিত নয়। যেকোনো প্রতিষ্ঠান, যা ফোন-ভিত্তিক পরিচয় যাচাইয়ের ওপর খুব বেশি নির্ভর করে, তাদের এটি গুরুত্ব দিয়ে দেখা উচিত। যদি প্রকাশ্য গ্রুপগুলো খোলাখুলিভাবে biometric check bypass করার টুল বিপণন করতে পারে, তাহলে হুমকিটি কোনো একক app বা দেশের মধ্যে সীমাবদ্ধ নয়।
এর তাৎপর্য তাৎক্ষণিক fraud loss-এর বাইরেও যায়। KYC system anti-money-laundering compliance, account integrity, এবং ডিজিটাল কার্যকলাপকে বাস্তব ব্যক্তির সঙ্গে যুক্ত করার সক্ষমতার ভিত্তি। এই system দুর্বল হলে mule account খোলা, অবৈধ অর্থ স্থানান্তর, এবং অপরাধী সংগঠক ও টাকার মধ্যে দূরত্বের নতুন স্তর তৈরি করা সহজ হয়।
MIT Technology Review-এর প্রতিবেদন KYC-কে অর্থহীন বলে না। তবে এটি দেখায় যে compliance technology কেবল ততটাই শক্তিশালী, যতটা শক্তিশালী তাদের ঘিরে থাকা device control, fraud detection, এবং operational skepticism। আর্থিক প্রতিষ্ঠানগুলোকে biometric onboarding-কে একটি সমাধান হয়ে যাওয়া সমস্যা হিসেবে নয়, বরং ক্রমাগত contested security environment-এর একটি উপাদান হিসেবে দেখতে হতে পারে।
সবচেয়ে গুরুত্বপূর্ণ শিক্ষা হলো, পরিচয় যাচাই এখন commercialized attack tool নিয়ে একটি সক্রিয় যুদ্ধক্ষেত্র। এতে প্রশ্ন বদলে যায় “খারাপ actor-রা KYC bypass করতে পারে কি না” থেকে “কত সস্তায়, কত খোলাখুলিভাবে, এবং কত ঘন ঘন তারা তা করতে পারে”। এখানে দেওয়া প্রমাণ অনুযায়ী, উত্তর যথেষ্ট উদ্বেগজনক।
এই নিবন্ধটি MIT Technology Review-এর প্রতিবেদনভিত্তিক। মূল নিবন্ধটি পড়ুন.
Originally published on technologyreview.com
