ඕස්ට්රේලියාවේ 'Export Finance Australia' (EFA) ආයතනය වෙත ගෙවීමට තිබූ අමෙරිකානු ඩොලර් මිලියන 2.5ක ස්වෛරී ණය මුදලක් සයිබර් අපරාධකරුවන් පිරිසක් විසින් වංචා කිරීමේ සිද්ධිය සම්බන්ධයෙන් රජයේ මුදල් පිළිබඳ කාරක සභාව (COPF) විසින් නිකුත් කළ වාර්තාව මගින් අතිශය කම්පන සහගත තොරතුරු රැසක් අනාවරණය වී තිබේ.
මෙම මහා පරිමාණ මූල්ය වංචාව සිදුව ඇත්තේ ශ්රී ලංකා මහ බැංකුව විසින් අදාළ ගිණුම් තොරතුරු සැකසහිත බවටත්, මුදල් විශුද්ධිකරණ අවදානමක් පවතින බවටත් මුදල් අමාත්යාංශයට පැහැදිලිව අනතුරු අඟවා තිබියදී වීම විශේෂත්වයකි.
වාර්තාවට අනුව, 2025 නොවැම්බර් මස 26 වැනිදා ශ්රී ලංකා මහ බැංකුව විසින් මුදල් අමාත්යාංශය වෙත විශේෂ දැනුම්දීමක් සිදු කර ඇත. එහිදී පෙන්වා දී ඇත්තේ ඕස්ට්රේලියානු ආයතනයකට ගෙවිය යුතු මුදලක් එක්සත් අරාබි එමීර් රාජ්යයේ පවතින ගිණුමකට බැර කිරීමට ඉල්ලා තිබීම අතිශය සැකසහිත බවයි. එම ලිපිනයන් එකිනෙකට නොගැළපෙන බැවින්, ණයහිමියා සමඟ සෘජුව සම්බන්ධ වී ගිණුම් විස්තර නැවත තහවුරු කරගන්නා ලෙස මහ බැංකුව උපදෙස් දී තිබුණි.
කෙසේ වෙතත්, මුදල් අමාත්යාංශයේ වගකිවයුතු නිලධාරීන් ඕස්ට්රේලියාවේ සැබෑ ණයහිමියා දුරකථනයෙන් හෝ නිල රාජ්ය තාන්ත්රික නාලිකා හරහා සම්බන්ධ කරගැනීම වෙනුවට, වංචාකරුවන් විසින් එවන ලද ව්යාජ විද්යුත් තැපැල් ලිපිනයටම පණිවිඩයක් යවා බැංකු තොරතුරු විමසා ඇත. එහිදී වංචාකරු විසින්ම එම තොරතුරු නිවැරදි බවට ලබා දුන් තහවුරු කිරීම නිලධාරීන් විසින් පිළිගෙන ඇති බව කාරක සභා වාර්තාව පෙන්වා දෙයි.
මෙම වංචාවේදී සයිබර් අපරාධකරුවන් විසින් 'Mish Global LLC', 'LMH Global LLC' සහ 'Sifra Watan Project Management Services' යන ව්යාජ ආයතන නාමයන් භාවිතා කර ඇත. මෙම සෑම ආයතනයක්ම ඕස්ට්රේලියාවේ අපනයන ණය ඒජන්සිය ලෙස පෙනී සිට ඇති අතර, අබුඩාබිහි බැංකු ගිණුම් වෙත මෙම මුදල් බැර කරවාගෙන තිබේ. රජයේ මුදල් මෙවැනි පෞද්ගලික සමාගම් නාමයන් සහිත ගිණුම්වලට බැර කරන්නේ මන්දැයි ප්රශ්න කිරීමට හෝ අවම වශයෙන් එම ආයතන නාමයන් ගළපා බැලීමට පවා නිලධාරීන් අපොහොසත් වී ඇති බව වාර්තාවේ සඳහන් වේ.
මෙම සිද්ධියේ වඩාත්ම බරපතළ කරුණ වන්නේ, 2026 ජනවාරි මස මුල් සතියේදී ඉන්දියාවේ එක්සිම් බැංකුවට සිදු කිරීමට ගිය ගෙවීමක් වංචනික විය හැකි බවට ජේ.පී. මෝර්ගන් බැංකුව අනතුරු ඇඟවීමයි. ඉන් අනතුරුව මුදල් අමාත්යාංශය මේ පිළිබඳව අපරාධ පරීක්ෂණ දෙපාර්තමේන්තුවට පැමිණිලි කර තිබියදීත්, ජනවාරි 20 වැනිදා 'Mish Global LLC' වෙත තවත් ඩොලර් 997,799ක මුදලක් ගෙවීමට නිලධාරීන් කටයුතු කර තිබේ. මෙය පද්ධතියේ පවතින බරපතළ නොසලකා හැරීමක් බව කාරක සභාව අවධාරණය කරයි.
ණය වාරික ගෙවීම ප්රමාද වීම සම්බන්ධයෙන් සැබෑ ණයහිමියා (ඕස්ට්රේලියාව) විමසීම් කරද්දී, අමාත්යාංශ නිලධාරීන් පවසා ඇත්තේ 'දිට්වා' සුළි කුණාටුව හේතුවෙන් ඇති වූ සම්පත් හිඟය නිසා ගෙවීම් ප්රමාද වූ බවයි. එහෙත් ඒ වන විටත් රජයේ මුදල් වංචාකරුවන්ගේ ගිණුම් වෙත බැර වෙමින් තිබූ බව වාර්තාව පෙන්වා දෙයි.
මුදල් අමාත්යාංශය විසින් 2016 වසරේ නිකුත් වූ, යාවත්කාලීන නොකළ 'Microsoft Exchange Server 2016' පද්ධතියක් භාවිතා කිරීම මෙම සයිබර් ප්රහාරයට ප්රධාන හේතුවක් වී ඇත. ශ්රී ලංකා පරිගණක හදිසි ප්රතිචාර ඒකකය (SL-CERT) විසින් මීට පෙර අනතුරු ඇඟවීම් කර තිබුණද, පද්ධති යාවත්කාලීන කිරීමට පියවර ගෙන නොතිබුණි.
මෙම මහා පරිමාණ මූල්ය හානිය සම්බන්ධයෙන් වහාම ජාතික විගණන කාර්යාලය හරහා විශේෂ විගණනයක් සිදු කරන ලෙසත්, වගකිවයුතු නිලධාරීන්ට එරෙහිව නීතිමය පියවර ගන්නා ලෙසත් රජයේ මුදල් පිළිබඳ කාරක සභාව පාර්ලිමේන්තුවට නිර්දේශ කර ඇත. එමෙන්ම, 1992 වසරෙන් පසු යාවත්කාලීන කර නොමැති රජයේ මුදල් රෙගුලාසි වහාම සංශෝධනය කළ යුතු බවද එම වාර්තාවේ වැඩිදුරටත් සඳහන් වේ.
සම්පූර්ණ වාර්තාව මෙතනින්...
Cyber Fraud Exposes Major Financial Vulnerability in Sri Lanka's Ministry of Finance
A recent report by the Committee on Public Finance (COPF) has unveiled alarming details surrounding a $2.5 million fraud involving a loan payment to Export Finance Australia (EFA). The incident highlights significant lapses in the security protocols of Sri Lanka's financial institutions amid a broader context of cybercrime.
The fraudulent transaction was notably alarming given that the Central Bank of Sri Lanka had previously expressed serious concerns regarding the account details in question and warned about potential money laundering risks to the Ministry of Finance.
According to the findings, a notification was sent by the Central Bank to the Ministry of Finance on November 26, 2025, emphasizing the need for caution regarding a payment destined for an account in the United Arab Emirates. The discrepancies in the account details raised suspicions, prompting the Central Bank to advise direct verification of the account information with the actual creditor.
However, instead of following this recommendation, Ministry officials opted to communicate with a fraudulent email address provided by the scammers to inquire about the bank details. The report indicates that officials accepted the information as valid based solely on confirmation from the fraudster.
During the scheme, cybercriminals employed the names of fictitious companies such as 'Mish Global LLC', 'LMH Global LLC', and 'Sifra Watan Project Management Services'. These entities were presented as legitimate export loan agencies in Australia, while the funds were funneled into bank accounts in Abu Dhabi. The report raises questions about the inability or unwillingness of officials to scrutinize these private company names or verify their legitimacy.
A particularly grave concern emerged with a warning from JP Morgan Bank that a payment destined for an Indian bank in early January 2026 could potentially be fraudulent. Despite this alert, on January 20, officials facilitated another payment of $997,799 to 'Mish Global LLC'. The COPF report emphasizes this as a critical oversight within the system.
When inquiries were made regarding delays in loan repayments, Ministry officials attributed the postponements to a resource deficit caused by the 'Ditwa' tropical storm. Nevertheless, the report highlights that government funds were still being diverted to the scammers' accounts during that period.
The outdated use of the 'Microsoft Exchange Server 2016', which has not been updated since its issuance in 2016, has been pinpointed as a primary factor behind this cyber assault. Although the Sri Lanka Computer Emergency Response Team (SL-CERT) had issued prior warnings, no steps were taken to update the system.
In light of these significant financial losses, the Committee has recommended immediate special audits through the national audit office and urged legal action against responsible officials. Furthermore, the report calls for the urgent revision of government financial regulations that have not been updated since 1992.
The complete report can be accessed here.
*Note: In case of any discrepancy between the Sinhala and English versions, the Sinhala version shall prevail.

රටේ මුදල් ඇමතියට කොන්දක් නැහැ
ReplyDeleteපට්ට හරක් නැත්නම් පට්ට හොරු
Atthada? Uba pukenda katha karanne..? Thope ewun rata bankaloth karala , salli gasa kanakota uba hitiye comma welada? Nodanna pakawal katha nokara palayan pako yanna
Deleteubala awe ekama karannada
Deleteyako un manawahari kala, port city,hambantota, mahaweli
thopi warie daganna tiken hora kanawa
උන් රට බංකොලොත් කළා කියා තොපි කියපු කතා විශ්වාස කළ නිසා තමයි 3% ක්වූ උඹලා දිනවන්න රාජපක්ෂ පොහොට්ටු කාරයෝ ඡන්ද දුන්නේ. දැන් උඹලාත් හොරකම් කරමින් රාජපක්ෂලා ගැනම කියවනවා නම් උඹලාව එළවන්නේත් ඒ වගේමයි. උඹලාගෙන් පළිගන්න පුලුවන් එකෙක් CIABOC එකට දාපුවහම හරි.
Deleteනහර කපාගත්ත නිලදාරිය හරියටම මොකක්ද උනේ, කියල දැනගන ඉන්න ඇති.
ReplyDelete68 ලක්සෙ බූරුවොටික පත් කරගත්ත රටට ඩොලර් ගේන්න දක්ස ඔස්තාර්ල.
මුන්ගෙ වැරැද්දක් නෑ. මුන් කොහොමත් හොර කුපාඩි ටිකක්. වෑරැද්ද අපේ 68 ලක්සෙ හරක්ටික.
API oka kiwwa mulinma oya siddiya unda dawasema oka kale bandagara lekama saha thawa uge set ekak oka athule inna oke maha mola karuwo tikak innawa AKD th okata gawila iwarai nahara kapa gatta eka oya abirahasa danna eka uge kata sadahatama wahuwa , dan wena pattakata yanne oka , oya lekama IT Master mind ekak.
ReplyDeleteWho is the dickhead that said the outdated server has directly or indicretly been a culprit. The argument that sender verification with third party over fake details is mere childish. Can somone in right mind belive this crap. There is an insider connection to this. If everything mentioned above is correct, who the fuck are these incompetent zero balance iditos working for these vital insitutute. Sack them. Shame on you Lapaya.
ReplyDelete