ايتنا - دردسر توقف کدهای دستوری موبایل برای ۵۰ میلیون مشترک اعتباری

به گزارش ایتنا از فارس، مهر ماه سال ۹۴ بود که بانک مرکزی با مصوبه ای تنها امکان خرید شارژ تلفن همراه و پرداخت قبوض تا سقف ۲۰۰ هزار تومان به وسیله کدهای USSD را باز گذاشت و سایر خریدهای غیرضروری روی این بستر را مسدود کرد.

به دلیل دخالت اپراتور، USSD محدود شد
علت این تصمیم آینده اندیشی درباره عدم امنیت کافی بسترهای USSD اعلام شد.

همان زمان یک ارائه‌دهنده راه‌حل‌های پرداخت خرد الکترونیک درباره علت اتخاذ این تصمیم به فارس، گفت: ارتباط موبایل با BTS بر بستر USSD ناامن است و با شبیه‌سازی این ارتباط امکان سرقت شماره کارت و رمز دوم کارت وجود دارد.

به دلیل ناامنی از ابتدا نیز بانک مرکزی تمایلی برای توسعه بسترهای USSD نداشت اما به دلیل اینکه جایگزینی وجود نداشت کدهای USSD توسعه پیدا کردند. از این رو استفاده از بستر USSD در شبکه بانکی توصیه نمی‌شود و معمولا برای کاربردهایی مانند رای‌گیری در برنامه‌ها مورد استفاده قرار می‌گیرد.

راه حل ریشه‌ای بانک مرکزی برای USSDها
همچنین داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی در گفت و گو با فارس از تدبیر این نهاد برای رفع اساسی مشکل USSDها خبر داد.

وی توضیح داد: برای USSD پروژه‌ای داریم تا مشتریان به جای ارائه اطلاعات کارت خود، از شناسه استفاده کنند. کاربران با دریافت یک شناسه‌ از شرکت ارائه دهنده پرداخت می‌توانند از خدمات USSD استفاده کنند که با تنظیم شبکه براساس شناسه افراد محدودیت‌های شبکه USSD رفع خواهد شد.

وی گفت: وقتی می‌گوییم این بستر ناامن است به معنای نگران کردن مردم نیست اما بانک مرکزی به عنوان مقام ناظر خطر‌ها و ریسک‌هایی را در این مدل می‌بیند.

شیوه فعلی USSD متوقف می‌شود
اکنون گویا تصمیم سال گذشته بانک مرکزی دچار تغییرات جدیدی شده است.

شاپرک مصوبه ای از بانک مرکزی به شرکت های PSP ابلاغ کرده که به وسیله آن اعلام شده: «از اول مهر ماه سال ۱۳۹۵ استفاده از بستر فعلی USSD برای انجام تراکنش های بانکی ممنوع شده و شرکت های ارائه دهنده خدمات پرداخت صرفا مجاز به پذیرش و پردازش تراکنش های بانکی از روش های جایگزین و ایمن خواهند بود.»

اگرچه هنوز اطلاعات جدیدی درباره روش قطعی اصلاح اعلام نشده و حتی ادامه بستر USSD با اصلاحاتی هنوز قطعی نیست، اما با توجه به راه حل اعلامی مدیر کل نظام های پرداخت بانک مرکزی در سال گذشته، به نظر می رسد اگر بنا بر ادامه کار پس از اصلاح روش باشد، روش اجرا طبق همان پیشنهاد اعلامی سال گذشته است.

به این معنی که کاربر در صورت تمایل به استفاده از بستر USSD باید برای هر حساب خود به بانک مراجعه کند و پس از اتصال شماره تلفن همراه به حساب و دریافت رمز، رمز دریافتی را به شرکت PSP اعلام کند. شرکت PSP برای انجام هر تراکنش رمزی را با پیامک برای کاربر ارسال می کند و کاربر تنها با استفاده از همان رمز می تواند برای یک کارت بانکی و با یک شماره تلفن همراه از خدمات USSD استفاده کند. به این ترتیب کاربران برای هر کارت بانکی و هر شماره تلفن همراه باید تمامی این مراحل را جداگانه انجام دهند.

ناامنی بستر USSD چقدر نگران کننده است؟ صفحات جعلی بانک‌ها در صدر کلاهبرداری های بانکی
از سال گذشته مسئولان بانک مرکزی در حالی بستر USSD را به دلیل دخالت اپراتور تلفن همراه ناامن اعلام می‌کنند که همان مسئولان بانکی در آغاز به کار کدهای USSD و ناشناخته بودن آنها برای کاربران، در پاسخ به ابهام و پرسش کاربران درباره امنیت این بستر، اطمینان خاطر می دادند و هر گونه نگرانی بابت دخالت اپراتورها در این زمینه را رد می‌کردند.

علاوه بر این، جست و جویی در آرشیو اطلاع رسانی های پلیس فتا نشان می دهد هیچ نمونه‌ای از سواستفاده از مشکل ساختاری کدهای USSD وجود ندارد. همچنین بررسی ها نشان می‌دهد میزان کلاهبرداری های موسوم به فیشینگ (جعل صفحه‌های اینترنتی بانکی و پرداخت‌ها) به دلیل آمار زیاد بسیار نگران کننده تر و نیازمند چاره‌اندیشی فوری‌تر نسبت به بستر USSD بدون سابقه کلاهبرداری است.

پیچیدگی‌های غیر ضروری دردسر کاربران برای خرید شارژ
در نهایت در ماجرای تصمیم گیری بانک مرکزی درباره کدهای کوتاه دستوری و در این نگاه پدرانه رگولاتور بخش بانکی کشور، نکته مغفول مانده مشتریان اصلی این بستر هستند.

به گفته محمد بیگی طبق آخرین بررسی‌ها در حوزه USSDحدود ۸۰ درصد تراکنش‌ها مربوط به خرید شارژ تلفن همراه است.

به این معنی که با برخورد با بستر USSD یا پیچیده‌تر کردن آن، دردسر اصلی متوجه ۵۰ میلیون کاربر سیم‌کارت‌های اعتباری موبایل در کشور است.

از مدتی پیش بسیاری از بانک های کشور رمز یک بار مصرف را برای امنیت بیشتر مشتریان خود در محیط های پرداخت اینترنتی به راه انداخته‌اند، به واقع چه آماری از تمایل مشتریان به استفاده از این خدمت وجود دارد؟ چه بخشی از مشتریان از این سرویس استفاده کرده اند؟ آیا برای خرید هر بار شارژ عموما کم مبلغ طی این پیچیده یک دردسر نیست؟

در نهایت اگر مشترکان اعتباری موبایل به روش های فیزیکی خرید شارژ با هزینه‌های زیست محیطی و گران رجوع نکنند، در معمول ترین روش باید مشتری سایت های اینترنتی فروش شارژ شوند که ریسک ناامنی و کلاهبرداری در این بخش بسیار بیشتر از بستر USSD است.