مرورگر شما برای نمایش این سایت قدیمی است. برای مشاهده سایت از سایر مرورگرها استفاده نمایید یا جهت بروزرسانی کلیک کنید.

همچنین میتوانید PDF نشریه را از لینک زیر دریافت نمایید.

شماره خبر: 3168198451180487328
USSD؛ روشی ناامن که بانک مرکزی می‌خواهد آن را محدود کند

پایان خط ستاره مربع‌ها

این روزها کمتر کسی پیدا می‌شود که با USSD یا کدهایی که با ستاره شروع و با مربع تمام می‌شوند، آشنا نباشد.

اولین بار شرکت پرداخت الکترونیک سامان زمانی که هنوز تلفن‌های هوشمند و استفاده از اپلیکیشن‌ها گسترش پیدا نکرده بود از این کدها برای خدمات مالی استفاده کرد. بعدها شرکت آسان پرداخت یا همان آپ این کدها را به‌صورت گسترده استفاده کرد و به‌مرور مردم با این کدها بیشتر آشنا شدند. منتها از همان زمانی که این کانال موردتوجه مردم قرار گرفت، صحبت‌هایی بود که این مسیر ناامن است. بااین‌حال به دلیل این‌که هنوز اپلیکیشن‌ها گسترش پیدا نکرده بودند و مردم به USSD گرایش داشتند، بانک مرکزی سعی کرد به‌مرور محدودیت‌هایی برای این روش ایجاد کند. ایجاد این محدودیت یکی دو سالی هست که در بانک مرکزی کلید خورده، منتها هر بار به دلایلی به نظر می‌رسید بانک مرکزی موفق به محدود کردن این کانال نشده است.

ترس بانک مرکزی

واهمه بانک مرکزی این است که ناامن بودن این کانال زمینه‌ساز بحرانی فراگیر و بزرگ برای سیستم بانکی شود. شاید خیلی‌ها یادشان نباشد، منتها سال 90 یکی از کارمندان شرکت‌های پرداخت از حفره‌ای که در نرم‌افزار وجود داشت سوءاستفاده کرده و سه میلیون شماره کارت و رمز آنها را در یک وبلاگ منتشر کرده بود. آن حرکت در آن زمان که با همراهی و استقبال برخی رسانه‌های خارج از ایران مواجه شد، باعث شد در یک روز فشار شدیدی به سیستم‌های بانکداری الکترونیکی وارد شود و بسیاری از مردم سراسیمه به بانک‌ها و عابربانک‌ها مراجعه کرده بودند که رمزهای عبورشان را تغییر دهند. حالا مدتی است که مدیران بانک مرکزی نگران این هستند که در صورت محدود نکردن کانال ناامن USSD، بحران بزرگ‌تری نسبت به سال 90 دامنگیر سیستم بانکی و مردم شود.

چرا USSD امن نیست؟

اگر یک بار از USSD استفاده کرده باشید، می‌دانید که برای استفاده از این کانال، 16 رقم شماره کارت خود را وارد کرده و رمز کارت‌تان را هم همانجا وارد می‌کنید. در این کانال هیچ‌گونه رمزنگاری وجود ندارد و درصورتی‌که کسی اطلاعات را شنود کند، می‌تواند به شماره کارت‌های بانکی مردم و رمزشان دسترسی داشته باشد. حالا تصور کنید که کسی به‌صورت انبوه به اطلاعات دسترسی پیدا کرده و از این اطلاعات سوءاستفاده کند. مدافعان USSD ادعا می‌کنند تابه‌حال چنین موردی رخ نداده است؛ منتها رخ ندادن یک بحران به این معنا نیست که در آینده هم هیچ مشکلی پیش نمی‌آید. این موضوع اگر رخ دهد، می‌تواند بحرانی ملی ایجاد کند و اعتماد مردم به امنیت سیستم‌های بانکداری و پرداخت را کاهش دهد.

برخی ممکن است استدلال کنند که اگر این روش ناامن است، پس چرا بانک مرکزی تا امروز جلوی آن را نگرفته است؟ بانک مرکزی تا امروز بارها سعی کرده این روش را محدود کند منتها هر بار مسائل و مشکلاتی پیش‌آمده که محدودیت‌ها را رفع کرده است. یک نکته مهم هم وجود دارد و آن این که تا زمانی که اپلیکیشن‌ها و استفاده از دیتا در موبایل گسترش نیافته بود، شاید استفاده از کدهای USSD منطقی بود؛ منتها الان که اپلیکیشن‌ها و دیتا مورد استفاده اکثر مردم قرار می‌گیرد و بیشتر مردم به تلفن‌های هوشمند دسترسی دارند، زمان خداحافظی با این کانال ناامن فرارسیده است.

مدافعان USSD بارها به تجربه شرکت «ام‌پسا» در کنیا اشاره می‌کنند که ایران و کنیا با هم قابل ‌مقایسه نیستند. در کنیا دسترسی به خدمات بانکی وجود ندارد و ام‌پسا نقش بانک و ابزار پرداخت برای مردم کنیا را بازی می‌کند. خوشبختانه در ایران سیستم‌های بانکداری و پرداخت گسترش خوبی یافته است و مردم مشکلی در دسترسی به خدمات بانکداری و پرداخت ندارند. همین امروز درصورتی‌که خدمات فروش شارژ و پرداخت قبض روی USSD قطع شود، راه‌های جایگزین بسیاری وجود دارد و با توجه به رشد و توسعه مردم در استفاده از ابزارهای مدرن، طبیعی است که مشکل خاصی پیش نیاید.

پیش به‌سوی تجربه کاربری

کدهای USSD زمانی که اپلیکیشن‌ها توسعه‌نیافته بودند، زمینه دسترسی بسیاری از مردم به خدمات بانکداری و پرداخت را فراهم کردند. اوایل خدمات متنوعی روی این کانال باز بود که به‌مرور محدود به مواردی مانند شارژ و پرداخت قبض شد. در ایران یکی از راه‌هایی که برخی برای پولشویی استفاده می‌کنند به کمک شارژ رخ می‌دهد. همین موضوع نگرانی‌ها در زمینه دسترسی‌ها از طریق کانال‌های ناامن مانند USSD به شارژ را بیشتر هم می‌کند.

به نظرمی‌رسد هیچ عقل سلیمی نیست که تجربه کاربری اپلیکیشن‌ها را بخواهد با USSD مقایسه کند. مهم‌ترین چالشی که وجود دارد این است که مردم ممکن است به یک روش عادت کرده باشند؛ اما همین مردم اگر بدانند این روش چندان امن نیست احتمالا کمتر به آن اقبال نشان دهند. امنیت هم موضوعی نسبی است. شاید در سال‌های گذشته به دلیل عدم توسعه دسترسی به ابزارهای مدرن می‌شد از مخاطرات امنیتی چشم‌پوشی کرد، منتها با رشد ابزارهای دسترسی منطقی نیست که مردم را در معرض مخاطرات امنیتی قرار دهیم.

بانک مرکزی به‌درستی شروع به محدود کردن این روش کرده است و با توجه به این‌که هر تغییری در ابتدا سختی‌هایی دارد، این موضوع هم ممکن است در ابتدا چالش‌هایی ایجاد کند. منتها زمانی که مردم طعم استفاده از ابزارهای مدرن را بچشند مطمئنا استفاده از آن روش‌ها را ترجیح خواهند داد. شاید برای شما باورکردنی نباشد، ولی هستند کسانی که قبض‌هایشان را با اپلیکیشن پرداخت می‌کنند و شارژ موبایل را با USSD می‌خرند. این افراد با این‌که می‌توانند از اپلیکیشن با امنیت بیشتر و حتی باتجربه کاربری بهتر شارژ بخرند ترجیح داده‌اند از USSD استفاده کنند و تنها دلیل آن این است که به این روش عادت کرده‌اند. خیلی زود به روش‌های بهتر عادت می‌کنیم.

رسول قربانی - روزنامه نگار فناوری