ussd از ظهور تا سقوط - نسخهی قابل چاپ +- باشگاه کاربران روماک (https://forum.romaak.ir) +-- انجمن: انجمن حقوقی و مالی (https://forum.romaak.ir/forumdisplay.php?fid=148) +--- انجمن: فین تک ها و خدمات مالی (https://forum.romaak.ir/forumdisplay.php?fid=158) +--- موضوع: ussd از ظهور تا سقوط (/showthread.php?tid=5107) |
ussd از ظهور تا سقوط - hoboot - ۹۷/۱/۲۶ چه بخواهیم و چه نخواهیم کانال ناامن USSD به پایان عمر خود رسیده است. حالا امروز نه و چهار ماه بعد. این روزها میگذرد. در این گزارش نگاهی انداختهایم به مسیر پرپیچ و خمی که ussd از ابتدا تا امروز طی کرده است.
در دنیای امروز که به دنیای تکنولوژیها معروف است، سیستم پرداخت و بانکداری نیز با تحولات شگرفی در ساختارهای پولی و مالی مواجه شده است. امروزه بیشتر صنایع به سمتی رفتهاند که به شکلی از موبایل و مزایای مختلف آن به نفع خود بهره میبرند. یکی از موفقترین صنایع در دنیا، صنعت بانکداری و پرداخت الکترونیکی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت خود را به شیوههای گوناگون از طریق این بستر در دسترس مشتریان خود قرار دهد.
یکی از شیوههای پرداخت همراه استفاده از کدهای دستوری (کانال ussd) است که در غیاب بستر اینترنتی مناسب در حوزه تلفن همراه برای دریافت خدمات، در ایران بهشدت گسترش یافته است، اما بهدلیل اینکه در این کانال اطلاعات بهصورت مناسب رمزنگاری نمیشود و اصطلاحا به شکل Plaintext منتقل میشوند، ناامن هستند. اخیرا نیز بخشنامهای از سوی بانک مرکزی ابلاغ شد که در آن گفته شده بود تمامی تراکنشهای ussd بهجز پرداخت قبوض عمومی از این بستر حذف میشوند. مطابق این بخشنامه، اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شوند. با این تغییر، نقش اپلیکیشنهای پرداخت موبایلی شرکتهای پرداخت و بانکها پررنگتر میشود. با توجه به این بخشنامه قرار بود از ۱۵ بهمنماه این تغییرات اعمال شود که با توجه به مخالفتهایی که برای عملیاتی شدن این تغییرات بهوجود آمد، اجرای این بخشنامه به شکل دیگری در حال پیگیری است. با اتفاقهای پیشآمده، ussd نفسهای آخر را میکشد و شاید بد نباشد یک بار دیگر نگاهی داشته باشیم به مسیری که این فناوری از ظهور تا سقوط طی کرده است.
پیدایش ussd در ایران
میتوان گفت از حدود سال ۸۵ بود که موضوع پرداخت موبایلی در کشور داغ شد و بانکها و شرکتهای پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند.
اولین شرکتی که به این فکر افتاد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راهاندازی کند، شرکت پرداخت الکترونیک سامان (سپ) بود.
در سال ۸۹ سپ به این نتیجه رسیده بود که میتواند از ussd بهمنظور انجام پرداخت موبایلی استفاده کند و برای این کار با اپراتورها به مذاکره پرداخت، اما اپراتورهای کشور همکاری لازم را با این مجموعه نکردند و به همین دلیل پرداخت الکترونیک سامان برای اولین بار این کار را با همکاری شرکت کوچکی در کیش پیادهسازی کرد که برای محدوده جزیره کیش خدمات اپراتوری موبایل انجام میداد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با تکنولوژی ussd بود.
ussd در ابتدا مسیر امنی را شروع کرد
مدل ارائهشده توسط پرداخت الکترونیک سامان، مدلی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود و این روش از نظر امنیتی کاملا توسط بانک مرکزی مورد قبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش میداد؛ بنابراین ussd که سپ در سال ۸۹ راهاندازی کرد با ussdهایی که امروزه میشناسیم بسیار متفاوت بود. یکی از علل امنیت بالای آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را بههمراه برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت میکرد و هنگام استفاده از این تکنولوژی روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده میشد.
آشپز چند تا شد؛ آش شور شد
اما پس از سپ دیگر رقبا نیز وارد میدان شدند و برای افزایش تعداد کاربران خود و گرفتن سهم بازار، قوانین بازی را بر هم زدند و از آنجا به بعد بود که ussd از مسیر امن بودن خارج شد؛ چرا که دیگر ارائهدهندگان بدون نیاز به پیشثبتنام اطلاعات کارت بانکی در یک سامانه مجزا، قادر به استفاده مستقیم از این بستر با استفاده از اطلاعات حساس کارت بانکی خود بودند و این شد که این بستر ناامن، راهش را تا همین امروز نیز ادامه داد. بسیاری از متخصصان معتقدند بانک مرکزی بهعنوان نهاد ناظر و قانونگذار باید در این مرحله ورود میکرد و اجازه نمیداد ussd از مسیر امن خودش خارج شود، اما این اتفاق نیفتاد.
از میان بانکها نیز، اولین بانکی که بعد از شرکت پرداخت الکترونیک سامان، به سمت ارائه خدمت از طریق ussd آمد، بانک پاسارگاد بود. سال ۹۰، بانک پاسارگاد سیستم پرداخت همراه مبتنی بر بستر ussd خود را با همکاری شرکت ایرانسل راهاندازی کرد، اما اواخر خرداد ۹۱ بود که شرکت جیرینگ هم بهسراغ ussd رفت و با همبانک بهعنوان محصول مشترک بانک سینا، شرکت توسن و جیرینگ وارد دوران جدیدی شد.
همبانک سینا آن زمان اینگونه معرفی شد: «همبانک سینا بانکداری همراه مبتنی بر بستر ussd است و بدون نیاز به نصب هرگونه نرمافزار روی تمامی گوشیهای تلفن همراه و فقط با گرفتن کد #۷۲۷* قابل استفاده است و مشتریان میتوانند با استفاده از این خدمت در هر زمان و مکان، حتی در خارج از ایران بدون هزینه رومینگ از خدمات انتقال وجه، پرداخت قبوض، خرید شارژ، دسترسی به اطلاعات حسابها، ماندهگیری، عملیات بینبانکی ساتنا و پایا، پرداخت اقساط تسهیلات و مدیریت چک و غیره بهرهمند شوند.»
ناگفته نماند همراه اول در ابتدا تا مدتها اصرار داشت روش خود را پیاده کند و حاضر نبود با سپ بهعنوان اولین شرکت پرداختی که پا به عرصه ussd گذاشته بود، بر سر همراه ۲۴ همکاری کند. از سال ۹۱ تا سال ۹۵ کمتر بانک یا شرکت ارائهدهنده راهکارهای پرداختی را میتوان یافت که هوس ارائه این خدمات دمدستی و ناامن بر سرش نزده باشد.
برنده میدان ussd که بود؟
بانکها و شرکتهای پرداخت در یک بازه زمانی و در یک چشم و همچشمی وحشتناک هزینه فراوانی را صرف توسعه روشی ناامن کردند که برنده واقعی آن، اپراتورهای مخابراتی بودند و بیشترین کاربرد آن هم فروش شارژ برای همین اپراتورها بود. در این بین حتما باید به قراردادهای ظالمانه اپراتورهای تلفن همراه با شرکتهای پرداخت الکترونیکی نیز اشاره کرد که نفس بانکها و شرکتها را گرفته بود. شاید بهدلیل همین قراردادهای یکطرفه بود که کمتر در بانکها شاهد اعتراض به ایجاد محدودیت برای ussd بودیم و حداقل در این روزها شاهد تکاپوی تمامنشدنی شرکتهای مخابراتی و زیرمجموعههای آنها هستیم.
بانک مرکزی دیر از خواب بیدار شد
در ادامه مسیر از سال ۹۱ به بعد، بستر ussd رشد قابل توجهی را تجربه کرد و اکثر بانکها و تقریبا تمام شرکتهای پرداخت به فکر راهاندازی خدمات بر بستر ussd افتادند. در واقع ارائه خدمات بانکی و پرداخت بر بستر کدهای ussd جایی بود که بانکها به یکباره سعی کردند در آن ورود کنند و همه یک سرویس را فقط از روی هم کپی کردند؛ بدون اینکه هیچکدام سرویس منحصربهفرد و تازهای را ارائه کنند. تا جایی ارائه خدمت از طریق ussd بالا گرفت که دیگر بازار از این تعداد کد ussd اشباع شده بود و تعداد تراکنشهای انجامشده این بستر در حال افزایش روزافزون بود؛ در این دوره بود که بانک مرکزی تازه متوجه اوضاع بد این بستر شد.
اقدامات بانک مرکزی برای محدود کردن این بستر ناامن
بانک مرکزی ایران در اولین قدم در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای ussd را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنشهای اعلام موجودی روی این بستر کاهش یابد. در قدم دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر ussd برای شرکتهای پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد که باعث شد دیگر هیچ سرویس بانکیای روی این بستر ارائه نشود و تنها سرویسهای پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارائه شوند که در این بین نیز تراکنشهای خرید شارژ بسیار بیشتر از تراکنشهای پرداخت قبض بود، بهطوری که عملا میتوان بستر ussd را درگاه فروش شارژ دانست. سومین قدم بانک مرکزی نیز در سال ۹۵ بود که بهمنظور ارتقای سطح امنیت بستر ussd، سامانه پیوند را راهاندازی کرد که در آن صورت تمامی افرادی که قصد استفاده از خدمات ussd را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام میکردند؛ در واقع بانک مرکزی قصد داشت تا با راهاندازی این سامانه، کاربران ussd، بتوانند بدون وارد کردن شماره کارت بانکی و به بیان دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای ussd استفاده کنند؛ اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.
در همین بازه زمانی، چند ماه پیش بود که سر و کله تبلیغات #۳* در صداوسیما پیدا شد؛ این سرویس متعلق به شرکت توسکا که وابسته به یک اپراتور تلفن همراه است. این شرکت قصد داشت طی یک عملیات انتحاری و با انحصاری که در صداوسیما ایجاد کرده بود، سهم شرکتهای پرداخت روی فروش شارژ تلفن همراه را در دست بگیرد. در حالی که هر روز شاهد حجم گسترده تبلیغات این شرکت برای خدمات ussd هستیم، چندی پیش بانک مرکزی چهارمین قدم خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه این بود که از ۱۵ بهمنماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکانپذیر است و تراکنشهای دیگر از روی آن حذف خواهد شد که این اقدام جدید بانک مرکزی حجم سنگینی از هجمهها و مقابلهها را در پی داشت. این انتقادها بیشتر از طرف کسبوکارهای مبتنی بر ussd و اپراتورها دنبال شد و این شرکتها شاکی شده بودند که چرا به یکباره بانک مرکزی چنین تصمیمی گرفته است، آن هم بعد از پا گرفتن کسبوکارهایی که بر پایه این کانال فعالیت میکنند؛ هرچند تاریخچه مطرحشده نشان میدهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدمبهقدم انجام شده است و بانک مرکزی در طول سالهای گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است. اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به ussd به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی مینگرند که اغلب فعالان نظام بانکی و پرداخت بودند که بهخوبی از ناامنی این بستر آگاه هستند؛ اما در هر صورت ظاهرا اجرای این بخشنامه تا اردیبهشتماه ۹۷ به تعویق افتاده است.
بسیاری از مدیران ارشد سیستم بانکی و پرداخت معتقد بودند که باید بانک مرکزی خیلی زودتر از اینها این تصمیم را برای بستر ussd میگرفت. به اعتقاد آنها شاید علت این تاخیر در چنین تصمیمگیری، فراگیر نبودن ابزارهای جایگزین مانند اپلیکیشنهای موبایلی یا مشکلات گسترده عدم دسترسی به اینترنت همراه در کشور باشد و اما اکنون که این چالشها رفع شدهاند و اپلیکیشنهای پرداخت در اختیار مردم قرار گرفتهاند، بانک مرکزی به این نتیجه رسیده است که دیگر ussd نمیتواند بستر قابل اعتماد و اتکایی باشد و پتانسیل بالایی برای ایجاد چالشهای امنیتی برای نظام بانکی کشور دارد.
بر خاک ussd گریه نکنید!
موضوعی که واضح است اینکه چه بخواهیم و چه نخواهیم ussd رفتنی است و مخالفان حذف ussd خیلی نباید به ادامه زندگی این بستر امیدوار باشند؛ چراکه این قبری که بالای سرش گریه میکنند، مردهای درونش نیست و دیر یا زود این بستر با نابودی مواجه خواهد شد؛ چراکه شاهد وجود اپلیکیشنهایی هستیم که همان خدمات را با امنیت بسیار بهتر و با رمزگذاری اطلاعات کارت کاربران در اختیار مشتریان قرار میدهند؛ آن هم با تجربه کاربری خیلی بهتر.
|