ussd از ظهور تا سقوط

[hoboot]

چه بخواهیم و چه نخواهیم کانال ناامن USSD به پایان عمر خود رسیده است. حالا امروز نه و چهار ماه بعد. این روزها می‌گذرد. در این گزارش نگاهی انداخته‌ایم به مسیر پرپیچ و خمی که ussd از ابتدا تا امروز طی کرده است.

در دنیای امروز که به دنیای تکنولوژی‌ها معروف است، سیستم پرداخت و بانکداری نیز با تحولات شگرفی در ساختارهای پولی و مالی مواجه شده است. امروزه بیشتر صنایع به سمتی رفته‌اند که به شکلی از موبایل و مزایای مختلف آن به نفع خود بهره می‌برند. یکی از موفق‌ترین صنایع در دنیا، صنعت بانکداری و پرداخت الکترونیکی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت خود را به شیوه‌های گوناگون از طریق این بستر در دسترس مشتریان خود قرار دهد.

یکی از شیوه‌های پرداخت همراه استفاده از کدهای دستوری (کانال ussd) است که در غیاب بستر اینترنتی مناسب در حوزه تلفن همراه برای دریافت خدمات، در ایران به‌شدت گسترش یافته است، اما به‌دلیل اینکه در این کانال اطلاعات به‌صورت مناسب رمزنگاری نمی‌شود و اصطلاحا به شکل Plaintext منتقل می‌شوند، ناامن هستند. اخیرا نیز بخشنامه‌ای از سوی بانک مرکزی ابلاغ شد که در آن گفته شده بود تمامی تراکنش‌های ussd به‌جز پرداخت قبوض عمومی از این بستر حذف می‌شوند. مطابق این بخشنامه، اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شوند. با این تغییر، نقش اپلیکیشن‌های پرداخت موبایلی شرکت‌های پرداخت و بانک‌ها پررنگ‌تر می‌شود. با توجه به این بخشنامه قرار بود از ۱۵ بهمن‌ماه این تغییرات اعمال شود که با توجه به مخالفت‌هایی که برای عملیاتی شدن این تغییرات به‌وجود آمد، اجرای این بخشنامه به شکل دیگری در حال پیگیری است. با اتفاق‌های پیش‌آمده، ussd نفس‌های آخر را می‌کشد و شاید بد نباشد یک بار دیگر نگاهی داشته باشیم به مسیری که این فناوری از ظهور تا سقوط طی کرده است.

 

پیدایش ussd در ایران

می‌توان گفت از حدود سال ۸۵ بود که موضوع پرداخت موبایلی در کشور داغ شد و بانک‌ها و شرکت‌های پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند. 

اولین شرکتی که به این فکر افتاد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راه‌اندازی کند، شرکت پرداخت الکترونیک سامان (سپ) بود.

در سال ۸۹ سپ به این نتیجه رسیده بود که می‌تواند از ussd به‌منظور انجام پرداخت موبایلی استفاده کند و برای این کار با اپراتورها به مذاکره پرداخت، اما اپراتورهای کشور همکاری لازم را با این مجموعه نکردند و به همین دلیل پرداخت الکترونیک سامان برای اولین بار این کار را با همکاری شرکت کوچکی در کیش پیاده‌سازی کرد که برای محدوده جزیره کیش خدمات اپراتوری موبایل انجام می‌داد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با تکنولوژی ussd بود.

 

ussd در ابتدا مسیر امنی را شروع کرد

مدل ارائه‌شده توسط پرداخت الکترونیک سامان، مدلی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود و این روش از نظر امنیتی کاملا توسط بانک مرکزی مورد قبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش می‌داد؛ بنابراین ussd که سپ در سال ۸۹ راه‌اندازی کرد با ussdهایی که امروزه می‌شناسیم بسیار متفاوت بود. یکی از علل امنیت بالای آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را به‌همراه برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت می‌کرد و هنگام استفاده از این تکنولوژی روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده می‌شد.

 

آشپز چند تا شد؛ آش شور شد

اما پس از سپ دیگر رقبا نیز وارد میدان شدند و برای افزایش تعداد کاربران خود و گرفتن سهم بازار، قوانین بازی را بر هم زدند و از آنجا به بعد بود که ussd از مسیر امن بودن خارج شد؛ چرا که دیگر ارائه‌دهندگان بدون نیاز به پیش‌ثبت‌نام اطلاعات کارت بانکی در یک سامانه مجزا، قادر به استفاده مستقیم از این بستر با استفاده از اطلاعات حساس کارت بانکی خود بودند و این شد که این بستر ناامن، راهش را تا همین امروز نیز ادامه داد. بسیاری از متخصصان معتقدند بانک مرکزی به‌عنوان نهاد ناظر و قانون‌گذار باید در این مرحله ورود می‌کرد و اجازه نمی‌داد ussd از مسیر امن خودش خارج شود، اما این اتفاق نیفتاد.

از میان بانک‌ها نیز، اولین بانکی که بعد از شرکت پرداخت الکترونیک سامان، به سمت ارائه خدمت از طریق ussd آمد، بانک پاسارگاد بود. سال ۹۰، بانک پاسارگاد سیستم پرداخت همراه مبتنی بر بستر ussd خود را با همکاری شرکت ایرانسل راه‌اندازی کرد، اما اواخر خرداد ۹۱ بود که شرکت جیرینگ هم به‌سراغ ussd رفت و با همبانک به‌عنوان محصول مشترک بانک سینا، شرکت توسن و جیرینگ وارد دوران جدیدی شد. 

همبانک سینا آن زمان این‌گونه معرفی شد: «همبانک سینا بانکداری همراه مبتنی بر بستر ussd است و بدون نیاز به نصب هرگونه نرم‌افزار روی تمامی گوشی‌های تلفن همراه و فقط با گرفتن کد #۷۲۷* قابل ‌استفاده است و مشتریان می‌توانند با استفاده از این خدمت در هر زمان و مکان، حتی در خارج از ایران بدون هزینه رومینگ از خدمات انتقال وجه، پرداخت قبوض، خرید شارژ، دسترسی به اطلاعات حساب‌ها، مانده‌گیری، عملیات بین‌بانکی ساتنا و پایا، پرداخت اقساط تسهیلات و مدیریت چک و غیره بهره‌‌مند شوند.» 

ناگفته نماند همراه اول در ابتدا تا مدت‌ها اصرار داشت روش خود را پیاده کند و حاضر نبود با سپ به‌عنوان اولین شرکت پرداختی که پا به عرصه ussd گذاشته بود، بر سر همراه ۲۴ همکاری کند. از سال ۹۱ تا سال ۹۵ کمتر بانک یا شرکت ارائه‌دهنده راهکارهای پرداختی را می‌توان یافت که هوس ارائه این خدمات دم‌دستی و ناامن بر سرش نزده باشد.

 

برنده میدان ussd که بود؟

بانک‌ها و شرکت‌های پرداخت در یک بازه زمانی و در یک چشم‌ و هم‌چشمی وحشتناک هزینه فراوانی را صرف توسعه روشی ناامن کردند که برنده واقعی آن، اپراتورهای مخابراتی بودند و بیشترین کاربرد آن هم فروش شارژ برای همین اپراتورها بود. در این بین حتما باید به قراردادهای ظالمانه اپراتورهای تلفن همراه با شرکت‌های پرداخت الکترونیکی نیز اشاره کرد که نفس بانک‌ها و شرکت‌ها را گرفته بود. شاید به‌دلیل همین قراردادهای یک‌طرفه بود که کمتر در بانک‌ها شاهد اعتراض به ایجاد محدودیت برای ussd بودیم و حداقل در این روزها شاهد تکاپوی تمام‌نشدنی شرکت‌های مخابراتی و زیرمجموعه‌های آنها هستیم.

 

بانک مرکزی دیر از خواب بیدار شد

در ادامه مسیر از سال ۹۱ به بعد، بستر ussd رشد قابل ‌توجهی را تجربه کرد و اکثر بانک‌ها و تقریبا تمام شرکت‌های پرداخت به‌ فکر راه‌اندازی خدمات بر بستر ussd افتادند. در واقع ارائه خدمات بانکی و پرداخت بر بستر کدهای ussd جایی بود که بانک‌ها به یکباره سعی کردند در آن ورود کنند و همه یک سرویس را فقط از روی هم کپی کردند؛ بدون اینکه هیچ‌کدام سرویس منحصربه‌فرد و تازه‌ای را ارائه کنند. تا جایی ارائه خدمت از طریق ussd بالا گرفت که دیگر بازار از این تعداد کد ussd اشباع شده بود و تعداد تراکنش‌های انجام‌شده این بستر در حال افزایش روزافزون بود؛ در این دوره بود که بانک مرکزی تازه متوجه اوضاع بد این بستر شد.

 

اقدامات بانک مرکزی برای محدود کردن این بستر ناامن

بانک مرکزی ایران در اولین قدم در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای ussd را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنش‌های اعلام موجودی روی این بستر کاهش یابد. در قدم دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر ussd برای شرکت‌های پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد که باعث شد دیگر هیچ سرویس بانکی‌ای روی این بستر ارائه نشود و تنها سرویس‌های پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارائه شوند که در این‌ بین نیز تراکنش‌های خرید شارژ بسیار بیشتر از تراکنش‌های پرداخت قبض بود، به‌طوری‌ که عملا می‌توان بستر ussd را درگاه فروش شارژ دانست. سومین قدم بانک مرکزی نیز در سال ۹۵ بود که به‌منظور ارتقای سطح امنیت بستر ussd، سامانه پیوند را راه‌اندازی کرد که در آن صورت تمامی افرادی که قصد استفاده از خدمات ussd را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام می‌کردند؛ در واقع بانک مرکزی قصد داشت تا با راه‌اندازی این سامانه، کاربران ussd، بتوانند بدون وارد کردن شماره کارت بانکی و به ‌بیان ‌دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای ussd استفاده کنند؛ اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.

در همین بازه زمانی، چند ماه پیش بود که سر و کله تبلیغات #۳* در صداوسیما پیدا شد؛ این سرویس متعلق به شرکت توسکا که وابسته به یک اپراتور تلفن همراه است. این شرکت قصد داشت طی یک عملیات انتحاری و با انحصاری که در صداوسیما ایجاد کرده بود، سهم شرکت‌های پرداخت روی فروش شارژ تلفن همراه را در دست بگیرد. در حالی ‌که هر روز شاهد حجم گسترده تبلیغات این شرکت برای خدمات ussd هستیم، چندی پیش بانک مرکزی چهارمین قدم خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه‌ این بود که از ۱۵ بهمن‌ماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکان‌پذیر است و تراکنش‌های دیگر از روی آن حذف خواهد شد که این اقدام جدید بانک مرکزی حجم سنگینی از هجمه‌ها و مقابله‌ها را در پی داشت. این انتقادها بیشتر از طرف کسب‌وکارهای مبتنی بر ussd و اپراتورها دنبال شد و این شرکت‌ها شاکی شده‌ بودند که چرا به ‌یکباره بانک مرکزی چنین تصمیمی گرفته است، آن ‌هم بعد از پا گرفتن کسب‌وکارهایی که بر پایه این کانال فعالیت می‌کنند؛ هرچند تاریخچه مطرح‌شده نشان می‌دهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدم‌به‌قدم انجام شده است و بانک مرکزی در طول سال‌های گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است. اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به ussd به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی می‌نگرند که اغلب فعالان نظام بانکی و پرداخت بودند که به‌خوبی از ناامنی این بستر آگاه هستند؛ اما در هر صورت ظاهرا اجرای این بخشنامه تا اردیبهشت‌ماه ۹۷ به تعویق افتاده است.

بسیاری از مدیران ارشد سیستم بانکی و پرداخت معتقد بودند که باید بانک مرکزی خیلی زودتر از اینها این تصمیم را برای بستر ussd می‌گرفت. به اعتقاد آنها شاید علت این تاخیر در چنین تصمیم‌گیری، فراگیر نبودن ابزارهای جایگزین مانند اپلیکیشن‌های موبایلی یا مشکلات گسترده عدم دسترسی به اینترنت همراه در کشور باشد و اما اکنون ‌که این چالش‌ها رفع شده‌اند و اپلیکیشن‌های پرداخت در اختیار مردم قرار گرفته‌‌اند، بانک مرکزی به این نتیجه رسیده است که دیگر ussd نمی‌تواند بستر قابل ‌اعتماد و اتکایی باشد و پتانسیل بالایی برای ایجاد چالش‌های امنیتی برای نظام بانکی کشور دارد.

 

بر خاک ussd گریه نکنید!

موضوعی که واضح است اینکه چه بخواهیم و چه نخواهیم ussd رفتنی است و مخالفان حذف ussd خیلی نباید به ادامه زندگی این بستر امیدوار باشند؛ چراکه این قبری که بالای سرش گریه می‌کنند، مرده‌ای درونش نیست و دیر یا زود این بستر با نابودی مواجه خواهد شد؛ چراکه شاهد وجود اپلیکیشن‌هایی هستیم که همان خدمات را با امنیت بسیار بهتر و با رمزگذاری اطلاعات کارت کاربران در اختیار مشتریان قرار می‌دهند؛ آن هم با تجربه کاربری خیلی بهتر.