خداحافظی با #*/ کُدهای USSD به فراموشی سپرده خواهد شد؟
دو سالی میشود که بانک مرکزی مخالفت خود با استفاده از کدهای USSD را اعلام کرده و معتقد است که خدمات مبتنی بر این کدها چندان امن نیست و ممکن است رمز عبور کاربران به راحتی به دست هکرها و خرابکاران سایبری بیفتد.
به گزارش سایت طلا به نقل از اقتصادآنلاین، اولین اقدم مقابله با این خدمات از مهرماه سال گذشته برای مشترکان بانکها کلید خورد و بانک مرکزی طی ابلاغیهای از همه بانکها خواست تا ارایه خدمات اعم از صورتحساب و انتقال وجه روی بستر USSD را از دسترس خارج کنند. البته در آن روزها بنا بود تا این محدودیت موقتی باشد و پس از مدتی دوباره در دسترس عموم قرار گیرد؛ حالا بماند که تا به امروز این اتفاق نیفتاده است و همچنان دسترسی به حسابها و تراکنشهای بانکی از این طریق میسر نیست و حتی قرار است گستره این محدودیتها گریبانگیر مشترکان تلفن همراه نیز شود.
هفته گذشته بانک مرکزی اعلام کرد: « به منظور صیانت از اطلاعات دارندگان کارت، ارتقاء امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام میدهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن ماه ۱۳۹۶ تراکنشهای فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفاً برای پرداخت قبوض عمومی نظیر قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنشهای مربوط به خرید شارژ و یا قبوض ویژه در شبکههای شتاب و شاپرک پذیرش و پردازش نخواهد شد و در صورت مشاهده ارسال تراکنشهای غیرمجاز توسط بانک و یا ارائه دهنده خدمات پرداخت مسیر متناظر بانک با موسسه متخلف به صورت کامل برای تمامی تراکنشها در شبکههای شتاب و شاپرک مسدود میشود.»
بعد از اعلام این خبر نارضایتیهایی نسبت به آن مطرح شد و مسئولان وزارت ارتباطات خواستار به تعویق انداختن آن برای مدت چهار ماه شدند، که گفته میشود مدیران بانک مرکزی با آن موافقت نکرده و همچنان بر اجرایی شدن آن مصر هستند.
پس از اعلام مخالفتها با این ابلاغیه مسئولان بانک مرکزی موضعگیری خاصی نکرده و ترجیح میدهند تا درباره اجرایی شدن یا نشدن آن صحبت صریح و شفافی نکنند.
ناصر حکیمی معاون فناوریهای نوین بانک مرکزی با بیان اینکه مطابق استاندارد هانی، نباید اطلاعات حساس کارت به صورت ساده یا غیر رمز شده روی شبکه یا سیستمها رد و بدل یا ذخیره شود، گفت: بعضی از سرویسهای مخابراتی نظیر کدهای دستوری به صورت ذاتی plain text هستند یعنی دادهها به صورت رمز نشده ارسال و ذخیره سازی میشوند و این ایراد مهمی است چون اطلاعات حساس که باید فقط در اختیار مشتری و بانک باشد در جاهای دیگر نظیر اپراتورها ذخیره شده و قابل بازیابی است.
وی افزود: نفس این عمل ایراد دارد و تا قبل از سرویسهای داده، امکان دیگری برای پرداختهای همراه نبود؛ بنابراین بانکها این سرویس را برای خدمات محدودی استفاده کردند و رشد آن سریع بود.
حکیمی ادامه داد: حالا که بسترهای امن وجود دارد، دیگر نیازی به استفاده از بسترهای قدیمی و ناامن نیست و باید مهاجرت صورت گیرد و در مهاجرت به گونهای عمل خواهد شد که خللی در خدمات دریافتی مردم اتفاق نیفتد.
معاون فناوریهای نوین بانک مرکزی در پاسخ به این سوال که با توجه به اینکه مسئولان وزارت ارتباطات درخواست برای به تعویق افتادن توقف USSD ها به بانک مرکزی ارایه دادند آیا این درخواست اجرایی میشود؟ گفت: امن سازی باید در هر صورت اتفاق بیفتد.
درحالی که این مقام مسئول بر لزوم عدم اختلال در خدمات دریافتی مردم تاکید دارد، کارشناسان معتقدند که محدود کردن کدهای USSD خدمات به مشترکان را با چالش مواجه خواهد کرد.
فربد دامنافشان کارشناس فناوری اطلاعات در این باره میگوید: بدون شک با قطع کدهای USSD خدمات به مردم و به ویژه مشترکان اپراتورها با مشکل مواجه خواهد شد.
وی افزود: سطح اطلاعرسانی در این زمینه بسیار پایین بود و هنوز معلوم نیست که آیا این محدودیتها از فردا اجرایی خواهد شد یا خیر؟ و به نظر من این موضوع چندان خوشایند نیست.
حسین صالحزاده کارشناس بانکداری الکترونیک نیز در پاسخ به علت عدم امنیت در خدمات USSD میگوید: این کدها از نظر سطح امنیتی، بسیار ضعیف عمل میکنند و در بیشتر کشورها استفاده از آنها منسوخ شده به حساب میآید .
وی افزود : البته این کدها همچنان در دنیا استفاده میشوند ، اما نه در موارد حساس بانکی؛ چون واقعا امنیت استانداردی ندارد.
صالحزاده با بیان اینکه خدمات حساس بانکی بر بستر USSD در ایران هم باید مسدود شود گفت: به طور کلی میتوان گفت که خط مشی بانک مرکزی درست است؛ اما بهتر بود قبل از اعلام خبر مسدودسازی، راههایی سادهتری را برای مشترکان فراهم و بعد ارایه خدمات بر بستر USSD را مسدود کند .
این کارشناس افزود: درحال حاضر برای پرداخت صورتحساب قبوض یا خرید شارژ برای سیمکارتهای اعتباری، باید رمز دوم کارت بانک از مشترکان دریافت شود که اگر هکر ها بتوانند به گوشی مشترک نفوذ کنند، به راحتی میتوانند حساب وی را در چند ثانیه خالی کنند.
وی اظهار کرد: علاوه بر این هکرها میتوانند به اطلاعات رد و بدل شده بین مشترک و بانک دسترسی پیدا کنند که این موضوع نیز بسیار نگران کننده است و بهترین کار برای مبارزه با آن ، محدودیت برای کدهای USSD است.