هک گسترده اطلاعات کارت بانکی مردم مهر تأییدی بر امنیت USSD بود
افشای اطلاعات کارتهای بانکی مردم و انتشار آن در فضای وب، آب پاکی بر دست کسانی بود که ایران را قدرت سایبری دانسته و همچنین اتمام حجت با به ظاهر کارشناسانی بود که تا ماه گذشته اپلیکیشنهای پرداخت موبایلی را امن میدانستند.
اواسط بهمن ماه سال جاری بود که وزارت ارتباطات و فناوری اطلاعات توانست جلوی تصمیم غیرکارشناسی مسئولان بانکی برای توقف و حذف خدمات کدهای دستوری (USSD) را بگیرد.
مسئله، همزمان با ابلاغ یکبارهای از سوی بانک مرکزی برای بانکهای کشور در راستای توقف خدمات کدهای دستوری تا پانزدهم بهمن ماه، شکل گرفت و نگرانیهای بسیاری را در فضای جامعه به وجود آورد.
کدهای دستوری از جمله خدمات رایجی هستند که از سوی اپراتورها برای رفاه حال مشترکان تلفن همراه ارائه شده و تاکنون براساس آمار، خدمات ارزندهای را حتی به محیط زیست ارزانی داشته که گزارش آن به شکل مشروح در تسنیم منتشر شد.
حال تصور اینکه قرار بود این خدمات به یکباره حذف و مانند سابق برای خرید شارژی ساده به کیوسکها و سوپرمارکتهای واقع در سطح شهر مراجعه کنیم، واقعا آزاردهنده بود.
انتشار یکباره این ابلاغیه در فضای رسانهای، فرصت طلایی را در اختیار شرکتهای واسط بانکی و PSPها قرار داد تا به تبلیغ و معرفی اپلیکیشنهای خود بپردازند و حتی به قیمت نارضایتی مردم، یک تنه جلوی خدمات کدهای دستوری بیستند.
طبیعی است که در چنین فضایی اظهارات غیرکارشناسی توسط افرادی که هیچ درگیری با ماهیت کدهای دستوری نداشتند هم بالا گرفت و صراحتا از هر موقعیتی برای تخریب این خدمات که سالیان دراز در دست مردم بوده و هیچگونه مشکلی را ایجاد نکرده، استفاده کنند.
سود شرکتهای واسط بانکی که در تبلیغ اپلیکیشنهای پرداخت موبایلی خودشان و ماهیگیری از آب گلآلود خدمات USSD بود، در آن برهه به اوج خود رسید اما با وساطت وزیر ارتباطات و فناوری اطلاعات این قائله ختم به خیر شد.
محمد جواد آذری جهرمی؛ وزیر ارتباطات و فناوری اطلاعات که ضریب نفوذ استفاده از کدهای دستوری را میداند و به فضای فناوری تسلط کافی دارد با رایزنیهایی که انجام داد توانست به تفاهمی با رئیس بانک مرکزی برای منتفی شدن توقف خدمات USSD برسد؛ البته در آن تفاهم بنا شد اپراتورهای تلفن همراه با رعایت الزاماتی به ارائه این خدمات بپردازند.
دیری نگذشت که مشکل امنیتی ادعایی از سمت بانکیها برای USSD هم با تز قرارگیری اپلت روی سیمکارت به نوعی حل شد؛ هماکنون هم این راهکار در رگولاتوری در دست بررسی و انجام است.
اما ماجرا زمانی جالب میشود که هکرها لیست بلند بالایی از شماره حساب و رمز کارتهای بانکی مردم را در فضای مجازی منتشر میکنند و حتی هکر مربوطه محل نشت این اطلاعات را علاوه بر درگاههای جعلی پرداخت، یکی از اپلیکیشنهای پرداخت موبایلی عنوان میکند.
هول و هراس مردم از افشای اطلاعات کارتهای بانکی که حاوی شماره کارت، رمز دوم، CVV2 و تاریخ اعتبار کارت بود، به سرعت بالا گرفت و کار به جایی رسید که برخی افراد فایلهای ارائه شده از سوی این هکر را دانلود کرده و با کارتهای بانکی خود تطابق دادند تا مطلع شوند شماره کارت بانکی آنها در لیست هک شدهها هست یا خیر.
این هکر در پست انتشار یافته در کانال تلگرامیاش از یک شرکت پرداخت موبایلی بابت ضعف امنیتیاش تشکر کرد.
این موضوع قطعا برای کارشناس معابانی که تا یک ماه پیش به شدت خدمات کدهای دستوری را میکوبیدند و از عدم امنیت بسترهای USSD میگفتند، قابل توجه است؛ چرا این قبیل کارشناسان امروز که اقدام سایبری علیه اپلیکیشنهای بانکی شده سکوت اختیار کرده و دیگر از امنیت کامل بسترهایشان نمیگویند؟!
عملیات "فیشینگ" گسترده این هکر روی درگاههای پرداخت بانکی، شاپرک و اپلیکیشنهای پرداخت ظاهرا مربوط به سایتهای خرید اقلام غیرمجاز و شرکت در قمار بوده است.
این اقدام سودجویانه و خرابکارانه اخیر روی درگاههای پرداخت به اندازهای حرفهای صورت گرفته که اغلب کاربران وب با مشاهده صفحه پرداخت گمان میکنند که به درگاه رسمی متصل شدهاند.
همین اعتماد بصری باعث شده تا اطلاعات بانکی بسیاری از کاربران به دست سودجویان افتاده و آنها نیز اقدام به تخلیه حسابشان کردهاند.
جالب است با گذشت سه روز از اطلاعرسانی درگاههای فیشینگ بانکی اما همچنان فیلتر نشده و به کار خود ادامه میدادند؛ این اقدام اخیر سایبری آب پاکی بر دست افرادی بود که قاطعانه از محصولات و خدماتشان دفاع میکردند.
از طرفی، اینکه سالیان دراز است گفته میشود کشور ما یکی از قدرتهای سایبری است، باید در این رأی تشکیک کرد زیرا یک عملیات ساده فیشینگ باعث از دست رفتن اطلاعات بانکی قشر وسیعی از مردم شد.با این حال باید خوشحال بود که این سر و صداها به وضوح نشان میدهد که چندان جایگاه مطلوبی در عرصه امنیت سایبری نداریم و مسئولان امر باید بیش از پیش برای تحقق بسترهای داخلی و امن دقت و تلاش کنند.