به گزارش
گرداب، مهر ماه سال 94 بود که بانک مرکزی با مصوبه ای تنها امکان خرید شارژ تلفن همراه و پرداخت قبوض تا سقف 200 هزار تومان به وسیله کدهای USSD را باز گذاشت و سایر خریدهای غیرضروری روی این بستر را مسدود کرد.
*به دلیل دخالت اپراتور، USSD محدود شدعلت این تصمیم آینده اندیشی درباره عدم امنیت کافی بسترهای USSD اعلام شد.
همان زمان یک ارائهدهنده راهحلهای پرداخت خرد الکترونیک درباره علت اتخاذ این تصمیم به فارس، گفت: ارتباط موبایل با BTS بر بستر USSD ناامن است و با شبیهسازی این ارتباط امکان سرقت شماره کارت و رمز دوم کارت وجود دارد. به دلیل ناامنی از ابتدا نیز بانک مرکزی تمایلی برای توسعه بسترهای USSD نداشت اما به دلیل اینکه جایگزینی وجود نداشت کدهای USSD توسعه پیدا کردند. از این رو استفاده از بستر USSD در شبکه بانکی توصیه نمیشود و معمولا برای کاربردهایی مانند رایگیری در برنامهها مورد استفاده قرار میگیرد.
*راه حل ریشه ای بانک مرکزی برای USSDهاهمچنین داوود محمد بیگی مدیر اداره نظامهای پرداخت بانک مرکزی در گفت و گو با فارس از تدبیر این نهاد برای رفع اساسی مشکل USSDها خبر داد.
وی توضیح داد: برای USSD پروژهای داریم تا مشتریان به جای ارائه اطلاعات کارت خود، از شناسه استفاده کنند. کاربران با دریافت یک شناسه از شرکت ارائه دهنده پرداخت میتوانند از خدمات USSD استفاده کنند که با تنظیم شبکه براساس شناسه افراد محدودیتهای شبکه USSD رفع خواهد شد.
وی گفت: وقتی میگوییم این بستر ناامن است به معنای نگران کردن مردم نیست اما بانک مرکزی به عنوان مقام ناظر خطرها و ریسکهایی را در این مدل میبیند.
* شیوه فعلی USSD متوقف می شوداکنون گویا تصمیم سال گذشته بانک مرکزی دچار تغییرات جدیدی شده است.
شاپرک مصوبه ای از بانک مرکزی به شرکت های PSP ابلاغ کرده که به وسیله آن اعلام شده: «از اول مهر ماه سال 1395 استفاده از بستر فعلی USSD برای انجام تراکنش های بانکی ممنوع شده و شرکت های ارائه دهنده خدمات پرداخت صرفا مجاز به پذیرش و پردازش تراکنش های بانکی از روش های جایگزین و ایمن خواهند بود.»
اگرچه هنوز اطلاعات جدیدی درباره روش قطعی اصلاح اعلام نشده و حتی ادامه بستر USSD با اصلاحاتی هنوز قطعی نیست، اما با توجه به راه حل اعلامی مدیر کل نظام های پرداخت بانک مرکزی در سال گذشته، به نظر می رسد اگر بنا بر ادامه کار پس از اصلاح روش باشد، روش اجرا طبق همان پیشنهاد اعلامی سال گذشته است.
به این معنی که کاربر در صورت تمایل به استفاده از بستر USSD باید برای هر حساب خود به بانک مراجعه کند و پس از اتصال شماره تلفن همراه به حساب و دریافت رمز، رمز دریافتی را به شرکت PSP اعلام کند. شرکت PSP برای انجام هر تراکنش رمزی را با پیامک برای کاربر ارسال می کند و کاربر تنها با استفاده از همان رمز می تواند برای یک کارت بانکی و با یک شماره تلفن همراه از خدمات USSD استفاده کند. به این ترتیب کاربران برای هر کارت بانکی و هر شماره تلفن همراه باید تمامی این مراحل را جداگانه انجام دهند.
* ناامنی بستر USSD چقدر نگران کننده است؟ صفحات جعلی بانک ها در صدر کلاهبرداری های بانکی از سال گذشته مسئولان بانک مرکزی در حالی بستر USSD را به دلیل دخالت اپراتور تلفن همراه ناامن اعلام می کنند که همان مسئولان بانکی در آغاز به کار کدهای USSD و ناشناخته بودن آنها برای کاربران، در پاسخ به ابهام و پرسش کاربران درباره امنیت این بستر، اطمینان خاطر می دادند و هر گونه نگرانی بابت دخالت اپراتورها در این زمینه را رد می کردند.
علاوه بر این، جست و جویی در آرشیو اطلاع رسانی های پلیس فتا نشان می دهد هیچ نمونه ای از سواستفاده از مشکل ساختاری کدهای USSD وجود ندارد. همچنین بررسی ها نشان می دهد میزان کلاهبرداری های موسوم به فیشینگ (جعل صفحه های اینترنتی بانکی و پرداخت ها) به دلیل آمار زیاد بسیار نگران کننده تر و نیازمند چاره اندیشی فوری تر نسبت به بستر USSD بدون سابقه کلاهبرداری است.
*پیچیدگی های غیر ضروری دردسر کاربران برای خرید شارژ در نهایت در ماجرای تصمیم گیری بانک مرکزی درباره کدهای کوتاه دستوری و در این نگاه پدرانه رگولاتور بخش بانکی کشور، نکته مغفول مانده مشتریان اصلی این بستر هستند.
به گفته محمد بیگی طبق آخرین بررسیها در حوزه USSDحدود 80 درصد تراکنشها مربوط به خرید شارژ تلفن همراه است.
به این معنی که با برخورد با بستر USSD یا پیچیده تر کردن آن، دردسر اصلی متوجه 50 میلیون کاربر سیم کارت های اعتباری موبایل در کشور است.
از مدتی پیش بسیاری از بانک های کشور رمز یک بار مصرف را برای امنیت بیشتر مشتریان خود در محیط های پرداخت اینترنتی به راه انداخته اند، به واقع چه آماری از تمایل مشتریان به استفاده از این خدمت وجود دارد؟ چه بخشی از مشتریان از این سرویس استفاده کرده اند؟ آیا برای خرید هر بار شارژ عموما کم مبلغ طی این پیچیده یک دردسر نیست؟
در نهایت اگر مشترکان اعتباری موبایل به روش های فیزیکی خرید شارژ با هزینه های زیست محیطی و گران رجوع نکنند، در معمول ترین روش باید مشتری سایت های اینترنتی فروش شارژ شوند که ریسک ناامنی و کلاهبرداری در این بخش بسیار بیشتر از بستر USSD است.