كدهای USSD ناامن‌ترين درگاه تراكنش‌های مالی | اتاق خبر
کد خبر: 154689
تاریخ انتشار: 22 مهر 1394 - 15:53
اتاق خبر - كدهاي USSD يا همان كدهاي دستوري از جمله خدماتي است كه اپراتورها و بانك‌ها و psp‌ها به كاربران و مشتريان و مشتركان خود ارائه مي‌كنند و به راحتي و بدون كوچك‌تر
اتاق خبر - كدهاي USSD يا همان كدهاي دستوري از جمله خدماتي است كه اپراتورها و بانك‌ها و psp‌ها به كاربران و مشتريان و مشتركان خود ارائه مي‌كنند و به راحتي و بدون كوچك‌ترين هزينه مي‌توان تراكنش‌هاي مالي انجام داد.
پيشرفت روزافزون فناوري باعث شده است تا بشر به راحت‌ترين شكل ممكن از خدماتي استفاده كند كه تا پيش از ورود فناوري بايد زمان و هزينه براي آن صرف مي‌كرد. توسعه و ارائه خدمات مختلف بر بستر اين فناوري تا حدودي كارها را راحت‌تر كرده اما در اين بين ممكن است برخي سوءاستفاده‌ها از خدماتي كه بر بستر الكترونيك صورت مي‌گيرد نيز انجام شود، چرا كه وجود حفره‌هاي امنيتي و خلأ‌هاي قانوني در برخي خدمات باعث مي‌شود تا اين‌گونه خدمات محلي شود براي كسب درآمد هكرها و افرادي كه مي‌توانند اين حفره‌هاي امنيتي را شناسايي كنند.

بد نيست، بدانيد USSD يا همان (Unstructured Supplementary Service Data ارسال پيام از طريق كد دستوري) يك روش ارسال پيام در شبكهGSM  است. البته اين قابليت جزو قابليت‌هاي ذاتي اين شبكه محسوب نمي‌شود و به همين دليل اين سرويس جزو خدمات ارزش افزوده شبكه GSM است كه بدون هزينه خاصي قابل افزودن به تمام شبكه‌هاي GSM صورت مي‌گيرد. از طرف ديگر تقريبا تمام گوشي‌هاي موجود از ارسال و دريافت اين‌گونه پيام‌ها پشتيباني مي‌كنند. اين در حالي است كه در USSD جهت ارسال پيام از كانال سيگنالينگ كنترلي SDCCH در شبكه GSM استفاده مي‌شود.

ارتباط پيام از طريق USSD شباهت بسيار زيادي به انتقال پيام از طريق پيامك (SMS) دارد اما با وجود كليه اين شباهت‌ها يك اختلاف بزرگ بين اين دو موجود است و آن در نحوه انتقال اطلاعات است. پيامك از مكانيسم ذخيره و فرستادن مجدد Forward) استفاده مي‌كند در حالي كه USSD اين‌گونه نيست بدين معني كه SMS پس از دريافت شدن در شبكه ذخيره مي‌شود و در زماني ديگر براي مقصد فرستاده مي‌شود اما در USSD پيغام در همان زمان ارسال دريافت خواهد شد تفاوت عمده ديگر اين است كه USSD يك روش برقراري ارتباط بين گوشي با شبكه و برعكس است اما پيامك براي ارتباط گوشي با گوشي به كار مي‌رود.

اما به نظر مي‌رسد برقراري تراكنش‌هاي مالي با اين كدهاي دستوري نه تنها در ايران بلكه در هيچ جاي دنيا از امنيت بالايي برخوردار نيست و به راحتي مي‌توان از اين تراكنش‌ها سوءاستفاده كرد، مساله‌يي كه باعث شد تا سرانجام و با وجود مخالفت‌هاي بسيار بانك مركزي به مسدود شدن آن واكنش نشان دهد و با بخشنامه‌يي از مسدود شدن دريافت موجودي روي موبايل خبر بدهد در بخشنامه بانك مركزي آمده است «همان‌طور كه پيش از اين شركت شبكه پرداخت كارتي (شاپرك) در پي توصيه بانك مركزي محدوديت‌هايي را در مورد خدمات پرداخت روي موبايل به شركت‌هاي PSP ابلاغ كرده بود، ديگر امكان گرفتن موجودي از درگاه اين شركت‌ها ميسر نيست.»

بر اساس اين گزارش قرار بود از نيمه ماه جاري دريافت موجودي حساب از طريق موبايل با كدهاي USSD شركت‌هاي ارائه‌دهنده خدمات پرداخت مسدود شود كه همين‌طور هم شد و اكنون اگر به درگاه‌هاي USSD شركت‌هاي PSP مراجعه كنيد يا عنوان گرفتن موجودي حذف شده يا امكان دريافت خدمات را نخواهيد داشت.

برخي PSPها هم در هنگام تقاضاي موجودي اين پيام را روي گوشي مخاطب منتشر مي‌كنند: «به دستور بانك مركزي سرويس موجودي ارائه نمي‌گردد.»

علاوه بر اين، مبلغ پرداخت قبوض و خريد شارژ نيز از اين درگاه‌ها با محدوديت مواجه شده است به‌گونه‌يي كه طبق اعلام شاپرك، اين محدوديت‌ها به‌شرح زير است: از تاريخ 15 مهر سال جاري هرگونه تراكنش خريد از درگاه موبايل ممنوع خواهد بود. همچنين سقف تراكنش‌هاي پرداخت قبض و خريد شارژ در بستر USSD از تاريخ فوق روزانه 200هزار تومان است و تراكنش مانده‌گيري از طريق كليه درگاه‌هايي كه نياز به استفاده از كارت ندارند، خصوصا تراكنش‌هاي موبايلي به‌طور كامل ممنوع است.

اين در حالي است كه دريافت موجودي از طريق كدهاي USSD هر بانك براي دارنده حساب همان بانك همچنان برقرار است.

اما چرا بانك مركزي با تاخير چندين ساله اقدام به صدور چنين بخشنامه‌يي كرد يا اينكه اگر كدهاي دستوري ناامن هستند چرا به اپراتورها و شركت‌هاي پرداخت الكترونيك اجازه داده مي‌شود از اين كدهاي دستوري استفاده كنند.

در اين خصوص سيدسامان ميرنبوي كارشناس ارشد سيستم‌هاي بانكداري و پرداخت الكترونيك به «تعادل» گفت: وجود مشكلات امنيتي در اين‌گونه كدهاي دستوري بديهي است، به‌طوري كه با روي كار آمدن اين كدهاي دستوري و امكان تراكنش‌هاي مالي در ابتدا خيلي غير قابل باور و نامطمئن از سوي كاربران و مشتريان بود، اما به تدريج اين خدمت براي افراد جا افتاد.

وي افزود: در حال حاضر نيز به نظر مي‌رسد بخشنامه بانك مركزي براي تكميل ابعاد امنيتي است و تا چندي ديگر دوباره گرفتن موجودي و تراكنش‌هاي مالي از سر گرفته شود.

وي با اشاره به اينكه ussd‌ها بسترهاي خيلي امني نيستند، گفت: تا زماني كه اين تراكنش‌ها روي بستر‌هاي مخابراتي قرار مي‌گيرند، امكان شنود و دريافت اطلاعات وجود دارد از اين رو بستر امني براي تراكنش‌هاي مالي نيست.

ميرنبوي خاطرنشان كرد: با پيشرفت تكنولوژي و فراگير شدن خدمات بر بستر فناوري ايجاد اين‌گونه حفره‌هاي امنيتي دور از ذهن نيست، اما استفاده از ابزارها و راهكارهاي امنيتي مي‌تواند ضريب نفوذ سوءاستفاده‌‌كنندگان را تا حدود زيادي كاهش دهد.

وي در پاسخ به اين سوال كه آيا اين‌گونه مشكلات در ديگر كشورهاي پيشرفته نيز اتفاق مي‌افتد يا خير؟ اظهار داشت: در مجموع نمي‌توان در اين خصوص ايران را با ديگر كشورهاي پيشرفته دنيا مقايسه كرد، چرا كه در اين بخش ما كاملا جزيره‌يي عمل كرده‌ايم، در ايران 15سال است كه تلاش براي جا انداختن و راه‌اندازي كيف پول مبتني بر موبايل و كارت در حال انجام است، ولي رگولاتوري بانك مركزي در اين خصوص دستورالعمل مشخصي را ارائه نكرده است.

وي افزود: تغيير‌هاي سياستي و مديريتي نيز مزيد برعلت شده است تا در اين خدمت به سرانجام نرسد. از اين رو بايد گفت ما با دنيا تفاوت داريم، اما در مديريت تراكنش‌ها و پرداخت الكترونيك در خاورميانه بي‌نظير هستيم.كارشناس ارشد سيستم‌هاي بانكداري و پرداخت الكترونيك خاطرنشان كرد: در ديگر كشورهاي دنيا اپراتورها اين كدها را در اختيار شركت‌هاي پرداخت الكترونيك قرار مي‌دهند ولي در ايران خود اپراتورها با در اختيار گرفتن اين كدها اقدام به درآمدزايي مي‌كنند، مساله‌يي كه از آن مي‌توان به عنوان خلأ قانوني نام برد.

وي گفت: اپراتورها به جاي برون‌سپاري كدهاي دستوري با شركت‌هاي پرداخت الكترونيك رقابت مي‌كنند در صورتي كه ماموريت اپراتورها اين نيست، بلكه بايد زيرساخت و بستر خدمات را براي شركت‌هاي پرداخت الكترونيك فراهم كنند و اين‌گونه رفتارها نشان از جزيره‌يي عمل كردن است.

وي در خاتمه گفت: رگولاتوري بانك مركزي و شاپرك بايد خلأ قانوني در اين مورد را برطرف و مرزها را مشخص كند تا از اين مرزها عبور نشود و با دستورالعمل قانوني اين‌گونه ابهامات و جزيره‌يي عمل كردن از بين برود.

در هرصورت گمانه‌زني و زمزمه‌هاي زيادي در خصوص اجرايي نشدن ديگر تراكنش‌هاي مالي با كدهاي دستوري نيز به گوش مي‌رسد كه به نظر مي‌رسد در صورت رفع برخي ابهام‌هاي موجود ديگر تراكنش‌هاي مالي نيز بر اين بستر حذف شود.

منبع: ایران جیب

مطالب مرتبط
نظرات
ADS
ADS
پربازدید