آیا USSD برای انجام تراکنش های بانکی امنیت کافی دارد؟

روز سه‌شنبه ۸ خرداد خبری در رسانه‌های کشور منتشر شد که بانک مرکزی ضوابط جدیدی برای محدودسازی استفاده از کد USSD در عملیات بانکی تصویب و به بانک‌ها ابلاغ کرده تا از هر کارت در هرروز فقط یک‌بار بتوان در این بستر استفاده کرد؛ اما در ادامهٔ روز ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی، در مصاحبه‌ای با ایبِنا چنین ابلاغی را تکذیب کرد و گفت «بانک مرکزی هیچ بخشنامه‌ای در این زمینه صادر نکرده است». البته نگرانی‌های بانک مرکزی در خصوص امنیت یواس‌اس‌دی تازگی ندارد و چند سالی است پیوسته به نهادهای ناظر، تنظیم‌کننده و اپراتورهای تلفن همراه تذکر می‌دهد؛ مهر ۹۴ در نامه‌ای خطاب به رئیس وقت سازمان تنظیم مقررات و ارتباطات رادیویی به‌شدت از حیث امنیت USSD ابراز نگرانی کرد و خواستار توقف فعالیت اپراتورها در این حوزه شد. در این نامهٔ بانک مرکزی آمده بود که چون امنیت بستر و مسیر یواس‌اس‌دی برای تبادل اطلاعات حساس کارت‌های بانکی به‌هیچ‌وجه امن نیست، اپراتورهای همراه باید تنها از طریق شرکت‌های پرداخت الکترونیک یا بانک‌های دارای مجوز از بانک مرکزی نسبت به ارائه خدمات پرداخت اقدام کنند و فعالیت سایر دستگاه‌ها، شرکت‌ها و امثالهم در این زمینه متوقف شود.

درواقع روی صحبت بانک مرکزی خدمات اپراتورها و شرکت‌های وابسته‌شان درزمینهٔ پرداخت الکترونیک بود. حالا دو سال بعدازآن اخطار صریح نه‌تنها توقفی در این امر نمی‌بینیم بلکه شاهد گسترش هرروزهٔ این دست خدمات و حتی تبلیغ گستردهٔ آن‌ها در رسانهٔ ملی هستیم. البته یک‌بار دیگر در بهمن ۹۶ تلاش‌هایی برای توقف این موضوع صورت گرفت ولی خیلی زود طی مذاکراتی بین بانک مرکزی و وزارت ارتباطات متوقف و اعلام شد اجرای آن ۴ ماه به تعویق می‌افتد. در آن زمان گفته شد «به‌رغم آن‌که وزارت ارتباطات، نقطه‌نظرهای بانک مرکزی در خصوص خدمات کدهای دستوری (USSD) و ضرورت ایمن‌سازی بسترهای مبادلات مالی را قبول دارد اما برای آن‌که اخلالی در خدمت‌رسانی به مردم ایجاد نشود، پیشنهاد تعویق در اجرای این طرح را به بانک مرکزی داده».

از همان دو سال پیش عده‌ای که خود در این قضیه ذی‌نفع بودند با بهانهٔ «حقوق مصرف‌کننده» سعی در کارشکنی در این طرح داشتند. هیچ جا هم گفته نشد که فروش بیشتر اعتبار سیم‌کارت و درآمدزایی بیشتر برای اپراتورها چه ربطی به «حقوق مصرف‌کننده» دارد و این‌که اگر برفرض داشته باشد آیا اساساً «امنیت» مصرف‌کننده حق بالاتری از آن نیست؟ گفته می‌شد در مناطقی از کشور که دسترسی به اینترنت وجود ندارد یواس‌اس‌دی راهگشا است؛ ولی گفته نشد آیا بهای ناکارآمدی و کم‌کاری اپراتورهای همراه طی سالیان را باید مردم با درخطر قرار دادن «امنیت» خود بپردازند؟

به نظر می‌رسد بانک مرکزی که خود را از اعمال‌نظر بر رگولاتوری مخابرات و اپراتورهای همراه ناتوان می‌بیند تصمیم گرفته کدهای دستوری را گام‌به‌گام محدود کند؛ اما باید پرسید با این‌که حداقل دو سال از تذکر و هشدار صریح بانک مرکزی در مورد امنیت USSD می‌گذرد چه طور هنوز کاری عملی صورت نگرفته و تصمیم‌گیری مدام به آینده موکول می‌شود؟ جالب این‌که صداوسیما مدام آن‌ها را تبلیغ می‌کند و حتی اخیراً خود این نهاد هم وارد این بازار پرسود شده. اگر مشکلی در امنیت تبادلات بانکی و پولی مردم رخ دهد بانک مرکزی پاسخ‌گو خواهد بود یا سازمان تنظیم مقررات مخابراتی و اپراتورهای همراه؟

در همان بهمن ۹۶ اعلام شد وزیر ارتباطات برای نصب «اپلت» روی سیم‌کارت‌های همراه توافق کرده تا دغدغه‌های امنیتی کد دستوری حل شود؛ اما آیا واقعاً این‌یک راه‌حل است؟ پایگاه حکاک در گفت‌وگو با شاهین نوروزی کارشناس امنیت سایبری این موضوع را بررسی کرده: «در پروتکل یواس‌اس‌دی هیچ نوع رمزنگاری روی اطلاعات انجام نمی‌شود، به همین خاطر هم‌بستر به‌شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصاً اطلاعات بانکی است.» نوروزی دغدغهٔ بانک مرکزی دربارهٔ امنیت یواس‌اس‌دی برای تراکنش‌های بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است کاملاً درست و به‌جا می‌داند؛ چون بسته‌های اطلاعاتی که تحت این پروتکل رد و بدل می‌شوند فاقد رمزگذاری هستند بنابراین شنود آن‌ها برای تمام عناصر موجود در مسیر انتقال این بسته‌ها میسر است و می‌توانند محتوای آن‌ها را ببینند: «درواقع اپراتورها، شرکت‌های پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیاردارند، به این بسته‌های اطلاعاتی دسترسی دارند. به عبارت روشن‌تر وقتی هرکدام از ما تراکنشی با کدهای دستوری انجام می‌دهیم، شماره کارت، رمز دوم، تاریخ انقضا و … کارت و حساب بانکی‌مان در معرض دید افراد مختلفی قرار می‌گیرد و طبیعتاً احتمال سوءاستفاده از این اطلاعات هم مطرح خواهد بود. اگرچه شاپرک و بانک مرکزی به‌عنوان متولیان حوزهٔ پرداخت کشور، نظارت سخت‌گیرانه‌ای بر بانک‌ها و شرکت‌های پرداخت الکترونیک دارند تا سوءاستفاده‌های احتمالی را به حداقل برسانند ولی بازهم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمی‌رود؛ خصوصاً این‌که متأسفانه طی یکی دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکت‌هایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ می‌کنند و ازآنجایی‌که نه بانک هستند و نه شرکت پرداخت، از حیطهٔ نظارت بانک مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آن‌ها ندارند. این رویه ریسک استفاده از کدهای دستوری را به‌شدت بالابرده و به همین خاطر بانک مرکزی به دنبال محدود کردن این سرویس است.»

توصیهٔ نوروزی این است که مردم به‌هیچ‌وجه از این بستر برای انجام تراکنش‌های بانکی استفاده نکنند. او در خصوص صحبت‌ها دربارهٔ استفاده از تدابیری مانند اپلت برای امن‌تر کردن یواس‌اس‌دی گفت: «واقعیت این است که ذات پروتکل یواس‌اس‌دی به‌گونه‌ای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرم‌افزارهایی مانند اپلت روی سیم‌کارت تلفن همراه، اطلاعات را رمزگذاری کنیم. بااین‌حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن همراه است در کدام نقطه رمزگشایی خواهد شد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی شود درواقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر همچنان باقی خواهد ماند. ازآنجاکه برای دستبرد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به‌این‌ترتیب ارزش‌افزوده‌ای برای امنیت اطلاعات به وجود نیاورده‌ایم و مسئله شنود اطلاعات در هر نقطه‌ای به‌ویژه شرکت‌های واسطه اطلاعات به قوت خود باقی است.»

نوروزی در ادامهٔ صحبت‌های خود اظهار داشت: «راه دوم این است که بستهٔ اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمهٔ این کار این است که ارائه‌دهندهٔ خدمات بانکی با تغییراتی در نرم‌افزارهای خود، اطلاعات رمزگذاری شده را باز کنند. بااین‌حال یک‌چیز مسلم است: در هر دو روش، اگر کسی همچنان اصرار دارد از کدهای دستوری استفاده کند باید سیم‌کارت خود را عوض کند یا برای نصب «اپلت» روی سیم‌کارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعاً پرهزینه، پرزحمت و شاید هم نشدنی باشد. منطق حکم می‌کند به‌جای استفاده از پروتکلی که ذاتاً ناامن است، برای گوشی‌های نسل گذشته طراحی‌شده و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فن‌آوری‌های جدید مانند اپلیکیشن‌های پرداخت سوق دهیم.»

با این اوصاف ادامهٔ استفاده از یواس‌اس‌دی که موجب نشت اطلاعات حساس مشتریان بانک‌ها در خارج از شبکه پرداخت و نظام بانکی نظیر اپراتورها، شرکت‌های واسط ارائه‌دهنده خدمت و غیره می‌شود، ممکن است پی‌آمدها و آسیب‌های جدی داشته و به بی‌اعتمادی و عدم اطمینان عمومی در استفاده از ابزارهای پرداخت الکترونیک منجر شود. در صورت بروز ماجرایی مانند افشای اطلاعات چند میلیون کارت‌بانکی چه کسی پاسخ‌گو خواهد بود؟

این مسئله علاوه بر بحث امنیتی آن پشتوانهٔ حقوقی هم دارد؛ طبق مادهٔ یک قانون تنظیم بازار غیرمتشکل پولی مصوب ۳۰ دی ۱۳۸۳ مجلس، اشتغال به عملیات بانکی توسط اشخاص حقیقی یا حقوقی تحت هر عنوان و تأسیس و ثبت هرگونه تشکل برای انجام دادن عملیات بانکی، بدون دریافت مجوز از بانک مرکزی ایران ممنوع بوده و بر اساس مفاد بند ب ماده ۱۱ و بند ۱۰ ماده ۱۴ قانون پولی و بانکی کشور (مصوب ۱۳۵۱)، «نظارت بر بانک‌ها و مؤسسه‌های اعتباری» و «رسیدگی به عملیات، حساب‌ها، اسناد و مدارک بانک‌ها و اخذ هرگونه اطلاعات و آمار از بانک‌ها با توجه به لزوم حفظ اسرار حرفه‌ای» از وظایف بانک مرکزی به شمار می‌رود. عملیات بانکی در این قانون به امر واسطه‌گری بین عرضه‌کنندگان و متقاضیان وجه یا اعتبار به‌صورت دریافت انواع سپرده، ودیعه و موارد مشابه تحت هر عنوان و اعطای وام اعتباری و سایر تسهیلات و صدور کارت‌های الکترونیک پرداخت و اعتباری اطلاق می‌شود.

USSD چیست؟

USSD یا ارسال پیام از طریق کد دستوری مانند پیامک (SMS) یکی از پروتکل‌های مورداستفاده در شبکه GSM است. یواس‌اس‌دی درواقع یک قابلیت اضافی سرویس GSM است و به هزینهٔ خاصی برای راه‌اندازی نیاز ندارد. این کدها مثل پیامک، محدودیت نویسه (کاراکتر) دارند و در اصل برای ارتباط کاربر با اپراتور ساخته‌شده‌اند؛ برخلاف پیامک که برای ارتباط کاربر با کاربر استفاده می‌شود. به‌علاوه کدهای USSD برخلاف پیامک در دستگاه کاربر ذخیره نمی‌شوند. کدهای دستوری به دودستهٔ اصلی تقسیم می‌شود: کدهای دستوری از سمت کاربر مثل حالتی که کاربر با واردکردن یک کد از اعتبار سیم‌کارت خود مطلع می‌شود، و دوم کدهای دستوری از سمت سرور که اغلب برای اطلاع‌رسانی‌های مختلف به کار می‌رود، مانند زمان‌هایی که وارد یک نمایشگاه می‌شوید و پیام خوش‌آمدی روی گوشی ظاهر می‌شود. کدهای USSD همیشه با یک * شروع و به یک # ختم می‌شوند.

صنعت بانکداری و پرداخت الکترونیک از موفق‌ترین صنایعی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت را به شیوه‌های گوناگون از طریق موبایل در دسترس مشتریان خود قرار دهد. یکی از شیوه‌های پرداخت همراه استفاده از این کدهای دستوری است که بیشتر در کشورهایی رواج یافته که بستر اینترنتی مناسبی ندارند. برای مثال در هند این روش بسیار پرکاربرد است و آنجا هم مثل ایران باعث نگرانی‌های امنیتی شده. طی تحقیقی که یکی از دانشگاه‌های تانزانیا انجام داده اساساً امنیت یواس‌اس‌دی در سطح پیامک (!) است؛ یعنی اگر حتی در بهترین حالت داده‌ها بین دستگاه کاربر و ایستگاه اصلی مخابراتی رمزگذاری شود در باقی مسیر به‌صورت متن آزاد در معرض سوءاستفاده است. برای رمزگذاری یواس‌اس‌دی از پروتکل MAP استفاده می‌شود.

پا گرفتن این فناوری در ایران به حدود سال ۸۵ برمی‌گردد که موضوع پرداخت موبایلی مطرح شد و بانک‌ها و شرکت‌های پرداخت مختلف هرکدام با رویکردی متفاوت در این زمینه شروع به کارکردند. اولین شرکتی که در این زمینه فعال شد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای موردقبول بانک مرکزی در ایران راه بیندازد، شرکت پرداخت الکترونیک سامان (سپ) بود. بر اساس آنچه در خبرهای آن زمان آمده سپ در سال ۸۹ به این نتیجه رسیده بود که می‌تواند از یواس‌اس‌دی به هدف عملیات پرداخت موبایلی استفاده کند و برای این کار با اپراتورها وارد مذاکره شد، که به دلیل عدم همکاری آن‌ها، تلاش اولیه ناکام ماند. پرداخت الکترونیک سامان در ادامه تصمیم گرفت هدف خود را با همکاری شرکت کوچکی در کیش به اجرا درآورد. طی این پروژه منحصراً برای جزیره کیش خدمات اپراتوری موبایل ارائه می‌شد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با فناوری یواس‌اس‌دی بود. روشی که پرداخت الکترونیک سامان، در آن زمان پیش‌گرفته بود تا حد خوبی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود. این روش ازنظر امنیتی توسط بانک مرکزی پذیرفته شد و استاندارد امنیتی PCI-DSS را تا حد نسبتاً مطلوبی پوشش می‌داد؛ شیوهٔ عمل یواس‌اس‌دی که سپ در سال ۸۹ راه انداخت با یواس‌اس‌دی‌هایی که امروزه از آن‌ها استفاده می‌کنیم متفاوت بود. یکی از علل امنیت بهتر آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک‌بار به شکل اینترنتی شماره همراهش را توأم با برخی اطلاعات کارت‌بانکی، همچون شماره کارت در یک سامانه ثبت می‌کرد و هنگام استفاده از این فناوری روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفاً با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده می‌شد.

با رشد سپ و جلب‌توجه دیگران، وسوسه‌ها برای ورود به این میدان شروع شد و رقبا هر یک روشی را برای جذب مخاطب بیشتر پیاده کردند. ساده‌سازی فرآیند یکی از آن‌ها بود که پاشنهٔ آشیلی شد که تا امروز ادامه یافته و امنیت این حوزه را از بین برده. شرکت‌های مختلف سعی کردند با حذف پیش ثبت‌نام به استفادهٔ مستقیم از اطلاعات بانکی افراد روی آوردند و با این کار عملاً امنیت یواس‌اس‌دی را خراب کردند. بانک مرکزی باید در همان زمان به مسئله ورود می‌کرد و اجازهٔ رشد نمی‌داد، اما مثل کلی موضوع مشابه دیگر سهل‌انگاری یا مصلحت‌اندیشی کرد و کار از دستش خارج شد؛ اما برندهٔ واقعی این اتفاق قطعاً اپراتورهای همراه بودند که با عقد قراردادهای یک‌طرفه بیشترین سود نصیبشان شد. برای همین هم امروز بیشتر جنجال‌ها از سمت شرکت‌های مخابراتی و زیرمجموعه‌های آن‌ها شنیده می‌شود.

اقدامات بانک مرکزی

بانک مرکزی خیلی دیر در خرداد ۹۳ با اعمال کارمزد ۱۲۰ تومانی برای دریافت موجودی از طریق کدهای دستوری کوشید حجم تراکنش‌ها را کم کند. قدم دوم یک سال طول کشید و در مهر ۹۴ موجودی گرفتن و خرید بر این بستر را برای شرکت‌های پرداخت ممنوع کرد و هم‌زمان سقف ۲۰۰ هزارتومانی برای پرداخت قبوض در این بستر را اعمال کرد تا عملاً به‌جز موارد محدود، خدمات بانکی روی بستر یواس‌اس‌دی صورت نگیرد. در سال ۹۵ بانک مرکزی از سامانه‌ای به نام «پیوند» رونمایی کرد که شماره کارت را به شماره تلفن متصل می‌کرد تا نیازی نباشد کاربران شماره کارت خود را وارد کرده و امنیت حسابشان را به خطر بیندازند؛ اما ازآنجاکه این طرح سفت‌وسخت اجرا نشد چندان هم مؤثر نبود. در آخرین اقدام در بهمن ۹۶ بانک مرکزی اعلام کرد که تنها پرداخت قبوض عمومی از طریق این بستر امکان‌پذیر است و تراکنش‌های دیگر از روی آن حذف خواهد شد. این اقدام جدید بانک مرکزی حجم سنگینی از هجمه‌ها و مقابله‌ها را در پی داشت که همگی از سوی کسب‌وکارهای مبتنی بر یواس‌اس‌دی و اپراتورها هدایت می‌شد. آن‌ها مدعی بودند که بانک مرکزی «ناگهانی» و بعد از پا گرفتن این شرکت‌ها به چنین اقدامی دست‌زده. حال آن‌که این تاریخچه مختصر به‌خوبی نشان می‌دهد که لااقل پنج سال است که بانک مرکزی مدام در خصوص معضل امنیت در این بستر هشدار می‌دهد.

به نظر می‌رسد مقاومت اپراتورها و شرکت‌های زیرمجموعه‌شان روزهای آخرش را می‌گذراند چراکه یک فناوری منسوخ و ناامن به‌طور طبیعی با فناوری‌های جدید و امن‌تر جایگزین خواهد شد. امروزه فناوری‌های پرداخت الکترونیک نوین مانند گوگل پی و اپل پی به‌سرعت در حال رشدند و شیوه‌های مختلفی برای خدمت به مشتریان خود ارائه می‌کنند؛ استفاده از بستر فناوری NFC یکی از آن‌ها است؛ اما باید توجه داشت که یک فناوری می‌تواند خیلی امن باشد اما با اجرای نادرست، غیراصولی و کوته‌بینانه باعث بروز مشکلات عدیده‌ای شود. چندی است از نهادها و افراد مختلف صحبت‌هایی درباره راه‌اندازی شرکت‌هایی نوپا درزمینهٔ «فناوری مالی» شنیده می‌شود تا خدمات مانند کیف پول الکترونیک عرضه شود. آیا وقتی معضلات عدیدهٔ یک موضوع ساده مثل یواس‌اس‌دی چنین گریبان گیر امنیت کاربران کشور می‌شود آیا می‌توان به آیندهٔ چنین شرکت‌هایی امید بست؟ فکر نمی‌کنید اگر بانک مرکزی سال‌ها پیش و قبل از این‌که این حجم از سرمایه‌گذاری بر این بستر صورت بگیرد محکم و قاطع عمل می‌کرد امروز این معضل وجود نمی‌داشت؟