مردم نگران استفاده از کدهای USSD نباشند

نیما امیر شکاری با بیان اینکه​ در گذشته موارد خیلی کمی از سوء‌استفاده از مشکلات امنیتی کدهای دستوری گزارش شده است گفت: در امنیت هیچگاه نمی‌توانیم به طور صد در صد تضمین کنیم.

درخصوص مشکلات امنیتی کدهای دستوری باید عرض کنم که این کدها امکان رمزنگاری ندارند و وقتی شماره کارت و رمز از طریق آنها ارسال می‌شود دو اتفاق رخ میدهد. یکی اینکه در مسیر قابلیت شنود وجود دارد و دوم اینکه از محلی عبور می‌کند که اپراتور موبایل است و این محل تحت کنترل و  نظارت ناظر پولی کشور یعنی بانک مرکزی نیست. در این شرایط از دو جهت خطر وجود دارد.

اولین خطر این است که هکرها می‌توانند سوء‌استفاده کنند و دوم آنکه چون تحت نظارت بانک مرکزی نیست امکان سوء‌استفاده احتمالی در سایر ارگان‌ها وجود دارد. البته نه به‌عنوان سوءاستفاده بلکه به‌عنوان استفاده نادرست از این پول‌ها در سوئیچ‌های مخابراتی. درواقع بخاطر اینکه تحت نظارت بانک مرکزی نیستند امکان این وجود دارد که توسط کارمندان و یا افرادی که پیش‌نیازهای بانک مرکزی را ندارند و بررسی لازم روی آنها انجام نشده مورد سوء‌استفاده قرار بگیرد. ولی خطر اصلی همان خطر اول یعنی مشکل plain text و رمزنگاری نشده بودن آنها است که باعث می‌شود هر کسی در مسیر بتواند آنها را شنود کند.

در گذشته موارد خیلی خیلی کمی از سوء‌استفاده از مشکلات امنیتی کدهای دستوری گزارش شده است. خوشبختانه در این حوزه آنقدر سوء استفاده بزرگ نشده بود و خیلی  شناخته شده نبوده است. ولی به هر حال به خاطر وجود این مشکل امنیتی بانک مرکزی از مدت‌ها پیش صلاح نمی‌دانست که  این کدها برقرار باشد. در دنیا هم سال‌هاست که این روش دیگر منسوخ شده که شما پرداخت را روی کانال USSD انجام دهید. به خاطر اینکه روش های بسیار گوناگونی به موازات این کدها ایجاد شده که هم از نظر استفاده راحت‌تر است و هم  اینکه از نظر امنیتی بسیار بالاتر است. مخصوصا اینکه شما در فضای  پرداخت که وارد می‌شوید یک سری استانداردهای امنیتی در دنیا وجود دارد. برای اینکه بتوانید آنها را رعایت کنید نیازمند آن هستیم که تکنولوژی‌های خود را ارتقاء دهیم. USSD از اولین تکنولوژی‌های مخابراتی استفاه می‌کند که در گوشی‌های قدیمی هم وجود داشته است. برای ارتقاء امنیتی پرداخت‌ها لازم است که از تکنولوژی‌های قدیمی که ساپورت لازم برای استانداردهای امنیتی جدید را ندارند فاصله بگیریم.

اینکه آیا مردم باید از سوء‌استفاده از اطلاعات بانکی خود نگران باشند با توجه به گزارش‌هایی که آمده من فکر نمی‌کنم این احتمال زیاد باشد ولی به هر حال احتمالش صفر نیست. در امنیت هیچگاه نمی‌توانیم به طور صد در صد تضمین کنیم. لذا احتمال سوء‌استفاده از اطلاعات بانکی صفر نیست ولی خیلی جای نگرانی وجود ندارد. باید توجه کرد که اگر چنین مشکلی بود تاکنون مشخص شده بود و  مورد سوء‌استفاده قرار گرفته بود. تاکنون مشخص شده بود. اکنون هم که این کدها بسته می‌شود دیگر احتمال سوء‌استفاده به طور کامل از بین می‌رود.

برای جایگزین کدهای USSD بحث اپلیکیشن‌های پرداخت مطرح است. کل دنیا در حال حرکت به سمت اپلیکیشن موبایل است و راه صحیحی که وجود دارد استفاده از آپ‌های موبایلی جه در بستر اندروید چه در بستر ای او اس چه در بستر ویندوز موبایل و یا هر محیطی که در گوشی هوشمند  وجود دارد است. ضریب نفوذ گوشی هوشمند در کشور ما نیز مناسب است. بطوریکه اکنون ضریب نفوذ گوشی هوشمند در کشور بالای شصت درصد است و افرادی که از این گوشی‌ها استفاده می‌کنند معمولا از خدمات الکترونیکی بهره بیشتری می‌برند. به خاطر همین هم است که این گوشی‌ها را انتخاب می‌کنند و بر روی گوشی‌هایی که هوشمند هستند سرمایه‌گذاری می‌کنند  قیمت گوشی‌ها هم پایین آمده است. شما از نزدیک دویست هزار تومان هم می‌توانید گوشی هوشمند تهیه کنید تا مدل‌های بسیار پیشرفته.

مثال‌های اسنپ و تپسی و استفاده زیاد مردم از این سرویس‌ها نشان میدهد که گوشی‌های هوشمند محبوبیت خود را نزد جامعه پیدا کرده‌اند. بهترین و امن‌ترین روش آن است که  در بستر این گوشی‌ها و با استفاده درست از امکانات امنیتی که این گوشی‌ها در اختیار ما قرار میدهند بتوانیم بستر امن پرداخت را برای مشتریان فراهم کنیم. الان آپ‌های مختلفی وجود دارند لازم است تبلیغات خوبی روی آنها انجام شود. خارج از بستر پرداخت مهم‌تر از همه این است که بانک مرکزی و نظام پرداختی به سمت risk based approach حرکت می‌کند و لازم نیست تمام موارد امنیتی که برای یک پرداخت ده میلیونی انجام می‌شود و هزینه‌بر است برای یک پرداخت شارژ دو هزار تومانی هم وجود داشته باشد.

بنابراین دنیا به سمت risk based approach در حال حرکت است و بسته به مبلغ پرداخت و یک سری چک‌های  امنیتی روی فرستنده، گیرنده، شماره حساب‌ها، مبالغ و … می‌تواند امکان ابن را به شما بدهد  که ریسک پرداخت را قبل از پرداخت سنجش کنید و بهترین و کم هزینه‌ترین و امن‌ترین  بستر پرداخت را برای پرداخت مورد نظر انتخاب کنید. این امکان  با توجه به بستر گوشی‌های هوشمند و اپ‌های موبایل ممکن شده است. در ایران هم باید کم کم قوانین و مکانیزم‌ها را وارد سیستم کنند تا لازم نباشد هم کارت شارژ از تمام بسترهای امنیتی رد شود که هزینه‌بر است و به صرفه نیست. از ظرف دیگر پرداخت ده میلیونی هم بر روی بستر ناامنی همچون USSD اتفاق نیافتد. لازم است که این در نظر گرفته شود و پی اس پی ها و بانک مرکزی با توجه به نوع پرداخت تصمیم لازم را در ابزارهای لازم اعمال کنند.