بانکداری و پرداخت الکترونیک

فناوری اطلاعات

لبه تکنولوژی

February 5, 2018
11:20 دوشنبه، 16ام بهمنماه 1396
کد خبر: 87793

گزارش روزنامه ایران از توقف طرح تعطیلی ستاره مربع ها

محمدجواد آذری جهرمی از منتفی شدن توقف کدهای دستوری تلفن های همراه (USSD) خبر داد. وی در توئیتر نوشت: در تفاهمی که با ولی‌الله سیف رئیس کل
بانک مرکزی داشتم، بنا شد با رعایت الزاماتی از سوی اپراتورهای تلفن همراه، موضوع توقف خدمات پرداخت با استفاده از کدهای دستوری موبایل فعلاً منتفی شود. همچنین آذری جهرمی در گفت و گو با یکی از خبرگزاری ها منتفی شدن قطع کدهای دستوری را منوط به تضمین امنیت آن از سوی اپراتورهای تلفن همراه دانست.
خبر قطع USSD (کدهای دستوری تلفن همراه، کدهایی است که با * شروع و با # تمام می‌شوند. با استفاده از این کدها، کاربر براحتی و در فضایی ساده فعالیت‌هایی از قبیل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام می‌دهد) .اواخر هفته گذشته رمضانعلی سبحانی‌فر رئیس کمیته مخابرات مجلس شورای اسلامی این خبررا رسانه‌ای کرد و گفت: بانک مرکزی به تازگی و در سکوت خبری طبق بخشنامه ‌ای تصمیم به قطع سرویس کدهای دستوری تلفن همراه از
15 بهمن ماه (روز گذشته)بدون اطلاع قبلی گرفته است که بیشتر برای شارژ اعتباری سیم‌کارت‌های تلفن همراه استفاده می‌شود. این کار در سال جدید موجب به وجود آمدن مشکلات عدیده‌ای برای صاحبان سیم‌کارت‌های اعتباری می‌شود. وی تصمیم بانک مرکزی را عجولانه دانست و افزود: مسئولان بانک مرکزی برای پیاده کردن چنین ایده‌ای که میلیون‌ها نفر از مالکان سیم‌کارت اعتباری در اپراتورهای سه گانه را درگیر می‌کند باید تدبیر بیشتری به‌کار بگیرند  و تا وقتی که سرویس یا سرویس‌های جایگزین بهتری ارائه نشود، نباید سرویس USSD قطع شود چرا که در غیر این صورت مقامات مسئول را به مجلس فراخواهیم خواند.
ناامن بودن بستر کدهای دستوری
خبر منتفی شدن توقف قطع کدهای دستوری را وزیر ارتباطات در حالی اعلام کرد که پیش از آن وی از بانک مرکزی درخواست کرده بود که قطع کدهای دستوری به مدت 4 ماه به تعویق افتد. خبر تعویق 4 ماهه را نیز محمدرضا فرنقی‌زاد مدیرکل روابط عمومی وزارت ارتباطات و فناوری اطلاعات اعلام کرد و گفت: وزارت ارتباطات نیز ضرورت امن‌سازی بسترهای مبادلات مالی را تأیید می‌کند ولی مذاکره‌ای بین وزیر ارتباطات و بانک مرکزی صورت گرفته است تا اجرای بخشنامه قطع سرویس کدهای دستوری تلفن های همراه به مدت 4 ماه به تعویق افتد. وی افزود: اجرای فوری این طرح می‌تواند در روند کاری و زندگی مردم اختلال ایجاد کند، از این‌رو قرار شد تا راهکارهای لازم برای انجام تدابیر مد نظر بانک مرکزی در خصوص ایجاد بسترهای امن برای انجام تراکنش‌های بانکی اندیشیده شود.
ناصر حکیمی معاون فناوری‌های نوین بانک مرکزی معتقد است کدهای دستوری امنیت لازم را برای نقل و انتقال‌های مالی ندارند و قطع این سرویس برای حرکت به سمت مسیرهای امن‌تر تراکنش‌ها و ایمن‌سازی نقل و انتقال مالی مردم صورت می‌گیرد. حکیمی گفت: زمانی که کاربر کد دستوری را وارد می‌کند، شماره کارت و رمز آن به همان صورتی که خوانده می‌شود در سیستم‌ها ذخیره می‌شود در صورتی که نباید بجز کاربر کسی از آنها مطلع باشد از این‌رو بسیار ناامن است و از این طریق پولشویی و کلاهبرداری صورت می‌گیرد. وی افزود: در دو سال اخیر بسترهای امن بانکی (مانند اپلیکیشن‌های مالی) ایجاد شده و می‌توان از آنها استفاده کرد از سوی دیگر حتی در دورافتاده‌ترین نقاط کشور نیز دستگاه POS وجود دارد بنابراین مردم می‌توانند از این دستگاه‌ها برای خرید شارژ اعتباری استفاده کنند.
حتی در همین راستا محمدجواد آذری جهرمی وزیر ارتباطات و فناوری اطلاعات نیز از اقدام بانک مرکزی برای محدود‌سازی مبادلات مالی از کدهای دستوری تلفن های همراه حمایت کرد و گفت: این اقدام بانک مرکزی با هدف افزایش امنیت انجام می‌شود ومتوقف‌سازی به نفع همه کاربران خواهد بود، چرا که باید مراقب آسیب‌هایی که ممکن است متوجه مردم شود، باشیم. البته حسین فلاح جوشقانی رئیس سازمان تنظیم مقررات و ارتباطات رادیویی (رگولاتوری)معتقد است که می‌توان ریسک‌های کدهای دستوری را مرتفع کرد. در بخشی از نامه‌ای که وی به بانک مرکزی نوشته است به رفع ریسک‌های کدهای دستوری تلفن‌های همراه اشاره کرده است. فلاح گفته چالش‌های امنیتی کد دستوری USSD در زمستان سال گذشته نیز مطرح و با عملیاتی شدن سامانه پیوند و یکپارچه شدن کدهای دستوری ریسک‌های آن مرتفع شد.
دسترسی به اطلاعات با تغییر یک کلمه
درباره اینکه چرا بستر کدهای دستوری تلفن های همراه ناامن است «ایران» به سراغ کارشناسان رفت و نظر آنها را جویا شد. در همین راستا مهدی عبادی کارشناس پرداخت الکترونیک معتقد است خدمات USSD بستری مناسب و امن برای ارائه خدمات بانکی نیست. عبادی با بیان مثالی گفت: در سال 91 یک فردی به‌دلیل خیانت به شرکتش اطلاعات 3 میلیون کاربر بانک را منتشر کرد. فعالیت بانکی رویUSSD دقیقاً همین مشکلات را در بردارد، چرا که ثبت و لاگ کردن دیتای کارت بانکی کاربران در سرویس‌های USSD با تغییر تنها یک کلمه از N به Y امکان پذیر است. به عبارتی حتی یک برنامه نویس نیز می‌تواند با ایجاد تغییر گفته شده به اطلاعات و رمز دوم کارت کاربر دسترسی یابد بنابراین به این ترتیب اطلاعات مشتریان فاش شده و امکان کلاهبرداری از حساب‌های بانکی شهروندانی که از این سرویس استفاده می‌کنند، میسر می‌شود از این‌رو استفاده از این بستر دیگر منطقی نیست. مهدی عبادی افزود: از ابتدا نباید روی این بستر ناامن خدمات بانکی ارائه می‌شد و حال که به هزار دلیل و پایین بودن ضریب نفوذ اینترنت بر این بستر خدمات بانکی ارائه می‌شود، دیگر نباید ادامه پیدا کند چون در حال حاضر ضریب نفوذ اینترنت روی تلفن های همراه بشدت افزایش یافته بنابراین کشور از وضع اضطرار خارج شده است. این کارشناس پرداخت الکترونیک با بیان اینکه به اپراتورها 2 سال فرصت داده شده بود تا به‌دنبال راهکاری مناسب و امن به جای USSD باشند، گفت: به اپراتورها این انتقاد وارد است که چرا در مدت دوسال گذشته اقدام مؤثری انجام نداده‌اند و الزامات را رعایت نکرده‌اند، آنها اگر دغدغه امنیت داشتند می‌توانستند تغییر عمده‌ای در شبکه‌های خود ایجاد کرده و جنس کسب و کار خود را تغییر دهند.
مهدی عبادی در ادامه قطع سرویس ناامن USSD را برای اپراتورها یک فرصت دانست و گفت: این می‌تواند برای اپراتورها محرک خوبی باشد تا شبکه‌های اینترنت تلفن همراه خود را بیشتر از پیش حتی تا نقاط دورافتاده و روستاها گسترش دهند. از سوی دیگر باعث می‌شود از نظر امنیتی نیز در نقطه امن قرار بگیریم و مهم تر اینکه فعالیت تنوع خدمات بانکی روی اپلیکیشن‌ها افزایش پیدا می‌کند.
عبادی کارشناس پرداخت الکترونیک درباره این سؤال که قطع خدمات USSD می‌تواند برای قشری از مردم که به اینترنت دسترسی ندارند مشکل ایجاد کند، گفت: اپراتورها می‌توانند خرید شارژ را از وابستگی به اینترنت خارج کنند کاری که یکی از اپراتورها انجام داده است به صورت آفلاین به کاربران خود شارژ می‌دهد. از سوی دیگر اکنون دور و بر هر فردی که از تلفن همراه معمولی نیز استفاده می‌کند فردی وجود دارد که دارای تلفن همراه هوشمند باشد و برای آنها شارژ اعتباری تهیه کند بنابراین راه حل جایگزین وجود دارد.
این کارشناس پرداخت الکترونیک درباره مخالفت‌هایی که با قطع شدن USSD‌ها می‌شود نیز گفت: مخالفت‌ها از سوی اپراتورها نیست، بلکه از سوی شرکت‌های تابعه اپراتورها است که تمام تجارت خود را روی خدمات USSD سوار کرده‌اند و حال که این سرویس ناامن در حال قطع شدن است، کسب و کار خود را در خطر می‌بینند. اپراتورها نیز نباید اجازه دهند شرکت‌های تابعه آنها به‌دلیل کسب و کار خود، ابزارهای ناامن را حفظ کنند، چرا که در این میان بحث اطلاعات کاربران و سوء‌استفاده و کلاهبرداری از اموال مردم وجود دارد. نباید درباره اطلاعات کاربران و سوءاستفاده مالی و کلاهبرداری از اموال مردم سکوت یا احساساتی برخورد کرد، بلکه باید گفت‌و‌گو کرد و با منطق مهندسی جلوی استفاده از این خدمت نا امن را گرفت.
اپ‌های مالی رمزگذاری شده جایگزین USSD
در بین گفته‌های مسئولان بانکداری و کارشناسان، استفاده از اپلیکیشن‌های بانک‌ها به جای استفاده از کد USSD به میان آمده است. آنها استفاده از «فین تک‌»ها را بستر امنی برای تراکنش‌های مالی می‌دانند. میلاد جهاندار دبیر انجمن فین تک‌ها درباره جایگزینی اپلیکیشن‌ها به جای USSD گفت: همه کارشناسان حوزه پرداخت می‌دانند که سرویس USSD برای شهروندان خطرناک است و می‌تواند اطلاعات کاربران را فاش کند و بستری بسیار ناامن است بنابراین اگر دوباره مانند سال 91 اطلاعات کارت بانکی شهروندان از طریق کدهای دستوری فاش شود، بی‌اعتمادی عمومی نسبت به کل نظام مالی کشور ایجاد می‌شود. جهاندار افزود: اپلیکیشن‌های مالی دارای بستر امنی هستند، چرا که همه چیز در آن به صورت رمزگذاری شده است و امکان دسترسی به شماره کارت و پسورد کاربر وجود ندارد از این‌رو اگر شهروندان از اپلیکیشن‌های مالی (فین تک ها) استفاده کنند اطلاعات مالی آنها در امان می‌ماند و امکان کلاهبرداری از کارت آنها وجود ندارد. کسانی که کسب و کار خود را بر بستر کد USSD برنامه‌ریزی کرده‌اند می‌توانند به جای آن از اپ‌ها استفاده کنند. وقتی مردم بدانند که بسترناامنی برای خدمات بانکی وجود دارد قطعاً بسترهای امن را انتخاب می‌کنند. اپلیکیشن‌هایی که خدمات مالی ارائه می‌دهند قابل اعتماد هستند. گفتنی است روزنامه  ایران  به سراغ اپراتورهای تلفن همراه رفت تا نظر آنان را درباره قطع این سرویس و رعایت الزامات آن بداند اما اپراتورها حاضر به گفت‌و‌گو در این زمینه نشدند و اعلام کردند که قرار است فقط وزارت ارتباطات و فناوری اطلاعات در این باره اظهار نظر کند.

نیم نگاه
ناصر حکیمی معاون فناوری بانک مرکزی : کدهای دستوری امنیت لازم را برای نقل و انتقال های مالی ندارند . زمانی که کاربر کد دستوری را وارد می کند، شماره کارت و رمز آن به همان صورتی که خوانده می شود در سیستم ها ذخیره می شود
مهدی عبادی کارشناس پرداخت الکترونیک: به اپراتورها 2 سال فرصت داده شده بود تا به دنبال راهکاری مناسب و امن به جای USSD باشند. به اپراتورها این انتقاد وارد است که چرا در مدت دوسال گذشته اقدام مؤثری انجام نداده اند
میلاد جهاندار دبیر انجمن «فین تک» ها:اپلیکیشن های مالی دارای بستر امنی هستند، چرا که  همه چیز در آن به صورت رمزگذاری شده است و  امکان دسترسی به شماره کارت و پسورد کاربر وجود ندارد

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.