چه بخواهیم و چه نخواهیم کانال ناامن USSD به پایان عمر خود رسیده است. حالا امروز نه و چهار ماه بعد. این روزها میگذرد. در این گزارش نگاهی انداختهایم به مسیر پرپیچ و خمی که یواساسدی از ابتدا تا امروز طی کرده است.
در دنیای امروز که به دنیای تکنولوژیها معروف است، سیستم پرداخت و بانکداری نیز با تحولات شگرفی در ساختارهای پولی و مالی مواجه شده است. امروزه بیشتر صنایع به سمتی رفتهاند که به شکلی از موبایل و مزایای مختلف آن به نفع خود بهره میبرند. یکی از موفقترین صنایع در دنیا، صنعت بانکداری و پرداخت الکترونیکی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت خود را به شیوههای گوناگون از طریق این بستر در دسترس مشتریان خود قرار دهد.
یکی از شیوههای پرداخت همراه استفاده از کدهای دستوری (کانال یواساسدی) است که در غیاب بستر اینترنتی مناسب در حوزه تلفن همراه برای دریافت خدمات، در ایران بهشدت گسترش یافته است، اما بهدلیل اینکه در این کانال اطلاعات بهصورت مناسب رمزنگاری نمیشود و اصطلاحا به شکل Plaintext منتقل میشوند، ناامن هستند. اخیرا نیز بخشنامهای از سوی بانک مرکزی ابلاغ شد که در آن گفته شده بود تمامی تراکنشهای یواساسدی بهجز پرداخت قبوض عمومی از این بستر حذف میشوند. مطابق این بخشنامه، اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیرهسازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائهدهنده خدمات پرداخت وجود دارد، مبادله شوند. با این تغییر، نقش اپلیکیشنهای پرداخت موبایلی شرکتهای پرداخت و بانکها پررنگتر میشود. با توجه به این بخشنامه قرار بود از ۱۵ بهمنماه این تغییرات اعمال شود که با توجه به مخالفتهایی که برای عملیاتی شدن این تغییرات بهوجود آمد، اجرای این بخشنامه به شکل دیگری در حال پیگیری است. با اتفاقهای پیشآمده، یواساسدی نفسهای آخر را میکشد و شاید بد نباشد یک بار دیگر نگاهی داشته باشیم به مسیری که این فناوری از ظهور تا سقوط طی کرده است.
نطفه ایجاد یواساسدی
میتوان گفت از حدود سال ۸۵ بود که موضوع پرداخت موبایلی در کشور داغ شد و بانکها و شرکتهای پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند. اولین شرکتی که به این فکر افتاد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راهاندازی کند، شرکت پرداخت الکترونیک سامان (سپ) بود.
در سال ۸۹ سپ به این نتیجه رسیده بود که میتواند از یواساسدی بهمنظور انجام پرداخت موبایلی استفاده کند و برای این کار با اپراتورها به مذاکره پرداخت، اما اپراتورهای کشور همکاری لازم را با این مجموعه نکردند و به همین دلیل پرداخت الکترونیک سامان برای اولین بار این کار را با همکاری شرکت کوچکی در کیش پیادهسازی کرد که برای محدوده جزیره کیش خدمات اپراتوری موبایل انجام میداد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با تکنولوژی یواساسدی بود.
یواساسدی در ابتدا مسیر امنی را شروع کرد
مدل ارائهشده توسط پرداخت الکترونیک سامان، مدلی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود و این روش از نظر امنیتی کاملا توسط بانک مرکزی مورد قبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش میداد؛ بنابراین یواساسدی که سپ در سال ۸۹ راهاندازی کرد با یواساسدیهایی که امروزه میشناسیم بسیار متفاوت بود. یکی از علل امنیت بالای آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را بههمراه برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت میکرد و هنگام استفاده از این تکنولوژی روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده میشد.
معمار چند تا شد؛ آش شور شد
اما پس از سپ دیگر رقبا نیز وارد میدان شدند و برای افزایش تعداد کاربران خود و گرفتن سهم بازار، قوانین بازی را بر هم زدند و از آنجا به بعد بود که یواساسدی از مسیر امن بودن خارج شد؛ چراکه دیگر ارائهدهندگان بدون نیاز به پیشثبتنام اطلاعات کارت بانکی در یک سامانه مجزا، قادر به استفاده مستقیم از این بستر با استفاده از اطلاعات حساس کارت بانکی خود بودند و این شد که این بستر ناامن، راهش را تا همین امروز نیز ادامه داد. بسیاری از متخصصان معتقدند بانک مرکزی بهعنوان نهاد ناظر و قانونگذار باید در این مرحله ورود میکرد و اجازه نمیداد یواساسدی از مسیر امن خودش خارج شود، اما این اتفاق نیفتاد.
از میان بانکها نیز، اولین بانکی که بعد از شرکت پرداخت الکترونیک سامان، به سمت ارائه خدمت از طریق یواساسدی آمد، بانک پاسارگاد بود. سال ۹۰، بانک پاسارگاد سیستم پرداخت همراه مبتنی بر بستر یواساسدی خود را با همکاری شرکت ایرانسل راهاندازی کرد، اما اواخر خرداد ۹۱ بود که شرکت جیرینگ هم بهسراغ یواساسدی رفت و با همبانک بهعنوان محصول مشترک بانک سینا، شرکت توسن و جیرینگ وارد دوران جدیدی شد. همبانک سینا آن زمان اینگونه معرفی شد: «همبانک سینا بانکداری همراه مبتنی بر بستر یواساسدی است و بدون نیاز به نصب هرگونه نرمافزار روی تمامی گوشیهای تلفن همراه و فقط با گرفتن کد #۷۲۷* قابل استفاده است و مشتریان میتوانند با استفاده از این خدمت در هر زمان و مکان، حتی در خارج از ایران بدون هزینه رومینگ از خدمات انتقال وجه، پرداخت قبوض، خرید شارژ، دسترسی به اطلاعات حسابها، ماندهگیری، عملیات بینبانکی ساتنا و پایا، پرداخت اقساط تسهیلات و مدیریت چک و غیره بهرهمند شوند.» ناگفته نماند همراه اول در ابتدا تا مدتها اصرار داشت روش خود را پیاده کند و حاضر نبود با سپ بهعنوان اولین شرکت پرداختی که پا به عرصه یواساسدی گذاشته بود، بر سر همراه ۲۴ همکاری کند. از سال ۹۱ تا سال ۹۵ کمتر بانک یا شرکت ارائهدهنده راهکارهای پرداختی را میتوان یافت که هوس ارائه این خدمات دمدستی و ناامن بر سرش نزده باشد.
برنده میدان یواساسدی که بود؟
بانکها و شرکتهای پرداخت در یک بازه زمانی و در یک چشموهمچشمی وحشتناک هزینه فراوانی را صرف توسعه روشی ناامن کردند که برنده واقعی آن، اپراتورهای مخابراتی بودند و بیشترین کاربرد آن هم فروش شارژ برای همین اپراتورها بود. در این بین حتما باید به قراردادهای ظالمانه اپراتورهای تلفن همراه با شرکتهای پرداخت الکترونیکی نیز اشاره کرد که نفس بانکها و شرکتها را گرفته بود. شاید بهدلیل همین قراردادهای یکطرفه بود که کمتر در بانکها شاهد اعتراض به ایجاد محدودیت برای یواساسدی بودیم و حداقل در این روزها شاهد تکاپوی تمامنشدنی شرکتهای مخابراتی و زیرمجموعههای آنها هستیم.
بانک مرکزی دیر از خواب بیدار شد
در ادامه مسیر از سال ۹۱ به بعد، بستر یواساسدی رشد قابل توجهی را تجربه کرد و اکثر بانکها و تقریبا تمام شرکتهای پرداخت به فکر راهاندازی خدمات بر بستر یواساسدی افتادند. در واقع ارائه خدمات بانکی و پرداخت بر بستر کدهای یواساسدی جایی بود که بانکها به یکباره سعی کردند در آن ورود کنند و همه یک سرویس را فقط از روی هم کپی کردند؛ بدون اینکه هیچکدام سرویس منحصربهفرد و تازهای را ارائه کنند. تا جایی ارائه خدمت از طریق یواساسدی بالا گرفت که دیگر بازار از این تعداد کد یواساسدی اشباع شده بود و تعداد تراکنشهای انجامشده این بستر در حال افزایش روزافزون بود؛ در این دوره بود که بانک مرکزی تازه متوجه اوضاع بد این بستر شد.
اقدامات بانک مرکزی برای محدود کردن این بستر ناامن
بانک مرکزی ایران در اولین قدم در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای یواساسدی را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنشهای اعلام موجودی روی این بستر کاهش یابد. در قدم دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر یواساسدی برای شرکتهای پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد که باعث شد دیگر هیچ سرویس بانکیای روی این بستر ارائه نشود و تنها سرویسهای پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارائه شوند که در این بین نیز تراکنشهای خرید شارژ بسیار بیشتر از تراکنشهای پرداخت قبض بود، بهطوری که عملا میتوان بستر یواساسدی را درگاه فروش شارژ دانست. سومین قدم بانک مرکزی نیز در سال ۹۵ بود که بهمنظور ارتقای سطح امنیت بستر یواساسدی، سامانه پیوند را راهاندازی کرد که در آن صورت تمامی افرادی که قصد استفاده از خدمات یواساسدی را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام میکردند؛ در واقع بانک مرکزی قصد داشت تا با راهاندازی این سامانه، کاربران یواساسدی، بتوانند بدون وارد کردن شماره کارت بانکی و به بیان دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای یواساسدی استفاده کنند؛ اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.
در همین بازه زمانی، چند ماه پیش بود که سروکله تبلیغات #۳* در صداوسیما پیدا شد؛ این سرویس متعلق به شرکت توسکاست که وابسته به یک اپراتور تلفن همراه است. این شرکت قصد داشت طی یک عملیات انتحاری و با انحصاری که در صداوسیما ایجاد کرده بود، سهم شرکتهای پرداخت روی فروش شارژ تلفن همراه را در دست بگیرد. در حالی که هر روز شاهد حجم گسترده تبلیغات این شرکت برای خدمات یواساسدی هستیم، چندی پیش بانک مرکزی چهارمین قدم خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه این بود که از ۱۵ بهمنماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکانپذیر است و تراکنشهای دیگر از روی آن حذف خواهد شد که این اقدام جدید بانک مرکزی حجم سنگینی از هجمهها و مقابلهها را در پی داشت. این انتقادها بیشتر از طرف کسبوکارهای مبتنی بر یواساسدی و اپراتورها دنبال شد و این شرکتها شاکی شده بودند که چرا به یکباره بانک مرکزی چنین تصمیمی گرفته است، آن هم بعد از پا گرفتن کسبوکارهایی که بر پایه این کانال فعالیت میکنند؛ هرچند تاریخچه مطرحشده نشان میدهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدمبهقدم انجام شده است و بانک مرکزی در طول سالهای گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است. اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به یواساسدی به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی مینگرند که اغلب فعالان نظام بانکی و پرداخت بودند که بهخوبی از ناامنی این بستر آگاه هستند؛ اما در هر صورت ظاهرا اجرای این بخشنامه تا اردیبهشتماه ۹۷ به تعویق افتاده است.
در «راه پرداخت» با بسیاری از مدیران ارشد سیستم بانکی و پرداخت در رابطه با تصمیم جدید بانک مرکزی گفتوگو کردیم و بیشتر آنها معتقد بودند که بانک مرکزی خیلی زودتر از اینها باید این تصمیم را برای بستر یواساسدی میگرفت. به اعتقاد آنها شاید علت این تاخیر در چنین تصمیمگیری، فراگیر نبودن ابزارهای جایگزین مانند اپلیکیشنهای موبایلی یا مشکلات گسترده عدم دسترسی به اینترنت همراه در کشور باشد و اما اکنون که این چالشها رفع شدهاند و اپلیکیشنهای پرداخت در اختیار مردم قرار گرفتهاند، بانک مرکزی به این نتیجه رسیده است که دیگر یواساسدی نمیتواند بستر قابل اعتماد و اتکایی باشد و پتانسیل بالایی برای ایجاد چالشهای امنیتی برای نظام بانکی کشور دارد.
بر سر قبر یواساسدی، گریه نکنید!
موضوعی که واضح است اینکه چه بخواهیم و چه نخواهیم یواساسدی رفتنی است و مخالفان حذف یواساسدی خیلی نباید به ادامه زندگی این بستر امیدوار باشند؛ چراکه این قبری که بالای سرش گریه میکنند، مردهای درونش نیست و دیر یا زود این بستر با نابودی مواجه خواهد شد؛ چراکه شاهد وجود اپلیکیشنهایی هستیم که همان خدمات را با امنیت بسیار بهتر و با رمزگذاری اطلاعات کارت کاربران در اختیار مشتریان قرار میدهند؛ آن هم با تجربه کاربری خیلی بهتر.
🗞منبع خبر: راه پرداخت