خانه » پست‌هایی با برچسب "USSD"

نگاهی به مسیر پرپیچ و خم USSD از * تا #

چه بخواهیم و چه نخواهیم کانال ناامن USSD به پایان عمر خود رسیده است. حالا امروز نه و چهار ماه بعد. این روزها می‌گذرد. در این گزارش نگاهی انداخته‌ایم به مسیر پرپیچ و خمی که یواس‌اس‌دی از ابتدا تا امروز طی کرده است.
در دنیای امروز که به دنیای تکنولوژی‌ها معروف است، سیستم پرداخت و بانکداری نیز با تحولات شگرفی در ساختارهای پولی و مالی مواجه شده است. امروزه بیشتر صنایع به سمتی رفته‌اند که به شکلی از موبایل و مزایای مختلف آن به نفع خود بهره می‌برند. یکی از موفق‌ترین صنایع در دنیا، صنعت بانکداری و پرداخت الکترونیکی است که با حداکثر قوا سعی داشته تمام خدمات بانکی و پرداخت خود را به شیوه‌های گوناگون از طریق این بستر در دسترس مشتریان خود قرار دهد.
یکی از شیوه‌های پرداخت همراه استفاده از کدهای دستوری (کانال یواس‌اس‌دی) است که در غیاب بستر اینترنتی مناسب در حوزه تلفن همراه برای دریافت خدمات، در ایران به‌شدت گسترش یافته است، اما به‌دلیل اینکه در این کانال اطلاعات به‌صورت مناسب رمزنگاری نمی‌شود و اصطلاحا به شکل Plaintext منتقل می‌شوند، ناامن هستند. اخیرا نیز بخشنامه‌ای از سوی بانک مرکزی ابلاغ شد که در آن گفته شده بود تمامی تراکنش‌های یواس‌اس‌دی به‌جز پرداخت قبوض عمومی از این بستر حذف می‌شوند. مطابق این بخشنامه، اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارائه‌دهنده خدمات پرداخت وجود دارد، مبادله شوند. با این تغییر، نقش اپلیکیشن‌های پرداخت موبایلی شرکت‌های پرداخت و بانک‌ها پررنگ‌تر می‌شود. با توجه به این بخشنامه قرار بود از ۱۵ بهمن‌ماه این تغییرات اعمال شود که با توجه به مخالفت‌هایی که برای عملیاتی شدن این تغییرات به‌وجود آمد، اجرای این بخشنامه به شکل دیگری در حال پیگیری است. با اتفاق‌های پیش‌آمده، یواس‌اس‌دی نفس‌های آخر را می‌کشد و شاید بد نباشد یک بار دیگر نگاهی داشته باشیم به مسیری که این فناوری از ظهور تا سقوط طی کرده است.

نطفه‌ ایجاد یواس‌اس‌دی

می‌توان گفت از حدود سال ۸۵ بود که موضوع پرداخت موبایلی در کشور داغ شد و بانک‌ها و شرکت‌های پرداخت مختلف هر کدام با رویکردی متفاوت در این زمینه شروع به کار کردند. اولین شرکتی که به این فکر افتاد تا پرداخت موبایلی را با روشی امن و منطبق با استانداردهای مورد قبول بانک مرکزی در ایران راه‌اندازی کند، شرکت پرداخت الکترونیک سامان (سپ) بود.
در سال ۸۹ سپ به این نتیجه رسیده بود که می‌تواند از یواس‌اس‌دی به‌منظور انجام پرداخت موبایلی استفاده کند و برای این کار با اپراتورها به مذاکره پرداخت، اما اپراتورهای کشور همکاری لازم را با این مجموعه نکردند و به همین دلیل پرداخت الکترونیک سامان برای اولین بار این کار را با همکاری شرکت کوچکی در کیش پیاده‌سازی کرد که برای محدوده جزیره کیش خدمات اپراتوری موبایل انجام می‌داد؛ بنابراین در آن زمان شرکت پرداخت الکترونیک سامان تنها دارنده مجوز بانک مرکزی در حوزه ارائه خدمات پرداخت تلفن همراه با تکنولوژی یواس‌اس‌دی بود.

یواس‌اس‌دی در ابتدا مسیر امنی را شروع کرد

مدل ارائه‌شده توسط پرداخت الکترونیک سامان، مدلی امن و مناسب برای ارائه خدمات پرداخت الکترونیک بود و این روش از نظر امنیتی کاملا توسط بانک مرکزی مورد قبول واقع شد و استاندارد امنیتی PCI-DSS را تا حد بسیار مطلوبی پوشش می‌داد؛ بنابراین یواس‌اس‌دی که سپ در سال ۸۹ راه‌اندازی کرد با یواس‌اس‌دی‌هایی که امروزه می‌شناسیم بسیار متفاوت بود. یکی از علل امنیت بالای آن نیز این بود که هر کاربر برای استفاده از این بستر باید یک بار به شکل اینترنتی شماره همراهش را به‌همراه برخی اطلاعات کارت بانکی، همچون شماره کارت در یک سامانه ثبت می‌کرد و هنگام استفاده از این تکنولوژی روی موبایل، دیگر لازم نبود اطلاعات حساس بانکی خود را ارسال کند؛ بلکه این اطلاعات حساس صرفا با شناسایی شماره موبایل کاربر، از مرکز داده فراخوانده می‌شد.

معمار چند تا شد؛ آش شور شد

اما پس از سپ دیگر رقبا نیز وارد میدان شدند و برای افزایش تعداد کاربران خود و گرفتن سهم بازار، قوانین بازی را بر هم زدند و از آنجا به بعد بود که یواس‌اس‌دی از مسیر امن بودن خارج شد؛ چراکه دیگر ارائه‌دهندگان بدون نیاز به پیش‌ثبت‌نام اطلاعات کارت بانکی در یک سامانه مجزا، قادر به استفاده مستقیم از این بستر با استفاده از اطلاعات حساس کارت بانکی خود بودند و این شد که این بستر ناامن، راهش را تا همین امروز نیز ادامه داد. بسیاری از متخصصان معتقدند بانک مرکزی به‌عنوان نهاد ناظر و قانون‌گذار باید در این مرحله ورود می‌کرد و اجازه نمی‌داد یواس‌اس‌دی از مسیر امن خودش خارج شود، اما این اتفاق نیفتاد.
از میان بانک‌ها نیز، اولین بانکی که بعد از شرکت پرداخت الکترونیک سامان، به سمت ارائه خدمت از طریق یواس‌اس‌دی آمد، بانک پاسارگاد بود. سال ۹۰، بانک پاسارگاد سیستم پرداخت همراه مبتنی بر بستر یواس‌اس‌دی خود را با همکاری شرکت ایرانسل راه‌اندازی کرد، اما اواخر خرداد ۹۱ بود که شرکت جیرینگ هم به‌سراغ یواس‌اس‌دی رفت و با همبانک به‌عنوان محصول مشترک بانک سینا، شرکت توسن و جیرینگ وارد دوران جدیدی شد. همبانک سینا آن زمان این‌گونه معرفی شد: «همبانک سینا بانکداری همراه مبتنی بر بستر یواس‌اس‌دی است و بدون نیاز به نصب هرگونه نرم‌افزار روی تمامی گوشی‌های تلفن همراه و فقط با گرفتن کد #۷۲۷* قابل ‌استفاده است و مشتریان می‌توانند با استفاده از این خدمت در هر زمان و مکان، حتی در خارج از ایران بدون هزینه رومینگ از خدمات انتقال وجه، پرداخت قبوض، خرید شارژ، دسترسی به اطلاعات حساب‌ها، مانده‌گیری، عملیات بین‌بانکی ساتنا و پایا، پرداخت اقساط تسهیلات و مدیریت چک و غیره بهره‌‌مند شوند.» ناگفته نماند همراه اول در ابتدا تا مدت‌ها اصرار داشت روش خود را پیاده کند و حاضر نبود با سپ به‌عنوان اولین شرکت پرداختی که پا به عرصه یواس‌اس‌دی گذاشته بود، بر سر همراه ۲۴ همکاری کند. از سال ۹۱ تا سال ۹۵ کمتر بانک یا شرکت ارائه‌دهنده راهکارهای پرداختی را می‌توان یافت که هوس ارائه این خدمات دم‌دستی و ناامن بر سرش نزده باشد.

برنده میدان یواس‌اس‌دی که بود؟

بانک‌ها و شرکت‌های پرداخت در یک بازه زمانی و در یک چشم‌وهم‌چشمی وحشتناک هزینه فراوانی را صرف توسعه روشی ناامن کردند که برنده واقعی آن، اپراتورهای مخابراتی بودند و بیشترین کاربرد آن هم فروش شارژ برای همین اپراتورها بود. در این بین حتما باید به قراردادهای ظالمانه اپراتورهای تلفن همراه با شرکت‌های پرداخت الکترونیکی نیز اشاره کرد که نفس بانک‌ها و شرکت‌ها را گرفته بود. شاید به‌دلیل همین قراردادهای یک‌طرفه بود که کمتر در بانک‌ها شاهد اعتراض به ایجاد محدودیت برای یواس‌اس‌دی بودیم و حداقل در این روزها شاهد تکاپوی تمام‌نشدنی شرکت‌های مخابراتی و زیرمجموعه‌های آنها هستیم.

بانک مرکزی دیر از خواب بیدار شد

در ادامه مسیر از سال ۹۱ به بعد، بستر یواس‌اس‌دی رشد قابل ‌توجهی را تجربه کرد و اکثر بانک‌ها و تقریبا تمام شرکت‌های پرداخت به‌ فکر راه‌اندازی خدمات بر بستر یواس‌اس‌دی افتادند. در واقع ارائه خدمات بانکی و پرداخت بر بستر کدهای یواس‌اس‌دی جایی بود که بانک‌ها به یکباره سعی کردند در آن ورود کنند و همه یک سرویس را فقط از روی هم کپی کردند؛ بدون اینکه هیچ‌کدام سرویس منحصربه‌فرد و تازه‌ای را ارائه کنند. تا جایی ارائه خدمت از طریق یواس‌اس‌دی بالا گرفت که دیگر بازار از این تعداد کد یواس‌اس‌دی اشباع شده بود و تعداد تراکنش‌های انجام‌شده این بستر در حال افزایش روزافزون بود؛ در این دوره بود که بانک مرکزی تازه متوجه اوضاع بد این بستر شد.

اقدامات بانک مرکزی برای محدود کردن این بستر ناامن

بانک مرکزی ایران در اولین قدم در ۲۰ خردادماه ۹۳ دریافت موجودی از طریق کدهای یواس‌اس‌دی را منوط به پرداخت کارمزد ۱۲۰ تومانی از سوی کاربر نهایی کرد تا حجم تراکنش‌های اعلام موجودی روی این بستر کاهش یابد. در قدم دوم نیز بانک مرکزی در نیمه مهرماه ۹۴ اقدام به ممنوعیت اعلام موجودی و خرید بر بستر یواس‌اس‌دی برای شرکت‌های پرداخت کرد و همزمان سقف حداکثر ۲۰۰ هزار تومان را برای پرداخت قبوض بر این بستر اعلام کرد که باعث شد دیگر هیچ سرویس بانکی‌ای روی این بستر ارائه نشود و تنها سرویس‌های پرداختی خرید شارژ و پرداخت قبوض بر این بستر ارائه شوند که در این‌ بین نیز تراکنش‌های خرید شارژ بسیار بیشتر از تراکنش‌های پرداخت قبض بود، به‌طوری‌ که عملا می‌توان بستر یواس‌اس‌دی را درگاه فروش شارژ دانست. سومین قدم بانک مرکزی نیز در سال ۹۵ بود که به‌منظور ارتقای سطح امنیت بستر یواس‌اس‌دی، سامانه پیوند را راه‌اندازی کرد که در آن صورت تمامی افرادی که قصد استفاده از خدمات یواس‌اس‌دی را داشتند، باید نسبت به اتصال شماره کارت خود به شماره تلفن همراه از طریق سامانه پیوند اقدام می‌کردند؛ در واقع بانک مرکزی قصد داشت تا با راه‌اندازی این سامانه، کاربران یواس‌اس‌دی، بتوانند بدون وارد کردن شماره کارت بانکی و به ‌بیان ‌دیگر بدون به خطر انداختن امنیت حساب بانکی خود، از کدهای یواس‌اس‌دی استفاده کنند؛ اما الزام به استفاده از این سامانه با جدیت لازم دنبال نشد و تغییر چشمگیری نداشت.
در همین بازه زمانی، چند ماه پیش بود که سروکله تبلیغات #۳* در صداوسیما پیدا شد؛ این سرویس متعلق به شرکت توسکاست که وابسته به یک اپراتور تلفن همراه است. این شرکت قصد داشت طی یک عملیات انتحاری و با انحصاری که در صداوسیما ایجاد کرده بود، سهم شرکت‌های پرداخت روی فروش شارژ تلفن همراه را در دست بگیرد. در حالی ‌که هر روز شاهد حجم گسترده تبلیغات این شرکت برای خدمات یواس‌اس‌دی هستیم، چندی پیش بانک مرکزی چهارمین قدم خود برای جلوگیری از ناامن بودن این بستر را برداشت و ماهیت این بخشنامه‌ این بود که از ۱۵ بهمن‌ماه ۹۶ تنها پرداخت قبوض عمومی از طریق این بستر امکان‌پذیر است و تراکنش‌های دیگر از روی آن حذف خواهد شد که این اقدام جدید بانک مرکزی حجم سنگینی از هجمه‌ها و مقابله‌ها را در پی داشت. این انتقادها بیشتر از طرف کسب‌وکارهای مبتنی بر یواس‌اس‌دی و اپراتورها دنبال شد و این شرکت‌ها شاکی شده‌ بودند که چرا به ‌یکباره بانک مرکزی چنین تصمیمی گرفته است، آن ‌هم بعد از پا گرفتن کسب‌وکارهایی که بر پایه این کانال فعالیت می‌کنند؛ هرچند تاریخچه مطرح‌شده نشان می‌دهد که اقدام بانک مرکزی ناگهانی نبوده و این محدودیت قدم‌به‌قدم انجام شده است و بانک مرکزی در طول سال‌های گذشته همواره به نهادهای بالادستی در خصوص ناامنی این بستر هشدارهای امنیتی داده است. اقدام جدید بانک مرکزی البته موافقانی هم داشت؛ آنهایی که به یواس‌اس‌دی به چشم یک کانال ناامن در پرداخت و بانکداری الکترونیکی می‌نگرند که اغلب فعالان نظام بانکی و پرداخت بودند که به‌خوبی از ناامنی این بستر آگاه هستند؛ اما در هر صورت ظاهرا اجرای این بخشنامه تا اردیبهشت‌ماه ۹۷ به تعویق افتاده است.
در «راه پرداخت» با بسیاری از مدیران ارشد سیستم بانکی و پرداخت در رابطه با تصمیم جدید بانک مرکزی گفت‌وگو کردیم و بیشتر آنها معتقد بودند که بانک مرکزی خیلی زودتر از اینها باید این تصمیم را برای بستر یواس‌اس‌دی می‌گرفت. به اعتقاد آنها شاید علت این تاخیر در چنین تصمیم‌گیری، فراگیر نبودن ابزارهای جایگزین مانند اپلیکیشن‌های موبایلی یا مشکلات گسترده عدم دسترسی به اینترنت همراه در کشور باشد و اما اکنون ‌که این چالش‌ها رفع شده‌اند و اپلیکیشن‌های پرداخت در اختیار مردم قرار گرفته‌‌اند، بانک مرکزی به این نتیجه رسیده است که دیگر یواس‌اس‌دی نمی‌تواند بستر قابل ‌اعتماد و اتکایی باشد و پتانسیل بالایی برای ایجاد چالش‌های امنیتی برای نظام بانکی کشور دارد.

بر سر قبر یواس‌اس‌دی، گریه نکنید!

موضوعی که واضح است اینکه چه بخواهیم و چه نخواهیم یواس‌اس‌دی رفتنی است و مخالفان حذف یواس‌اس‌دی خیلی نباید به ادامه زندگی این بستر امیدوار باشند؛ چراکه این قبری که بالای سرش گریه می‌کنند، مرده‌ای درونش نیست و دیر یا زود این بستر با نابودی مواجه خواهد شد؛ چراکه شاهد وجود اپلیکیشن‌هایی هستیم که همان خدمات را با امنیت بسیار بهتر و با رمزگذاری اطلاعات کارت کاربران در اختیار مشتریان قرار می‌دهند؛ آن هم با تجربه کاربری خیلی بهتر.

🗞منبع خبر: راه پرداخت

موانع توسعه پرداخت موبایلی و حذف کارت‌های بانکی

حذف دردسرهای استفاده از کارت های بانکی در یک بستر امن و جایگزینی موبایل با بسیاری از ابزارهای مورد استفاده امروزی، پرداخت موبایلی را به یکی از ضرورت ها تبدیل کرده است؛ به نظر می رسد این امر نیز در حال تحقق است تا شعار دولت همراه بیش از پیش عملی شود.
موضوع پرداخت موبایل، در سال های اخیر و با گسترش گوشی های هوشمند به عنوان راهی آسان تر برای پرداخت مطرح شده است. سرویس پرداخت موبایل می تواند جایگزین دستگاه های کارتخوان (POS) شود. این کار می تواند از طریق وارد کردن کدهای دستوری USSD و یا NFC انجام شود. به این ترتیب کاربر در هر مکانی با استفاده از موبایل امکان پرداخت خواهد داشت. فناوری NFC شیوه ای است که در آن ارتباطی بی سیم بین دو دستگاه در مجاورت همدیگر در فاصله ای کوتاه (حداکثر چند سانتی متر) برقرار می شود. امروزه تعداد گوشی هایی که از تراشه NFC استفاده و این سامانه را پشتیبانی می کنند، روزبه روز در حال افزایش است.

مهم ترین کاربرد NFC پرداخت پول از طریق گوشی های هوشمند است. برای این منظور، کاربر اطلاعات مربوط به کارت اعتباری خود را در گوشی ذخیره می کند و در زمان خرید، گوشی را به دستگاه NFC خوان نزدیک می کند تا پرداخت انجام شود.

چراغ سبز بانک مرکزی به پرداخت موبایلی

البته از همان ابتدا به دلیل مسایل امنیتی مقاومت هایی از طرف بانک مرکزی و رگولاتوری درباره این روش های پرداخت وجود داشت. اما اواخر پاییز سال گذشته ناصر حکیمی، مدیرکل فناوری اطلاعات بانک مرکزی با بیان آماده سازی زیرساخت مورد نیاز برای بانکداری بر بستر تلفن همراه گفت: «در این شیوه که با شبیه سازی کارت های بانکی انجام می شود، سیم کارت های مشتریان جای کارت های بانکی را می گیرد.» این خبر تا حدی چراغ سبز بانک مرکزی برای فعالیت در عرصه پرداخت موبایلی بود.
محمود واعظی نیز پس از آن به بحث خدمات بانکی بر بستر موبایل پرداخت، با بیان اینکه باید احتیاط در رگولاتوری بانکی را اندکی مدیریت کرد تا سرعت تحولات بیشتر شود، گفت: باید از پتانسیل جدید استفاده کنیم، ولی کار ما در بخش کارشناسی و بروکراسی درگیر است. با تحولات نسل سوم و چهارم تلفن همراه که رخ داده، اکنون هر تلفن هوشمند می تواند نقش کارت بانکی و دستگاه کارتخوان را داشته باشد؛ پس رگولاتوری بانکی با رگولاتوری فناوری اطلاعات باید هماهنگ تر کار کنند. وی همچنین اظهار کرد: مدت هاست به دنبال ارتباط نزدیک موبایل با بانک بوده ایم اما متاسفانه در سیستم بانکی ما احتیاط بیش از حدی صورت می گیرد. در این خصوص صحبت هایی شده و امیدواریم شرایط بهتری حاکم شود. اکنون خوشبختانه یک کمیته مشترک راه اندازی شده و پس از جلسه ای که با آقای سیف داشتیم، این موضوع مورد پیگیری بیشتر قرار گرفته است، زیرا دوستان می دانند پرداخت الکترونیکی در بستر موبایل بخشی از شبکه ملی اطلاعات و دولت الکترونیکی به شمار می رود.

رونمایی رسمی از پرداخت الکترونیکی با  NFC

در پی رونمایی رسمی بانک مرکزی از روش پرداخت الکترونیکی موسوم به NFC اولین ارایه پرداخت موبایلی به صورت گسترده در نمایشگاه کتاب سال جاری اتفاق افتاد. بدین ترتیب ناصر حکیمی، مدیرکل فناوری اطلاعات بانک مرکزی با تشریح بخشنامه بانک مرکزی درباره مجوز به بانک ها برای آغاز پرداخت های موبایلی در کشور گفت: با توجه به توسعه استفاده از تلفن های همراه هوشمند در کشور استفاده از ابزارهای جدید پرداخت که جایگزین پایانه های فروش خودپردازها یا پرداخت های اینترنتی شود، در جامعه احساس می شد.
در این شیوه، پرداخت ها بدون استفاده از کارت و با استفاده از نشان گذاری کارت های بانکی در بستر امن انجام می شود. با نزدیک کردن گوشی هوشمند به پایانه های فروشی که به فناوری NFC مجهز باشند، اطلاعات به شکل نشان گذاری شده از طریق نرم افزارهایی که در گوشی نصب شده است، به شبکه الکترونیکی منتقل و پس از پردازش اطلاعات پرداخت انجام می شود که کل این مراحل کمتر از ۱۰ ثانیه طول می کشد.
حکیمی همچنین اظهار کرد: با این کار می توان انواع پرداخت های جدید را برای نظام های پرداخت تعریف کرد و حتی پرداخت ارقام پایین را بدون وارد کردن رمز و در سقفی که مشتری می خواهد، انجام داد. همچنین این فناوری از امنیت بسیار بالایی نسبت به کارت های بانکی برخوردار است. امنیت کارت های مغناطیسی با یک رمز تامین می شود، اما برای پرداخت موبایلی حداقل به سه رمز شامل رمز ورود به تلفن، رمز ورود به نرم افزار و رمز دوم کارت نیاز است؛ بنابراین حتی در صورت گم شدن گوشی مشکلی برای مشتری پیش نمی آید.

 پرداخت موبایلی، لازمه تحقق دولت الکترونیکی و همراه

در نهایت وزیر ارتباطات و فناوری اطلاعات اوایل مردادماه، از برگزاری جلساتی با رییس کل بانک مرکزی در راستای خدمات پرداخت های الکترونیکی روی موبایل خبر داد و اظهار کرد: تحقق بسیاری از خدمات دولت الکترونیک و دولت همراه، منوط به اجرایی شدن این موضوع است. همکاران بانک مرکزی قول دادند هرچه سریع تر خدمات پرداخت موبایل را به طور کامل برقرار کنند.
وی با ارایه توضیحاتی درباره مذاکره با بانک مرکزی برای پرداخت موبایلی گفت: در گذشته بانک مرکزی در برداشت هایی که از طریق پرداخت موبایلی وجود داشت، محتاط عمل می کردند. اما در نهایت اطمینان پیدا کردند سبکی که ما ارایه کردیم و امروز در دنیا مصطلح است، لطمه ای به رگولاتوری مالی و بانکی آنها وارد نمی کند و مردم نیز امنیت دارند. بنابراین با توجه به راه‌اندازی فاز اول دولت الکترونیکی، بخشی از این فعالیت های بانکی از طریق موبایل می تواند استفاده شود و بخشی دیگر تا آخر شهریور عملیاتی می شود.
وزیر ارتباطات و فناوری اطلاعات درباره تفاوت این پرداخت ها با پرداخت از طریق اپلیکیشن های بانک ها و اپراتورها نیز توضیح داد: در این نوع پرداخت، سیستمی روی موبایل وجود دارد که تا یک سقف پرداخت، احتیاجی به وارد کردن کد ویژه و پسورد ندارد و با گرفتن موبایل روی سیستم عمل می کند.
موافقت بانک مرکزی با پرداخت موبایلی می تواند آغاز تحولی در زمینه پرداخت محسوب شود. دولت همراه اخیرا همزمان با فاز اول دولت الکترونیکی راه اندازی شده است و تلفن همراه را به یک دفتر خدمات الکترونیکی تبدیل می‌کند. بدین ترتیب افزوده شدن خدمات پرداخت به موبایل می تواند مکمل دولت همراه باشد و با توجه به اینکه امروزه گوشی موبایل از مهم ترین ابزارهای مورد استفاده روزمره است، به آسان تر شدن هرچه بیشتر فرآیندها کمک کند.