USSD چیست و برای تراکنش‌های بانکی چه‌قدر امن است؟

روز سه‌شنبه ۸ خرداد خبری در رسانه‌های کشور منتشر شد که بانک مرکزی ضوابط جدیدی برای محدودسازی استفاده از کد USSD در عملیات بانکی تصویب و به بانک‌ها ابلاغ کرده تا از هر کارت در هر روز فقط یک بار بتوان در این بستر استفاده کرد. اما در ادامه‌ی روز ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی، در مصاحبه‌ای با ایبِنا چنین ابلاغی را تکذیب کرد و گفت «بانک مرکزی هیچ بخشنامه‌ای در این زمینه صادر نکرده است». البته نگرانی‌های بانک مرکزی در خصوص امنیت یو‌اس‌اس‌دی تازگی ندارد و چند سالی است پیوسته به نهادهای ناظر، تنظیم‌کننده‌ و اپراتورهای تلفن همراه تذکر می‌دهد؛ مهر ۹۴ در نامه‌ای خطاب به رییس وقت سازمان تنظیم مقررات و ارتباطات رادیویی به‌شدت از حیث امنیت یو‌اس‌اس‌دی ابراز نگرانی کرد و خواستار توقف فعالیت اپراتورها در این حوزه شد. در این نامه‌ی بانک مرکزی آمده بود که چون امنیت بستر و مسیر یو‌اس‌اس‌دی برای تبادل اطلاعات حساس کارت‌های بانکی به هیچ‌وجه امن نیست، اپراتورهای همراه باید تنها از طریق شرکت‌های پرداخت الکترونیک یا بانک‌های دارای مجوز از بانک مرکزی نسبت به ارائه خدمات پرداخت اقدام کنند و فعالیت سایر دستگاه‌ها، شرکت‌ها و امثالهم در این زمینه متوقف شود.

درواقع روی صحبت بانک مرکزی خدمات اپراتورها و شرکت‌های وابسته‌شان در زمینه‌ی پرداخت الکترونیک بود. حالا دو سال بعد از آن اخطار صریح نه تنها توقفی در این امر نمی‌بینیم بلکه شاهد گسترش هرروزه‌ی این دست خدمات و حتی تبلیغ گسترده‌ی آن‌ها در رسانه‌ی ملی هستیم. البته یک بار دیگر در بهمن ۹۶ تلاش‌هایی برای توقف این موضوع صورت گرفت ولی خیلی زود طی مذاکراتی بین بانک مرکزی و وزارت ارتباطات متوقف و اعلام شد اجرای آن ۴ ماه به تعویق می‌افتد. در آن زمان گفته شد «به‌رغم آن‌که وزارت ارتباطات، نقطه نظرهای بانک مرکزی در خصوص خدمات کدهای دستوری (USSD) و ضرورت امن‌سازی بسترهای مبادلات مالی را قبول دارد اما برای آن‌که اخلالی در خدمت‌رسانی به مردم ایجاد نشود، پیشنهاد تعویق در اجرای این طرح را به بانک مرکزی داده».

از همان دو سال پیش عده‌ای که خود در این قضیه ذی‌نفع بودند با بهانه‌ی «حقوق مصرف‌کننده» سعی در کارشکنی در این طرح داشتند. هیچ‌جا هم گفته نشد که فروش بیشتر اعتبار سیم‌کارت و درآمدزایی بیشتر برای اپراتورها چه ربطی به «حقوق مصرف‌کننده» دارد و این‌که اگر بر فرض داشته باشد آیا اساساً «امنیت» مصرف‌کننده حق بالاتری از آن نیست؟ گفته می‌شد در مناطقی از کشور که دسترسی به اینترنت وجود ندارد یو‌اس‌اس‌دی راه‌گشا است؛ ولی گفته نشد آیا بهای ناکارآمدی و کم‌کاری اپراتورهای همراه طی سالیان را باید مردم با در خطر قرار دادن «امنیت» خود بپردازند؟

به نظر می‌رسد بانک مرکزی که خود را از اعمال نظر بر رگولاتوری مخابرات و اپراتورهای همراه ناتوان می‌بیند تصمیم گرفته کدهای دستوری را گام‌به‌گام محدود کند. اما باید پرسید با این‌که حداقل دو سال از تذکر و هشدار صریح بانک مرکزی در مورد امنیت یو‌اس‌اس‌دی می‌گذرد چه‌طور هنوز کاری عملی صورت نگرفته و تصمیم‌گیری مدام به آینده موکول می‌شود؟ جالب این‌که صداوسیما مدام آن‌ها را تبلیغ می‌کند و حتی اخیرا خود این نهاد هم وارد این بازار پرسود شده. اگر مشکلی در امنیت تبادلات بانکی و پولی مردم رخ دهد بانک مرکزی پاسخ‌گو خواهد بود یا سازمان تنظیم مقررات مخابراتی و اپراتورهای همراه؟

در همان بهمن ۹۶ اعلام شد وزیر ارتباطات برای نصب «اپلت» روی سیم‌کارت‌های همراه توافق کرده تا دغدغه‌های امنیتی کد دستوری حل شود. اما آیا واقعا این یک راه حل است؟ پایگاه حکاک در گفت‌وگو با شاهین نوروزی کارشناس امنیت سایبری این موضوع را بررسی کرده: «در پروتکل یواس‌اس‌دی هیچ نوع رمزنگاری روی اطلاعات انجام نمی‌شود، به همین خاطر هم بستر به شدت ناامنی برای تبادل هرگونه اطلاعات مهم خصوصاً اطلاعات بانکی است.» نوروزی دغدغه‌ی بانک مرکزی درباره‌ی امنیت یو‌اس‌اس‌دی برای تراکنش‌های بانکی را که مستلزم انتقال اطلاعات حساس در این بستر است کاملاً درست و به‌جا می‌داند؛ چون بسته‌های اطلاعاتی که تحت این پروتکل رد و بدل می‌شوند فاقد رمزگذاری هستند بنابراین شنود آن‌ها برای تمام عناصر موجود در مسیر انتقال این بسته‌ها میسر است و می‌توانند محتوای آن‌ها را ببینند: «درواقع اپراتورها، شرکت‌های پرداخت و کسانی که سِروِرهای کدهای دستوری را در اختیار دارند، به این بسته‌های اطلاعاتی دسترسی دارند. به عبارت روشن‌تر وقتی هرکدام از ما تراکنشی با کدهای دستوری انجام می‌دهیم، شماره کارت، رمز دوم، تاریخ انقضا و … کارت و حساب بانکی‌مان در معرض دید افراد مختلفی قرار می‌گیرد و طبیعتاً احتمال سوءاستفاده از این اطلاعات هم مطرح خواهد بود. اگرچه شاپرک و بانک مرکزی به‌عنوان متولیان حوزه‌ی پرداخت کشور، نظارت سخت‌گیرانه‌ای بر بانک‌ها و شرکت‌های پرداخت الکترونیک دارند تا سوءاستفاده‌های احتمالی را به حداقل برسانند ولی باز هم امکان و احتمال لو رفتن اطلاعات بانکی از بین نمی‌رود؛ خصوصاً این‌که متأسفانه طی یکی دو سال اخیر شاهد فعالیت و تبلیغات گسترده شرکت‌هایی هستیم که کدهای دستوری تحت اجاره خود را تبلیغ می‌کنند و از آنجایی که نه بانک هستند و نه شرکت پرداخت، از حیطه‌ی نظارت بانک مرکزی و شاپرک خارج هستند و رگولاتورهای مخابراتی هم نظارتی بر آن‌ها ندارند. این رویه ریسک استفاده از کدهای دستوری را به‌شدت بالا برده و به همین خاطر بانک مرکزی به دنبال محدود کردن این سرویس است.»

توصیه‌ی نوروزی این است که مردم به هیچ وجه از این بستر برای انجام تراکنش‌های بانکی استفاده نکنند. او در خصوص صحبت‌ها درباره‌ی استفاده از تدابیری مانند اپلت برای امن‌تر کردن یو‌اس‌اس‌دی گفت: «واقعیت این است که ذات پروتکل یواس‌اس‌دی به گونه‌ای نیست که اطلاعات را رمزنگاری کند ولی این امکان وجود دارد که با نصب نرم‌افزارهایی مانند اپلت روی سیم‌کارت تلفن همراه، اطلاعات را رمزگذاری کنیم. با این حال نکته مهم این است که اطلاعات رمزگذاری شده در نقطه ارسال که همان گوشی تلفن همراه است در کدام نقطه رمزگشایی خواهد شد؟ اگر قرار باشد این اطلاعات در نقطه اپراتورها رمزگشایی شود در واقع فقط اطلاعات در مسیر بین گوشی تا اپراتور امن شده و احتمال سوءاستفاده از این اطلاعات در سایر نقاط مسیر هم‌چنان باقی خواهد ماند. از آن‌جا که برای دست‌برد و شنود اطلاعات در مسیر گوشی تا اپراتور نیاز به تجهیزات خاص و تخصص کافی است انجام این نوع حمله راه ساده و متداولی نیست به این ترتیب ارزش‌افزوده‌ای برای امنیت اطلاعات به وجود نیاورده‌ایم و مسئله شنود اطلاعات در هر نقطه‌ای به ویژه شرکت‌های واسطه اطلاعات به قوت خود باقی است.»

نوروزی در ادامه‌ی صحبت‌های خود اظهار داشت: «راه دوم این است که بسته‌ی اطلاعاتی از گوشی رمزگذاری و در نقاطی که مورد تأیید بانک مرکزی یا شاپرک هستند، رمزگشایی شوند. لازمه‌ی این کار این است که ارائه‌دهنده‌ی خدمات بانکی با تغییراتی در نرم‌افزارهای خود، اطلاعات رمزگذاری شده را باز کنند. با این حال یک چیز مسلم است: در هر دو روش، اگر کسی هم‌چنان اصرار دارد از کدهای دستوری استفاده کند باید سیم‌کارت خود را عوض کند یا برای نصب «اپلت» روی سیم‌کارت خود به اپراتورها مراجعه کند؛ اقدامی که قطعاً پرهزینه، پرزحمت و شاید هم نشدنی باشد. منطق حکم می‌کند به‌جای استفاده از پروتکلی که ذاتاً ناامن است، برای گوشی‌های نسل گذشته طراحی شده و کاربرد داشته و برای تبادل اطلاعات بانکی، نامناسب است، کاربران را به سمت استفاده از فن‌آوری‌های جدید مانند اپلیکیشن‌های پرداخت سوق دهیم.»

با این اوصاف ادامه‌ی استفاده از یو‌اس‌اس‌دی که موجب نشت اطلاعات حساس مشتریان بانک‌ها در خارج از شبکه پرداخت و نظام بانکی نظیر اپراتورها، شرکت‌های واسط ارائه‌دهنده خدمت و غیره می‌شود، ممکن است پی‌آمدها و آسیب‌های جدی داشته و به بی‌اعتمادی و عدم اطمینان عمومی در استفاده از ابزارهای پرداخت الکترونیک منجر شود. در صورت بروز ماجرایی مانند افشای اطلاعات چند میلیون کارت بانکی چه کسی پاسخ‌گو خواهد بود؟