ستاره و مربع‌های خطرناک از شبکه پرداخت می‌روند

سال ٩١ خبر تکان‌دهنده‌ای روی خروجی رسانه‌های کشور قرار گرفت مبنی بر این‌که فردی به نام خسرو زارع فرید در وبلاگ خود شماره کارت ٣‌میلیون حساب را به همراه رمز عبورشان منتشر کرده است. او این رفتار خود را با این عنوان توجیه کرد که قصد داشته توجه مدیران را به ناامن بودن سیستم بانکی کشور جلب کند. او مدعی بود که در تیرماه‌ سال گذشته به مدیران تمام بانک‌های کشور ایمیل فرستاده و نواقص موجود در سیستم امنیتی کارت‌بانک‌ها را هشدار داده و اعلام آمادگی کرده است که در ازای یک قرارداد کاری، این نواقص را برطرف کند، اما گفته می‌شد در این بین تنها مدیری که نسبت به این هشدار واکنش نشان داده، خاوری، مدیرعامل سابق بانک ملی بود؛ کسی که دو ماه بعد به اتهام دست داشتن در بزرگترین فساد مالی کشور فرار کرد و به کانادا پناه برد.

کسی که گرچه آن روزها به نام یک هکر نابغه معرفی شد، اما او درواقع مدیر سابق نرم‌افزار شرکت انیاک بود که سعی داشت اطلاعات محرمانه زمان مدیریت خود را به بانک‌ها بفروشد. شرکت فناوران انیاک، یکی از شرکت‌های طرف قرارداد بانک مرکزی برای تأمین دستگاه‌های خودپرداز ایران است که در ‌سال ٨۴ موافقتنامه دایم P.S.P را از بانک مرکزی دریافت کرد تا تنها متولی بازاریابی، نصب و پشتیبانی دستگاه‌های خودپرداز بانکی در کشور باشد.

با وجود این، لو رفتن اطلاعات کارت بانکی ٣‌میلیون حساب، مسأله ساده‌ای نبود و حاکی از یک نقص جدی امنیتی در شبکه‌های پرداخت غیرنقدی بود؛ نقصی که باعث می‌شد اطلاعات حساب بانکی افراد بدون رمزنگاری شدن به راحتی در اختیار شرکت‌های واسط قرار داده شود. همین موضوع بانک مرکزی را به تکاپو انداخت تا امنیت شبکه‌های پرداخت را بیشتر کند.

 

ماجرا چیست؟

بانک مرکزی ایران دوم بهمن‌ماه ۹۶، در بخشنامه‌ای اعلام کرد: «اطلاعات حساس کارت مردم، نظیر رمز دوم آنها، نباید از مسیرهایی که فاقد رمزنگاری مناسب بوده و امکان ذخیره‌سازی یا مشاهده آن توسط عواملی غیر از بانک یا ارایه‌دهنده خدمات پرداخت وجود دارد، مبادله شود.» هر چند در بخشنامه بانک مرکزی حرفی از تکنولوژی USSD یا همان ستاره- عدد- مربع‌ها نیامده است، ولی اصلی‌ترین بستری که در دایره مخاطب این بخشنامه قرار می‌گیرد، بستر USSD است.

به زبان ساده‌تر بخواهیم بگوییم، در تراکنش‌های پرداختی بر بستر USSD در شیوه مرسوم فعلی در کشور، اطلاعات حساس کارت بانکی مردم بدون این‌که متناسب با استانداردهای لازم رمزنگاری شود، تبادل می‌شود که می‌توان از این اطلاعات به سادگی سوءاستفاده کرد و می‌توان گفت استفاده از تکنولوژی USSD به شیوه فعلی در صنعت بانکداری و پرداخت کشور، ناامن و مانند آتش زیر خاکستر است؛ هرچند تا امروز مشکل امنیتی حادی اتفاق نیفتاده است، ولی چه کسی می‌تواند تضمین کند که ماجرای مشابه افشای اطلاعات ۳‌میلیون کارت بانکی‌ سال ۹۱، این‌بار با گستردگی و فراگیری بیشتر تکرار نشود؟ در ‌سال ۹۱، فقط ۹۰‌میلیون کارت بانکی در دست مردم بود و اکنون بیش از ۲۰۰‌میلیون کارت بانکی در دست مردم است و آن هم با اقبال و استفاده روزمره چندین‌برابری و اگر بانک مرکزی به‌عنوان یک نهاد ناظر راه‌های تکرار این فاجعه را نبندد، بعید نیست شاهد یک فاجعه بزرگ ملی در کشور باشیم و مسلما دوباره همه انگشت‌های اتهام به سمت بانک مرکزی نشانه خواهد رفت، همان‌طور که در ماجرای موسسات غیر مجاز با وجود این‌که بانک مرکزی بارها هشدار داده بود، سرانجام در نقطه اتهام قرار گرفت.

 

عزم بانک مرکزی برای حذف مبادلات مالی از کدهای دستوری

با وجود انتشار برخی اخبار درباره احتمال به تعویق افتادن حذف مبادلات مالی از کدهای دستوری، معاون فناوری‌های نوین بانک می‌گوید که حذف  این کدهای دستوری از مبادلات مالی در موعد مقرر اجرایی می‌شود.

به‌ نوشته ایرنا، کدهای دستوری (USSD) یک روش ارسال پیام به شمار می‌رود که پیغام‌های آن همواره بین یک «* و #» قرار دارند و بدین‌ترتیب از شماره‌های تلفن تمییز داده می‌شوند.

یکی از مزیت‌های مهم این کدهای دستوری، کاربری آن بدون استفاده کردن از اینترنت است؛ این ویژگی موجب شده تا محبوبیت زیادی بین مردم ایران پیدا کند. این کدها برای استفاده‌های مختلفی چون نقل و انتقالات مالی، پیگیری حساب، خرید شارژ و پرداخت قبوض استفاده می‌شود.

علاوه بر اپراتورهای تلفن همراه که از کدهای دستوری برای خرید شارژ و پرداخت قبوض مشتریان استفاده می‌کنند، در سال‌های اخیر شرکت‌های پرداخت متعددی نیز بر بستر همین کدها در ایران شکل گرفته‌اند.

بانک مرکزی چندی پیش در بخشنامه‌ای اعلام کرد که حذف مبادلات مالی از کدهای دستوری قرار است از ١۵بهمن‌ماه اجرایی شود.

اعلام این تصمیم واکنش‌هایی را بین کسب و کارهای حوزه پرداخت و اپراتورهای تلفن همراه داشت که معتقد بودند این کار، فعالیت‌های آنها را تحت‌تأثیر قرار می‌دهد و از این‌رو، طی هفته گذشته رسانه‌ها از رایزنی وزارت ارتباطات و فناوری اطلاعات با بانک مرکزی برای تعویق در اجرای این تصمیم خبر دادند.

با این‌حال، بانک مرکزی با اتکا بر این‌که این کدهای دستوری امنیت لازم را برای نقل و انتقال‌های مالی ندارند، بر حذف مبادلات مالی از کدهای دستوری اصرار دارد.