هکرها در کمین ستاره و مربع‌های جنجالی

بانک مرکزی پس از چند سال تلاش اکنون به‌صورت قاطع تصمیم گرفته تا تراکنش‌های مالی روی بستر مشهور یو‌اس‌اس‌دی را حذف کند؛همان کدهای ستاره و مربعی که بسیاری از مردم برای خرید شارژ سیم‌کارت‌های اعتباری یا کارهای دیگر سال‌ها با آن آشنا بوده‌اند. ‎‎USSD  یا همان Unstructured Supplementary Service Data (ارسال پیام از طریق کد دستوری) در زمانی که اینترنت روی موبایل ماجرایی ناشناخته بود محبوبیت بسیاری داشت. استفاده کاربران هم از آن راحت بود؛ چون بدون نیاز به استفاده از اینترنت و ساده‌ترین و ارزان‌ترین گوشی‌های موجود در بازار هر جایی که موبایل آنتن می‌داد امکان انجام کارها ازجمله تراکنش مالی در دسترس بود. با وجود سیاست بانک مرکزی و با اعلام نبود امنیت تراکنش مالی در این بستر قدیمی اما با درخواست وزارت ارتباطات اجرای قطع تراکنش مالی با کدهای ستاره و مربعی تا چندماه به حالت تعلیق در آمده است. بانک مرکزی می‌گوید که استفاده از این روش قدیمی و کدهای یو‌اس‌ا‌س‌دی امنیت لازم را ندارد و به‌خاطر رمزنگاری نشدن اطلاعات ارسالی ازجمله شماره کارت و رمز دوم امکان سرقت اطلاعات وجود خواهد داشت. 

هک تقریبا مثل آب خوردن

 استفاده از کدهای USSD مربوط به دوران گذشته فناوری است و در دنیای جدید بانکداری الکترونیک عملا منسوخ شده به حساب می‌آید.  ورود این بستر در کشور به بیش از 5سال پیش بر می‌گردد. ماهیت این سیستم به شکلی است که جایی برای مانور امنیتی برای آن وجود ندارد. شرکت‌های  مهم، امنیت USSD را چیزی همتراز با پیامک می‌دانند! در واقع هیچ رمزنگاری پیچیده‌ای وجود ندارد. اطلاعات مهم بانکی در این سیستم اصطلاحا به‌صورت plaintext  ارسال شده و از پروتکل‌هایی استفاده می‌شود که به راحتی قابل رمزگشایی هستند. به‌خاطر نبود رمزنگاری هکرها می‌توانند به راحتی به اطلاعات بانکی دسترسی پیدا کنند. در واقع هکر با قرار دادن یک ایستگاه فرستنده-گیرنده که دارای کد شبکه تلفن همراه واقعی باشد می‌تواند خودش را جای BTS یا همان آنتن‌های مخابراتی جا بزند و به‌عنوان واسط بین کاربر و شبکه واقعی اقدام به شنود و یا حتی تغییر پیام‌ها کند و اطلاعات حساس کاربر را به‌دست آورد. اوضاع آن قدر بد است که حتی درصورت حمله هکرها نمی‌توان برخلاف بقیه موارد حتی هک را تشخیص یا اطلاعاتی مانند مکان هکرها به‌دست آورد.

مشکل کجاست؟

اپلیکیشن‌های جدید بانکداری موبایل برخلاف USSD از شیوه رمزنگاری رایج در جهان برای امنیت مشترکان و حساب‌های بانکی خود استفاده می‌کنند. به همین‌خاطر پیشنهاد کارشناسان امنیتی استفاده از اپلیکیشن‌ها برای راحتی کار است که هر روز امکانات و امنیت آنها بیشتر می‌شود. حتی اگر باگ امنیتی در این سیستم‌ها وجود داشته باشد قابلیت آپدیت کردن آنها فراهم است. مشکل اینجاست که گروهی از مردم هنوز به تلفن‌های هوشمند دسترسی ندارند . رمضانعلی سبحانی‌فر، رئیس کمیته ارتباطات کمیسیون صنایع و معادن مجلس در گفت‌وگو با خبرگزاری خانه ملت در این رابطه می‌گوید: ذینفعان سرویس‌های پرداخت مبتنی بر USSD شامل سرویس‌دهنده‌ها، اپراتورها و مؤسسات خیریه و... که از کدهای اختصاصی استفاده می‌کنند همچنین تعداد قابل توجهی از مردم که گوشی غیرهوشمند دارند را شامل می‌شود بنابراین قطع سرویس USSD برای میلیون‌ها مشترک تلفن همراه که گوشی غیرهوشمند دارند، مشکل ایجاد می‌کند. علاوه بر این شرکت‌ها و سازمان‌های مختلفی مانند صدا و سیما هم درآمد‌های خوبی هم از این بستر دارند. مهمترین مشکل برای کسانی‌است که موبایل‌های غیرهوشمند دارند اما برای امنیت بانکی خود به نظر می‌رسد باید به شیوه‌های جایگزین امن عادت کنند. 

نمره مردودی امنیت برای یو‌اس‌اس‌دی

مهرداد حداد، کارشناس بانکداری الکترونیکی در گفت‌وگو با همشهری می‌گوید: در بستر یو‌اس‌اس‌دی رمزنگاری از مبدا تا مقصد صورت نمی‌گیرد و اطلاعات به‌صورت Plain است. شاید بعضی اپراتورها در قسمت‌هایی از مسیر رمزنگاری انجام دهند اما از لحاظ سیستم بانکی نمی‌توان مطمئن بود که رمزنگاری حتما صورت گرفته است و نمره قبولی از لحاظ امنیتی نمی‌گیرد. توصیه به همه این است که از یو‌اس‌اس‌دی برای تراکنش مالی استفاده نکنند.کسانی  که  موبایل‌های هوشمند دارند از اپلیکیشن‌های امن بانکی استفاده کنند. کسانی که تلفن‌های هوشمند ندارند هم می‌توانند از ابزارهای دیگر سیستم بانکی که امنیت بالاتری دارند مثل ATM، درگاه‌های پوز برای خرید شارژ و... استفاده کنند.