اهمیت قبض الکترونیکی راهنمای کامل (2)

امنیت کدهای USSD در پرداخت قبوض | بررسی و هشدارهای بانک مرکزی

زمانی بود که برای هر کار بانکی ساده‌ای مثل پرداخت قبض یا خرید شارژ، باید از کدهای دستوری یا همان USSD استفاده می‌کردیم. شماره‌گیری یک کد ستاره-مربع، مثل 780، راهی سریع و در دسترس بود که ما را از مراجعه به بانک یا حتی نیاز به اینترنت بی‌نیاز می‌کرد. اما در دنیای دیجیتال امروز که هر روز خبر جدیدی از کلاهبرداری‌های آنلاین می‌شنویم، یک سوال اساسی مطرح می‌شود: آیا این روش قدیمی هنوز هم امن است؟ امنیت کدهای USSD چقدر قابل اعتماد است و چرا بانک مرکزی نسبت به استفاده از آن هشدار می‌دهد؟

در این مقاله، به دنیای کدهای USSD سفر می‌کنیم، با زبان ساده نحوه کارکردشان را بررسی کرده و به طور ویژه روی مهم‌ترین دغدغه یعنی امنیت کدهای USSD تمرکز خواهیم کرد. همچنین، با مرور هشدارهای رسمی و معرفی جایگزین‌های امن‌تر، به شما کمک می‌کنیم تا با خیال راحت و بدون نگرانی، پرداخت‌های خود را مدیریت کنید.

 

 کد USSD چیست و چطور کار می‌کند؟

 

USSD مخفف عبارت Unstructured Supplementary Service Data است. اگر بخواهیم آن را به زبان ساده ترجمه کنیم، می‌شود «داده‌های خدمات تکمیلی بدون ساختار». شاید اسمش کمی پیچیده به نظر برسد، اما کارکرد آن بسیار ساده است.

تصور کنید در حال ارسال پیامک به یک ربات هوشمند هستید. شما یک کد را شماره‌گیری می‌کنید (مثلاً 1) و یک منو روی صفحه گوشی شما ظاهر می‌شود. با وارد کردن اعداد، بین گزینه‌ها جابجا می‌شوید و درخواست خود را مرحله به مرحله پیش می‌برید. این ارتباط زنده و دوطرفه، بر بستر شبکه موبایل (و نه اینترنت) انجام می‌شود.

فرایند کار به این شکل است:

  1. شما کد دستوری را شماره‌گیری می‌کنید.
  2. درخواست شما به سرور اپراتور موبایل ارسال می‌شود.
  3. سرور اپراتور، شما را به سرور بانک یا شرکت ارائه‌دهنده خدمات متصل می‌کند.
  4. یک منوی متنی برای شما نمایش داده می‌شود.
  5. شما با وارد کردن اعداد، اطلاعاتی مانند شماره کارت، رمز دوم و… را ارسال می‌کنید.
  6. در نهایت، پاسخ تراکنش (موفق یا ناموفق) به شما نمایش داده می‌شود.

این سادگی و عدم نیاز به اینترنت، USSD را به ابزاری محبوب در سال‌های گذشته تبدیل کرده بود. اما همین سادگی، پاشنه آشیل آن در بحث امنیت کدهای USSD است.

 

 مزایا و معایب استفاده از کدهای USSD

 

هر تکنولوژی نقاط قوت و ضعف خودش را دارد. کدهای USSD هم از این قاعده مستثنی نیستند. بیایید نگاهی منصفانه به هر دو روی سکه بیندازیم.

 

 مزایا:

  • دسترسی همگانی: روی تمام گوشی‌های موبایل، از ساده‌ترین مدل‌ها تا پیشرفته‌ترین گوشی‌های هوشمند، کار می‌کند.
  • عدم نیاز به اینترنت: برای استفاده از آن فقط به آنتن‌دهی شبکه موبایل نیاز دارید. این ویژگی در مناطقی با اینترنت ضعیف یا برای افرادی که بسته اینترنتی ندارند، یک مزیت بزرگ است.
  • سرعت بالا: ارتباط با سرور به صورت آنی و بدون تأخیر انجام می‌شود.
  • رایگان و ساده: استفاده از این کدها معمولاً هزینه‌ای ندارد و نیاز به نصب هیچ نرم‌افزاری نیست.

 

 معایب:

  • رابط کاربری خشک و متنی: کار کردن با منوهای عددی خسته‌کننده است و تجربه کاربری خوبی ارائه نمی‌دهد.
  • محدودیت در خدمات: به دلیل ماهیت متنی، نمی‌توان خدمات پیچیده‌ای را از طریق آن ارائه داد.
  • قطع شدن ارتباط: اگر در حین انجام تراکنش تماس دریافت کنید یا ارتباط شبکه لحظه‌ای قطع شود، کل فرایند از ابتدا باید تکرار شود.
  • نگرانی‌های جدی درباره امنیت کدهای USSD: این مورد به قدری اهمیت دارد که در بخش بعدی به طور کامل به آن می‌پردازیم. ضعف در امنیت کدهای USSD بزرگ‌ترین دلیلی است که استفاده از آن را پرریسک می‌کند.

 

 خطرات امنیتی پرداخت با کد USSD

 

شاید فکر کنید چون از اینترنت استفاده نمی‌کنید، پس جای شما امن است. متاسفانه این تصور کاملاً اشتباه است. امنیت کدهای USSD به دلایل مختلفی زیر سؤال است و کلاهبرداران از همین حفره‌ها برای سرقت اطلاعات بانکی شما استفاده می‌کنند. در ادامه به برخی از مهم‌ترین خطرات اشاره می‌کنیم:

 

عدم وجود رمزنگاری سرتاسری (End-to-End Encryption):

برخلاف اپلیکیشن‌های پرداخت مدرن که اطلاعات شما را از لحظه خروج از گوشی تا رسیدن به سرور بانک به صورت کامل رمزنگاری می‌کنند، در روش USSD این رمزنگاری کامل نیست. اطلاعات شما بین گوشی و اپراتور موبایل ممکن است به صورت رمزنشده منتقل شود. این یعنی یک هکر حرفه‌ای با تجهیزات مناسب می‌تواند در میانه راه، اطلاعات شما (مانند شماره کارت و رمز) را شنود کند. این ضعف ساختاری، بزرگ‌ترین ضربه را به امنیت کدهای USSD می‌زند.

 

حملات فیشینگ و کدهای جعلی:

کلاهبرداران پیامک‌هایی با عنوان «برنده شدن در قرعه‌کشی»، «دریافت سود سهام عدالت» یا «ابلاغیه قضایی» برای شما ارسال می‌کنند و از شما می‌خواهند یک کد USSD خاص را شماره‌گیری کنید. این کدها شما را به یک درگاه پرداخت جعلی هدایت می‌کنند و به محض وارد کردن اطلاعات کارت، حساب شما خالی می‌شود. سادگی اجرای این روش، چالش بزرگی برای امنیت کدهای USSD ایجاد کرده است.

 

آسیب‌پذیری در برابر بدافزارها:

برخی بدافزارها می‌توانند پس از نصب روی گوشی، به صورت خودکار کدهای USSD را شماره‌گیری کرده و بدون اطلاع شما، اقدام به انتقال پول یا خرید شارژ کنند.

 

خطر دیده شدن اطلاعات (Shoulder Surfing):

وقتی رمز دوم خود را در یک صفحه متنی ساده وارد می‌کنید، هر کسی که کنار شما ایستاده باشد به راحتی می‌تواند آن را ببیند. در اپلیکیشن‌های پرداخت، معمولاً رمزها به صورت ستاره نمایش داده می‌شوند و امنیت بصری بیشتری دارند.

 

این خطرات نشان می‌دهد که چرا تکیه بر امنیت کدهای USSD برای انجام تراکنش‌های مالی، مانند راه رفتن روی لبه تیغ است.

 

 هشدارها و توصیه‌های بانک مرکزی درباره USSD

نهادهای نظارتی مانند بانک مرکزی و پلیس فتا بارها نسبت به کاهش امنیت کدهای USSD و خطرات استفاده از آن هشدار داده‌اند. این هشدارها بی‌دلیل نیست و بر اساس گزارش‌های متعدد از کلاهبرداری‌ها و ضعف‌های فنی این پروتکل صادر شده‌اند.

 

مهم‌ترین توصیه‌های بانک مرکزی عبارتند از:

  • استفاده از رمز دوم پویا: هرچند رمز پویا یک لایه امنیتی اضافه می‌کند، اما وارد کردن آن در بستر ناامن USSD همچنان ریسک دارد. بانک مرکزی تاکید دارد که حتی‌الامکان از این روش برای تراکنش‌های مهم استفاده نشود.
  • محدودیت سقف تراکنش: برای کاهش ریسک، سقف تراکنش‌های روزانه از طریق USSD به شدت کاهش یافته است. این اقدام به خودی خود نشان‌دهنده عدم اعتماد نهاد ناظر به امنیت کدهای USSD است.
  • عدم اعتماد به پیامک‌های حاوی کد دستوری: هرگز به پیامک‌های ناشناس که شما را به شماره‌گیری یک کد USSD ترغیب می‌کنند، اعتماد نکنید.
  • مهاجرت به بسترهای امن‌تر: توصیه اصلی بانک مرکزی، استفاده از اپلیکیشن‌های پرداخت معتبر (پرداخت‌یار‌های رسمی شاپرک) و اینترنت‌بانک است که از پروتکل‌های امنیتی بسیار قوی‌تری بهره می‌برند.

 

این هشدارها یک پیام واضح دارند: دوران اوج USSD به پایان رسیده و برای حفظ امنیت دارایی‌های خود، باید به فکر جایگزین‌های بهتری باشیم.

 

 راهکار جایگزین امن‌تر: اپلیکیشن‌های پرداخت (اسمارتیز)

 

حالا که با خطرات و ضعف‌های جدی امنیت کدهای USSD آشنا شدیم، راه حل چیست؟ پاسخ ساده است: استفاده از اپلیکیشن‌های پرداخت موبایلی که برای دنیای امروز طراحی شده‌اند. این اپلیکیشن‌ها، مانند اسمارتیز، امنیت را در اولویت اول خود قرار داده‌اند.

 

چرا اپلیکیشن‌های پرداخت مانند اسمارتیز امن‌تر هستند؟

 

  • رمزنگاری کامل و چندلایه: تمام اطلاعات شما از مبدأ (گوشی شما) تا مقصد (سرور بانک) با استفاده از جدیدترین پروتکل‌های امنیتی مانند SSL/TLS رمزنگاری می‌شود. این یعنی هیچ‌کس در میانه راه نمی‌تواند به اطلاعات شما دسترسی پیدا کند.
  • احراز هویت پیشرفته: شما می‌توانید برای ورود به اپلیکیشن و انجام تراکنش، از قفل اثر انگشت یا تشخیص چهره (Biometric Authentication) استفاده کنید. این لایه امنیتی در USSD وجود ندارد.
  • محیط کاربری امن و گرافیکی: اطلاعات حساس مانند رمز در محیطی امن وارد شده و به صورت ستاره‌دار نمایش داده می‌شود. همچنین، شما با یک رابط کاربری زیبا و قابل فهم سروکار دارید، نه یک صفحه متنی خشک.
  • نظارت مستقیم نهادهای رگولاتوری: اپلیکیشن‌های معتبری مانند اسمارتیز تحت نظارت مستقیم بانک مرکزی و شاپرک فعالیت می‌کنند و ملزم به رعایت سخت‌گیرانه‌ترین استانداردهای امنیتی هستند. این نظارت، تضمینی برای حفظ امنیت کدهای USSD نیست، اما برای اپلیکیشن‌ها یک الزام است.

 

اسمارتیز به عنوان یک سوپر اپلیکیشن مالی و شهری، نه تنها تمام خدمات پرداختی مانند کارت به کارت، پرداخت قبوض، خرید شارژ و بسته اینترنت و خرید از فروشگاه‌های اسمارتیز را ارائه می‌دهد، بلکه با تمرکز ویژه بر امنیت، خیال شما را از هر جهت راحت می‌کند.

 

کدهای USSD ابزاری نوستالژیک و کارراه‌انداز در زمان خود بودند، اما امروز دیگر پاسخگوی نیازهای امنیتی ما نیستند. ضعف‌های ساختاری، عدم رمزنگاری کامل و هشدارهای مکرر نهادهای رسمی، همگی بر این نکته تاکید دارند که امنیت کدهای USSD یک دغدغه جدی است و نباید آن را نادیده گرفت.

در دنیایی که یک لحظه غفلت می‌تواند به قیمت از دست رفتن سرمایه شما تمام شود، انتخاب هوشمندانه ابزارهای مالی، یک ضرورت است نه یک انتخاب. با مهاجرت از روش‌های قدیمی و پرریسک به اپلیکیشن‌های مدرن و امن، می‌توانید از دارایی‌های دیجیتال خود به بهترین شکل محافظت کنید. پرداخت امن قبوض را با اپ اسمارتیز تجربه کنید.

 

 

برچسب‌ها: بدون برچسب

دیدگاه ها بسته شده اند.