کله صبح مادر شصت ساله ام تماس گرفته و در حالی که حسابی به غرورش برخورده با بغض از من میپرسد:
محمد تو که کامپیوتر سرت میشه بگو چطور اینها تونستن با یک اس ام اس حساب من رو خالی کنند؟
پیگیر که میشوم معلوم میشود که تیم اپلیکیشن #آبانک سرویسی از ورشکسته ترین بانک ایران یعنی #بانک_آینده موفق شده چنان شاهکاری تولید کند!! تا یک دزد اینترنتی با یک پسورد پویا(همان OTP) که مادرم، در گیر و دار یک فیشینگ تلفنی در اختیارش گذاشته، بیست ساعت بعد ۱۰ تراکنش بانکی انجام دهد!
متوجه شدید؟ با یک پسورد یک بار مصرف که قاعدتا عمری کمتر از یک دقیقه دارد ، بیست ساعت بعد ۱۰ تراکنش بانکی صورت گرفته!! ای هوااار!
سرانجام پیگیری های ما با پشتیبانی بانک هم که خودتان
حدس میزنید چی باشد؛ هر روز از این ماجراها داریم، به ما مربوط نیست….
با فرض اینکه، این افتضاح خجالت آور طبق روال معمول اکثر این دست فیشینگ ها، کار کسی از داخل بانک نباشد
دوخواهش از شما دارم:
-اول اینکه لطف کنید و این اپلیکیشن رو از روی گوشی خودتان و هر آنکه میشناسید پاک کنید چون به طرز رعب آوری غلط های املایی دارد.
-دوم اینکه این مطلب رو لایک یا باز نشر کنید بلکه شرمشان بیاید و کاری برای این فضاحتی که از خودشان به اسم سرویس بانکی تراوش کرده اند بکنند!
.....
توی آخرین پیگیری از بانک گفتن، چنین مشکلاتی طبیعیه و پیش میاد برای نسخه آزمایشی!!! اوضاع فقط داره بدتر میشه با هر توضیح!
حالا یه سوال دیگه اینه که چرا نسخه آزمایشی در پروداکشن بدست کاربر نهایی رسیده؟ تیم فنی و مدیریتی بانک آینده اصلا میدونن فاز های تولید و ریلیز رو؟
.....
سلام
من قصد قضاوت ندارم، اما به نظرم جنابعالي كمي موضوع را يكطرفه ميبينيد كه صد البته حق داريد
( من تجربه مالباختگي دارم، واقعا ميفهمم)
اما صحبتم اين است كه اين اتفاقات فقط مربوط به يك بانك خاص و يا موبايل اپليكيشن يك بانك نيست. همه نرم افزارها و بالاخص ابزار پرداخت مسائل و كاستي هايي دارند، اگر شما بخواهيد براي در امان بودن از فيشينگ و هزار ترفند ديگر، ابزار را بطور كل كنار بگذاريد، به نظرم تصميم صحيحي اتخاذ نفرموديد، چراكه در هر بستر MPG يا IPG فارغ از باك يا PSP يا پرداختيارش، ممكن است اين اتفاق حادث شود
بهتر هست دانش استفاده از ابزارها را افزايش دهيم
این واقعا توجیه خوبی نیست، به نظر من این اشتباه و بسیاری از اشتباهات از این دست محصول مستقیم یک جمله معروف است که بعد از انقلاب زیاد گفته شد، اینکه : ” برید ببینید چطور همین جوون های خودمون بهترش رو ساخته اند!” در حالی که برای کپی برداری از یک ایده یا محصول هم ابتدا باید فهم کاملی از اون ایده با محصول داشت، در حوزه نرم افزار خیلی وقت ها این کپی برداری های بی مورد به این دلیل صورت میگیرند که ما به علت دانش کم و ادعای فراوان توانایی فهم و یا حتی خواندن داکیومنت های محصولات خوب و رایگان و موجود رو نداریم و این می شود که آستین ها را بالا میزنیم و چنین حماسه آفرینی هایی میکنیم. در حوزه ی آی دی پی یک محصول بسیار کامل و رایگان و بسیار مستحکم و معروف “کی کلاک” از شرکت بزرگ رد هت هست که دست بر قضا من هیچ جای سیستم های بانکی ایران اثری ازش ندیدم
......
سلام ممنون بابت توضیحاتی که میدید و مردم رو آگاه میکنید
فقط اینکه میشه بیشتر توضیح بدید فیشینگ تلفنی چطوری شده؟ دقیقا چه اتفاقی افتاده؟ چون من مجبورم از این بانک مزخرف استفاده کنم بنا به دلایلی
دقیقا همینطوره که شما میگی اما تمام مشکل از همین هست او تی پی سرور به احتمال زیاد به علت پیاده سازی اشتباه یا باگ داشته یا به اشتباه در آی دی پی سرپر کانفیگ شده یا به طرز احمقانه ای قابل بای پس کردن یا کانفیگ کردن بوده( که در این صورت تایم اسپن کد مثلا تا بیست و چهار ساعت افزایش داده شده که این یعنی فیشینگ به همکاری کسی از کارمندان بانک یا تیم فنی بوده)
....
به همه کاربران اندرویدی پیشنهاد می کنم قبل از نصب هر اپلیکیشنی از هر منبعی، حتماً اون رو با آزمایشگاه های امنیت اپلیکیشن مثل MobSL چک کنند تا یک ارزیابی امنیتی کامل ازش داشته باشن و درگیر بدافزارها نشن
برگرفته از لینکدین :
https://www.linkedin.com/posts/mohammad-alavi-59474b89_aekaeqaepaeuagp-aeqaepaeuagpabraekahyaeuaexaev-activity-6906531476519927809-pH_O/
