一周前新聞報(bào)導(dǎo)了“遭駭”的iTunes賬戶被利用來購(gòu)買不知名的應(yīng)用程序。由于沒有任何證據(jù)或報(bào)導(dǎo)指出iTunes App Store資料外泄,很有可能是iTunes的用戶個(gè)人憑證在釣魚攻擊中被竊取。 犯罪步驟示意圖 犯罪步驟說明 步驟1:釣客收網(wǎng)取得iTues App Store 使用者的憑證及連帶信用卡數(shù)據(jù)。 步驟2:網(wǎng)絡(luò)犯罪份子使用盜得的信用卡購(gòu)買沒有價(jià)值的應(yīng)用程序。 步驟3:不知名的應(yīng)用程序在App Store的銷售排行里晉升至前10名。 步驟4:更多的使用者購(gòu)買不知名應(yīng)用程序,失去辛苦賺來的金錢。 事件有趣的地方在于其中并未有任何惡意應(yīng)用程序牽涉其中。反倒是在Apple App Store中一般且非熱門的應(yīng)用程序因?yàn)槔帽桓`取的iTune賬戶購(gòu)買,在銷售排行上突然竄升。 這很有趣,因?yàn)榫W(wǎng)絡(luò)犯罪集團(tuán)已找到了用釣得的Apple App Store使用者賬戶換取現(xiàn)金的營(yíng)運(yùn)模式。他們利用開發(fā)非惡意應(yīng)用程序(不管該應(yīng)用程序毫無(wú)價(jià)值可言)的方式,規(guī)避Apple“嚴(yán)格的”應(yīng)用程序?qū)徍诉^程,接著使用釣來的iTunes賬戶來購(gòu)買(及賺得金錢)無(wú)價(jià)值的應(yīng)用程序。 營(yíng)運(yùn)模式有趣的地方是,透過特定的使用者賬戶,網(wǎng)絡(luò)犯罪份子攻擊系統(tǒng)最脆弱的環(huán)結(jié)(即使用者),使用的僅是Apple的App Store做為平臺(tái)及毫無(wú)價(jià)值的應(yīng)用程序做為手段,就可以利用釣得的賬戶賺取金錢。 希望這次事件能顯著提醒我們?cè)诰€賬戶的重要性,特別是當(dāng)我們的信用卡或簽帳卡與該賬戶緊密相聯(lián)時(shí)更應(yīng)注意。 |
粵公網(wǎng)安備44011302004697
