一周前新闻报导了“遭骇”的iTunes账户被利用来购买不知名的应用程序。由于没有任何证据或报导指出iTunes App Store资料外泄,很有可能是iTunes的用户个人凭证在钓鱼攻击中被窃取。 犯罪步骤示意图 犯罪步骤说明 步骤1:钓客收网取得iTues App Store 使用者的凭证及连带信用卡数据。 步骤2:网络犯罪份子使用盗得的信用卡购买没有价值的应用程序。 步骤3:不知名的应用程序在App Store的销售排行里晋升至前10名。 步骤4:更多的使用者购买不知名应用程序,失去辛苦赚来的金钱。 事件有趣的地方在于其中并未有任何恶意应用程序牵涉其中。反倒是在Apple App Store中一般且非热门的应用程序因为利用被窃取的iTune账户购买,在销售排行上突然窜升。 这很有趣,因为网络犯罪集团已找到了用钓得的Apple App Store使用者账户换取现金的营运模式。他们利用开发非恶意应用程序(不管该应用程序毫无价值可言)的方式,规避Apple“严格的”应用程序审核过程,接着使用钓来的iTunes账户来购买(及赚得金钱)无价值的应用程序。 营运模式有趣的地方是,透过特定的使用者账户,网络犯罪份子攻击系统最脆弱的环结(即使用者),使用的仅是Apple的App Store做为平台及毫无价值的应用程序做为手段,就可以利用钓得的账户赚取金钱。 希望这次事件能显著提醒我们在线账户的重要性,特别是当我们的信用卡或签帐卡与该账户紧密相联时更应注意。 |
