一周前新闻报导了“遭骇”的iTunes账户被利用来购买不知名的应用程序。由于没有任何证据或报导指出iTunes App Store资料外泄，很有可能是iTunes的用户个人凭证在钓鱼攻击中被窃取。

　　犯罪步骤示意图

　　犯罪步骤说明

　　步骤1：钓客收网取得iTues App Store 使用者的凭证及连带信用卡数据。

　　步骤2：网络犯罪份子使用盗得的信用卡购买没有价值的应用程序。

　　步骤3：不知名的应用程序在App Store的销售排行里晋升至前10名。

　　步骤4：更多的使用者购买不知名应用程序，失去辛苦赚来的金钱。

　　事件有趣的地方在于其中并未有任何恶意应用程序牵涉其中。反倒是在Apple App Store中一般且非热门的应用程序因为利用被窃取的iTune账户购买，在销售排行上突然窜升。

　　这很有趣，因为网络犯罪集团已找到了用钓得的Apple App Store使用者账户换取现金的营运模式。他们利用开发非恶意应用程序(不管该应用程序毫无价值可言)的方式，规避Apple“严格的”应用程序审核过程，接着使用钓来的iTunes账户来购买(及赚得金钱)无价值的应用程序。

　　营运模式有趣的地方是，透过特定的使用者账户，网络犯罪份子攻击系统最脆弱的环结(即使用者)，使用的仅是Apple的App Store做为平台及毫无价值的应用程序做为手段，就可以利用钓得的账户赚取金钱。

　　希望这次事件能显著提醒我们在线账户的重要性，特别是当我们的信用卡或签帐卡与该账户紧密相联时更应注意。

　　是iTunes的用户个人凭证在钓鱼攻击中被窃取。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。