一周前新闻报导了“遭骇”的iTunes账户被利用来购买不知名的应用程序。由于没有任何证据或报导指出iTunes App Store资料外泄，很有可能是iTunes的用户个人凭证在钓鱼攻击中被窃取。 

犯罪步骤示意图

犯罪步骤说明

步骤1：钓客收网取得iTues App Store 使用者的凭证及连带信用卡数据。

步骤2：网络犯罪份子使用盗得的信用卡购买没有价值的应用程序。

步骤3：不知名的应用程序在App Store的销售排行里晋升至前10名。

步骤4：更多的使用者购买不知名应用程序，失去辛苦赚来的金钱。

事件有趣的地方在于其中并未有任何恶意应用程序牵涉其中。反倒是在Apple App Store中一般且非热门的应用程序因为利用被窃取的iTune账户购买，在销售排行上突然窜升。

这很有趣，因为网络犯罪集团已找到了用钓得的Apple App Store使用者账户换取现金的营运模式。他们利用开发非恶意应用程序（不管该应用程序毫无价值可言）的方式，规避Apple“严格的”应用程序审核过程，接着使用钓来的iTunes账户来购买（及赚得金钱）无价值的应用程序。

营运模式有趣的地方是，透过特定的使用者账户，网络犯罪份子攻击系统最脆弱的环结（即使用者），使用的仅是Apple的App Store做为平台及毫无价值的应用程序做为手段，就可以利用钓得的账户赚取金钱。

希望这次事件能显著提醒我们在线账户的重要性，特别是当我们的信用卡或签帐卡与该账户紧密相联时更应注意。

北京网站建设

（发布时间：2013-02-20 14:33）