黑客濫用蘋果公司企業(yè)應(yīng)用程序 盜取140萬(wàn)美元加密貨幣

來(lái)源：GDCA數(shù)安時(shí)代 發(fā)布時(shí)間：2021-10-31瀏覽：2768次

一個(gè)流傳了6個(gè)月的騙局已經(jīng)發(fā)展到影響iOS用戶。黑客利用社交媒體、約會(huì)應(yīng)用程序、加密貨幣和濫用蘋果公司企業(yè)開(kāi)發(fā)者計(jì)劃，從毫無(wú)戒心的受害者那里盜取了至少140萬(wàn)美元。
名為CryptoRom欺詐的實(shí)施相當(dāng)直接，在通過(guò)社交媒體或現(xiàn)有數(shù)據(jù)應(yīng)用程序獲得受害者的信任后，用戶被愚弄安裝一個(gè)修改版的加密貨幣交易所，誘使其投資，然后被騙走現(xiàn)金。
在通過(guò)約會(huì)應(yīng)用程序獲得受害者的信任后，騙子開(kāi)始討論加密貨幣投資問(wèn)題。然后，他們被引導(dǎo)到一個(gè)看起來(lái)像蘋果應(yīng)用商店的網(wǎng)站，然后被告知下載一個(gè)移動(dòng)設(shè)備管理程序，讓他們控制一些功能，并能夠使用由騙子制作的簽名應(yīng)用程序。
在回到假的App Store網(wǎng)頁(yè)后，毫無(wú)戒心的用戶會(huì)被提示下載一個(gè)通過(guò)蘋果企業(yè)配置或超級(jí)簽名分發(fā)方式，用與移動(dòng)設(shè)備管理配置文件證書(shū)簽名相關(guān)的應(yīng)用程序。該應(yīng)用程序是Bitfinex加密貨幣交易應(yīng)用程序的一個(gè)假版本。
然后，受害者被說(shuō)服向一種加密貨幣進(jìn)行小額投資作為概念證明，并被允許提取利潤(rùn)。當(dāng)進(jìn)行更多的存款之后，受害者發(fā)現(xiàn)無(wú)法提現(xiàn)，并被攻擊者告知，要么就把錢拿給自己，要么就必須進(jìn)行更多的投資，或者必須交稅才能把錢取出來(lái)。
來(lái)自Sophos的一份報(bào)告詳細(xì)說(shuō)明了資金損失的數(shù)量。
具體來(lái)說(shuō)，一名受害者損失了約87000美元，其他報(bào)告發(fā)現(xiàn)損失45000美元和25000美元。研究人員發(fā)現(xiàn)，有一個(gè)比特幣地址被轉(zhuǎn)入了不到140萬(wàn)美元。鑒于該欺詐計(jì)劃可能有多個(gè)地址在使用，受害者損失金錢的數(shù)字可能更高。
部署代碼簽名證書(shū)
代碼簽名證書(shū)是對(duì)可執(zhí)行程序和腳本進(jìn)行數(shù)字簽名的過(guò)程，以確認(rèn)軟件作者的身份，并確保代碼自簽名以來(lái)沒(méi)有被修改或損壞。為了對(duì)代碼進(jìn)行簽名，軟件發(fā)布者需要生成一個(gè)私有公鑰對(duì)，并將公鑰提交給CA，同時(shí)發(fā)出代碼簽名證書(shū)的請(qǐng)求。CA驗(yàn)證發(fā)布者的身份，并驗(yàn)證發(fā)布者的數(shù)字簽名證書(shū)請(qǐng)求。如果這個(gè)審核和密鑰驗(yàn)證過(guò)程成功，CA將頒發(fā)代碼簽名證書(shū)。
有了代碼簽名證書(shū)，發(fā)布者就可以簽署代碼了。當(dāng)代碼被簽名時(shí)，一些信息被添加到包含可執(zhí)行代碼的原始文件中，軟件發(fā)布方的用戶使用這些綁定的信息對(duì)發(fā)布方進(jìn)行身份驗(yàn)證，并檢查代碼簽名是否被篡改。

代碼簽名證書(shū)有什么好處：
1、可贏得客戶信任
代碼簽名提供身份驗(yàn)證，以確保客戶下載的文件來(lái)自證書(shū)上指定的發(fā)布者。在運(yùn)行應(yīng)用程序之前顯示簽名方的身份，從而增強(qiáng)用戶的信任。
2、保護(hù)品牌聲譽(yù)
消除安全警告，當(dāng)用戶安裝軟件時(shí)顯示經(jīng)過(guò)驗(yàn)證的公司名稱。
3、確保代碼完整性
數(shù)字簽名包含內(nèi)容完整性的證明，代碼簽名之后能防止代碼被篡改，保護(hù)了代碼的完整性。
數(shù)安時(shí)代GDCA的代碼簽名證書(shū)
代碼簽名證書(shū)允許用戶驗(yàn)證代碼是否真實(shí)且未被篡改。如果代碼以任何方式被篡改，數(shù)字簽名將中斷，并提醒用戶該代碼不可信。代碼簽名證書(shū)一定要從權(quán)威受信任的CA機(jī)構(gòu)來(lái)申請(qǐng)，數(shù)安時(shí)代GDCA擁有《電子認(rèn)證服務(wù)許可證》等資質(zhì)，通過(guò)了全球電子認(rèn)證服務(wù)行業(yè)國(guó)際標(biāo)準(zhǔn)的webTrust認(rèn)證.