12月14日,来自广东省深圳市公安局的消息,经过3000多公里的行程、7次突击后,他们破获了迄今为止全国最大规模的互联网虚拟财产盗窃案,上述案件的涉案金额超过百万元,非法获利近70万元。
腾讯报案:技术更新挡不住被盗
5月22日,南山公安分局高新派出所接到腾讯公司报案———从今年
3月份开始,QQ盗号的投诉量急剧增长,比2月每日投诉增长一倍多,每天将近3到4万。
接到投诉,腾讯组织数十名技术人员进行检查分析,技术人员发现,多数盗号源于用户中了木马。样本分析显示,木马内嵌了发送邮件的指令,中了木马的用户其QQ号与密码被记录了下来,然后内嵌指令自动发送邮件。最初阶段的样本里,发出信箱与收取信箱常常是同一个邮箱,而邮件发送需要有邮箱密码,这给找回失窃QQ号留下了一条便捷的通道。
个别技术水平较高的用户也发现了这条通道,他们进入内嵌指令中指明的邮箱地址,不但找回了自己失窃的QQ号,还惊讶地发现里边还有数以万计的其他号码。由此腾讯怀疑,眼前发生的很有可能不是单个人的行动。
在监控过程中,技术人员发现,对方的技术“进步”很快,木马内嵌指令的收发邮箱变成了不同邮箱,接着新型木马被大量采用,不再使用邮件方式,而是通过互联网技术中的POST指令将QQ号与密码信息写入目标服务器内的一个文件。取回的难度进一步加大。
作为阻碍盗用的措施,技术人员对修改密码与删除好友进行限制———基本上所有的QQ号销售者会在出售之前修改密码和删除好友。接着对异常的查询也开始限制,例如限制来自同一个IP地址的修改,而盗号者就开始采用代理服务器越过限制。
腾讯公司又增加了登录时的附加码输入———这意味着,盗号者难以通过使用工具对自己盗得的QQ号与密码进行成批的验证,而需要对着附加码(通常是写有英文字母和数字的一个图像文件)照图示一个个输入。但技术人员发现,随后出现的一些软件开始提供图像文件自动扫描、自动输入功能,这迫使腾讯公司开始采用写有汉字的附加码。
更糟糕的是,越来越多的木马开始降低对QQ号的重视,而更多地瞄准用户的Q币———根据腾讯公司在深圳市物价局的备案,一枚Q币售价1元。而鉴于QQ的普及,Q币可以用来购买其它游戏的点卡、虚拟物品,甚至一些影片、软件的下载服务等,大量专门提供Q币与人民币进行双向兑换的网站开始出现。
腾讯公司靠技术已经无法保护用户的财产安全,于是寻求警方帮助。
千里追踪:从南海边到渤海边
据《21世纪经济报道》采访的辽宁省海城市一位50来岁的男子介绍,在案发半年前,不熟悉电脑的他找到了一份在“高科技企业”工作的职业,每天呆在工作室,有专人做饭,有人给他各种现成工具,手把手教他潜入热门网站,他只用全心全意黑掉网站。“每天只黑得了一个网站”,他的进度明显慢于他的低龄同事———几乎清一色的十多岁到二十来岁的小伙。
该男子只是整个工作流程中的一个环节,他黑完一个网站,其他“同事”会跟进挂上木马———一种基于远程控制的黑客工具,然后等待木马潜入网站登陆者电脑,盗走其QQ号及各种游戏账号、QQ币和游戏装备。这些虚拟财产随后被交给海城市之外的合作者“洗白”,最后通过淘宝等C2C交易网站迅速出售给不同的需求者。
从去年5月至今年7月,该男子所在团伙共盗取QQ号码和游戏账号、装备300多万(套),最多一天盗号30多万个,已通过淘宝网站出售获利70多万元。
深圳市公安局接警后,一些QQ号码开始“半推半就”地被盗,远在千里之外的人没有发现自己俘获的“猎物”有何异样。
通过“放水”策略跟踪“猎物”,警方很快圈定了盗寇的大体方位与行为模式。6月22日,专案小组来到长春市某所大学附近的一家网吧,“闲逛”的公安人员发现第三层一个被租用的包间,正是他们要找的失窃QQ号与Q币销售中心。
警方讯问后发现,“货源”来自辽宁省海城市。
一条龙:看不见摸得着的“团伙作战”
“盗号,洗信,销售,典型的基于互联网分工与协作基础上的‘团伙作战’”———参与行动的黄晟警官总结说。
据警方介绍,团伙作战最核心的是“盗号集团”与负责销售的“洗信集团”,他们有圈子内通用的语言———例如,“洗信”的意思是将盗来的QQ号“洗白”(包括修改密码与删除该号的原有好友)或将QQ号账户中的Q币收集到一起;而“晒信”则是为防止盗得的QQ号在销售前被回收的定期登录行为。
位于海城市的“盗号集团”通过招聘方式招来30多名雇员,分成三个工作室在不同地点工作,每个工作室有专人管理,属下人员均有明确的流程分工。
“盗号集团”负责人的主要工作是寻找合适的“木马编写者”,并向后者采购木马与入侵工具等作案软件。三个工作室的“黑站小组”利用上司提供的入侵工具攻击各类网站,工具的易用性也使得小组成员并不需要高学历的“科技怪客”。“挂马小组”随后在攻破的网站上挂上木马,但凡访问过这些网站的用户,如果其本地的电脑安全措施不够,一旦登陆QQ账户或网络游戏,密码便被发到指定的服务器上。
随后守株待兔的“查信小组”收集发到指定服务器上的用户记录,由销售小组以万为单位(通常价格为数百元每万份)售往作为批发商的“洗信集团”。
“洗信集团”负责人采购自动化工具,而属下人员承担查信、洗信、晒信和挑号等工作。就此Q币被销售,而一些QQ号被卖往网吧销售给零散的上网者,而多数被卖给“广告集团”———后者以通过QQ发送小广告牟利,但相应的QQ号很容易被查封,需要大量的备用号码。
尽管彼此间相隔甚远,但互联网时代的便利使他们合作无间,而工具的易用性使得一些电脑盲都可以“一个萝卜一个坑”地分工协作,一个“黑色产业链”就此滑润地运作着。
根据杀毒软件企业江民公司近日公开的信息,最近三年中针对网络银行的木马病毒发展迅速。根据其用户反馈和网上监测,2004年被网银木马病毒感染的计算机只有60台,2005年上升到1100台,而今年前10个月,中招用户已超过3.7万个。
7月8日,在当地公安机关的配合下,专案组在鞍山和长春两地同时展开抓捕行动,共抓获犯罪嫌疑人43名。经审讯,专案组将该团伙朱某、于某等11名主要嫌疑人押解回深圳,其余人员交由当地警方进一步处理。
经深圳市南山区检察院批准,该团伙10名犯罪嫌疑人被逮捕,1名取保候审。11月18日,该案主犯金某被公安部门抓获。至此,“5·22”盗窃QQ号、Q币案告破。
作为公安部今年重点打击的新型犯罪行为之一,盗窃网络账号和虚拟物品的产业链目前已经市场化、规模化。而央行也曾表示,需要加强针对虚拟货币的监管,维护金融稳定。
可以想象,网上抓盗贼的警察2007年不会轻松。