全国最大规模盗窃Q币案侦破记

安全
12月14日,来自广东省深圳市公安局的消息,经过3000多公里的行程、7次突击后,他们破获了迄今为止全国最大规模的互联网虚拟财产盗窃案,上述案件的涉案金额超过百万元,非法获利近70万元。

12月14日,来自广东省深圳市公安局的消息,经过3000多公里的行程、7次突击后,他们破获了迄今为止全国最大规模的互联网虚拟财产盗窃案,上述案件的涉案金额超过百万元,非法获利近70万元。

腾讯报案:技术更新挡不住被盗

5月22日,南山公安分局高新派出所接到腾讯公司报案———从今年
3月份开始,QQ盗号的投诉量急剧增长,比2月每日投诉增长一倍多,每天将近3到4万。

接到投诉,腾讯组织数十名技术人员进行检查分析,技术人员发现,多数盗号源于用户中了木马。样本分析显示,木马内嵌了发送邮件的指令,中了木马的用户其QQ号与密码被记录了下来,然后内嵌指令自动发送邮件。最初阶段的样本里,发出信箱与收取信箱常常是同一个邮箱,而邮件发送需要有邮箱密码,这给找回失窃QQ号留下了一条便捷的通道。

个别技术水平较高的用户也发现了这条通道,他们进入内嵌指令中指明的邮箱地址,不但找回了自己失窃的QQ号,还惊讶地发现里边还有数以万计的其他号码。由此腾讯怀疑,眼前发生的很有可能不是单个人的行动。

在监控过程中,技术人员发现,对方的技术“进步”很快,木马内嵌指令的收发邮箱变成了不同邮箱,接着新型木马被大量采用,不再使用邮件方式,而是通过互联网技术中的POST指令将QQ号与密码信息写入目标服务器内的一个文件。取回的难度进一步加大。

作为阻碍盗用的措施,技术人员对修改密码与删除好友进行限制———基本上所有的QQ号销售者会在出售之前修改密码和删除好友。接着对异常的查询也开始限制,例如限制来自同一个IP地址的修改,而盗号者就开始采用代理服务器越过限制。

腾讯公司又增加了登录时的附加码输入———这意味着,盗号者难以通过使用工具对自己盗得的QQ号与密码进行成批的验证,而需要对着附加码(通常是写有英文字母和数字的一个图像文件)照图示一个个输入。但技术人员发现,随后出现的一些软件开始提供图像文件自动扫描、自动输入功能,这迫使腾讯公司开始采用写有汉字的附加码。

更糟糕的是,越来越多的木马开始降低对QQ号的重视,而更多地瞄准用户的Q币———根据腾讯公司在深圳市物价局的备案,一枚Q币售价1元。而鉴于QQ的普及,Q币可以用来购买其它游戏的点卡、虚拟物品,甚至一些影片、软件的下载服务等,大量专门提供Q币与人民币进行双向兑换的网站开始出现。

腾讯公司靠技术已经无法保护用户的财产安全,于是寻求警方帮助。

千里追踪:从南海边到渤海边

据《21世纪经济报道》采访的辽宁省海城市一位50来岁的男子介绍,在案发半年前,不熟悉电脑的他找到了一份在“高科技企业”工作的职业,每天呆在工作室,有专人做饭,有人给他各种现成工具,手把手教他潜入热门网站,他只用全心全意黑掉网站。“每天只黑得了一个网站”,他的进度明显慢于他的低龄同事———几乎清一色的十多岁到二十来岁的小伙。

该男子只是整个工作流程中的一个环节,他黑完一个网站,其他“同事”会跟进挂上木马———一种基于远程控制的黑客工具,然后等待木马潜入网站登陆者电脑,盗走其QQ号及各种游戏账号、QQ币和游戏装备。这些虚拟财产随后被交给海城市之外的合作者“洗白”,最后通过淘宝等C2C交易网站迅速出售给不同的需求者。

从去年5月至今年7月,该男子所在团伙共盗取QQ号码和游戏账号、装备300多万(套),最多一天盗号30多万个,已通过淘宝网站出售获利70多万元。

深圳市公安局接警后,一些QQ号码开始“半推半就”地被盗,远在千里之外的人没有发现自己俘获的“猎物”有何异样。

通过“放水”策略跟踪“猎物”,警方很快圈定了盗寇的大体方位与行为模式。6月22日,专案小组来到长春市某所大学附近的一家网吧,“闲逛”的公安人员发现第三层一个被租用的包间,正是他们要找的失窃QQ号与Q币销售中心。

警方讯问后发现,“货源”来自辽宁省海城市。

一条龙:看不见摸得着的“团伙作战”

“盗号,洗信,销售,典型的基于互联网分工与协作基础上的‘团伙作战’”———参与行动的黄晟警官总结说。

据警方介绍,团伙作战最核心的是“盗号集团”与负责销售的“洗信集团”,他们有圈子内通用的语言———例如,“洗信”的意思是将盗来的QQ号“洗白”(包括修改密码与删除该号的原有好友)或将QQ号账户中的Q币收集到一起;而“晒信”则是为防止盗得的QQ号在销售前被回收的定期登录行为。

位于海城市的“盗号集团”通过招聘方式招来30多名雇员,分成三个工作室在不同地点工作,每个工作室有专人管理,属下人员均有明确的流程分工。

“盗号集团”负责人的主要工作是寻找合适的“木马编写者”,并向后者采购木马与入侵工具等作案软件。三个工作室的“黑站小组”利用上司提供的入侵工具攻击各类网站,工具的易用性也使得小组成员并不需要高学历的“科技怪客”。“挂马小组”随后在攻破的网站上挂上木马,但凡访问过这些网站的用户,如果其本地的电脑安全措施不够,一旦登陆QQ账户或网络游戏,密码便被发到指定的服务器上。

随后守株待兔的“查信小组”收集发到指定服务器上的用户记录,由销售小组以万为单位(通常价格为数百元每万份)售往作为批发商的“洗信集团”。

“洗信集团”负责人采购自动化工具,而属下人员承担查信、洗信、晒信和挑号等工作。就此Q币被销售,而一些QQ号被卖往网吧销售给零散的上网者,而多数被卖给“广告集团”———后者以通过QQ发送小广告牟利,但相应的QQ号很容易被查封,需要大量的备用号码。

尽管彼此间相隔甚远,但互联网时代的便利使他们合作无间,而工具的易用性使得一些电脑盲都可以“一个萝卜一个坑”地分工协作,一个“黑色产业链”就此滑润地运作着。

根据杀毒软件企业江民公司近日公开的信息,最近三年中针对网络银行的木马病毒发展迅速。根据其用户反馈和网上监测,2004年被网银木马病毒感染的计算机只有60台,2005年上升到1100台,而今年前10个月,中招用户已超过3.7万个。

7月8日,在当地公安机关的配合下,专案组在鞍山和长春两地同时展开抓捕行动,共抓获犯罪嫌疑人43名。经审讯,专案组将该团伙朱某、于某等11名主要嫌疑人押解回深圳,其余人员交由当地警方进一步处理。

经深圳市南山区检察院批准,该团伙10名犯罪嫌疑人被逮捕,1名取保候审。11月18日,该案主犯金某被公安部门抓获。至此,“5·22”盗窃QQ号、Q币案告破。

作为公安部今年重点打击的新型犯罪行为之一,盗窃网络账号和虚拟物品的产业链目前已经市场化、规模化。而央行也曾表示,需要加强针对虚拟货币的监管,维护金融稳定。

可以想象,网上抓盗贼的警察2007年不会轻松。

责任编辑:Oo小孩儿 来源: 中国红客联盟
相关推荐

2013-08-08 11:23:00

无线网络智能WiFiRuckus

2011-08-05 15:04:00

网络攻击黑客

2010-05-18 14:27:15

2017-06-27 11:02:00

2020-06-19 14:12:35

2.3 TbpsDDoS攻击网络攻击

2021-08-23 14:58:06

DDoS攻击网络攻击网络安全

2016-05-30 12:08:14

2016-02-18 18:35:17

集装箱数据中心华为

2010-04-28 22:40:40

云计算日本

2009-03-06 14:48:50

Linux虚拟化桌面发展计划

2012-11-09 16:10:28

2013-03-28 10:14:02

2012-12-24 10:40:31

移动通信基础网络

2024-07-19 18:20:46

2013-05-22 10:38:28

2010-09-09 10:16:17

企业邮箱产品优化263网络通信

2016-05-31 10:18:14

京东云

2016-01-29 20:23:23

华为

2010-09-01 15:16:49

WLAN交换机结构

2009-04-09 09:32:00

VoWLANWLAN
点赞
收藏

51CTO技术栈公众号