“神馬都是浮云”是一句網(wǎng)絡流行語,而20歲的程序?qū)懯指哧枀s把它用作了新型木馬病毒的名字。在短短兩個月的時間里,這匹“神馬”通過QQ傳播在全國各地橫沖直撞,竊走近百名受害人網(wǎng)銀賬戶內(nèi)的資金,涉案金額達1000多萬,制造了全國最大一起網(wǎng)銀盜竊團伙案。
近日,江蘇省徐州市公安局網(wǎng)警支隊破獲這起盜竊案。這匹神通廣大的“神馬”,最終成為網(wǎng)絡中的過眼浮云。
熱心網(wǎng)友發(fā)來神秘文件
今年3月22日入夜,家住江蘇省徐州市的王先生像往常一樣,經(jīng)營著自己的淘寶網(wǎng)店,就在他和顧客在網(wǎng)上討價還價時,QQ跳出了一個對話窗口,一個昵稱叫“我愛淘寶”的網(wǎng)友自稱認識拍拍網(wǎng)公司的人,能幫王先生刷拍拍網(wǎng)店的信譽。
王先生起初還有點懷疑,但隨著聊天的深入,他漸漸地感覺對方說的話很真誠,就慢慢放松了警惕。
看到王先生進入自己設下的圈套,陌生網(wǎng)友向王先生在線發(fā)送了一個軟件包,說軟件包內(nèi)就是新規(guī)則。王先生沒有多想就點擊接收了這個軟件包,同時陌生網(wǎng)友“不經(jīng)意”地告訴王先生,現(xiàn)在支付寶有優(yōu)惠活動,充值100送30,很合算,而且只限當晚。
此時的王先生已經(jīng)完全相信這個網(wǎng)友的話了,他立即用工行網(wǎng)上銀行向自己的支付寶賬戶打錢,第一次打了2000元后,電腦屏幕上突然跳出幾個字“巨人賬戶充值成功”,但查詢支付寶賬戶時,發(fā)現(xiàn)充值沒有成功。王先生知道巨人是網(wǎng)絡游戲的賬戶,但自己從來不玩游戲,怎么會充值到巨人網(wǎng)絡的賬戶里呢?他不知道是哪里出了問題。但感覺情況不妙的王先生查看了自己的銀行賬戶,這一看他驚呆了:自己銀行賬戶里的3萬多元現(xiàn)金,被人轉(zhuǎn)移到巨人網(wǎng)絡的賬戶里變成了游戲幣。第二天一早,他滿頭大汗地跑到轄區(qū)的派出所報案。
新型病毒可后臺改金額
經(jīng)過大屯公安分局與徐州市公安局網(wǎng)警支隊的聯(lián)合調(diào)查發(fā)現(xiàn),犯罪嫌疑人以發(fā)“拍拍新規(guī)則”為名,實際向王先生發(fā)送的是一種叫做“浮云”的新型木馬病毒。這種病毒在受害人使用網(wǎng)銀轉(zhuǎn)賬的過程中,在后臺秘密截取網(wǎng)銀轉(zhuǎn)賬信息,在受害人不知情的情況下,將受害人網(wǎng)銀內(nèi)的資金秘密轉(zhuǎn)入到犯罪嫌疑人指定的游戲賬戶。
除了具有一般的網(wǎng)銀盜竊木馬的功能外,“浮云”木馬更具有隱蔽性,甚至可以躲過殺毒軟件的掃描,并且可以根據(jù)銀行卡內(nèi)的資金情況,更改盜竊資金的額度。
王先生被騙的資金去向,是案件唯一的突破口。專案組民警根據(jù)王先生提供的線索,通過分析和追查受害人資金流向,很快將嫌疑人位置鎖定在山東省威海市一小區(qū)。獲取這一信息后,3月31日,民警將再次準備作案的兩名嫌疑人林某和王某抓獲。
租“馬”人牽出盜竊團伙
據(jù)林某交代,2011年初,他在一黑客群內(nèi)結識了網(wǎng)友“GG”,“GG”教他利用發(fā)送“浮云”木馬軟件,控制受害人網(wǎng)上銀行支付、更改支付地址、盜竊他人網(wǎng)銀卡內(nèi)現(xiàn)金,并以每月3000元的價格將木馬病毒出租給他。
王某主要負責聯(lián)系網(wǎng)店用戶,以多種方法誘騙用戶實施種馬,盜來的資金與林某分賬。
專案組民警發(fā)現(xiàn),“浮云”木馬盜竊團伙主要成員近60名,團伙成員角色分工極其細致,從木馬作者,到負責修改病毒躲避殺毒軟件查殺的免殺人員,以及租用木馬騙錢的“包馬人”,專門引誘受害人上鉤的“拉單人”和得手之后的洗卡人,每個成員都有自己明確的角色。
團伙成員全部落網(wǎng)
在對涉案資金進行分析整理后,警方發(fā)現(xiàn),在不到兩個月的時間里,“浮云”木馬案件中的受害人達到近百人,涉案金額1000多萬。徐州市公安局網(wǎng)警支隊案件偵查隊隊長張偉告訴記者,這一數(shù)字說明,“浮云”木馬與以往的電腦病毒相比危害性更大,如果不盡快偵破此案,病毒可能會呈幾何級數(shù)向外擴散,騙倒更多的網(wǎng)民。
專案組民警經(jīng)過一個多月的數(shù)據(jù)分析和偵查,成功抓獲了包括木馬作者、包馬人、免殺人在內(nèi)的58名犯罪嫌疑人。
目前,41名犯罪嫌疑人已被依法逮捕,破獲案件30多起,扣押涉案機器112臺、銀行卡456張,追回受害人被騙資金300多萬元。這起公安部掛牌督辦的全國最大網(wǎng)銀盜竊團伙案至此告破。
□案件特點
四成嫌疑人都是90后
據(jù)徐州市公安局網(wǎng)警支隊案件偵查隊隊長張偉介紹,此案中抓獲的犯罪分子顯示出低齡化的特點,多數(shù)為青少年,22歲以內(nèi)的90后占到40%。這些人的學歷高低不等,從初中肄業(yè)到大學畢業(yè)都有,但是都沒有正當收入來源,又貪圖享受,利用網(wǎng)銀木馬盜竊就成了他們“致富”的一條捷徑。
而且隨著網(wǎng)絡技術的發(fā)展,木馬逐漸呈現(xiàn)出智能化、傻瓜化的特點,“浮云”木馬通過進程實時監(jiān)視用戶瀏覽器地址欄URL,當用戶有支付行為時,該木馬會自動讀取指令,然后根據(jù)指令進行防查殺升級。犯罪分子種下“馬”后,只需要使用修改工具進行簡單配置就能立即實施盜竊。一次種馬,多個充值賬號使用,可實施多次盜竊。由于該木馬操作簡便,容易上手,他們在實施盜竊的同時,還相互傳授經(jīng)驗,導致犯罪成員迅速增加。
犯罪成員反偵查意識強
雖然此案中犯罪嫌疑人年齡都不大,但卻有豐富老到的反偵查意識。他們?yōu)榱穗[藏身份、逃避追查,不使用真實的身份信息,盜竊得手后立即找人“洗卡”。洗卡人購買游戲點卡,然后將游戲點卡賣給網(wǎng)游公司或游戲玩家變現(xiàn)。另外,作案用的收款賬號、第三方充值等賬號多是一案一用,變換頻率較高,而且活動地點、作案地點不固定,給警方追查嫌疑人帶來很大難度。
以往網(wǎng)絡犯罪人員一般都是單打獨斗,或者最多幾個人臨時組成團伙,相比之下,此案犯罪團伙人員眾多,源頭的木馬作者、免殺人員,到下面的洗卡人員、包馬人員、拉單人員,每一級人員都有明確的角色分工,作案手段各不相同,組織非常嚴密,而且該團伙區(qū)域分布較廣,從最北方的黑龍江到最南端的海南省都有,遍布全國32個地市。
□警方提示
“網(wǎng)購達人”最易上當
警方統(tǒng)計本案受害者時發(fā)現(xiàn),盡管犯罪嫌疑人都是向非特定目標發(fā)送病毒實施作案,但受害者的群體相對固定,主要是經(jīng)常進行網(wǎng)上交易的網(wǎng)民這個龐大的群體。此外,像本案中受害人王先生一樣,一些在網(wǎng)購群里開網(wǎng)店的店主也經(jīng)常成為被盜竊的對象。
現(xiàn)在有一些網(wǎng)民注冊開設網(wǎng)店后便將網(wǎng)店低價轉(zhuǎn)讓,這些店極易成為犯罪分子假扮店主實施盜竊和詐騙的外衣。犯罪嫌疑人一般是購買一些網(wǎng)店黑號當“店主”,在店里上傳幾種比市價便宜很多的商品吸引買家,然后與買家網(wǎng)上交流,在成功取得買家的信任后,便以多種方式向受害人傳送木馬文件,木馬采用壓縮文件、EXL文件、圖片等格式包裝,多以“實物圖”、“特價商品”、“最新價格”、“活動規(guī)則”等命名來欺騙受害人。引導受害人種下木馬后就可以順利實施盜竊。
為了不引起受害人的懷疑,木馬運行時,首先會彈出一個對話框迷惑受害人,讓他們感覺自己運行的程序出錯了,不會中斷操作。用戶支付以后,木馬還會修改銀行給用戶的確認信息,顯示出“支付失敗”的提示頁面,這使得很多受害人試了一次又一次,多次被盜,直到錢已付完才發(fā)現(xiàn)錢已經(jīng)進了別人的賬戶。
為此網(wǎng)警提示廣大網(wǎng)民,在上網(wǎng)聊天時不要輕信陌生人,尤其是主動聯(lián)系的陌生人,更不要向陌生人透露自己銀行卡的信息,本案中的受害人就是在與犯罪嫌疑人聊天過程中,泄露了自己的部分個人信息。不要點擊、運行來歷不明的文件,在使用網(wǎng)上銀行時,盡量使用升級版、帶LED顯示屏的U盾。