全国最大网银盗窃案告破:近百人两个月被盗千万

“神马都是浮云”是一句网络流行语,而20岁的程序写手高阳却把它用作了新型木马病毒的名字。在短短两个月的时间里,这匹“神马”通过QQ传播在全国各地横冲直撞,窃走近百名受害人网银账户内的资金,涉案金额达1000多万,制造了全国最大一起网银盗窃团伙案。

近日,江苏省徐州市公安局网警支队破获这起盗窃案。这匹神通广大的“神马”,最终成为网络中的过眼浮云。

热心网友发来神秘文件

今年3月22日入夜,家住江苏省徐州市的王先生像往常一样,经营着自己的淘宝网店,就在他和顾客在网上讨价还价时,QQ跳出了一个对话窗口,一个昵称叫“我爱淘宝”的网友自称认识拍拍网公司的人,能帮王先生刷拍拍网店的信誉。

王先生起初还有点怀疑,但随着聊天的深入,他渐渐地感觉对方说的话很真诚,就慢慢放松了警惕。

看到王先生进入自己设下的圈套,陌生网友向王先生在线发送了一个软件包,说软件包内就是新规则。王先生没有多想就点击接收了这个软件包,同时陌生网友“不经意”地告诉王先生,现在支付宝有优惠活动,充值100送30,很合算,而且只限当晚。

此时的王先生已经完全相信这个网友的话了,他立即用工行网上银行向自己的支付宝账户打钱,第一次打了2000元后,电脑屏幕上突然跳出几个字“巨人账户充值成功”,但查询支付宝账户时,发现充值没有成功。王先生知道巨人是网络游戏的账户,但自己从来不玩游戏,怎么会充值到巨人网络的账户里呢?他不知道是哪里出了问题。但感觉情况不妙的王先生查看了自己的银行账户,这一看他惊呆了:自己银行账户里的3万多元现金,被人转移到巨人网络的账户里变成了游戏币。第二天一早,他满头大汗地跑到辖区的派出所报案。

新型病毒可后台改金额

经过大屯公安分局与徐州市公安局网警支队的联合调查发现,犯罪嫌疑人以发“拍拍新规则”为名,实际向王先生发送的是一种叫做“浮云”的新型木马病毒。这种病毒在受害人使用网银转账的过程中,在后台秘密截取网银转账信息,在受害人不知情的情况下,将受害人网银内的资金秘密转入到犯罪嫌疑人指定的游戏账户。

除了具有一般的网银盗窃木马的功能外,“浮云”木马更具有隐蔽性,甚至可以躲过杀毒软件的扫描,并且可以根据银行卡内的资金情况,更改盗窃资金的额度。

王先生被骗的资金去向,是案件唯一的突破口。专案组民警根据王先生提供的线索,通过分析和追查受害人资金流向,很快将嫌疑人位置锁定在山东省威海市一小区。获取这一信息后,3月31日,民警将再次准备作案的两名嫌疑人林某和王某抓获。

租“马”人牵出盗窃团伙

据林某交代,2011年初,他在一黑客群内结识了网友“GG”,“GG”教他利用发送“浮云”木马软件,控制受害人网上银行支付、更改支付地址、盗窃他人网银卡内现金,并以每月3000元的价格将木马病毒出租给他。

王某主要负责联系网店用户,以多种方法诱骗用户实施种马,盗来的资金与林某分账。

专案组民警发现,“浮云”木马盗窃团伙主要成员近60名,团伙成员角色分工极其细致,从木马作者,到负责修改病毒躲避杀毒软件查杀的免杀人员,以及租用木马骗钱的“包马人”,专门引诱受害人上钩的“拉单人”和得手之后的洗卡人,每个成员都有自己明确的角色。

团伙成员全部落网

在对涉案资金进行分析整理后,警方发现,在不到两个月的时间里,“浮云”木马案件中的受害人达到近百人,涉案金额1000多万。徐州市公安局网警支队案件侦查队队长张伟告诉记者,这一数字说明,“浮云”木马与以往的电脑病毒相比危害性更大,如果不尽快侦破此案,病毒可能会呈几何级数向外扩散,骗倒更多的网民。

专案组民警经过一个多月的数据分析和侦查,成功抓获了包括木马作者、包马人、免杀人在内的58名犯罪嫌疑人。

目前,41名犯罪嫌疑人已被依法逮捕,破获案件30多起,扣押涉案机器112台、银行卡456张,追回受害人被骗资金300多万元。这起公安部挂牌督办的全国最大网银盗窃团伙案至此告破。

□案件特点

四成嫌疑人都是90后

据徐州市公安局网警支队案件侦查队队长张伟介绍,此案中抓获的犯罪分子显示出低龄化的特点,多数为青少年,22岁以内的90后占到40%。这些人的学历高低不等,从初中肄业到大学毕业都有,但是都没有正当收入来源,又贪图享受,利用网银木马盗窃就成了他们“致富”的一条捷径。

而且随着网络技术的发展,木马逐渐呈现出智能化、傻瓜化的特点,“浮云”木马通过进程实时监视用户浏览器地址栏URL,当用户有支付行为时,该木马会自动读取指令,然后根据指令进行防查杀升级。犯罪分子种下“马”后,只需要使用修改工具进行简单配置就能立即实施盗窃。一次种马,多个充值账号使用,可实施多次盗窃。由于该木马操作简便,容易上手,他们在实施盗窃的同时,还相互传授经验,导致犯罪成员迅速增加。

犯罪成员反侦查意识强

虽然此案中犯罪嫌疑人年龄都不大,但却有丰富老到的反侦查意识。他们为了隐藏身份、逃避追查,不使用真实的身份信息,盗窃得手后立即找人“洗卡”。洗卡人购买游戏点卡,然后将游戏点卡卖给网游公司或游戏玩家变现。另外,作案用的收款账号、第三方充值等账号多是一案一用,变换频率较高,而且活动地点、作案地点不固定,给警方追查嫌疑人带来很大难度。

以往网络犯罪人员一般都是单打独斗,或者最多几个人临时组成团伙,相比之下,此案犯罪团伙人员众多,源头的木马作者、免杀人员,到下面的洗卡人员、包马人员、拉单人员,每一级人员都有明确的角色分工,作案手段各不相同,组织非常严密,而且该团伙区域分布较广,从最北方的黑龙江到最南端的海南省都有,遍布全国32个地市。

□警方提示

“网购达人”最易上当

警方统计本案受害者时发现,尽管犯罪嫌疑人都是向非特定目标发送病毒实施作案,但受害者的群体相对固定,主要是经常进行网上交易的网民这个庞大的群体。此外,像本案中受害人王先生一样,一些在网购群里开网店的店主也经常成为被盗窃的对象。

现在有一些网民注册开设网店后便将网店低价转让,这些店极易成为犯罪分子假扮店主实施盗窃和诈骗的外衣。犯罪嫌疑人一般是购买一些网店黑号当“店主”,在店里上传几种比市价便宜很多的商品吸引买家,然后与买家网上交流,在成功取得买家的信任后,便以多种方式向受害人传送木马文件,木马采用压缩文件、EXL文件、图片等格式包装,多以“实物图”、“特价商品”、“最新价格”、“活动规则”等命名来欺骗受害人。引导受害人种下木马后就可以顺利实施盗窃。

为了不引起受害人的怀疑,木马运行时,首先会弹出一个对话框迷惑受害人,让他们感觉自己运行的程序出错了,不会中断操作。用户支付以后,木马还会修改银行给用户的确认信息,显示出“支付失败”的提示页面,这使得很多受害人试了一次又一次,多次被盗,直到钱已付完才发现钱已经进了别人的账户。

为此网警提示广大网民,在上网聊天时不要轻信陌生人,尤其是主动联系的陌生人,更不要向陌生人透露自己银行卡的信息,本案中的受害人就是在与犯罪嫌疑人聊天过程中,泄露了自己的部分个人信息。不要点击、运行来历不明的文件,在使用网上银行时,尽量使用升级版、带LED显示屏的U盾。

相关阅读:

木马开发者:他是天才,可惜用错了地方

高阳编写出的“浮云”木马程序在两个月内横扫全国的网购达人,套钱1000多万元。侦破此案的网警惊叹,目前国内外尚无这种技术的木马程序,“这小伙子是个天才,可惜用错了地方”。

“天才”与“魔鬼”何以集于一身?近日,京华时报记者在江苏铜山区看守所对话高阳。

□人物

高阳

网名“GG”,20岁河北小伙,计算机程序迷。他每天使用电脑20个小时以上,没有朋友没有女友、甚至没时间吃饭和花钱。

我的程序跳出来的页面仍然是支付宝的页面,非常真实,一套流程下来比较完美,用户发现不了,直到交易完之后才能发现钱被刷走。

如果出去的话,我想做一个还债的人。有那么多人因为这个受到了伤害,我想尽量做一个对社会有用的人,在能用到我的地方去还。

□揭秘

“我能做到不黑别人钱”

记者:这个木马程序是你想出来的?

高阳:在这些程序里面,点子是最重要的,并不是有专业知识就行。有时我想出一个思路,自己不会写,就找技术更好的人来写。

记者:怎么想到做“浮云”这个木马程序?

高阳:我在别的群里看到有人说存在“黑吃黑”的现象,就是我写一个病毒木马租给你,你用来骗别人的钱,但是等钱到了你账户以后,我通过技术手段,在后台把你账户里的钱拿走,你也没办法。我觉得要是我来做这个程序,我能做到不黑别人的钱,于是就有了这个点子。

记者:你木马的程序与他们有什么不同?

高阳:原理差不多,但我的程序跳出来的页面仍然是支付宝的页面,非常真实,一套流程下来比较完美,用户发现不了,直到交易完之后才能发现钱被刷走。而且我也不会“黑”包马人(租木马程序的人)的钱,后来大家都来租我的用。

“我是规则的制造者”

记者:你在这个QQ群里是个什么角色?

高阳:我在这个行业(如果算是行业的话)里边,是规则的制造者。我专门写过一个很多条规则的文档公布在群里,包括不准黑吃黑、不准不给拉单人提成等,还有不允许两个人在群里吵架、和外面的人相互诋毁等。

记者:他们服从你的管理吗?

高阳:群里的人必须服我管,如果有人违反规则,我就停掉他的程序。因为是我建的群,我有绝对的权威,不服就踢了他,群里的人都称呼我“GG”,都服从、尊敬我。我不黑他们的钱,他们内心里面也会觉得我好,如果用别人的程序,10笔有4笔会被黑走,我就从来没做过这样的事。

挣了20万一分没花

记者:这个木马程序给你带来多少收益?

高阳:每个月10万左右。包马人一个月给我结一次账,程序也一个月会提醒一次到期,续费之后才能继续用。

记者:两个月赚了20万怎么花?

高阳:这些钱我一分都没花出去,我没想过要花它,也没什么可花的,每天都不出门。而且如果家里人问这个钱哪来的,我没法交代。我给家里人买过的东西都是用以前做网站的钱买的。

记者:你知道这些是违法收入吗?

高阳:我没想过会出这么大的事。我不知道包马人骗了多少钱,他们不会跟我说,说也不会说实话,拉单人也不会跟我交流。

□经历

“编程序有种成就感”

记者:你是什么学历?学的是计算机吗?

高阳:大专和中专都学的是数控车床。我上中专时就很喜欢计算机,之后一直在自学计算机编程知识。一般就是从网上学,看看电子书,去一些编程的网站,和人聊聊、探讨一下,这些人有的是本科毕业、有的是爱好者,在论坛里交流技术。

记者:你觉得自己的专业水平如何?

高阳:我肯定不如专业学计算机的水平高,编程序并不是学得好就行。很多人懂这个,但没有思路。有时我遇到一个难题想不出来,一整天都在想,睡觉也在想,梦里突然想出来,赶紧跳起来敲在键盘上,键盘都敲坏了。

记者:编程的魅力在哪?

高阳:首先是我自己比较有兴趣,而且当你想出、做出一个东西时,比较有成就感。在论坛里时,我想出一个难题,很多人表现得很佩服我。

网上跟现实比好多了

记者:大专毕业后工作过吗?

高阳:2008年大专毕业后我在唐山一个工厂做电焊工,我当时的工资2000元左右,但是除了吃饭以外,一天干10个多小时的活,感觉付出和收入太不成正比,很辛苦。

记者:之后做过与电脑有关的工作吗?比如软件公司?

高阳:没想过去软件公司找工作,他们一般都要有学历、有专业、有工作经验的。就干脆不想这个东西了。

记者:有女朋友吗?和朋友同学联系多吗?

高阳:没有女友,上学时也没有。我每天上网时间都在20个小时左右,就是和网上这些群友交流。

记者:你不觉得生活在网上不真实吗?

高阳:这样的生活也没什么不好,外面的生活太现实了,都从上班、接触社会时得来的印象。我在工厂时虽然没人欺负,但是也没人那么尊重我。网上跟现实比好多了,没那么多烦心的事。

记者:那你自学的东西怎么转变成谋生手段?

高阳:我做过一些企业网站,有些中介在论坛群里发布任务,论坛里的人都可以去接任务。我接过很多个任务,接一个一般几千块钱,可能需要一个月的时间去建网站,看任务的要求时间。

记者:这个付出和回报成正比吗?

高阳:有的时候,我花了一个月给他做完,他找到新的人,不要了,我的就白做了,这个时候肯定很生气,但是也没有什么办法。

□反省

我不该给他们写程序

记者:现在怎么看待这件事?

高阳:我肯定是有责任,我不给他们程序,他们没法骗钱,进来这里面后我一直在想,觉得我是一个很坏的人。

记者:你用什么标准衡量好人坏人?如果包马人说谎话博取你的同情呢?

高阳:说假话的人还是能看出来,在网上这么多年了,通过长时间的聊天,我能判断出来。不过我现在很后悔,不该给他们写程序,应该给他们一条正当的生路,应该给他们一条不违法的道路来走,他们用我的程序骗了钱,我肯定也有责任。

记者:出去之后有什么打算?

高阳:如果出去的话,我想做一个还债的人。有那么多人因为这个受到了伤害,我想尽量做一个对社会有用的人,在能用到我的地方去还。那些包马人肯定也有偿还的义务,很多包马人钱已经花掉了,肯定不会像我这样去偿还,他们就是挣得快花得也快。我现在的想法像警察一样,做一个建立秩序的人。

记者:看守所里没有电脑的生活习惯吗?

高阳:这方面轻松多了,以前每天只睡三四个小时,现在就当休息了,把以前欠的觉都补回来。

留言评论(旧系统):

【匿名者】 @ 2012-10-16 20:57:33

木马作者还算不错的,挺低调。

本站回复:

典型的程序猿……

【匿名者】 @ 2012-10-17 19:12:31

唉,典型的D吊的苦逼程序猿。。。就是那个总是吃闷亏,还习惯不嚷嚷的人

本站回复:

正宗程序猿……

【匿名者】 @ 2012-10-22 18:08:29

我只做游戏辅助

本站回复:

俗称外挂…… ╮(╯_╰)╭

flwoind @ 2012-11-07 03:43:37

自己屁股没洗干净..最关键的是..人在国内..还做国内生意..自己找死..怪不的那个..

本站回复:

做国内生意的多了,关键是会不会做,而且他这个还是公安部挂牌督办,不死才怪……

佚名 @ 2016-06-11 02:29:36

AABBCCC

本站回复:

[暂无回复]