蔡华伟绘
核心提示
打开“热心网友”发来的一个软件包,网上银行账户内的现金竟然不翼而飞……10月16日,记者从江苏省徐州市公安局获悉,该局民警近日破获了公安部挂牌督办的“浮云”木马病毒特大网银盗窃案,41名犯罪嫌疑人已被依法逮捕。这个名叫“浮云”的木马病毒从何而来,又是如何盗出网络银行资金的呢?
陌生网友发来软件包,卷走网银3万元
江苏徐州的王先生经营着一家网店。今年3月22日,一个陌生网友向他发来聊天邀请,屏幕下方的QQ头像不断闪起,王先生点开了“好友”请求。在双方正聊得开心时,这名网友向王先生的电脑发送了一个名为某家网购平台“新规则”的软件包,并在线指导王先生解压缩、安装软件包。随后,该网友又对王先生称“支付宝”正在搞活动,“充100元送30元”。
逐步丧失警觉的王先生信以为真,便用工行网上银行向自己的支付宝账户转了一部分资金。不久,王先生惊讶地发现,自己账户内3万多元的现金已不翼而飞。
徐州市公安局大屯公安分局接警后,与徐州市公安局网警支队成立了联合专案组,立即开展侦查。通过分析,民警发现犯罪嫌疑人以发送所谓“新规则”为名,向受害人发送了一种叫“浮云”的新型木马病毒。
专案组民警对“浮云”木马进行原理分析后,发现这种木马可以对目前20多个银行的网上交易系统实施盗窃。
木马病毒篡改用户转账信息,盗取现金
据了解,这一“浮云”木马特大网银盗窃案涉及案件30余起,涉案金额达1000多万元。
徐州市公安局网警支队案件大队苏警官介绍,犯罪嫌疑人在成功取得对方的信任后,便以多种方式向受害人传送木马文件,木马采用压缩文件、EXL文件、图片等格式包装,引导受害人种下木马后就可以顺利实施盗窃。
为不引起受害人怀疑,木马运行时,首先会弹出一个对话框迷惑受害人,不让受害人中断操作。用户转账以后,木马还会修改银行给用户的确认信息,显示出“支付失败”的提示页面,这使得很多受害人试了一次又一次,导致多次被盗。
这种病毒通过后台在受害人使用网银转账过程中,秘密截取网银转账信息,在受害人不知情的情况下篡改转账金额,将受害人网银资金秘密转入到犯罪嫌疑人指定的游戏账户。
苏警官说,除了具有一般的网银盗窃木马的功能外,“浮云”木马更具隐蔽性,甚至可以躲过360等杀毒软件的扫描,并且可以根据银行卡内的资金情况更改盗窃资金的额度。
近60名成员构成犯罪利益链条,组织分工明确
经过侦查,专案组民警在山东威海警方配合下,将两名犯罪嫌疑人林某、王某某抓获。经过审讯,一条利用木马病毒盗取网银的完整犯罪链条浮出水面。
据两名嫌犯交代,2011年初,林某在一黑客群内结识了网友“GG”,“GG”教他利用发送“浮云”木马软件,控制受害人网上银行支付,更改支付地址,盗窃他人网银卡内现金的手段,并以每月3000元的价格将木马病毒出租给林某。
专案组民警调查发现,“浮云”木马盗窃团伙主要成员近60名,其中有木马软件的制作者,有为木马病毒加壳以免被杀毒软件查杀的“免杀成员”,有租用木马的,还有将存入游戏中的游戏币置换为现金的“洗卡人”,每个成员都有明确的角色。
苏警官介绍,木马制作人写出木马程序后,租给“租马人”,“租马人”寻找受害人,并将木马种到受害人的电脑,骗受害人使用网银卡,并更改受害人网银支付地址,然后“洗卡人”用受害人的钱购买游戏点卡,再将游戏点卡卖给网游公司或游戏玩家变现。
苏警官说,此案犯罪团伙人员众多,从源头的木马作者、免杀人员,到下面的洗卡人员、租马人员、拉单人员,每一级人员都有明确的角色分工,组织非常严密。而且,该团伙成员区域分布较广,从最北端的黑龙江到最南端的海南省都有,遍布全国32个地市。
4月21日,徐州市公安局对涉案的犯罪嫌疑人展开集中抓捕行动,成功抓获了包括木马制作者、租马人、免杀人在内的犯罪嫌疑人58名。警方通过对木马作者高某、王某的审讯、电子设备勘验和互联网存储空间的检查,收回木马源文件所有副本,彻底消除了“浮云”木马网络传播的潜在危害。目前,41名犯罪嫌疑人已被依法逮捕。
木马病毒犯罪日趋智能化、傻瓜化
苏警官介绍,随着网络技术的发展,利用木马病毒犯罪逐渐呈现智能化、傻瓜化的特点。
他说,“浮云”木马通过进程实时监视用户浏览器地址栏,当用户有支付行为时,该木马会自动读取指令,然后根据指令进行防查杀升级。犯罪分子种下“马”后,只需要使用修改工具进行简单配置就能实施盗窃。一次种“马”,多个充值账号使用,可实施多次盗窃。
“该木马操作简便,只要会上网就能操作。”苏警官说。
同时,为了隐藏身份、逃避追查,犯罪分子不使用真实的身份信息,盗窃得手后立即找人“洗卡”,而作案用的收款账号、第三方充值等账号多是一案一用,变换频率较高,加上活动地点、作案地点不固定,这给警方侦查带来难度。
警方提示网友,在上网聊天时不要轻信陌生人,尤其是主动联系的陌生人,更不要向陌生人透露自己银行卡的信息;不要点击、运行来历不明的文件;在使用网上银行时,尽量使用升级版的网银安全工具。
凡注有"浙江在线"或电头为"浙江在线"的稿件,均为浙江在线独家版权所有,未经许可不得转载或镜像;授权转载必须注明来源为"浙江在线",并保留"浙江在线"的电头。