山东高密破获盗刷网银大案 5650人手机被植入木马
嫌疑人梁某从北京押解回高密审讯
银行卡没离身,密码账号也未泄露,数万元钱却莫名其妙蒸发,类似的事件屡见不鲜。那么,究竟是什么人干的?又是通过什么方式窃取的个人信息?山东潍坊高密警方历时5个月的侦查,揭开了网银被盗刷背后的地下产业链。
核心提示
制作木马程序、网上贩卖木马程序、帮助“客户”免杀、利用木马卷钱,这是一个完整的犯罪链条。“木马”穿透手机杀毒程序发送至个人手机中,只要打开伪装链接就会中毒,接着木马拦截被害人手机短信,获取密码、账户等各种信息。自2014年8月份以来,警方查获的该木马网站后台已获取受害人通讯录信息有43万余条,短信记录100余万条,被种上手机木马病毒的用户达到5650人,涉案金额还在汇总中。
卡被盗刷前收到蹊跷短信
高密市的李某在当地经营一家五金商店。平时,他会通过手机短信来了解业内行情,每天能收到十几条相关信息。2014年9月21日,李伟的手机却突然“安静”了。从当月19日开始,李某的手机就接收不到任何短信,而且电池使用时间明显缩短且一直发热。之后,当他到银行查账时发现,自己开通了网银的6张银行卡,在19日至20日期间有4万多元钱不翼而飞。
而在这期间,李某的银行卡并未离身,也并未转借他人,同时没有进行过任何网上交易或银行操作。李某回忆,之前,他曾收到过一条“可疑”短信:“李伟老板您好,你所需要的某种产品我们这边有,详情您请点击这个链接。”当他点进去后,并没有看到任何产品的图片。
警方敏锐地注意到这一线索,并据此展开调查,最终确认李某的手机中了一种新型的木马病毒。犯罪嫌疑人利用黑客技术来攻击受害人的手机程序,在获取受害人信息后开始盗刷银行卡现金。整个过程,受害人毫不知情。
“反编译”找到木马程序网站
高密警方马上成立了专案组,对被入侵手机的木马程序进行反编译,对信息流进行查询,希望能查到木马网站。
在查询受害人的银行卡交易明细时,民警发现,受害人银行卡上的4万多元现金是在2014年9月19日至20日两天的时间里,以小额快捷支付的方式分多笔被转账,资金去向为百付宝、网银在线、支付宝等快捷支付平台。这一起案件所涉及的支付平台有11个,涉及北京、济南、上海、杭州、广州等多个省市,而且一笔转账可能仅仅是几块钱,走的支付平台、商城就达到三四个,最后这笔钱才能转到犯罪嫌疑人的银行卡上。同时,通过侦查,民警锁定了一个可疑的木马网站。而这个网站,正在对外通过QQ群、论坛向外发布有偿出售木马软件程序的广告,而其出售的木马程序,正是侵入受害人李某手机的那一种。于是,民警以买家身份联系上了卖家。
而李某被盗刷的这笔钱,多次辗转后被转账到了两个指定银行账户,之后在南宁、宾阳等地取现。同时,直接作案人和木马网站管理员上网所使用的IP地址大多为广西南宁地址段。而且民警意外地发现,直接作案人曾登录过这个木马网站。
专案组奔赴2200多公里外的广西南宁市,最终将直接作案人韦某和木马网站后台的管理员黄某抓获。
瞒过机主“木马”拦截短信
据嫌疑人黄某供认,2014年8月,他从河南一家主机租赁公司以799元的价格租赁了一台服务器,注册了域名,并从网上购买木马病毒源代码。为让这款手机木马软件躲避杀毒软件的查杀,黄某通过他人给木马病毒源代码做了“免杀外壳”。
做好了准备后,黄某建立了QQ群、相关论坛,不断发布关于售卖网络病毒的广告。据黄某交代,他将此款木马病毒卖给了15个用户,非法获利6万余元。犯罪嫌疑人韦某,就是黄某的其中一个客户。
该木马病毒针对安卓系统的智能手机,当其被植入到手机后,能够让该手机接收不到任何短信;此外,通过网络传输,还能把诈骗短信内容上传到病毒所捆绑的手机号码上。而诈骗犯罪嫌疑人利用木马病毒拦截被害人手机短信,获取银行向该手机号码发送的银行卡验证信息,然后就可把银行卡内的钱消费掉。
韦某分三次购买了11张移动手机卡以及网络云盘,同时又通过企业平台网站购买了有关小企业主的姓名、手机号、银行卡号、身份证号等信息。然后,他有针对性地向小企业主手机上发送带有该链接网址的诱导短信,引诱他们点击链接下载木马病毒并安装激活。一旦对方“上钩”,韦某会截获银行向该手机号码发送的银行卡消费验证码等信息。随后,其快速将被害人银行卡内的钱消费掉。或者以四六分的形式,通过银行卡盗刷团伙盗刷受害人银行卡内的现金,然后再通过转账、提现、购买充值卡变现等形式,存入自己持有的一张银行黑卡内。
网银被盗刷背后的地下产业链
犯罪嫌疑人黄某租赁服务器,注册域名,从网上购买木马病毒源代码,并为其做了“免杀外壳”;
网上发布关于售卖网络病毒的广告;
犯罪嫌疑人韦某分三次购买了11张移动手机卡以及网络云盘,同时又通过企业平台网站购买了有关小企业主的姓名、手机号、银行卡号、身份证号等信息;
有针对性地向小企业主手机上发送带有该链接网址的诱导短信,引诱他们点击链接下载木马病毒并安装激活;
一旦对方“上钩”,韦某会截获银行向该手机号码发送的银行卡消费验证码等信息;
随后,犯罪嫌疑人快速将被害人银行卡内的钱消费掉。
提醒
手机不明信息要慎点
今年3月份,济南市民李先生的手机突然收到了短信提醒,先后有两笔钱共7000多元被刷走。当他去银行查询这笔钱的流向时,竟是一个游戏网站。而在此之前,李先生手机收到过一个短信,上面提示李先生有一个图片需要接收。在点进去这个短信后,并没有显示什么。后经调查,李先生的手机被植入了木马病毒,当他在手机上进行网银的操作时,一举一动已经被对方了解的一清二楚,包括密码和验证码。
5600多人手机被植入“木马”
在审讯过程中,民警发现,无论是该木马网站的管理员黄某,还是直接作案人韦某,都不具备制作木马病毒的能力。为此,专案组民警通过多次摸排,发现犯罪嫌疑人黄某的木马源程序代码,是从一个网名叫“该昵称不能为空”的一个虚拟身份的人手中购买。
2015年3月,专案组民警在河南新乡将制作木马病毒的李某抓获。据李某供述,自己曾两次为黄某提供木马拦截程序源代码,受到黄某委托后,自己还以1000至2000元不等的价格,对其木马网站进行维护和升级。李某还应黄某要求,为其制作了10086积分钓鱼网站,用以窃取受害人银行卡的身份证号、账号、密码等“四大件”。
在同期,民警又发现了制作病毒免杀工具的嫌疑人梁某,并将其抓捕归案。至此,制作木马程序、网上贩卖木马程序、帮助“客户”免杀、直接利用木马卷钱的四名嫌疑人全部落网。
根据警方统计数据,自2014年8月份以来,木马网站中像韦某一样的直接作案用户竟多达78个,目前在用账户31个。在网站后台中,他们已获取的受害人通讯录信息有43万余条,短信记录100余万条,已被植入手机木马病毒的用户多达5650余人。
目前,警方还在对此案进一步调查,正对这5650余名受害人进行询问,以将受害人受骗金额进行汇总;并对其他78个用户继续进一步侦查。(文/图高倩赵光颜斌)