团伙利用木马盗窃证券帐户案侦破始末

于海涛 上海、武汉、荆州报道　　随着熊冬冬团伙盗窃证券账户案的公开审判，利用木马病毒盗窃证券账户信息的真相，即将走向人们的视野。　　上海证券交易所相关部门负责人表示，本起案件的成功告破，证监系统与公安部门密切合作、快速联动是核心，证监系统内证监会、地方证监局、交易所三位一体快速反应是关键。　　交易所：敏锐发现　　“熊冬冬团伙倒腾资金的手法是对敲，打价格差，殊不知，这恰好是把自己直接暴露在监控系统的电子眼之下。”一位上交所市场监察部人士说。　　据介绍，我国交易所已建有专门的系统和机制，负责对涉嫌短线操纵、内幕交易等违法违规交易行为进行监控，快速发现、报告及反应的能力极强。在这方面，世界其他发达国家的资本市场也很难达到这种水平。　　首先是建有证券交易实时监控系统，具备报警发现能力。　　此系统以报警驱动为主动牲，针对不同短线操纵手法，设计了不同的预警指标。这些预警指标涵盖了多类产品的多种短线操纵场景，具备及时发现市场操纵行为的能力。　　“比如一下子有一个单子进来突然把价格改变达到设定数值，这个系统就报警，每天有一个团队做实时监控，发现可疑行为就把账户就会深入分析。而实时监控系统对(成交)价、(交易)量方面都设有相应指标，发现明显异常就会报警。”前述上交所市场监察部门人士说： “对这个系统来说，对敲这种作案手法很容易被盯上。”　　熊冬冬案即属此类，当某些证券品种突然出现价格异常变动，且交易对手方为固定账户，自难逃“电子眼”的巡察。　　其次，交易所建有证券异常交易分析系统，具备分析报告能力。即在及时发现异常交易行为时，从中捕捉违法违规线索。　　为此，上交所建立了证券异常交易数据分析系统，专门开发了针对各种短线操纵模式的分析模块，并在此基础上，不断进行总结并完善分析指标体系。　　“很多行为的表现方式是一样的，比如都是股价异常波动，但有的是内幕交易，有的是操纵市场，还有其他的，比如盗买他人账户资产，要经过分析才能初步确定。”前述上交所人士称。　　初步确定异动原因后，交易所即启用“监管综合干预措施”，主要目的是及时制止相关违法违规行为，以避免更大损失。　　目前来看，对证券异常交易行为，上交所具备监管干预的手段和权力，包括口头提醒、书面警示、约见谈话、限制账户交易权限以及上报证监会查处等。　　证监会稽查局：运筹帷幄　　“交易所定期和不定期都会有大量的监察报告报证监会到稽查局，证监会稽查局安排专人受理、甄别和处理，所有的工作已经形成比较规范的程序。”一位接近监管部门人士对本报记者说，比如，涉嫌内幕交易或市场操纵的，有的启动非正式调查程序，有的直接启动立案稽查程序，非正式调查案件和立案稽查案件由派出机构和稽查总队实施调查。　　熊冬冬案，在几个账户与一个账户之间发生对倒行为，最后的结果是资金以交易的形式流向另一账户，如果交易属于双方自愿，可能涉及利益输送，如果一方不知情，可能涉嫌盗窃。　　前述接近监管部门人士表示，与其他异常交易相比，从单次交易获利来说，熊冬冬案金额不算大。但是，这种违法行为的危害后果很严重，直接威胁投资者的信息，因此，从一开始，证监会稽查局就很重视这类线索。　　该人士介绍，在去年2月份上交所将“赖××”账户与 7个交易账户进行对倒盈利的相关线索报至证监会稽查局后，证监会稽查局立即转至湖北证监局，请其及时采取行动，并与公安机关联系查处此事。　　至去年3月份，托管在广发证券武汉民权路营业部的陈××账户出现与赖××类似的异常交易情况。　　“当时的判断是很可能是同一伙人，开户都在湖北，为避免给投资者造成更大损失，稽查局立即协调湖北证监局及时督促相关营业部向警方反映情况。”前述人士说。　　在上述人士看来，为提高执法效率，证监会稽查局在此案中创立了一种“简便程序”，实行情报传输的直接对接，即经稽查局统一协调后，交易所、湖北证监局和湖北警方建立了联系人制度，沟通、通报和协助实现无缝对接，保证了执法力量在无障碍运转的机制下以最短时间打击涉嫌盗窃者。　　“从敏锐判断案件性质到确定一切工作围绕‘抓人’这个中心看，证监会稽查局干得的确很漂亮。”上述人士说。　　在4月27日上交所监测到“方××”账户在以同样手法对倒相关证券时，该账户下单时间是10：52，而荆州警方在定位到该账户上网地址是某网吧，并赶至该地的时间是11：35。　　43分钟，创下了从交易所发现线索到公安机关赶到犯罪现场的最短纪录。　　派出机构：强力执行　　实际上，在追踪“方××”账户之前，相关各方已经过实战磨合，期间也经历过了各环节的逐步沟通和统一认识的过程。　　“赖××这个案子是湖北局接手的第一起非法盗买账户的案子，有非常典型的意义，犯罪分子如果得不到应有的惩罚，投资者利益就得不到保障，由此引发风险不得了，因此，湖北局在致公安厅的函中，请求公安部门集中力量把这个事情当个大事来抓，迅速破案。”前述湖北证监局人士说。　　同时，湖北局成立了专案组，赶赴荆州，与警方沟通相关证券交易的专业知识，并协助提供交易纪录、相关线索，以及与交易所等部门及时沟通。　　3月份“陈××”账户异常情况发生以后，交易所、湖北局、公安机关的协作配合就顺畅许多，至4月份“方××”出现，在几乎“无缝对接”的全方位监管体系网下，仅经过一天时间，即抓获了熊冬冬。　　“协同监管机制发挥了较好作用，交易所同志迅速提供材料，湖北局按稽查局指示，及时与公安联系，所有工作突出特点是快，为案子的破获创造了良好的条件。”前述人士说。　　在他看来，查办此类案件有些做法值得总结，比如证监会稽查局在接到交易所监管专题报告后，可立即转发给相关派出机构对涉嫌盗用他人账户进行交易、非法牟利的行为进行调查取证，派出机构也要在第一时间通报当地省级公安部门，请求公安部门的支持和配合。　　同时，派出机构要对涉嫌盗用他人账户客户开户托管的营业部对可疑账户实施实时监控，着手准备客户开户资料、交易IP地址、交易流水、资金流水等相关材料，全力配合调查。　　公安机关：专业技战术　　熊冬冬案由湖北省公安厅经侦总队转给荆州市公安局经侦支队后，经分析，认为是一种网络犯罪，即转至网监大队。　　“我不炒股，对股票不太了解，(湖北证监局相关人士)跟我说了情况以后我到网上看了一下，才知道有股票的几种交易形式，一般情况(股票交易)是T+1，点对点之间是可以对敲的。”专案组主策划、荆州市公安局网侦支队政委李恩忠说。　　在此认识下，李恩忠初步确定了追踪IP地址的作案方案。　　首先调取犯罪嫌疑人上网信息，进行技术关联。发现其上网IP地址基本集中在荆州城区、公安县、石首市、湖南安乡、湖北武汉、湖北咸宁等附近地区。而对嫌疑账户与对方账户的交易IP地址核对发现，大多在一个点上。　　“买方和被买方一般不会在一个地方，可以分析出是一个人在自己卖自己收，调过来大量数据是这样的，也有同伙作案的。在异地的，我们做数据重合，就可以知道整个过程，是不是一伙人。”李恩忠说。　　“后来了解到证券交易规则中资金转账必须是T+1，第二天才能转账(证券转银行)，这给我们以极好的机会。”李恩忠介绍说，连夜支队召开专班会议，提出不能只盯着证券交易时的IP，因为证券交易部门提供的IP有延时，定位后赶到现场为时已晚，重要的是盯住他的资金转移。　　当即李恩忠联系了工商银行，请求对相关账号进行监控，使用“银行卡报警系统”实施全程定位。　　当晚，网监大队做出兵分四路的安排：一路坐镇工商银行监控账户异动；一路安排在荆州区、一路安排在沙市区、一路安排在华泰证券公司荆州营业部。　　次日，根据银行卡报警系统的指示，公安人员在取款现场将熊冬冬抓获。　　“在侦破的技术难度上说不是太难，但案子很麻烦，涉及到证券交易等专业知识，这对公安机关是个挑战。”李恩忠说，随着违法行为和技术的花样翻新，专业知识的欠缺会是影响办案效率的一个至关重要的因素。