“如果把用户的QQ信息比作一头牛,各层转卖者就像一条流水线,牛在流水线上被依次剥皮去肉,最后剩下的骨头也被充分利用。”2012年12月10日上午,江苏省常州市公安局网络安全支队(以下简称常州网安支队)第三大队副大队长瞿俊告诉记者。活跃用户超过7亿的网络聊天工具QQ早已成为黑客们的目标。近期,经过四个月的调查,常州市公安局破获了一起利用“掠夺者”“Q币大盗”“NewQ大盗”三款木马软件的盗号团伙。不到一年时间,数千万个QQ号被盗,盗号量占全国被盗QQ号总数的90%,造成数百万用户4000多万元的财产损失。
盗号拿“信”
近日,常州网安支队接到了一起关于QQ被盗的报案,涉及160个Q币。警方对受害人电脑进行电子勘验,一款叫做“掠夺者”的木马程序被发现。这款程序不仅能盗取QQ密码,而且还能避开腾讯公司的验证系统而对Q币进行转移。与此同时,网安支队又接到了另外一起通过QQ进行诈骗的报案,在受害人的电脑中发现了一款叫做“Q币大盗”的木马程序。木马所指向的服务器成为唯一的破案线索。
涉案服务器的注册地位于南通市,而他的租用者却远在天津,访问过该服务器的IP地址则遍布全国各地。专案组陆续锁定了15个省(市、区),31名犯罪嫌疑人。其中包括掌握着“掠夺者”“Q币大盗”“NewQ大盗”三款木马的犯罪嫌疑人。
27岁的于阔是“Q币大盗”的总代理,2012年年初,于阔从同行“帅公子”即“掠夺者”木马的控制者钮华建手中拿到了这款木马样本。经破解,该木马可以将“信”直接发到他的服务器上。按于阔的话说,“这款马非常好用,兼容性强,信也很稳定。”
“信”是QQ盗号行业的术语,一组QQ用户名和密码称为一个“信”。而批量传送给黑客信息在圈内叫做“信封”,根据产品不同分为“装备信封”“QQ信封”等等。通过黑客工具,将信里面有价值的信息(QQ靓号,QQ币,有价值的游戏装备等)筛选出来的过程称为“洗信”。
据了解,一部分这类木马来自技术交流论坛,一些技术高手会在论坛上炫耀自己的技术能力,而这时一些盗号团伙就会把这个源文件进行破解后为己所用。而更多的时候,是在警方端掉一个盗号团伙后,他们直接将没人控制的木马重新破译据为己有。
“掠夺者”木马的操控者钮华建就是在今年年初,看到之前的盗号团伙被警方端掉后,找人破译了无人操控的“掠夺者”木马,自己一步步发展起来。
洗“信”牟利
当“掠夺者”等木马盗取海量QQ号码后,于阔、钮华建这些总代理就会将号码分批卖给下线的“洗信工作室”。
腾讯公司安全中心在2012年7月发布的《QQ盗号产业链分析和应对》报告指出,QQ盗号的黑色产业已经呈现集团化及行业细化的特征。
常州网安支队第三大队副大队长瞿俊说,现在只要会使用QQ的人基本就可以成立一个洗信工作室。他们可以从总代理那里直接买“信”,然后将“信”中有价值的Q币、游戏币转移出来,通过“5173”“淘宝”等交易平台变现,就可以完成牟利过程。
于阔对记者说,一般一万个信会卖1000块钱,但这些信是可以重复售卖的。第一步先是洗“Q币”,在支付一定报酬后,于阔会把存有海量信的服务器密码转给第一级“洗信人”。让他们在规定时间内把里面Q币全部转到一个指定账号,洗过Q币以后,于阔会同样再把“箱子”交给下一级的“洗信人”,由他们在规定的时间内,把游戏装备、游戏积分、游戏账号以及游戏币等凡是能兑换成钱的游戏财物转走,存入固定账号。“箱子”里的账号经过两轮洗币的账号,还会交给下一级“洗信人”进行第三步剥削挑QQ靓号。
靓号被挑完后,于阔还会将“箱子”交给在海量QQ空间内植入广告的团队。瞿俊说,“于阔、钮华建这个团伙每天能盗四五十万个QQ号,半年下来就有数千万个QQ号,其中大部分QQ网友开通了QQ空间,面对如此庞大的受众群,这级"洗信人"把代理的各种游戏、色情等广告放进空间,赚取高额推广费不费吹灰之力。”
最后,被榨净的QQ号还会卖给黑客用来编写密码词典。黑客进行编译、分析、比对后,从而对客户网银账户进行破解。在行业内,各个洗信工作室有各自的专攻项目,而且会非常“守信用”,绝不相互侵犯利益。
幕后“挂马”人
对于阔、钮华建这样的总代理来说,拥有一款效果稳定的木马和下级“洗信人”只是第一步,他们更需要将木马植入到用户的电脑中,才能真正获得利益。因此掌握着大量网站资源的人被总代理们格外珍视,这些人在行业内被称为“流量商”,即“挂马”人。
瞿俊介绍说,流量商或者自己是网站的站长,或者与很多网站站长熟识,他们将病毒木马挂在点击率较高的网页上,当用户点击到那些弹出窗口时,木马病毒就“种”到了用户的计算机上。“流量商就像黑老大一样控制着我们。”在看守所中的于阔反反复复对记者说,“他让我干什么,我就得干什么。”
于阔说,流量商会要求他到指定的人手中去买服务器,包括防火墙等一系列的东西。“如果不做,他马上就把我的马撤下来。”而且这些流量商在选择合作的下线盗号总代理时,通常都会有非常苛刻的要求,于阔说,他们通常会要求总代理能够提供几种木马的下载,同时还要保证马的更新和免杀,而且还要有渠道能够包销所有的信。
瞿俊介绍说,这些流量商通常都具有一定的技术,如果某些网站不同意“挂马”或者挂了别人的马,流量商就会暴力攻击这些网站的服务器,强迫网站接受挂马。
在侦破过程中,专案组成员发现流量商是盗号整个流程中“旱涝保收”的一个环节,据了解,流量商根据IP流量对网站进行付费,1万IP大约需要80元~120元人民币,而流量商向总代理收费则是按信收费,1万信800元~1000元不等。瞿俊说,“一般一个质量比较好的站,4万左右的流量就可以拿到1万信。此次抓捕的一个流量商,封存账号内就有280万元。”
如今,在看守所里的于阔非常关心自己会受到什么样的审判,同时也不断地强调,“如果不抓住流量商,就不可能杜绝盗号,他们随时可以找到替代我们的人。”
据《中国新闻周刊》