大众报业集团主办
注册

为民生 抒民意 解民忧 新闻热线:0532-80902818转808

投稿信箱:dzwqdz2012@163.com

当前位置:首页 > 新闻 > 山东新闻

高密破获盗刷网银大案 5650人手机被植入木马

来源:山东商报   作者:高倩   2015-05-17 10:10:00

关键词: 高密;破获;网银大案;手机;木马

  

  嫌疑人梁某从北京押解回高密审讯

  银行卡没离身,密码账号也未泄露,数万元钱却莫名其妙蒸发,类似的事件屡见不鲜。那么,究竟是什么人干的?又 是通过什么方式窃取的个人信息?潍坊高密警方历时5个月的侦查,揭开了网银被盗刷背后的地下产业链。文/图记者高倩通讯员赵光颜斌

  核心提示

  制作木马程序、网上贩卖木马程序、帮助“客户”免杀、利用木马卷钱,这是一个完整的犯罪链条。“木马”穿透手机杀毒程序发送至个人手机中,只要打开伪装链接就会中毒,接着木马拦截被害人手机短信,获取密码、账户等各种信息。自2014年8月份以来,警方查获的该木马网站后台已获取受害人通讯录信息有43万余条,短信记录100余万条,被种上手机木马病毒的用户达到5650人,涉案金额还在汇总中。

  卡被盗刷前收到蹊跷短信

  高密市的李某在当地经营一家五金商店。平时,他会通过手机短信来了解业内行情,每天能收到十几条相关信息。2014年9月21日,李伟的手机却突然“安静”了。从当月19日开始,李某的手机就接收不到任何短信,而且电池使用时间明显缩短且一直发热。之后,当他到银行查账时发现,自己开通了网银的6张银行卡,在19日至20日期间有4万多元钱不翼而飞。

  而在这期间,李某的银行卡并未离身,也并未转借他人,同时没有进行过任何网上交易或银行操作。李某回忆,之前,他曾收到过一条“可疑”短信:“李伟老板您好,你所需要的某种产品我们这边有,详情您请点击这个链接。”当他点进去后,并没有看到任何产品的图片。

  警方敏锐地注意到这一线索,并据此展开调查,最终确认李某的手机中了一种新型的木马病毒。犯罪嫌疑人利用黑客技术来攻击受害人的手机程序,在获取受害人信息后开始盗刷银行卡现金。整个过程,受害人毫不知情。

  “反编译”找到木马程序网站

  高密警方马上成立了专案组,对被入侵手机的木马程序进行反编译,对信息流进行查询,希望能查到木马网站。

  在查询受害人的银行卡交易明细时,民警发现,受害人银行卡上的4万多元现金是在2014年9月19日至20日两天的时间里,以小额快捷支付的方式分多笔被转账,资金去向为百付宝、网银在线、支付宝等快捷支付平台。这一起案件所涉及的支付平台有11个,涉及北京、济南、上海、杭州、广州等多个省市,而且一笔转账可能仅仅是几块钱,走的支付平台、商城就达到三四个,最后这笔钱才能转到犯罪嫌疑人的银行卡上。同时,通过侦查,民警锁定了一个可疑的木马网站。而这个网站,正在对外通过QQ群、论坛向外发布有偿出售木马软件程序的广告,而其出售的木马程序,正是侵入受害人李某手机的那一种。于是,民警以买家身份联系上了卖家。

  而李某被盗刷的这笔钱,多次辗转后被转账到了两个指定银行账户,之后在南宁、宾阳等地取现。同时,直接作案人和木马网站管理员上网所使用的IP地址大多为广西南宁地址段。而且民警意外地发现,直接作案人曾登录过这个木马网站。

  专案组奔赴2200多公里外的广西南宁市,最终将直接作案人韦某和木马网站后台的管理员黄某抓获。

  瞒过机主“木马”拦截短信

  据嫌疑人黄某供认,2014年8月,他从河南一家主机租赁公司以799元的价格租赁了一台服务器,注册了域名,并从网上购买木马病毒源代码。为让这款手机木马软件躲避杀毒软件的查杀,黄某通过他人给木马病毒源代码做了“免杀外壳”。

  做好了准备后,黄某建立了QQ 群、相关论坛,不断发布关于售卖网络病毒的广告。据黄某交代,他将此款木马病毒卖给了15个用户,非法获利6万余元。犯罪嫌疑人韦某,就是黄某的其中一个客户。

  该木马病毒针对安卓系统的智能手机,当其被植入到手机后,能够让该手机接收不到任何短信; 此外,通过网络传输,还能把诈骗短信内容上传到病毒所捆绑的手机号码上。而诈骗犯罪嫌疑人利用木马病毒拦截被害人手机短信,获取银行向该手机号码发送的银行卡验证信息,然后就可把银行卡内的钱消费掉。

  韦某分三次购买了11张移动手机卡以及网络云盘,同时又通过企业平台网站购买了有关小企业主的姓名、手机号、银行卡号、身份证号等信息。然后,他有针对性地向小企业主手机上发送带有该链接网址的诱导短信,引诱他们点击链接下载木马病毒并安装激活。一旦对方“上钩”,韦某会截获银行向该手机号码发送的银行卡消费验证码等信息。随后,其快速将被害人银行卡内的钱消费掉。或者以四六分的形式,通过银行卡盗刷团伙盗刷受害人银行卡内的现金,然后再通过转账、提现、购买充值卡变现等形式,存入自己持有的一张银行黑卡内。

  网银被盗刷背后的地下产业链

  犯罪嫌疑人黄某租赁服务器,注册域名,从网上购买木马病毒源代码,并为其做了“免杀外壳”;

  网上发布关于售卖网络病毒的广告;

  犯罪嫌疑人韦某分三次购买了11张移动手机卡以及网络云盘,同时又通过企业平台网站购买了有关小企业主的姓名、手机号、银行卡号、身份证号等信息;

  有针对性地向小企业主手机上发送带有该链接网址的诱导短信,引诱他们点击链接下载木马病毒并安装激活;

  一旦对方“上钩”,韦某会截获银行向该手机号码发送的银行卡消费验证码等信息;

  随后,犯罪嫌疑人快速将被害人银行卡内的钱消费掉。

  提醒

  手机不明信息要慎点

  今年3月份,济南市民李先生的手机突然收到了短信提醒,先后有两笔钱共7000多元被刷走。当他去银行查询这笔钱的流向时,竟是一个游戏网站。而在此之前,李先生手机收到过一个短信,上面提示李先生有一个图片需要接收。在点进去这个短信后,并没有显示什么。后经调查,李先生的手机被植入了木马病毒,当他在手机上进行网银的操作时,一举一动已经被对方了解的一清二楚,包括密码和验证码。

  5600多人手机被植入“木马”

  在审讯过程中,民警发现,无论是该木马网站的管理员黄某,还是直接作案人韦某,都不具备制作木马病毒的能力。为此,专案组民警通过多次摸排,发现犯罪嫌疑人黄某的木马源程序代码,是从一个网名叫“该昵称不能为空”的一个虚拟身份的人手中购买。

  2015年3月,专案组民警在河南新乡将制作木马病毒的李某抓获。据李某供述,自己曾两次为黄某提供木马拦截程序源代码,受到黄某委托后,自己还以1000至2000元不等的价格,对其木马网站进行维护和升级。李某还应黄某要求,为其制作了10086积分钓鱼网站,用以窃取受害人银行卡的身份证号、账号、密码等“四大件”。

  在同期,民警又发现了制作病毒免杀工具的嫌疑人梁某,并将其抓捕归案。至此,制作木马程序、网上贩卖木马程序、帮助“客户”免杀、直接利用木马卷钱的四名嫌疑人全部落网。

  根据警方统计数据,自2014年8月份以来,木马网站中像韦某一样的直接作案用户竟多达78个,目前在用账户31个。在网站后台中,他们已获取的受害人通讯录信息有43万余条,短信记录100余万条,已被植入手机木马病毒的用户多达5650余人。

  目前,警方还在对此案进一步调查,正对这5650余名受害人进行询问,以将受害人受骗金额进行汇总; 并对其他78个用户继续进一步侦查。

 

http://sd.dzwww.com/sdnews/201505/t20150516_12389883.htm

初审编辑:高忠业
责任编辑:孙亚楠

大众网版权与免责声明

1、大众网所有内容的版权均属于作者或页面内声明的版权人。未经大众网的书面许可,任何其他个人或组织均不得以任何形式将大众网的各项资源转载、复制、编辑或发布使用于其他任何场合;不得把其中任何形式的图片切换散发给其他方,不可把这些信息在其他的服务器或文档中作镜像复制或保存;不得修改或再使用大众网的任何资源。若有意转载本站信息资料,必需取得大众网书面授权。
2、已经本网授权使用作品的,应在授权范围内使用,并注明"来源:大众网"。违反上述声明者,本网将追究其相关法律责任。
3、凡本网注明"来源:XXX(非大众网)"的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
4、如因作品内容、版权和其它问题需要同本网联系的,请30日内进行。