黑客盗取电信千万积分换Q币

78e3b590e67f137d274437

龙虎网讯 金陵晚报记者报道 电信提供固定电话、宽带、手机通讯等业务,绝大多数市民都是其用户。可是,在广大电信用户中,大多数人并不知道账户有积分且可兑换商品。陆某、李某正是抓住了这一点,发了笔横财。

这陆某可不得了,高中毕业后,外出打工的他迷上了上网,但他并没有把时间花在打游戏上,而是迷上了“黑客”。为此,他专门前往长沙某电脑学校,学习软件开发,苦读一年后,前往上海,通过自己的技术手段破解了大量电信账户,将其中的千万积分换成Q币充值卡贩卖,获取了十余万元的非法利益。

苦练编程,靠电信发家致富

陆某出生在云南,家中以务农为生。高中毕业那年,他跟随同乡前往广州打工,并认识了李某。陆某很快就对单调的打工生活产生了厌倦,常约李某去网吧玩。游戏之余,泡网络安全技术论坛成了他的新兴趣。

在论坛中,陆某发现编程技术不仅能让自己成为一名随意攻击网站的“拉风”黑客,还能带来所谓“网络营销”赚钱的机会。很快,他辞别工友,前往长沙某电脑学校专门学习软件开发。为了在最短时间内学到最多知识,他日以继夜苦心钻研,编程水平在一年内有了飞速提高。2006年,他毅然退学前往上海开启了淘金之旅。

一到上海,陆某就开了家网店,叫“大牛工作室”。在黑客界中,“大牛”指技术非常高的人,可见陆某自信十足。适逢论坛上有人说通讯运营商的官网活动存在很大商机,参与优惠业务,倒卖优惠产品来钱很快, “陆大牛”跃跃欲试。

刚接触电信,陆某从事的是“爱冲印”业务。不久,细心而用功的他就能精准抓住每次电信优惠活动的商机,利用自己制作的秒杀软件大量购入折扣电话卡、参与充值送话费等活动,虽然参与这些秒抢活动需数小时端坐电脑前不停点击鼠标,但他每次都能收获数以百计的产品,此后再将获取的兑换码、验证码在网店上架,以批发价格售出,能赚不少钱。几年下来,店里的生意渐渐起色,他成了虚拟商品零售商眼中的高产批发商。如今,这家淘宝店铺的信誉度已有四颗蓝钻。

陆某说自己每日必关注电信微博,有新活动定会第一时间参与。几年来,陆某在电信赚了近百万元,这些钱帮他在家乡县城买了套公寓供长辈居住,还在上海贷款买了房,娶了妻。据说,他这两年的愿望是买辆好车。

挖系统漏洞,盗取用户积分

“在电信消费会产生积分,积分达到一定数量可以换取指定商品。电信的座机、手机、宽带客户都可以用积分消费。对于普通用户来说,身份证名下的积分累计达到2000分,就可以兑换指定商品或话费。积分存在有效期限,除必须限期使用的奖励积分外,其他积分有效期只有三年,到期后积分会自动清零,”这些信息,陆某说得头头是道。

其实,陆某心中就盘旋着利用积分做文章的想法。电信积分和移动、联通积分相比,用户知晓度较低,大部分人不仅不知道自己有积分,更不知道积分可以兑换,因此很多账户都保留着初始密码。然而机遇中总埋伏着困难,若要兑换这些积分,还需要掌握账号、密码、身份证号码等信息,难度很大。

2012年11月,他百度到了一个“ADSL密码终结者”软件,该软件可以通过扫描宽带用户IP段,扫描出用户账号和密码。几天准备下来,陆某扫出了近两千个账户的信息。为保万无一失,他在淘宝上以每月八百元价格租用了一个香港服务器,将这些账户信息放了上去。因为三千积分才能兑换一张三十Q币的充值卡卡密,在筛选账户时,他只选择积分超过六千的账户,其中最大的一笔竟达三万积分!

万事俱备,只欠东风。赚钱大计的最后一关是破解用户的身份证号码。电信平台中的账户所有人身份证号后四位都用××××显示,只要破解这四个未知数就万事大吉,此时的陆某有些激动。他在论坛中找到了另一个“大牛”,花300多元让对方开发了一个能根据用户前11位号码破解最后四位的小软件。

登录江苏电信积分兑换平台,填入账户名、密码、身份证号码等信息,点击积分兑换,就在陆某以为即将得逞的时候,系统显示“已发送验证码给客户,请验证”的字样。陆某这下傻眼了。

一怒之下,他按“退出”,点了支烟抽起来。过一会,随手再次登录的他有些愤愤地在验证码窗口输入用户的身份证号码,想恶作剧一番。令人意想不到的是,系统居然通过了!

发觉这一秘密的陆某并未轻举妄动,而是告诉此时QQ在线的李某,让对方速来。半小时后,两人在一家网吧碰头,陆某教会李某操作方式后将部分账号信息发至对方邮箱。此后15个小时,两人不停兑换Q币,其间还找了两位朋友帮忙,直到第二天早上系统发觉异常被电信公司关闭,陆某才停止兑换。在淘宝网卖掉所兑换Q币,他的支付宝里一下子多了十多万元。

顺藤摸瓜,黑客大盗被批捕

今年3月20日,金阊派出所接到中国电信苏州分公司报案称,2012年12月9日至10日间,江苏省电信公司积分兑换平台中一千多名客户共计一千两百多万积分被盗。据监测,这些积分已被兑换为Q币充值卡,报案时已使用十万余Q币。电信已将被盗积分返还相关客户,损失十万余元。

网络犯罪证据落实难,侦查过程也是一波三折。在网监部门的配合下,民警发现被盗积分兑换的部分Q币充值卡已充值入常州胡某账户中。民警立刻在常州找到胡某,胡某称自己的3万Q币是在淘宝网孙某处购得的,而此时孙某在山东省阳谷县。民警又赶赴山东找到孙某,原来孙某的Q币是从淘宝网“天兔ship”卖家处买的。这次,真凶终于浮出水面,这个“天兔ship”就是陆某的同伙李某,陆某也被牵连出来。6月下旬,民警在上海将二人抓获。

在审查批捕过程中,姑苏区法院承办人王垒认为陆某及李某触犯了盗窃罪及非法侵入计算机信息系统罪。一方面,电信积分是基于电信客户消费而产生的,一旦产生,即成为该客户所有的财物。电信积分可兑换商品,属于刑法意义上的财物。两人采取秘密窃取的手段盗窃电信积分已构成盗窃罪。另一方面,其盗窃方式是破解系统账户密码,利用系统漏洞侵入江苏电信积分平台系统,该侵入行为构成非法侵入计算机信息系统罪。“按照一行为触犯数罪名,从一重的原则,我们以盗窃罪对二人进行批捕,”王垒说。

姑苏区法院侦监处负责人陶波指出,陆某和李某能较为便利地破解系统,盗窃积分兑换物品,反映出电信公司在网络安全监管方面存在漏洞。目前,在该院建议下,江苏电信分公司已进行系统升级,并针对漏洞打好补丁,可避免此类失窃再次发生。

另外,该院还建议电信公司广泛宣传,保证广大用户知晓其电信积分的使用价值,及时更换账户初始密码并兑换商品,以免失窃。

原创文章转载请注明:转载自 七行者博客

本文固定链接: http://www.qxzxp.com/3097.html