12月14日，來自廣東省深圳市公安局的消息，經(jīng)過3000多公里的行程、7次突擊后，他們破獲了迄今為止全國最大規(guī)模的互聯(lián)網(wǎng)虛擬財產(chǎn)盜竊案，上述案件的涉案金額超過百萬元，非法獲利近70萬元。

騰訊報案：技術(shù)更新?lián)醪蛔”槐I

5月22日，南山公安分局高新派出所接到騰訊公司報案———從今年
3月份開始，QQ盜號的投訴量急劇增長，比2月每日投訴增長一倍多，每天將近3到4萬。

接到投訴，騰訊組織數(shù)十名技術(shù)人員進行檢查分析，技術(shù)人員發(fā)現(xiàn)，多數(shù)盜號源于用戶中了木馬。樣本分析顯示，木馬內(nèi)嵌了發(fā)送郵件的指令，中了木馬的用戶其QQ號與密碼被記錄了下來，然后內(nèi)嵌指令自動發(fā)送郵件。最初階段的樣本里，發(fā)出信箱與收取信箱常常是同一個郵箱，而郵件發(fā)送需要有郵箱密碼，這給找回失竊QQ號留下了一條便捷的通道。

個別技術(shù)水平較高的用戶也發(fā)現(xiàn)了這條通道，他們進入內(nèi)嵌指令中指明的郵箱地址，不但找回了自己失竊的QQ號，還驚訝地發(fā)現(xiàn)里邊還有數(shù)以萬計的其他號碼。由此騰訊懷疑，眼前發(fā)生的很有可能不是單個人的行動。

在監(jiān)控過程中，技術(shù)人員發(fā)現(xiàn)，對方的技術(shù)“進步”很快，木馬內(nèi)嵌指令的收發(fā)郵箱變成了不同郵箱，接著新型木馬被大量采用，不再使用郵件方式，而是通過互聯(lián)網(wǎng)技術(shù)中的POST指令將QQ號與密碼信息寫入目標(biāo)服務(wù)器內(nèi)的一個文件。取回的難度進一步加大。

作為阻礙盜用的措施，技術(shù)人員對修改密碼與刪除好友進行限制———基本上所有的QQ號銷售者會在出售之前修改密碼和刪除好友。接著對異常的查詢也開始限制，例如限制來自同一個IP地址的修改，而盜號者就開始采用代理服務(wù)器越過限制。

騰訊公司又增加了登錄時的附加碼輸入———這意味著，盜號者難以通過使用工具對自己盜得的QQ號與密碼進行成批的驗證，而需要對著附加碼(通常是寫有英文字母和數(shù)字的一個圖像文件)照圖示一個個輸入。但技術(shù)人員發(fā)現(xiàn)，隨后出現(xiàn)的一些軟件開始提供圖像文件自動掃描、自動輸入功能，這迫使騰訊公司開始采用寫有漢字的附加碼。

更糟糕的是，越來越多的木馬開始降低對QQ號的重視，而更多地瞄準(zhǔn)用戶的Q幣———根據(jù)騰訊公司在深圳市物價局的備案，一枚Q幣售價1元。而鑒于QQ的普及，Q幣可以用來購買其它游戲的點卡、虛擬物品，甚至一些影片、軟件的下載服務(wù)等，大量專門提供Q幣與人民幣進行雙向兌換的網(wǎng)站開始出現(xiàn)。

騰訊公司靠技術(shù)已經(jīng)無法保護用戶的財產(chǎn)安全，于是尋求警方幫助。

千里追蹤：從南海邊到渤海邊

據(jù)《21世紀(jì)經(jīng)濟報道》采訪的遼寧省海城市一位50來歲的男子介紹，在案發(fā)半年前，不熟悉電腦的他找到了一份在“高科技企業(yè)”工作的職業(yè)，每天呆在工作室，有專人做飯，有人給他各種現(xiàn)成工具，手把手教他潛入熱門網(wǎng)站，他只用全心全意黑掉網(wǎng)站。“每天只黑得了一個網(wǎng)站”，他的進度明顯慢于他的低齡同事———幾乎清一色的十多歲到二十來歲的小伙。

該男子只是整個工作流程中的一個環(huán)節(jié)，他黑完一個網(wǎng)站，其他“同事”會跟進掛上木馬———一種基于遠程控制的黑客工具，然后等待木馬潛入網(wǎng)站登陸者電腦，盜走其QQ號及各種游戲賬號、QQ幣和游戲裝備。這些虛擬財產(chǎn)隨后被交給海城市之外的合作者“洗白”，最后通過淘寶等C2C交易網(wǎng)站迅速出售給不同的需求者。

從去年5月至今年7月，該男子所在團伙共盜取QQ號碼和游戲賬號、裝備300多萬(套)，最多一天盜號30多萬個，已通過淘寶網(wǎng)站出售獲利70多萬元。

深圳市公安局接警后，一些QQ號碼開始“半推半就”地被盜，遠在千里之外的人沒有發(fā)現(xiàn)自己俘獲的“獵物”有何異樣。

通過“放水”策略跟蹤“獵物”，警方很快圈定了盜寇的大體方位與行為模式。6月22日，專案小組來到長春市某所大學(xué)附近的一家網(wǎng)吧，“閑逛”的公安人員發(fā)現(xiàn)第三層一個被租用的包間，正是他們要找的失竊QQ號與Q幣銷售中心。

警方訊問后發(fā)現(xiàn)，“貨源”來自遼寧省海城市。

一條龍：看不見摸得著的“團伙作戰(zhàn)”

“盜號，洗信，銷售，典型的基于互聯(lián)網(wǎng)分工與協(xié)作基礎(chǔ)上的‘團伙作戰(zhàn)’”———參與行動的黃晟警官總結(jié)說。

據(jù)警方介紹，團伙作戰(zhàn)最核心的是“盜號集團”與負責(zé)銷售的“洗信集團”，他們有圈子內(nèi)通用的語言———例如，“洗信”的意思是將盜來的QQ號“洗白”(包括修改密碼與刪除該號的原有好友)或?qū)Q號賬戶中的Q幣收集到一起；而“曬信”則是為防止盜得的QQ號在銷售前被回收的定期登錄行為。

位于海城市的“盜號集團”通過招聘方式招來30多名雇員，分成三個工作室在不同地點工作，每個工作室有專人管理，屬下人員均有明確的流程分工。

“盜號集團”負責(zé)人的主要工作是尋找合適的“木馬編寫者”，并向后者采購木馬與入侵工具等作案軟件。三個工作室的“黑站小組”利用上司提供的入侵工具攻擊各類網(wǎng)站，工具的易用性也使得小組成員并不需要高學(xué)歷的“科技怪客”?！皰祚R小組”隨后在攻破的網(wǎng)站上掛上木馬，但凡訪問過這些網(wǎng)站的用戶，如果其本地的電腦安全措施不夠，一旦登陸QQ賬戶或網(wǎng)絡(luò)游戲，密碼便被發(fā)到指定的服務(wù)器上。

隨后守株待兔的“查信小組”收集發(fā)到指定服務(wù)器上的用戶記錄，由銷售小組以萬為單位(通常價格為數(shù)百元每萬份)售往作為批發(fā)商的“洗信集團”。

“洗信集團”負責(zé)人采購自動化工具，而屬下人員承擔(dān)查信、洗信、曬信和挑號等工作。就此Q幣被銷售，而一些QQ號被賣往網(wǎng)吧銷售給零散的上網(wǎng)者，而多數(shù)被賣給“廣告集團”———后者以通過QQ發(fā)送小廣告牟利，但相應(yīng)的QQ號很容易被查封，需要大量的備用號碼。

盡管彼此間相隔甚遠，但互聯(lián)網(wǎng)時代的便利使他們合作無間，而工具的易用性使得一些電腦盲都可以“一個蘿卜一個坑”地分工協(xié)作，一個“黑色產(chǎn)業(yè)鏈”就此滑潤地運作著。

根據(jù)殺毒軟件企業(yè)江民公司近日公開的信息，最近三年中針對網(wǎng)絡(luò)銀行的木馬病毒發(fā)展迅速。根據(jù)其用戶反饋和網(wǎng)上監(jiān)測，2004年被網(wǎng)銀木馬病毒感染的計算機只有60臺，2005年上升到1100臺，而今年前10個月，中招用戶已超過3.7萬個。

7月8日，在當(dāng)?shù)毓矙C關(guān)的配合下，專案組在鞍山和長春兩地同時展開抓捕行動，共抓獲犯罪嫌疑人43名。經(jīng)審訊，專案組將該團伙朱某、于某等11名主要嫌疑人押解回深圳，其余人員交由當(dāng)?shù)鼐竭M一步處理。

經(jīng)深圳市南山區(qū)檢察院批準(zhǔn)，該團伙10名犯罪嫌疑人被逮捕，1名取保候?qū)彙?1月18日，該案主犯金某被公安部門抓獲。至此，“5·22”盜竊QQ號、Q幣案告破。

作為公安部今年重點打擊的新型犯罪行為之一，盜竊網(wǎng)絡(luò)賬號和虛擬物品的產(chǎn)業(yè)鏈目前已經(jīng)市場化、規(guī)模化。而央行也曾表示，需要加強針對虛擬貨幣的監(jiān)管，維護金融穩(wěn)定。

可以想象，網(wǎng)上抓盜賊的警察2007年不會輕松。