21世纪经济报道 　2006-12-28 16:02:42 

　　一场关于虚拟货币的盗窃与反盗窃的战争

　　Q城荡寇记

　　特稿

　　本报记者　柯志雄　深圳报道

　　位于海城市的“盗号集团”通过招聘方式招来30多名雇员，分成三个工作室在不同地点工作，每个工作室有专人管理，属下人员均有明确的流程分工。

　　包吃包住，搞的是技术活，薪酬由底薪加上计件工资，而且“招聘单位”承诺包教包会。半年前，辽宁海城市一位50来岁的大伯欣然“加盟”当地一家小型“高科技企业”。

　　每天大伯呆在工作室，有专人做饭，他只用全心全意黑网站———有人给他各种现成工具，手把手教他潜入热门网站。但大伯不熟悉电脑，“每天只黑得了一个网站”，进度明显慢于他的低龄同事，几乎清一色的十多岁到二十来岁的小伙。

　　大伯只是整个工作流程中的一个环节，他黑完一个网站，其他“同事”会跟进挂上木马———一种基于远程控制的黑客工具，然后等待木马潜入网站登陆者电脑，盗走其QQ号和各种游戏账号，还有QQ币和游戏装备。这些虚拟财产随后被交给海城市之外的合作者，被“洗白”，最后通过淘宝等C2C交易网站迅速出售给不同的需求者。

　　大伯不知道，他所在的团体，是业内的佼佼者，而他更没有想到的是，还没来得及变成熟练工挣更多的钱，他和他的同事都被抓了。12月14日，深圳市公安局召开新闻发布会宣布，3000多公里的行程、7次突击后，他们破获了迄今为止全国最大规模的互联网虚拟财产被盗案。从去年5月至今年7月，大伯所在团伙共盗取QQ号码和游戏账号、装备300多万(套)，最多一天盗号30多万个，已通过淘宝网站出售获利70多万元。

　　过去几年，越来越多人拥有虚拟财产，国内互联网虚拟货币市场规模几十亿元，而这个市场还在以每年20%以上的速度增长，与现实货币交易的兑换平台也层出不穷，Q城的盗贼们没有理由不感兴趣。

　　盗号，洗信，销售———参与行动的黄晟警官总结说，这是完全基于互联网分工与协作基础上的“团伙作战”。作为公安部今年重点打击的新型犯罪行为之一，盗窃网络账号和虚拟物品的产业链目前已经市场化、规模化。而央行也表示，需要加强针对虚拟货币的监管，维护金融稳定。

　　屠城木马

　　“过去也有QQ号被盗，但多半偷的是靓号，而且是单个、单个地偷”，腾讯科技(深圳)有限公司客服部经理助理刘斌说：“从今年3月份开始，QQ盗号的投诉量急剧增长，比2月每日投诉增长一倍多，每天将近3到4万。”

　　数十名技术人员迅速投入专项工作，发现多数盗号源于用户中了木马。样本分析显示，木马内嵌了发送邮件的指令，中了木马的用户其QQ号与密码被记录了下来，然后内嵌指令自动发送邮件。最初阶段的样本里，发出信箱与收取信箱常常是同一个邮箱，而邮件发送需要有邮箱密码，这给找回失窃QQ号留下了一条便捷的通道。

　　个别技术水平较高的用户也发现了这条通道，他进入内嵌指令中指明的邮箱地址，不但找回了自己的失窃QQ号，惊讶地发现里边还有数以万计的其他号码。他向腾讯发来警示，技术人员开始怀疑，眼前发生的很有可能不是单个人的行动，而之后“贼寇”反防御措施的迅速也加深了这一判断。

　　很快，木马内嵌指令的收发邮箱变成了不同邮箱，接着新型木马被大量采用，不再使用邮件方式，而是通过互联网技术中的POST指令将QQ号与密码信息写入目标服务器内的一个文件。取回的难度进一步加大。

　　作为阻碍盗用的措施，技术人员对修改密码与删除好友进行限制———基本上所有的QQ号销售者会在出售之前修改密码和删除好友。接着对异常的查询也开始限制，例如限制来自同一个IP地址的修改，而盗号者就开始采用代理服务器越过限制。

　　腾讯公司又增加了登录时的附加码输入———这意味着，盗号者难以通过使用工具对自己盗得的QQ号与密码进行成批的验证，而需要对着附加码(通常是写有英文字母和数字的一个图像文件)照图示一个个输入。但技术人员发现，随后出现的一些软件开始提供图像文件自动扫描、自动输入功能，这迫使腾讯公司开始采用写有汉字的附加码。

　　更糟糕的是，越来越多的木马开始降低对QQ号的重视，而更多地瞄准用户的Q币———根据腾讯公司在深圳市物价局的备案，一枚Q币售价1元。而鉴于QQ的普及，Q币可以用来购买其它游戏的点卡、虚拟物品，甚至一些影片、软件的下载服务等，需求开始增加，大量专门提供Q币与人民币进行双向兑换的网站开始出现。

　　5月22日，腾讯公司到南山公安分局高新派出所报案。

　　互联网时代的团伙

　　深圳市公安局多个部门开始介入。5月之后，一些QQ号码“半推半就”地被盗，远在千里之外的人没有发现自己俘获的“猎物”有何异样。

　　一位知情人士说，通过“放水”策略跟踪“猎物”，警方很快圈定了盗寇的大体方位与行为模式。6月22日，专案小组来到长春市某所大学附近的一家网吧，“闲逛”的公安人员发现第三层一个被租用的包间，正是自己要找的失窃QQ号与Q币销售中心。

　　此处的“货源”来自辽宁海城市。进一步的调查与后续的审讯显示，这仍不是目前查获的该团伙的全景图。

　　记者获得的信息显示，全景图中的团伙，包括松散联盟的“子集团”，其中最核心的是“盗号集团”与负责销售的“洗信集团”联合起来。他们有圈子内通用的语言———例如，“洗信”的意思是将盗来的QQ号“洗白”(包括修改密码与删除该号的原有好友)或将QQ号账户中的Q币收集到一起；而“晒信”则是为防止盗得的QQ号在销售前被回收的定期登录行为。

　　位于海城市的“盗号集团”通过招聘方式招来30多名雇员，分成三个工作室在不同地点工作，每个工作室有专人管理，属下人员均有明确的流程分工。

　　“盗号集团”负责人的主要工作是寻找合适的“木马编写者”，并向后者采购木马与入侵工具等作案软件。三个工作室的“黑站小组”利用上司提供的入侵工具攻击各类网站，工具的易用性也使得小组成员并不需要高学历的“科技怪客”。“挂马小组”随后在攻破的网站上挂上木马，但凡访问过这些网站的用户，如果其本地的电脑安全措施不够，一旦登陆QQ账户或网络游戏，密码便被发到指定的服务器上。

　　随后守株待兔的“查信小组”收集发到指定服务器上的用户记录，由销售小组以万为单位(通常价格为数百元每万份)售往作为批发商的“洗信集团”。

　　“洗信集团”负责人采购自动化工具，而属下人员承担查信、洗信、晒信和挑号等工作。就此Q币被销售，而一些QQ号被卖往网吧销售给零散的上网者，而多数被卖给“广告集团”———后者以通过QQ发送小广告牟利，但相应的QQ号很容易被查封，需要大量的备用号码。

　　尽管彼此间相隔甚远，但互联网时代的便利使他们合作无间，而工具的易用性使得一些电脑盲都可以“一个萝卜一个坑”地分工协作，一个“黑色产业链”就此滑润地运作着。

　　“荡寇”荆棘

　　根据杀毒软件企业江民公司近日公开的信息，最近三年中针对网络银行的木马蓬勃发展。根据其用户反馈和网上监测，2004年被网银木马感染的计算机只有60台，2005年上升到1100台，而今年前10个月，中招用户已超过3.7万人。但专业人士分析，出于对网络银行犯事可能受很重刑罚的担心，多数用木马作案者仍主要瞄准网络游戏帐号之类的虚拟财产。

　　“就像没规范之前的废旧物品回收站”，让黄晟挠头的是，虚拟财产的销售非常便利，这起案件中的涉案人员通过淘宝网站轻松地完成采购与销售。而另外一些知情人士告诉记者，采购与销售可以在许多论坛以及类似淘宝的第三方销售平台上完成。

　　上述案件的涉案金额超过百万元，非法获利近70万元，但危害实际远比这些数字大得多。据警方的调查，自去年5月以来，上述团伙就入侵了8000多个商业网站以及3000多个地方政府网站。

　　迅速致富的可能性，使得更多的后来者将上述“黑色产业链”拷贝到盗卖其他虚拟财产的操作中，多款热门网络游戏都先后发生过不同程度的帐号、装备与虚拟货币的盗卖。

　　由于彼此之间竞争激烈，谁拥有更好的木马就意味着更大的胜算，因此，这个黑色产业中有远见的经营者，技术意识大多很强。

　　上述团伙中的主事者甚至一度考虑过开出30余万元聘用程序高手，专职为自己写木马。

　　糟糕的是，在木马的开发技术上，创新空间仍很大。曾经因开发出“冰河”名噪江湖的黄鑫如今的身份是“守门人”———主推安全产品的深圳大成天下技术有限公司技术总监，在他看来，木马技术改良可以前进的方向，“几乎是没有限制的”。例如隐蔽性强的“下载者变种vn”，会在后台默默下载并执行其他七个病毒，后七个都是盗号木马。

　　而一些精明者甚至琢磨出“商业模式”的创新。一位接近深圳市公安局的知情人士告诉记者，最新发现的一起类似案件中，涉案人员并不亲自动手，而是通过购买木马并加以“改装”，向外免费提供留有“后门”的木马。如此一来，“螳螂捕蝉，黄雀在后”，“热心”的免费木马提供者可以轻松地“黑吃黑”。