揭秘钓鱼网站产业链:病毒集团控制八成传播渠道
3月21日晚CCTV2频道《经济半小时》栏目播出名为《谁拿了我的电子钱包》的节目,揭开互联网病毒背后黑色产业链条,对病毒集团如何欺骗、侵害网民进行了详细分析介绍,并指出病毒集团已将重点转向网购人群。视频:《经济半小时》之谁偷了我的电子钱包媒体来源:CCTV财经频道《经济半小时》
以下为节目实录:
主持人:晚上好,欢迎收看经济半小时。今天我们关注一个新名词“病毒集团”。最近一周,工业和信息化部多次召集几大电子商务网站、杀毒软件企业和电信运营商召开会议,针对日渐猖獗的“病毒集团”制定新的策略进行全面围剿。究竟什么是“病毒集团”?他们做了什么?又对消费者构成了哪些侵害?我们从网友一次离奇的网络购物经历说起。
网友千鸟是一个互联网从业者,平时工作之余经常会在网上购买东西,2月25日晚上,千鸟像往常一样,登陆上一个他平时常去的购物网站。
千鸟 网友
千鸟:我在网上是买邮票,然后我是通过淘宝网站那个搜索,购物搜索,然后我找到了我想要的货物,就通过这个货物,到了那个店铺。
那家网店的客服在网上给了千鸟一个QQ号,于是千鸟就在QQ上收取了对方发来的货品照片,并和对方谈好了价钱。
千鸟:然后我就跟这个老板达成了第一笔39000块钱的订单,我很顺利把那个单子拍下,并且支付,成功了。
千鸟通过招商银行的专业版支付了这一笔39000元货款,显示没有任何异常。
千鸟:然后大概二十分钟以后,QQ上那个自称老板的人又联系说,说还有20件的货物一共就是7800块钱,我想了一下,我觉得还不错,我就业把7800块钱第二笔的订单又给买了,但在这个时候,我再进行付款,最后的那一步出现了一个错误,出现了一个错误,他明确告诉我说,说你的这个付款没有成功,请返回重新支付。
熟悉计算机网络的千鸟当时就有点怀疑,但想到平时购物也有支付不成功的现象,他还是返回购物网站的页面,根据提示又重新支付了一次。
千鸟:当然这个过程自己感觉还是非常小心,但还是没有发现这个问题,但是在最后还是出现了跟第二次交易一模一样的错误,告诉我还是没有支付成功,但是我清晰地看到,那个招商银行的专业版提示是支付成功了。
网店提示支付不成功,但银行后台显示,钱已经被转走,这时候千鸟开始紧张起来。
千鸟:我就打客服电话,我就问,这三笔,我刚才交易这三笔订单查一下是否是正常,是不是支付到了淘宝或者支付宝那边,然后对方就告诉我,没有支付到支付宝,说支付到了一家上海的账户下。
意识到被骗的千鸟,一边拨打110报警,一边通过自己互联网领域的朋友,追查三笔款项的下落。
千鸟:三笔订单是汇到了一个游戏账号去,并且已经全部消费完了,当然后来这个电话陆续反馈过来,后来仔细查了一下,是一万多块钱是买成了那个游戏账号,是游戏点卡之类的,还有四万块钱是买了手机充值卡,也就是说他买的东西都是这个虚拟物品,是很便于销赃的
主持人:这位叫千鸟的网友是在进行网络购物的时候被骗走了5万多元。而在南京我们发现,一些从来没有在网络上购物的人,银行账户里的现金也不翼而飞,最多的一笔甚至高达100多万元,这是怎么回事,记者继续进行了调查。
今年1月份以来,南京警方接到多起网上银行用户的报警,称自己银行账号上的巨额现金被人莫名转走。
唐涛 南京市公安局鼓楼分局刑警大队教导员
唐涛:仅1月份到我们1月20日,就发现有70多起案件,总共涉案金额有270多万。
而在此之前,他们均收到过一条自称银行发送的短信,提醒自己的网银口令卡即将过期,让其登陆到短信提供的银行网址上进行升级。
唐涛:住在我们鼓楼区的孙先生也报案,同样也是收到一条短信,请他尽快登录www.bocvk.com进行升级,他登录过之后,随即发现他账户里面64万现金被犯罪嫌疑人转走,家住鼓楼区的徐先生同样也是发现升级之后,发现它这个账户里面的100万块钱已经被转走。
警方调查发现,受骗人收到的短信均不是银行发送,短信里所谓的银行网址也是假冒的。
周操 江苏省公安厅内保总队队长
周操:他们开发了网银的假网页,我们称之为叫钓鱼网站。这个钓鱼网站的目的主要是把网银客户的用户名、密码和动态口令盗走。这个就相当于什么呢?就相当于把保险箱用户的钥匙和保险箱的密码给盗走,然后去打开保险箱,把保险箱里面的钱或者贵重物品给盗走,原理是一样的,只不过它是发生在网上。
南京警方马上成立了专案组,通过侦查发现,这个链条上的犯罪嫌疑人分散在福建、广东以及浙江几个省市,彼此之间甚至都不用见面,平时主要通过电话和网络进行联系。
唐涛:虽然这个犯罪嫌疑人主要是依托于电信,还有网络媒介实施诈骗,那么它终归是要留下他的踪迹,我们进行追踪,最后是明确了犯罪嫌疑人。
2月17日,南京鼓楼警方派出刑警分赴福建、泉州、安溪、广东珠海以及浙江舟山等地对涉案犯罪嫌疑人展开抓捕。中午12时,在专案组的统一指挥下,四地刑警同时展开抓捕行动,将这个团伙13名犯罪嫌疑人全部抓获。
记者:你这次是因为什么进来的?
易自定 犯罪嫌疑人
易自定:因为涉嫌诈骗。
记者:你说一下你自己都做了什么?
易自定:就是发短信给受害人,然后跟他们讲大概内容是,您的中行网银口令已过期,请登录一个网址进行升级,然后有人登录的话,我负责看电脑,有人登录的话,后台就可以显示出来,后台显示出来以后,就是通过后台看到他的用户名跟密码还有动态口令,然后输入到正规的中国银行网站上面。然后看一下里面有钱就可以转出来。
记者:一共做了多久,你做这个工作?
易自定:我前后7天,然后中间休息两天,就是有做了5天。
记者:那你做的这5天里头,一共转了多少笔账,大概金额是多少?
易自定:具体多少笔我不记得,金额大概在140万左右。
朱志文 犯罪嫌疑人
朱志文:230万左右。
记者:一共取了230万。
朱志文:对。
记者:取完的钱得交给谁了?
朱志文:取完了就是交易助强这个人,就是跟他单独接触。
记者:你认识他们这个团伙里头的其他人吗?
朱志文:其他人我就不认识,我只有跟他接触,这样子,只有跟他单向接触,那就是其他的就是说我也没见过。
王新宇 江苏省公安厅刑侦局调研员
王新宇:像现在这种犯罪它都在社会上已经形成了一个产业,一个公司化的运作,比如说你要注册这个网站,那么它域名这些东西都有专门的人给你做,为你银行骗来的钱,快速提现,又有专门的提款公司,专门是从事这种,有一批人,它是整个有一个链条为这个诈骗犯罪来进行服务。
周操:江苏省公安厅内保总队队长
周操:这样的一类案件绝不是个人作案,单人作案,它是一个团伙,甚至于不止一个团伙,它是和境外,和我们的沿海地区一些犯罪分子基本上勾结在一起。你像这些钓鱼网站基本上都是通过境外的服务器,犯罪分子诈骗目标瞄向了我们江苏,但是犯罪分子人有的在境外,有的是在广东、福建一带,所以说像这类的犯罪,要打击起来难度是很大的。
主持人:公安人员告诉记者,这些受害者都是遇上了“病毒集团”。那么“病毒集团”究竟是通过什么样的方式来骗取钱财的呢?
主持人:来自《2010年中国网络购物安全报告》的数据显示,2010年中国网上零售市场交易规模超过5000亿元,尤其是面向个人消费的电子商务,其网上零售市场规模首次突破1000亿元大关。于此同时,作为病毒集团中专门实施诈骗的钓鱼网站每天增加1500个,已经成为了网络购物的第一大威胁。那么犯罪分子是用什么手段实施诈骗的呢?
国内一家安全软件企业的工程师李铁军,对互联网的钓鱼网站以及病毒黑色产业链进行分析发现,犯罪分子的主要猎物已经由网游行业转变到网上银行以及电子商务行业,他们直接将犯罪目标指向网上银行用户和每个可能上网购物的普通网民。
李铁军 金山网络安全工程师
李铁军:假的中国银行网站,识别它的标志是看这个域名,当然大部分网民记不住这个域名,你看所有内容链接都是从真中国银行网站抠过来,唯一不同右上角一个非常并且的位置就是中行E令的升级,就是钓鱼网站的制作者他们想欺骗。
记者:真正中国银行网页是没有这一个。
李铁军:肯定没有这一块,用户点击进去之后,登录下一个页面。这个里面,然后就会把自己银行账号,密码动态口令都会挂上去。这个用户的,用户名、密码、动态口令全部输入了以后,骗子就可以拿骗来的信息在任何一台电脑可以登录转账。
李铁军告诉记者,和这种相对简单的制作假银行网站进行钓鱼诈骗相比,网友千鸟购物被骗时犯罪分子所用的方法,就显得更加隐秘,甚至让一些网络老手也防不胜防。骗子往往会以发送商品介绍或者照片的名义,给对方发送一个文件,这个文件里隐藏着一个木马病毒,接收者一旦点击就会很快中毒,而这一切都是在悄无声息中完成。
千鸟 网友
千鸟:因为我机器中了木马以后,他在本来我应该走一个正常支付流程,他这个木马,他这个木马专业上讲,叫做浏览器的劫持,就是把浏览器我们显示中间窗口那边内容给你替换掉了,替换或者说伪装成为了你看起来是一个正常的一个付款的页面,但实际上这个订单是支付到了另外一家公司,就是骗子指定的利用那个公司。
据业内人士介绍,几年前,病毒木马的主要目标是网络游戏玩家,将偷来的虚拟物品在网游装备交易平台来变现。而2010年后,网上银行和网购成为网民最广泛的应用,在此领域从事网络犯罪的不法分子变得异常活跃,不少网民深受钓鱼网站、网购木马之苦,一些B2C、C2C业务因病毒木马的威胁甚至面临诚信危机。
网友千鸟账户的钱到底是怎么被骗走的?犯罪嫌疑人利用在QQ对话里面给千鸟发货物细节图片的机会,发送了病毒,千鸟在点击的那一刻,病毒已经侵入了他的电脑,修改了支付宝的付款路径。千鸟看似是通过支付宝付的款,实际上钱已经到了骗子指定的账户里面。
国内安全厂商金山网络近日发布的《2010-2011中国互联网安全研究报告》显示,不法分子利用病毒木马、欺诈等手段敛财,已经逐步发展成一个“行业”,并进而形成了一条完整的“黑色产业链”。病毒作者也从原来的单打独斗,发展为分工细致的集团化运作。
李铁军 金山网络安全工程师
李铁军:我们在做病毒统计分析的时候,发现有一些病毒它在通过不同网站进行传播,每一次一个新的变种出来的时候,在很多个网站发现它几乎同时在传播,具备相同的性质,我们感觉它可能具有联系的团伙,这个长期分析以后就发现他们之间是一个非常密切协作关系,然后我们就把他们命名为一个“病毒集团。”
金山网络报告显示,目前国内互联网上活跃的病毒集团不下30个,绝大部分病毒传播渠道却仅控制在十个超大的病毒集团手中。这“十大”以制作、传播病毒木马,并利用病毒木马获取非法利益的“黑色机构”分别为黄飞虎集团、HYC集团、HY集团、老蛇集团、192集团、GZWZ集团、CL集团、张峰集团、WG集团、安妮集团。这十大病毒集团已控制了互联网上约80%的病毒下载通道,并由此获得了惊人的非法收益,有病毒集团每年收益甚至高达几亿元。
李铁军:我们把这些十大病毒集团名字都通过网络已经公布出来了。把他们相应这些每个集团它的活动一些规律,主要去采用一些破坏手法,怎样去实施它的一些犯罪行为,这些资料提供给了有关部门。
目前,金山网络已将这些犯罪团伙资料上报有关部门,全力配合警方打击此类犯罪行为。
记者辗转联系到一位曾经的“病毒集团”内部人士,如今已经金盆洗手的他告诉记者,自己曾经是个病毒木马制作者,看到成千上万的电脑被中马,在获取极大成就感的同时,也从中赚取了不菲的收益。
记者:我可不可以问一下,你当时做这样一个工作一共挣了多少钱?
知情人:从最初,就是说两万块钱一个月,但是这个东西的话不是一个每个月都给你发的,是跟这你这个月所产出的程序和它收益比来算的。最好的一次是,就是说十万元。但是就是说不是你回回都有十万,或者回回都有两万这样子。因为他不可能就是在没取得信任之前不可能百分百完全用。
记者:你当时是怎么样找到这样一份工作,或者你的上线怎么找到你的?
知情人:之前那段时间很火的就是找兼职,各大的那种兼职网站层出不穷,其实在那里面也有相关一些信息公开出来,然后得到一些信息,还有就是说技术圈内,这个圈比较小。
记者:后来为什么不做了?
知情人:其中是一点,大的环境已经变了,第二个点,就是出于自身的内心。这个毕竟这个东西出来混迟早要还的,所以说现在更多的是做一些善事。
那位人士告诉记者,如果按照一般公司包含销售部、产品部和市场推广部等架构的话,“病毒集团”也有类似的架构。有人专门负责联系广告主或者一些需要推广自己软件、网站的厂商,也就是联系付钱方的部门,类似销售部;有人编写各种木马程序,也就是生产产品;还有人负责将这些木马传播出去,需要联系一些广告联盟或者中小网站。
知情人:这种团队在当时是很多的,就是一小簇一小簇,不像现在那一小簇慢慢合成一个大的,或者是都散了。当然就是像刚才也说了,之前产业链和之前不一样,之前可以捞一笔大的,就比如说哪个游戏新上线了,然后哪一个网站有新漏洞了,一夜之间赚个五十万,一百万没问题,就一两天的事情。
记者:你了解不了解,或者你知不知道你在做工作的这段时间里面,你的这个团队大概有多少盈利?
知情人:我按照他的这个信封,两三千来算的话,按每个信封,比如说平均50块钱,那这个盈利,虽然说不可能每天都两三千,但是就是说弄个平均值,一千乘以50能有5万,再乘以30天,那就是150万。
记者:这是一个月,就可以获利150万。
知情人:对,这是刚说了一个平均值。
那位人士告诉记者,前期的“病毒集团”虽然是挣了不少钱,但对于网民来说,如果没有网上购物或者使用网上银行,即便中毒,也就是电脑多弹几次窗口、被篡改主页,刷了几次流量而已,网民并没有遭到直接的经济损失。但如今,随着人们越来越多地在互联网上消费,经过网络的钱越来越多。“病毒集团”也越来越多地将手伸进了大众网民的电子钱包。
记者:你当时做这个有没有失过手?
知情人:失不失手不是我来衡量,而更多是运营者,他衡量有没有失手,我觉得你说得失手是不是被抓这个意思?
记者:恩
记者:这个意思其实,怎么来说,会更多的一个点,就是现在我不清楚,但当年相关的公安机关或者什么他没有相关的人员、技术进行对此追踪,所以说对于像杀毒软件厂商或者游戏厂商最多把你杀掉而已,对背后的挖掘也没有更多的。
记者:把病毒给你杀掉而已。
知情人:没有更多义务去挖这个东西,所以说这个失手一般没有,而更多的失手就是说有没有亏损,整个没有亏损,是这种的倒是有过。就是说你看着游戏没看准,或者前期,但黑网站没有黑准,这个倒是有。
记者:这个怎么会亏损呢?
知情人:你人员的工资是先发的,而且就是说,你这个比如说病毒你租赁的服务器,你这种人员打通,服务器的费用,还有就是这种就是说你的运营设备的一些统计什么,这些东西都是人,都是钱。对吧,那如果说你这个月没有达到你发工资额度就亏了。
主持人:我们看到,现在网络犯罪已经形成了集团化发展的态势, 2010年网络欺诈成为“病毒集团”的业务重心。从制作传播网购木马、钓鱼网站到利用网络购物平台实施诈骗,再通过某些第三方支付平台洗钱,一条瞄准网购人群牟取暴利的“病毒集团”黑色产业链条已经基本形成。《2010年中国网络购物安全报告》指出,2010年,钓鱼网站、木马等威胁已经给网络购物用户造成超过150亿元的损失。网络安全形势越来越严峻,并且呈现出一些新的特点和趋势。
近年来,网络购物成为网民最广泛的应用之一,据统计,2010年,使用过网络购物的互联网用户已经接近2亿人,网络购物的市场规模将超过4300亿元。如此广泛的应用令从事网络犯罪的不法分子异常活跃。
周勇林 国家计算机网络应急处理中心运行部主任
周勇林:我们发现在过去一年里面,金融行业网站,金融行业在线交易系统成为黑客一个攻击一个重点,它的攻击主要还不是说使得这些系统他们这个瘫痪了,不能服务,更多瞄向网络,网上在线交易,网上银行这一类的用户。
面对黑客向网络贸易深伸出的黑手,作为在网上消费和交易的网民,怎样才能避免经济损失呢?
周操 江苏省公安厅内保总队队长
周操:就是提醒我们的网银客户,在操作网银的时候,一定要按照规范来进行操作。比如讲登录网站的时候,你不能按照短信诈骗短信给你的提醒登录那个网站,而是要搜集网站的网址,你如果规范登录官方的网站,你就不会进入钓鱼网的陷阱,当您进入官方网站以后,你去操作一点问题都没有
国家计算机网络应急处理中心运营部主任周勇林告诉记者,去年一年里,国家计算机网络应急处理中心检测到的木马控制域名,几乎一半是在境外注册的。越来越多的黑客不仅仅在境内从事此类行为。
周勇林:另外就是从我们这个工作过去一年工作来看,发现的情况来看,就是现在黑客他们在这个勾连,协同作案过程中,他们这个国际化的倾向越来越明显了。我们在过去一年里面我们一共监测发现到,木马的控制端,一共发现了48万多个,一共发现48多万木马控制端,这里面有22万个在境外。
面对这样的情况,国家计算机网络应急处理中心也在逐步完善国际协调处理机制。
周勇林:在过去一年里面我们也积极协调境外这种合作伙伴,网络这种应急服务应急机构去处理,我们得到美国、澳大利亚、韩国、日本以及欧洲一些国家的机构的支持。但是从现在这个趋势来看,明年可能这种情况更多,我们还是要进一步加强国际的合作。
主持人:电子商务的出现,彻底颠覆了传统的商业流通概念。在享受方便快捷的同时,我们也应该看到,虚拟化的交易方式是一把双刃剑,消费者稍有不慎,就可能中了“病毒集团”设下的陷阱。2010年,钓鱼网站、木马等威胁已经给网络购物用户造成超过150亿元的损失。目前“病毒集团”控制了80%的传播渠道,病毒感染计算机后几乎所有破坏和改变都有明确的经济目的。信息时代,电子商务的崛起和发展代表着科技发展的高度和趋势,我们不能为了害怕上当受骗而否认电子商务存在的价值。但是当这个虚拟世界里充满了欺诈和危险的时候,高昂的代价会阻碍这个行业的健康发展。面对“病毒集团”,消费者需要提高警惕,打击“病毒集团”,不仅需要安全厂商,而且还需要运营商、电子商务、第三方支付企业的全力配合直邮这样才有可能阻击“病毒集团”,减少消费者的损失,才有可能迎来新一轮行业大发展。我们今天的节目就到这里,感谢大家的收看。