网络上游的黑客组团远程入侵政府、大学网站,在被入侵网站添加非法数据;网络下游的各地代理通过互联网出售可通过政府网站查询认证的假证。目前查明,遭黑客入侵的网站多达185个,涉及中国内地除西藏外的30个省、直辖市;各地代理已出售“可验证”的假证达3万多份,涉及建筑、教育、医疗、卫生、金融等8个行业44个种类。
这是一张巨额利益与互联网交织成的庞大犯罪网络。
网络上游的黑客组团远程入侵政府、大学网站,在被入侵网站添加非法数据;网络下游的各地代理通过互联网出售可通过政府网站查询认证的假证。目前查明,遭黑客入侵的网站多达185个,涉及中国内地除西藏外的30个省、直辖市;各地代理已出售“可验证”的假证达3万多份,涉及建筑、教育、医疗、卫生、金融等8个行业44个种类。
这宗代号“2.20”公安部督办专案,被列为近年来警方破获的最大一宗入侵政府网站的案件,是网络黑客技术犯罪与制售假传统犯罪结合的标志性案件。至本月12日,专案组共抓获涉案犯罪嫌疑人165名,收缴各类假证书7100多本、假印章10000多枚,假政府文件、作案工具一大批,由此延伸的线索正在继续侦查中,落网嫌疑人的数量不断增加。
现网 网站例行维护发现线索
这张潜伏已久的庞大犯罪网络露出冰山一角看似“偶然”。
去年12月8日,广东省揭阳人事社保局考试中心办公室主任许伟鹏照例每月巡查网站,他突然发现在《揭阳人事考试网》的公告栏被人非法添加了一条“2008年关于专业资格证书查询的通知”。许伟鹏点击进入后,发现网站弹出一个查询页面,上面可输入姓名、身份证号,页面的资料源于一个境外的数据库。
“被黑客入侵了!”这是许伟鹏的第一反应,因为揭阳人事社保局考试中心网站根本就没有查询功能。“为什么会有人非法添加查询功能?为什么专门添加2008年的专业资格证书的查询?这一切是否是给别人作假?”他细想后立即报警。
揭阳市公安局网警支队着手调查发现,该局的人事考试网站已被人运用木马软件暴力破解,植入了计算机病毒,增加非法链接,“手法虽不高明,但他们很有耐心,也很狡猾。”网警支队长陈晓平说。
警方根据分析植入页面的登录信息,相关线索指向南京市一家教育培训机构。
去年12月22日,在南京警方的配合下,揭阳市网警支队实施抓捕,以吴某中为首7名犯罪嫌疑人落网。
在审讯中,吴某中透露,他仅是一个制作假证环节的中间代理商,收集到办证人的信息后,他需要将信息传给所谓的“常老师”。在吴某中的描述中,“常老师”神通广大,不仅可办理假证,而且这些假证可以通过网上查询。但对于假证为何可以在网上验证,以及下游如何制作假证,吴某中都一无所知。(来源:南方都市报 南都网)
随后,警方循线追查,抓获“常老师”———原天津某研究院老师、河南省郑州市人常某燕。经审讯,警方了解到,常某燕仅是比吴某中高一级别的代理,制作假证、添加信息,均有更高级别的人员参与,但范围、分工、架构、人数未定。
该案引起公安部和省公安厅高度重视,2012年2月20日,揭阳市公安局网络警察支队成立代号“2.20”专案组,案件经公安部同意,被正式列为公安部督办案件。
专案组在侦查时,广东省其他地区网警也发现网站被黑的情况,如惠州警方接到报警称,政府网站被黑客入侵,侦查后发现,黑客的作案手法和揭阳相似。不过惠州官方网站被入侵显得更为隐秘。因为惠州某官方网站有查询功能,黑客利用查询功能直接采取了“变脸”,用假的身份完全替代了真实人员的身份,进入这个查询网络,甚至可以看到造假人的历年的考试成绩等等。
破网 找到黑客使用的服务器
在首次公安部组织的案情分析会上,广东的网警们被反复问到一个问题,“这张网的范围有多大,有多少人参与了?”但仅吴某中、常某燕的口供,根本无法回答这个问题。
警方再次分析被入侵的揭阳人事考试网网站,发现非法数据均来自境外的9台服务器。犯罪网络逐步浮出水面,规模令人恐惧。
警方发现,从案件侦办过程中获取的电子证据显示,被入侵的政府网站多达185个,遍布除西藏外的全国内地30个省份。该团伙使用的数据库中发现3万多人办理各类假证的数据,涉案金额超过3亿元;盗卖涉及个人隐私的资料数据300多万条。
至此案情已有重大突破,在警方进一步追查下,网名“牛仔”的罗某洁、网名“小宝”许某彬、网名“一生平安”陈某农等关键目标,进入警方的视野中。
前期调查发现,罗某洁、许某彬等“黑客”,负责租赁服务器、组织与参与入侵政府网站,添加非法信息。陈某农主要负责制作各种假证。
经过两个多月的进一步梳理,收集固定证据,一个集入侵网站、架建非法查询链接、篡改数据库,盗卖个人隐私数据资料,制、贩假证件于一体的庞大网络犯罪团伙,终于被彻底查清。
收网 13个抓捕小组全国抓捕
公安部对“2 .20”专案进行了统一行动的部署。4月9日至17日,公安部侯钧雷副处长,省厅网警总队玉灿贤总队长,郭宏伟、黄春健副总队长和揭阳市局王少鸿副局长等领导亲自带队,组织广东省、市、县三级网警部门38名民警,分成十三个抓捕小组,分赴湖北、山东、福建、贵州、天津、广西六个省份的13个重要窝点实施抓捕。
办案民警透露,这个团伙“几乎每天都在网上交流,一旦发现谁长期不上线,就知道出事了!因此必须统一抓捕,才能一网打尽。”
在公安部十一局、省厅网警总队的统一协调下,各地网警部门密切配合,协同行动。行动中,分别在湖北武汉,山东济南、滨州,广西南宁、北海,天津,福建龙岩等9个涉案窝点成功抓获罗某洁、许某彬等11名主要犯罪嫌疑人。
5月1日至10日,专案组民警乘胜追击,分别在河南安阳、湖北武汉的二个涉案窝点成功抓获王某飞、陈某农等3名主要犯罪嫌疑人。行动中共查扣假政府文件10份,各类空白假证2016本,假印章3479枚,电脑主机7台,笔记本电脑17部,扫描、打印机各1台,U盘14个,移动硬盘2个,手机24部以及银行卡一批。
至7月12日,各地又抓获犯罪嫌疑人143名,其中湖南警方根据揭阳提供的线索在娄底市捣毁一制作假证窝点,抓获嫌疑人2名,收缴各类假证书5000多本、假印章6600多枚。
截至本月12日,“2.20”专案共抓获涉案犯罪嫌疑人165名,收缴各类假证书7100多本、假印章10000多枚,假政府文件、作案电脑、扫描机、打印机、U盘、移动硬盘、手机以及银行卡一大批。由此延伸的线索正在继续侦查中,落网的嫌疑人数量仍在增加。
后续处理
将公布3万条办假证人员信息
警方根据对案件的梳理,已掌握3万多条通过该团伙办理假证的人员信息,假证都可上网“验证”。结案后,警方将把这3万条信息发往各相关单位,并通过稳妥的方式公开,减少办理假证对政府网站公信力、政府机关形象和社会的诚信体系带来的危害。
记者辗转联系到一位购买假证的人员小张(化名)。去年,29岁的小张想购买一张某高校的本科毕业证书,他在网上看到这么一个做假证的广告:“只要你需要的,我们来办。诚信合作,信誉第一。”对方承诺:“保证毕业证能在政府网站上查到。”
小张通过第三方支付平台,付了三千元的定金,订购“一张某高校的本科毕业证书,专业是工商管理”,随后,对方给了小张一个证书号,并告诉他拿着这个号码到该校的官网上查询。小张点开该学校主页,网站上果然有一个查询证书的链接,输入自己证书号码和姓名,小张发现自己“已经成了这个学校的毕业生了。”小张支付了余额,收到对方用快递寄来的证书。
小张目前在一家建筑公司当会计,毕业证书已无法在网上“验证”,他透露,买假证就是为了“多挣点钱”。他现在最担心的是,公司老板会发现毕业证是假的。电话那头,他轻叹了一口气,挂断了电话。
结构分析
黑客与各级办证代理之间关系错综复杂
这起案件背后的犯罪团伙结构是怎么样的?他们到底是通过什么手段入侵了这么多网站呢?这起案件后,政府网站如何防范呢?
办案警方分析,团伙成员黑客和各级办证代理之间的关系错综复杂,并不是单一的关系,不仅黑客之间有联系,一个黑客可对多个代理,一个代理也可对多个黑客,各级代理之间又有互相联系。
犯罪网络主要分:“代理团伙”“黑客团伙”、“制假团伙”三个部分。“代理团伙”通过在网站上发布办假证广告,吸引有需求的办证者,收集信息后,与“黑客团伙”和“制假团伙”联系,从中分成,是获利最多的团伙,代表人物有“常老师”和吴某中;“黑客团伙”由黑客组成,他们首先入侵政府网站,根据代理中介的需求,添加非法数据,以罗某洁、许某彬为代表;“办证团伙”是最底层的团伙,主要负责制作和销售假证,比如陈某农。
每个黑客或代理既有自己独立权限的网站,也有共享权限的网站,为牟取最大限度的利益,彼此之间联系密切,互通有无,形成了一个庞大的网络犯罪群体。
对话
7月17日下午,在揭阳看守所里,记者见到该案主要的犯罪嫌疑人罗某洁(网名:牛仔)、许某彬(网名:小宝)以及陈某农(网名:一生平安),其中,罗、许两人非常年轻,属于黑客团伙的骨干,负责入侵网站和添加数据。交谈时,对于过去的错误,罗的态度显得比较无所谓,许觉得比较后悔。陈某农已有31岁,主要负责制作假证。
罗某洁:做错了就要去承担、判了也没办法
记者:这个案件里你主要做什么?
罗:别人发给我数据,我就整理数据,然后发给小宝(许某彬),由他添加到服务器。
记者:添加一次数据多少钱?
罗:150元到200元。
记者:知不知道是犯法的?
罗:黑政府网站肯定是有问题的,不过下面有需求,而且就加几条数据而已,再加上来钱快嘛。
记者:你每月赚多少钱?
罗:3000元到5000元。
记者:你现在后不后悔?
罗:后悔也没用啊,错了就是错了,做错了就去承担啊,判了也没办法。
许某彬:很后悔,没人告诉我这是犯法的
记者:入侵一个网站可以拿多少钱?
许:看难度,一个大概300--500的样子,比较难入侵的政府网站就是1200元。每个月好的时候能拿四五千,不好的时候就2千左右。
记者:被捕前,总共挣了多少钱?(来源:南方都市报 南都网)
许:从2010年开始到现在总共拿到了8万多。
记者:在犯罪团伙里,你属于哪个等级?
许:在里面属较高级吧!
记者:你知道这是犯法的吗?
许:一开始不知道,就是想挣点钱,现在知道了,很后悔,很后悔。
陈某农:大家都在做,我也做了
记者:你怎么想起干这一行?
陈:在我们那边,办假证很普遍,整一条街都是。
记者:你以前是做什么的?
陈:以前在厂里打工,后来看到那些办假证的年轻人一下子就赚了很多钱,自己打一辈子工也赚不到那么多钱,心里不平衡,所以后来也做起这一行。
记者:做一个证能赚多少钱?
陈:现在不太好赚了。以前他们做的时候就很好赚,现在一个证也就赚二三十元。
记者:你(在这个团伙里)具体做什么?
陈:我不懂上网的,只负责做假证。他们提供信息给我,告诉我做什么证,我就做什么证。(来源:南方都市报 南都网)
警方提示
三类网站安全问题亟待防范
省厅网警总队办案民警分析,全国范围上百个政府、大学网站被入侵,说明目前政府网站的安全防范意识以及能力,需要提高。就目前这起案件中被入侵的网站分析,一般存在三类问题。
网站外包导致监管缺失
民警表示,目前,有政府部门、单位网站从建设到维护均外包其他公司,就以为监管工作不用自己做了,同时,公司也缺乏责任心没有按时维护、定期检查。以广州市天河区某部门网站为例,就是外包其他公司,其防御软件未能及时升级,导致出现漏洞,被黑客入侵。
设备、软件齐全管理缺位
还有些部门虽然对网络安全重视,购置各种设备以及多重的防火墙,但没有配备专业的管理人员进行维护,导致设备闲置,防范形同虚设,就像“建了保安亭但是没有保安。”
设备陈旧、软件不及时更新
由于黑客软件日新月异,因此防范的软件也需要及时更新、升级,有些网站可能忽略防火墙和操作系统补丁的定期更新,也没有针对网站本身缺陷进行修补和升级,这样很容易暴露自身的弱点。 从手机浏览器访问《生活宝典》 |
