重庆警方斩断全国最大盗窃Q币犯罪产业链

    今天，重庆市警方宣布破获全国最大盗窃Q币案，犯罪团伙涉嫌制作木马程序，通过在互联网上挂马的方式，大规模盗取QQ号码及Q币，自2011年3月以来，先后对1000多万台电脑植入木马，盗取Q币进行贩卖，非法获利600余万元，同时，还将被盗QQ号码广泛用于诈骗好友、靓号买卖、微博推广、垃圾短信等违法犯罪活动。

    本案是公安部挂牌督办案件，这个以非法入侵计算机信息系统实施网络盗窃的犯罪团伙，成员流散全国，以虚拟身份在互联网集结，制作木马程序、研制开发辅助软件，挂马、盗号、洗信、贩卖Q币，犯罪全程“流水线”式作业。

    重庆警方运用先进网络侦查技术，历时两月，行程万里，辗转七省市，将这个非法入侵计算机信息系统盗窃Q币的犯罪团伙一网打尽，19名犯罪嫌疑人被抓获，绰号“亮亮”的犯罪嫌疑人吴某等11名主要犯罪嫌疑人已被检察机关以涉嫌盗窃犯罪，批准逮捕。

    Q币被盗牵出诡秘夫妻网店

    今年2月，重庆市公安局网安总队接到多起群众报案，称其QQ号码被盗，QQ中的Q币被人非法窃取。

    Q币，是一种虚拟货币，根据深圳市物价局备案,一Q币售价为1元。

    警方调查发现，多名举报者QQ中的Q币被换成QQ仙侠传元宝在游戏中进行了转移，而接收该仙侠元宝的是同一个名为“小懒虫”的游戏ID。

    通过调取该ID交易情况，警方发现，这个名叫“小懒虫”的ID，一个月内涉及交易的QQ号码竟多达1471个，折合人民币近29万元。警方确定“小懒虫”用户具有重大嫌疑，决定对其展开调查。  

    经调查，“小懒虫”用户真名梁某，重庆合川人，与其妻明某在淘宝网开设了一间名为“懒虫猫小宝”商店。该店铺网络显示创办于2007年，为四蓝钻卖家，动态评分4.9，远高于同行业平均水平。警方发现从2011年7月起，通过贩卖QQ仙侠传元宝梁某夫妻共销售获利86万余元人民币。

    网络盗窃团伙浮出水面

    警方调取了梁某夫妻的资金往来记录，发现了其主要联系人“亮亮”。循线追踪，围绕“亮亮” 展开调查，一个以“亮亮”为核心、横跨全国的，开发制作、策划组织、指挥种植“木马”，通过“木马”植入盗窃QQ信息，将QQ信息中的Q币进行网上销售的网络犯罪团伙浮出水面。

    由于网络犯罪全程在互联网进行，具有智能性、复杂性、匿名性等特征，且跨区域进行，受害用户广泛。而作案人员通常掌握了较高的计算机操作水平，使用虚拟网络身份通过网络与上下家联系，给侦查工作带来了巨大挑战。

    面对盘根错节的案情，专案组展开了庞大细致的侦查工作。通过海量的数据侦查、信息比对，厘清了该“产业”的制作木马、挂马、盗号、洗信、销赃等程序，并逐步确定了团伙主要成员及身份：

    “亮亮”（犯罪嫌疑人吴某），团伙核心成员，是网络犯罪圈内“大哥级”的知名人物，具备较强号召能力，具有丰富从业史，2009年曾因非法入侵计算机信息系统案被打击处理，在团伙中主要从事策划、组织、指挥工作；

    犯罪嫌疑人尹某，主要从事“洗信”，按照“亮亮”授意，对盗窃而来的“信件”（记者按：行话，指QQ用户名、密码等信息）进行分类处理；

    “香草”（犯罪嫌疑人翁某）等五人，主要从事“挂马”，开设“楠天网络科技公司”为掩护，通过种植木马病毒，控制客户主机的方式，大肆开展DDOS攻击，帮助“亮亮”传播“QB马”病毒，导致用户感染；

    犯罪嫌疑人吴某等3人，自行开发盗号辅助软件，协助“亮亮”传播木马，收取费用分成；

    “小懒虫”（犯罪嫌疑人梁某）及其妻（犯罪嫌疑人明某），主要从事贩卖Q币，从“亮亮”处以7.0～7.3折从买进Q币，以游戏元宝形式在网店7.9折出售，赚取差价。

    犯罪嫌疑人和某等三人，在“亮亮”指使下，协助梁某夫妇进行“洗信”（记者按：指将“信件”中别人的QQ号、Q币等据为自有）销赃活动。

    在该链条中，最核心的人物是“亮亮”，他控制了装有“信件”的“箱子”，能控制核心数据，其下游犯罪嫌疑人则通过“洗信”占有“信件”中的Q币等，最终通过网店套现。

    “信件”是这个“产业”的核心“资源”，“一手信”的市场价格在1万封“信件”700～800元，而“二手信”则在1万封“信件”几十元。

    六省市同时抓捕 半小时同步到案

    由于网络犯罪全程实行流水线作业，牵一发而动全身，如不能将各个环节的人员同步控制，网络联系一旦中断，其他团伙成员一有察觉，即会在第一时间将各类电子物证销毁，令侦查工作前功尽弃，因此，此类网络犯罪必须同步出击，将其一网打尽。

    为将犯罪团伙一网打尽，彻底捣毁依附于Q币的犯罪产业链条，专案组根据网络犯罪特点，深入研究盗窃Q币非法获利的手法、渠道，对团伙核心组织者，以及洗信、挂马、制作辅助软件、贩卖Q币、从事DDOS攻击等各个环节的犯罪嫌疑人逐一落地，并确定嫌疑人分布在重庆、海南等七省市。

    3月初，专案组50名民警分7个小组分赴犯罪团伙所在的全国六省市，准备抓捕工作。经细致观察和精心研究，决定在3月11日晚展开同时抓捕。  

    3月11日23时15分，经过近一星期严密部署，7个抓捕小组在重庆、海南海口、浙江杭州、福建福州和泉州、河北保定、四川成都同步出击，至当晚23时45分，仅半个小时专案组前期锁定的18名犯罪嫌疑人全部到案。

    木马制作者月入10万

    由于木马作者身份尚未明确，专案组决定持续展开侦查。

    专案组发现，木马制作者不仅具备了高超的计算机操作水平，且在与“亮亮”（犯罪嫌疑人吴某）的联系中，使用多个银行账号进行资金往来，并通过各种技术手段混淆警方视线，以躲避公安机关的侦查。

    重庆警方集结顶尖网络安全技术人员，经过大量工作，最终锁定木马作者系武汉某大学研究生二年级学生王某。

    3月30日，专案组在湖北武汉将王某抓获。经审讯，“凯文”（犯罪嫌疑人王某）对其制造盗窃QQ账号木马犯罪事实供认不讳。据了解，王某系武汉某大学研究生二年级学生，2010年因成绩优异报送本校研究生，在校期间曾荣获全国电子设计大赛二等奖，具备较强的软硬件制作能力。临近毕业，已有多家著名网络公司向其发来offer，巧合的是，其即将从事的正是互联网账户安全保护工作。

    尽管犯罪嫌疑人自恃掌握了高超的计算机技术，但在警方侦查和追捕下，虚拟世界的隐秘犯罪嫌疑人终难逃法网。至此，“2·16”网络盗窃团伙主要成员悉数到案。

    调查显示，王某每天能非法获利1000～5000元不等，1个月能获得10万元左右。

    警方提示增强防范意识

    重庆警察学院刑事侦查系教授菀军辉分析此案有三个特点。

    一是智能化、隐秘性、跨区域作案，侦查取证难。制作、传播木马，挂马、洗信、贩卖Q币乃至于资金往来等均通过计算机自动完成，全程智能化操作；团伙成员之间以虚拟的网民身份联系，资金往来也依托虚假银行账号，并通过各种技术手段隐匿个人真实信息，隐秘性强；互联网联通世界，团伙成员因此也遍布各地，跨区域甚至跨国作案，这些都为警方侦查、取证带来了前所未有的难度。本案中专案组前期缜密的网络侦查，对嫌疑人逐一落地，并同步出击将团伙一网打尽，尤其是电子对涉案所有电子物证进行了及时的勘察和查封，成为破案的关键。

    二是犯罪成本低、收益高，受害群体广泛，反复作案几率大。只要掌握了一定的计算机操作技能，仅需一台电脑在互联网中即可实施此类犯罪；此案目前查获的金额高达600余万元，木马制作者王某仅提供制作的木马，前后获利近50万元，收益惊人；QQ用户遍布全国，受害群体广泛，盗窃数额难以固证；由于过去取证不充分，司法处理较轻，涉案人员反复作案几率大，造成恶性循环。此案中的核心成员“亮亮”（犯罪嫌疑人吴某）曾有同类犯罪经历，但以“非法入侵计算机信息系统”仅获刑11个月，低犯罪成本和高收益促使其再度铤而走险。

    三是犯罪低龄化，依托色情渠道传播，亟待树立健康网络观。以此案为例，团伙中年龄最大的不过30岁、最小的仅21岁，核心成员“亮亮”是90后，自其未成年时就开始实施此类犯罪，木马制作者在校大学生犯罪嫌疑人王某因年少轻狂在百度空间炫耀技术成果，被“亮亮”相中，利益驱使走上犯罪歧路。木马传播主要通过色情网站传播，海量的受害用户，也说明网民尤其是年轻网民亟待树立健康的网络价值观。

    专案民警提示，为防止QQ信息泄露造成不必要损失，广大网民切勿点击各类色情网站，下载不明缘由的免费软件。网民在使用电脑时，应安装正版杀毒软件，并及时更新病毒库，定期进行电脑杀毒，增强电脑对木马等病毒的防御功能。虚拟货币一旦被盗，应及时报案，积极向公安机关提供线索。

    本报重庆5月10日电