黑客用理財網(wǎng)站漏洞充1塊提20萬 致網(wǎng)站損失1800萬，8萬元賣漏洞還在QQ空間公布【圖】

    廣東一男子黃迪(化名)發(fā)現(xiàn)山東某公司的理財網(wǎng)站存在漏洞后,就利用黑客技術采取“先充值1元,再修改成20萬”的方式,從該公司資金池內(nèi)提現(xiàn)20萬元。

    事后還把漏洞公之于眾，導致這家理財網(wǎng)站2小時被瘋狂提現(xiàn)1800萬。

    2小時內(nèi)大量新用戶注冊提現(xiàn)

    事情還得從2017年9月14日下午說起。當時,山東某公司向歷下警方報警稱:自己的網(wǎng)站被人攻破,公司在第三方支付公司的賬戶的錢被轉走1800余萬元。

    “這是一家投資公司,被攻擊的是他們的理財網(wǎng)站。”2018年5月2日,歷下公安網(wǎng)警大隊民警顧威告訴記者:用戶在該理財網(wǎng)站注冊成功后,就可以實現(xiàn)網(wǎng)上投資、提現(xiàn),而其資金的轉入轉出都是通過第三方支付公司的賬戶來進行的。而這家投資公司為了保持每日的正常運營,在第三方支付公司的賬戶里都會保有3000萬元資金。

    可民警調(diào)查發(fā)現(xiàn),從2017年9月14日中午12點至下午2點短短兩個小時的時間內(nèi),該理財網(wǎng)站有大量新用戶注冊,然后第三方支付公司賬戶內(nèi)的大量資金被這些新用戶劃走、提現(xiàn)。

    案發(fā)后,歷下警方成立專案組,并兵分兩路:一路向山東省公安廳、濟南市公安局反詐騙中心匯報情況,通過電信詐騙案件偵辦平臺,成功止付16筆異常劃撥資金共計400余萬元人民幣；另一路則奔赴上海、廈門等地調(diào)取相關數(shù)據(jù),“上海是第三方支付公司所在地,而該理財網(wǎng)站維護運營的公司在廈門”。

    最終,通過對這些涉案賬戶對比分析,歷下警方獲取了線索,并成功鎖定了首個攻擊山東某公司理財網(wǎng)站的嫌犯黃迪。

    8萬元賣漏洞，還在QQ空間公布

    很快,專案組民警趕赴廣東,將嫌犯黃迪抓獲。

    “黃迪28歲,來自廣東博羅。”民警顧威說。而此前,黃迪就曾因非法侵入計算機系統(tǒng)而被外地警方處理過。

    原來,沒有正當職業(yè)的黃迪整日在網(wǎng)上閑逛,并試圖利用自己所學的計算機技術來“發(fā)財”。一次偶然的機會,他發(fā)現(xiàn)山東某公司的理財網(wǎng)站在第三方支付跳轉時存在漏洞。

    于是,黃迪先在該理財網(wǎng)站注冊,然后充值1元,在借助某種軟件劫取數(shù)據(jù)包、篡改數(shù)據(jù)。“修改數(shù)據(jù)后,雖然他實際充值1元,但系統(tǒng)認為他的賬戶內(nèi)有20萬元資金。”民警顧威介紹,黃迪之所以提現(xiàn)是20萬,而不是30萬或者更多,“是因為系統(tǒng)規(guī)定的每次提現(xiàn)最高額度就是20萬元”。

    得手后,曾有前科的黃迪十分狡猾:他先是把該漏洞以8萬多元的價格賣給另一個黑客,然后又在自己的QQ空間內(nèi)公之于眾,致使該漏洞被其他黑客大量傳播利用。“最多的一個黑客從資金池里轉走了260萬元。”民警說,黃迪此舉的目的就是為了混淆視聽,干擾警方的偵查視線,以便讓自己能逃之夭夭。

    值得一提的是,在民警抓獲黃迪的第二天,另一名黑客謝某自覺事情不妙,還撥打黃迪的電話進行試探。而民警接聽了電話后,告知謝某事件的利害,并曉之以理、動之以情。很快,謝某迫于壓力到派出所投案自首。

    18名嫌犯落網(wǎng)，凍結追回近千萬元

    5月2日,記者從歷下警方獲悉:截至目前,民警已抓獲嫌犯18名,其中刑事拘留9人、取保候?qū)?人,查獲涉案電腦15臺,手機27部,銀行卡46張,凍結及追回涉案資金987萬,打掉了這個公安部督辦、涉及全國22個省份的破壞計算機信息的特大網(wǎng)絡盜竊團伙。

    不過同時,民警也注意到:這些黑客在山東某公司理財網(wǎng)站注冊時所用的身份信息等都是他人的、真實的。

    “這些都是他們專門花錢買來的一整套信息。”民警介紹:這所謂的一整套身份信息包括身份證、電話卡和五張相應的銀行卡；其中一張銀行卡還是帶U盾的,用來在網(wǎng)上操作,“有些偏遠地區(qū)的人,覺得身份證沒用,就200元賣給別人用。收的人就利用這些身份證辦理電話卡、銀行卡,然后再以1000元的高價賣出去”。

   而一些理財網(wǎng)站在用戶注冊時,只注重個人信息是否一致,卻不能認證是否本人在注冊、操作,這也給了不法分子以可乘之機”。

    民警告訴記者,互聯(lián)網(wǎng)的虛擬性,導致一些人在高額利潤的誘惑下,在虛擬世界為非作歹。歷下警方也將進一步提高打擊網(wǎng)絡犯罪的能力,變被動為主動,打團伙、打源頭,不斷加大打擊整治的力度和深度,并同時也提醒廣大市民:仔細甄別各類網(wǎng)站、軟件的真假,不要對外提供個人的相關信息。