广东警方摧毁30多个黑客团伙,有人入侵医疗挂号平台系统
读特记者 严俊伟 通讯员 万韬 黄宇泰 李晓东
2018-09-21 11:22

广东省公安厅21日通报,近日在公安部的指挥协调下,广东省公安厅组织开展“净网安网”15号打击黑客网络攻击破坏违法犯罪专项行动。

行动期间,共侦破黑客类案件100余宗,成功打掉黑客团伙30余个,刑事拘留160余人,核实被攻击入侵网站7240余个,涉案金额共计2500余万元,扣押电脑主机、攻击木马、黑客工具等涉案物品一批。此次行动强力打击了黑客网络攻击破坏违法犯罪行为的嚣张气焰,实现了对多个黑客攻击破坏黑灰产业链的全链条打击,成效显著、大快人心。

2018年以来,深圳、韶关、江门、中山等地市警方先后在工作中接到涉黑客犯罪线索报案。相关案情上报后,省公安厅高度重视,迅速成立专案组,部署扩线经营,结合前期侦查工作,将相关案件列为“净网安网”15号专案开展打击。

经过数月缜密侦查,广东警方于近期在深圳、韶关、中山、江门以及湖南、广西、新疆等地同步发起集群收网行动,先后破获深圳某医疗挂号平台系统被非法入侵案、韶关某县教育局计算机信息系统数据被非法获取案、江门陈某等人非法控制计算机信息系统案、广东医药大学中山学院学生被非法获取计算机信息系统数据案,一举摧毁上述实施黑客网络攻击破坏犯罪团伙。

广东省公安厅有关负责人表示,当前黑客网络攻击破坏犯罪呈现出三个较为显著的特点:黑客网络攻击成为黑色产业链条违法犯罪源头、内部人员“监守自盗”情况突出、网络攻击手法多样且攻击门槛逐渐降低。公安机关将继续加大对黑客网络攻击破坏违法犯罪的打击力度,深挖违法犯罪源头,开展全链条打击。督促各企业加强安全管理,防止内部人员利用职务便利进行网络攻击入侵行为。同时,进一步加强防范宣传和安全风险隐患排查工作力度,切实提高全民网络安全意识,全力营造清朗干净的网络空间,维护人民群众生命和财产安全。

【典型案例】

一、深圳警方破获某医疗挂号平台系统被非法入侵案

2018年7月,深圳警方接到深圳市宁某科技股份有限公司报案称,其公司为深圳市卫计委开发使用的某就医挂号平台服务器频遭外部人员侵入,造成大量患者长期无法在该就医平台APP正常挂到各大医院专家号,经常被客户投诉。

接报后,深圳警方立即组成专案组对此案进行深入侦查,发现深圳市云织科技公司旗下的“小牛预约神器”微信公众号从2017年以来在网上疯狂售卖该平台挂出的各大医院专家、医生预约号,并检测到相关侵入源和云织公司所在地吻合,警方初步断定该公司和入侵行为有重大关联。

警方通过对云织科技公司法人张某深入调查,发现张某的丈夫乐某想曾任职于深圳市宁某科技股份有限公司,参与负责过该就医挂号平台的APP开发工作。经过技术研判和反向分析,发现乐某想利用曾开发过该就医挂号平台APP的技术优势,使用之前开发时留下的密钥,直接非法侵入到平台后台服务器,成功绕开验证码核验。为牟取利益,他一边频繁为“小牛预约神器”的公众号下单客户挂号,每次收取30元至50元不等价值的“牛角币”;一边利用另一个“小牛助手”的微信号售卖1块钱人民币1个所谓的“牛角币”。短短几个月的时间,为其客户成功挂号1400多次,成功获利人民币3万余元。为掩人耳目,期间还多次变更服务器IP地址,故意逃避侦查。警方在提取“小牛预约神器”服务器数据库时还发现,里面存有近5万条公民个人信息,包括身份证、社保、手机、就医情况等重要信息。目前,乐某想已被深圳警方刑事拘留。

二、韶关警方破获某县教育局被非法获取数据案

2018年5月底,韶关市某县教育局工作人员向该市公安机关报案称,其单位办公邮箱收到一封发件人为“政府办”发送的重要通知,工作人员未详细辨识,下载后点击打开该邮件附件和链接,后发现邮箱内联系人混乱和丢失。据反映,多个教师邮箱和办公专用邮箱均连续收到类似钓鱼木马邮件。案件发生后,韶关警方立即抽调精干警力成立专案组开展侦查。

专案组民警对邮件样本进行调查和溯源,发现韶关市多个机关事业单位的工作邮箱均收到含有钓鱼链接附件的邮件,且仍在活跃当中,同时可疑邮件为蠕虫病毒形态传播,均发现可疑木马链接。经检测,该类邮件通过大量发送冒充政府机构签名含有木马链接的邮件,意图引诱收信人点击打开邮件。受害人打开了邮件后,邮件内的木马程序就会盗取受害人电脑上的个人信息并回传到嫌疑人的电脑上,同时木马邮件又会利用邮箱通信录向其他邮箱继续传播。犯罪嫌疑人盗取公民个人信息后,随即将信息进行分类,联系卖家在网上出售。

在广东省公安厅的指挥下,韶关警方对身在广西南宁犯罪嫌疑人何某开展收网行动,抓获正在作案的犯罪嫌疑人何某,起获用于木马跳转的webshell脚本4万余条及大量寄生虫软件工具、网站管理工具、木马域名、木马后台程序源码等黑客类工具,查扣电脑、手机、电话卡、银行卡等作案工具一批。经查,犯罪嫌疑人何某从2017年年底至今利用木马链接通过邮箱、QQ等途径进行传播和扩散进而盗取公民个人信息达数万条。此外,何某向600多名下家出售木马程序,传授犯罪手法。

三、江门警方破获陈某等人非法控制计算机信息系统案

2018年年初,省公安厅在工作中发现有黑客非法控制大量网站的情况,其中有一条重要的入侵者线索指向江门市。在腾讯公司的大力支持下,江门警方经过初步调查发现,一名江门市新会区籍人员陈某,涉嫌利用黑客技术非法入侵2000多个网站(其中包含多个政府网站),并在互联网上出售网站控制权获利。

根据此线索,江门警方立即成立专案组开展侦查。经缜密侦查发现,陈某通过黑客交流群学习黑客技术,学习过程中,陈某暗自记录其他黑客炫耀的被黑过的网站,然后自己验证攻击过程,掌握漏洞原理,并以此入侵具有同样漏洞的网站,获取控制权。同时,陈某也在网上向其他黑客购买控制权。最后将网站控制权溢价出售。此外,陈某的妻子廖某虽不懂计算机技术,但在丈夫的指导下,也参与到黑客犯罪链条中。

经进一步侦查发现,向陈某购买网站控制权的下游犯罪嫌疑人基本都指向赌博、色情、诈骗等犯罪团伙。这些犯罪团伙购买网站控制权后,植入暗链,也就是各类赌博、色情、诈骗链接,这样子做的目的有两个:一是跳转劫持,正常网站被植入暗链后,当人们访问正常网站时,会跳转到各类赌博、色情、诈骗链接;二是提高百度排名,正常网站被植入暗链后,当人们访问正常网站时,同时也会点开暗链链接,提高暗链的点击量,从而提升百度排名,推广各类违法犯罪网站。至此,一条由黑客入侵网站,再到出售网站控制权以及在网页挂广告链接的完整犯罪链条逐渐浮出水面。

2018年6月,在省公安厅统一指挥下,江门警方在广东深圳、江门、中山以及湖南岳阳等地同步发起收网行动,一举抓获5名黑客犯罪分子,摧毁了一个长期活跃在互联网的黑客团伙。

四、中山警方破获广东药科大学中山学院学生被非法获取计算机信息系统数据案

2018年4月底,广东药科大学中山校区一学生前往中山市公安局报案称,其在某学术网络出版平台上用于论文查重的账号被盗用,后在社交软件内得知辖区内广东药科大学应届毕业生群体中出现了大量类似查重账号被盗用的情况,更有学生声称在修改为繁琐的登录密码后仍然出现账号被盗用的情况。接报后,中山警方立即开展相关调查,发现被害学生人数多达200多人,涉案金额高达3万余元人民币。由于应届毕业生马上面临答辩,查重帐号被盗用严重影响到他们的论文写作进度,一时之间无所适从。

中山警方对此高度重视,迅速组成专案组开展缜密侦查。专案组于2018年5月31日在新疆石河子市某住处内捉抓获犯罪嫌疑人李某、王某两人。经查,犯罪嫌疑人李某自2009年起在某高校从事宣传编辑工作,2015年底通过黑客技术手段入侵了涉案学术网络出版平台的一些存在漏洞的论文查重服务器,非法获取了用于论文查重网站的帐号密码,并利用这些帐号,在业余时间从事向淘宝店主出售论文查重结论的兼职获利。李某使用QQ聊天软件与出售查重服务的淘宝店主联系,批量接收客户待检测的论文后,利用上述方法对论文进行类同率检测,并向淘宝店主收取单篇30元人民币报酬。2018年4月初,李某再次伙同其妻子王某使用黑客软件扫描平台论文查重服务器,发现个别服务器存在SQL注入漏洞,于是使用黑客攻击软件对这些存在漏洞的服务器进行SQL注入攻击,非法获取了广东药科大学中山学院一些师生的帐号,并用于上传自己从淘宝店主处接收的待检测的论文进行类同率检测多达百余次,然后将检测结果反馈淘宝店主,从中获利。

编辑 程思玮

(作者:读特记者 严俊伟 通讯员 万韬 黄宇泰 李晓东)
免责声明
未经许可或明确书面授权,任何人不得复制、转载、摘编、修改、链接读特客户端内容
推荐阅读
读特热榜
IN视频
鹏友圈

首页