“木马”升级可篡改收款单位深喉
2013-01-17 15:53:43   来源：搜狐   评论：0 点击：

　　昨天，记者采访获得最新消息，将钱“偷”到巨人网络的病毒突然升级，这意味着可能有更多的人上当受骗！
　　
　　之前有媒体报道称，付款时只要核对商户名称为“铁道部资金结算中心”就能确认安全。可360安全中心已发现“劫持”木马变种，它能够篡改网页显示内容，把付款对象商户显示为“铁道部资金结算中心”。业内人士认为，“劫持”木马不只是利用巨人网络的游戏点卡消费渠道，任何有价值的虚拟商品交易平台都可能被此类木马利用。该木马程序随时有可能针对其他任何一种网络支付途径，而不仅仅局限于购买火车票。
　　
　　由于有用户屡屡在使用铁道部12306网站订票时，钱款被转入“巨人”账户，不少受害人质疑该网站存在安全漏洞。为此，记者多次拨打12306热线客服电话，得到的答复是暂未接到相关反映，至于网站是否存在漏洞，需要联系宣传部门采访。然而，记者多次拨打客服人员提供的电话，始终无法接通。
　　
　　最新情况
　　
　　变异“劫持”木马可篡改“商户”
　　
　　春运临近，市民该如何防范“劫持”木马？近日，记者专访了360安全中心获悉，目前已截获变异的“劫持”木马，黑客已能更改显示的真实收款单位。
　　
　　近日，360安全中心工程师接受本报独家专访，揭开“劫持”木马的神秘面纱。“劫持”木马通过不知名文件、图片等形式传播，先期已被“种植”在被害人的电脑中。木马运行后，首先会访问黑客服务器获取配置信息，用于配置木马盗取到的金额转向哪个第三方收钱账户。近期，这个第三方收钱账户大多指向了巨人网络。
　　
　　在近期集中爆发的“劫持”木马中，大部分被害人都是在12306.cn网站购买火车票时被骗的。“劫持”木马监视浏览器访问的网址，当用户在12306.cn进行付款操作时，便悄悄启动“劫持”程序。当用户提交火车票支付订单时，木马会截获这份订单数据，其中包括“正常用户的网银支付信息+支付金额+支付的目标账号铁道部资金结算中心”。同时，木马在另一个交易平台上自动发起游戏点卡交易，购买与中招用户付款金额等值的游戏点卡等虚拟商品，再把交易中要求输入的验证码显示在中招用户面前，由用户自己辨识输入，这样木马就得到了验证码。
　　
　　接着，木马采用“狸猫换太子”的伎俩，将劫持得到的部分订单数据，替换成为其购买游戏点卡的订单数据，其中包括“支付金额+验证码+支付的目标账号巨人网络”。如此一来，一条综合了用户和黑客的新订单数据便产生了，包含“正常用户的网银支付信息+支付金额+验证码+支付的目标账号巨人网络。就这样，用户的购票款，经过看似正常的网银支付，最终却替黑客购买游戏点卡埋了单，随后黑客就将游戏点卡销赃获利。
　　
　　之前有媒体报道称，付款时只要核对商户名称为“铁道部资金结算中心”就能确认安全，360安全中心提醒，应对旧版本“劫持”木马，此招切实可行，但目前“劫持”木马已更新变异，再用此招很可能会误入歧途。
　　
　　360安全中心发现“劫持”木马变种，它能够篡改网页显示内容，把付款对象商户显示为“铁道部资金结算中心”。实际上是木马控制网页脚本，用一张图片盖住真实的付款对象，网友不能仅凭商户名称来判断电脑是否中了木马。业内人士认为，“劫持”木马不只是利用巨人网络的游戏点卡消费渠道，任何有价值的虚拟商品交易平台都可能被此类木马利用。该木马程序随时有可能针对其他任何一种网络支付途径，而不仅仅局限于购买火车票。
　　
　　隐患排查
　　
　　病毒随U盘流传，单位电脑比私人电脑更毒
　　
　　陈小姐是一名文字工作者，在单位做不完的文案常要带回家，U盘便成了必不可少的工具。这种便利也带来风险，没多久，陈小姐家里的电脑就突然黑屏死机。请做IT朋友重装系统时，陈小姐的U盘中查出一堆电脑病毒。“单位电脑的确比私人电脑更毒！”互联网安全服务提供商奇虎360企业版负责人邓振波坦言，陈小姐的遭遇很普遍，更可怕的，企业大多使用内网，一旦有一台电脑中毒，很可能成为“害群之马”，使整个内网所有电脑中毒。
　　
　　随着内部网络中服务器、终端、软件、应用人数的增多、系统承载信息量的增长以及对核心信息安全保护的要求提高，网络承载着越来越大的安全压力。配方、图纸、工艺等技术秘密、客户、订单信息等商业机密，可能会因为网站存在漏洞而被入侵的黑客非法获取。失当的安全策略可能会导致内部软件与部署的安全软件发生冲突，从而引起工作效率损失，例如生产和管理系统不能正常运转。
　　
　　“目前，国内很多企业不太‘会’防毒。”邓振波告诉记者，国内很多企业电脑安装的是个人版的安全软件，而企业的计算环境与普通用户的计算环境存在很大的差异。在某些情况下，个人版安全软件会与企业的内部软件发生冲突，处理不当就会对企业的正常运营造成一定影响。个人版的安全软件会基于黑白名单的机制，对可疑文件的类木马行为进行风险提示。”
　　
　　免费WiFi成犯罪“温床”，可能藏“钓鱼”
　　
　　其实，各类WiFi热点也成为犯罪分子的犯罪温床。上海警方近日就在微博上提醒，免费WiFi网络“i-shanghai”因信号强、网速快广受欢迎。结果一些不法分子就把钓鱼WiFi命名为“I-Shanghai”或“1-Shanghai”等很具迷惑性的名字，以此来套取用户私人信息。
　　
　　然而很多人对免费WiFi可能暗藏的“钓鱼”陷阱却毫无防备。近日，一条名为“警惕免费WiFi，15分钟内就能盗走你的资料”的微博被大量转发。该微博称：一些不法分子在公共场合用一台电脑、一套无线网络及一个网络包分析软件就可建一个无线热点，搭建一个不设密码的WiFi。如用户使用该WiFi，不法分子可在15分钟内窃取手机上网用户的QQ、网银等密码。
　　
　　“WiFi业务增长迅猛，是我们今年的重点。”马劼是上海市信息安全行业协会副会长，在张江经营一家信息安全服务企业，工作主要是保障用户的网络安全。马劼说，银行、商场、机场、广场等人流密集的场所，暗藏“钓鱼”WiFi的可能性最高。如果不法分子在附近设立相似名称的WiFi，客户使用手机登陆WiFi网络进行查询、转账或支付时，很容易泄露密码等核心信息。马劼正力推的业务就是为提供免费WiFi的单位或商家提供一道安全墙。昨天，记者在安达通公司采访时，做了现场体验。当记者搜索到该公司的WiFi信号后，首先需要输入手机号，待收到认证码并输入后，手机便连上了WiFi。
　　
　　深喉揭秘
　　
　　“黑客”、网游、支付平台、银行、搜索引擎……
　　
　　网民的钱都到这些地方去了，可想维权有多难
　　
　　王先生是河南科技大学计算机专业的毕业生，平时主要以网上出售推广软件和网页制作为主，“我平时经常研究网络诈骗，有时甚至为了研究诈骗，我主动去受骗，分析黑客的操作手法。”王先生告诉记者，在了解到黑客的手法和诈骗的本质后，他会在网上发帖，将事情的本质告诉网友，以免更多的人上当受骗。王先生说，网络诈骗是一个极其庞大的黑色利益链，利益链上的每一个环节都有利可图：“这个环节包括黑客、网游公司、支付平台、银行、搜索引擎等，受骗网民损失都到了这几个地方去了，可想维权难度有多大！”
　　
　　操作手法就是让网民帮忙买单
　　
　　王先生分析了黑客的操作手法。其实黑客的操作思路很简单，就是让网民帮他买单。
　　
　　首先是黑客通过钓鱼网站或是木马程序获得网民的网银相关信息，然后利用软件，在某网络的平台下单，然后将生成的订单经过包装掩盖发给网民，订单上的金额和网民购买商品的金额相同，粗心的网民不容易看出来，同时，利用劫持木马全面掌握网民的银行卡信息，随即将银行卡中的全部余额转入第三方支付平台账户，再通过这个支付平台账户在该网络平台上下订单，购买游戏点卡和游戏币，最后在虚拟产品交易市场中，降价以求迅速变现。
　　
　　“在这个过程中，唯一受损失的就是网民，几万甚至几十万的真金白银就这样被骗了，黑客通过低价处理，能够很快将购买来的点卡变现，在这笔生意中，把来自网民的钱全部吃进，不管‘黑白’，这是非常不道德的。”
　　
　　黑色利益链上各家都有钱赚
　　
　　根据王先生的分析，所谓的黑色利益链，即黑客、网游公司、支付平台、银行、搜索引擎。“首先，黑客在搜索引擎上购买竞价广告，能够显示在搜索引擎上很前面的位子，打上一些明显不符合市场规律但非常诱惑的广告，不了解市场行情的人贪图便宜，很容易点击这些广告，黑客根据上面介绍的方法，将你卡里的钱转走。”王先生说，在利益链中，支付平台通过手续费得到网民损失的大概1%的份额，银行凭借手续费获得0.5%的份额，网游公司则获得几乎全部98.5%的份额，黑客通过低价销赃获得70%—95%的收益。“显然，这是一本万利的买卖，谁都有钱赚。”
　　
　　对此，王先生向记者演示，在百度中搜“话费”二字，出现在最上面的广告点击进去，看到话费充值满100送20，“这个太大方了，充值卡批发外面最便宜不低于95元，100元的充值卡在支付宝中可以当95元现金来进行消费的，如果购买的价格低于95元，那不是买多少赚多少？哪有这么好的事！所以市面上低于95元的充值卡几乎都是假的，都是用来钓鱼的。
　　
　　虚拟物品成黑客洗钱重灾区
　　
　　为什么黑客总选取哪些购买点卡、话费、充值卡、购物卡等的网民进行诈骗，很少选择衣服、食物等实物进行诈骗，原因就是虚拟物品只是一串数字，其物品成本非常非常低。另外，黑客选取虚拟物品平台作为其谋生的手段，也是有其考虑的，“游戏点卡、电话费、充值卡等，只要价格稍低，在市场上很容易变现，黑客将骗来的钱全部购买这些点卡，然后到市场上低价销赃，能很快拿到钱。至于虚拟物品平台，表面上看他们也是受害者，但是网民的钱其实都到了他们口袋里，他们虽号称卖出去点卡、游戏币、装备，但这些对于他们来说，就是程序中的一串数字，这些数字可以无限复制无限生成。”
　　
　　法律观点
　　
　　“巨人”账上的钱怎么办？
　　
　　采访中，巨人网络表示，与全国多地公安机关进行配合，协查过数十个案件。上海地区包括徐汇、卢湾、普陀等区，都有过协办案件。公司将尽全力协助全国各地公安机关早日破案，抓获背后团伙，威慑网银欺诈的不法分子。上海政法学院刑事司法系专家蔡一军接受记者采访时表示，按照国际惯例，在网络犯罪中，网络服务提供商被利用作为犯罪平台或工具的，如能证明其有明知或者放任的主观过错，应承担民事共同侵权责任。在本案中，巨人网络与黑客应共同承担民事侵权责任，然后根据他们之间的各自责任大小，再去划分赔偿份额。
　　
　　巨人网络应履行报案义务
　　
　　从目前公布的信息看，巨人网络表态，接到投诉后将第一时间冻结可疑游戏账号，并已协助公安机关封存几十个游戏账号。蔡一军认为，巨人网络这么做，仅仅是在形式上履行了协查义务，但并未从源头上堵上自身系统所存在的漏洞，客观上造成了共同侵权的事实，消费者可以向法院提起共同侵权之诉，要求巨人网络作为共同侵权人承担赔偿责任。
　　
　　蔡一军强调，作为网络服务提供商，巨人网络在接到消费者投诉后，有义务以公司名义向公安机关报案。根据目前的司法实践来看，公安机关接到网络犯罪的报案后，有一个反应的过程，警方更多关注的是赃款的流向问题，会与银行沟通，对赃款流向的银行账户进行监管，甚至冻结、暂时封存相关涉案资金，而不是冻结赃款购买的游戏点卡和游戏账户而已。
　　
　　计算机犯罪法律存空白
　　
　　在互联网发达的地区，网络犯罪比较普遍。网络犯罪成本低、快捷，是其迅速发展的根本所在。目前，各国普遍遇到的困难是技术问题，怎么才能找到黑客，以及找到他们对应的银行账号。“坦率地说，受技术能力限制，网络犯罪侦查困难。比起其他类型的犯罪，网络犯罪的破案率相对较低，这是无法回避的事实。”蔡一军说，“目前，我国法律体系中缺乏一部计算机犯罪法，公安机关侦办网络犯罪程序无法突破，网络服务提供商不用承担任何刑事责任。”
　　
　　“2012年3月，类似的案件曾在徐州也发生过。从主观上讲，网站漏洞被黑客利用，巨人网络不去修补漏洞，放任类似事件一再发生，他们从中也谋取到了客观的利益，从主观来说存有过错。可惜的是，目前，我国的法律体系中，缺乏一部计算机犯罪法，缺乏追究网络服务提供商刑事责任的法律依据。”
　　
　　被害人可提起民事诉讼
　　
　　据蔡一军介绍，通常情况下，被害人维权主要包括两个部分：一为追回赃款部分，一般要在法院做出刑事判决后，被害人向法院申请返还；二为民事求偿部分，根据先刑后民的诉讼法原则，一般为刑事判决后再审理民事部分的赔偿金额问题。“从民事责任的角度来说，本案中，巨人网络的平台被黑客利用，应与黑客一起承担共同侵权责任。”蔡一军强调，消费者在等待公安机关破案的同时，可以直接向巨人网络提起诉讼，要求先行赔偿经济损失，以及相应的精神赔偿责任。事后，等警方破案后，再由巨人网络与黑客，根据责任大小划分赔偿多少。但是，从实际操作来看，有很多被害人并不知道，自己还能通过民事诉讼维权。
　　
　　“巨人”不当得利应返还
　　
　　上海联业律师事务所主任王展律师认为，应理清事件中的几层法律关系。
　　
　　本案既涉及赃款，也涉及赃物。消费者向公安机关报案，称自己银行存款被诈骗到了巨人网络的银行账户，因此消费者作为受害者损失的是钱款，应为“赃款”。对于巨人网络而言，其游戏用户采取非法手段将游戏点卡骗取到自己的游戏账户中，并对外进行出售，巨人网络作为受害者损失的游戏点卡等虚拟财产称为“赃物”。
　　
　　消费者作为受害者报案，公安机关应冻结巨人网络银行账户中的“赃款”。对于受害的消费者而言，其与巨人网络之间不存在合法的游戏点卡交易，其钱款是犯罪嫌疑人采取非法的病毒程序骗取到巨人网络银行账户中的，公安机关在接到消费者报案后应当第一时间冻结接受被骗取钱款的银行账户。
　　
　　巨人网络作为受害者报案，公安机关应冻结巨人网络游戏账户中的“赃物”。如果巨人网络发现自己游戏用户采取非法手段骗取自己的虚拟财产，应当自行采取对该游戏账户的查封措施，如果该游戏中的虚拟财产已经对外出售，则其也可以向公安机关报案查封或冻结受让游戏账户中的“赃物”。
　　
　　王展律师建议，消费者可以不当得利为由起诉巨人网络返还钱款。对于消费者而言，除了报案以外，还可以采取民事诉讼的方式维护自身权益。也就是说，消费者与巨人网络之间并不存在合法的虚拟财产交易，巨人网络收取消费者钱款缺乏法律依据，在此情况下应当作为不当得利予以返还。
　　
　　警方进展
　　
　　接到相关报案，正在进一步调查
　　
　　日前，记者从上海警方证实，本市公安机关接到过网民的相关报案，目前正在开展调查。
　　
　　警方提醒：广大网民在网络购物、支付时要提高防范意识和防范能力。在购物过程中，首先是切勿轻信对方，不要随意接受任何陌生文件，同时要定期维护计算机，定期安装程序补丁、升级防护、杀毒软件等，提高计算机安全防范能力；其次是要时刻警惕进行购物或者网上支付的网站是否为正规、合法网站，避免被“钓鱼网站”所欺骗。特别是网上聊天室对询问其个人隐私、网银账号密码的人，要提高警惕。此外，网民在网购中遇到侵财类情况，应注意保留聊天记录等证据，一旦受骗要及时到公安机关报案，避免更多的人受骗。
　　
　　各大门户网站、论坛自身要加强诚信管理，在登记发帖人、会员等信息时，要加强审核其个人资料的真实性，承担起一定责任，避免在网络诈骗过程中充当“帮凶”的角色，从源头上遏制此类不法侵害的发生。