黑客發(fā)現(xiàn)電商平臺漏洞7小時盜走140萬，圈內(nèi)炫耀被抓

IT之家11月19日消息 據(jù)重慶市公安局渝中區(qū)分區(qū)官方微信公眾號平安渝中消息，近日，在“2019凈網(wǎng)專項行動”期間，渝中區(qū)公安分局成功破獲一起涉嫌利用某電商平臺系統(tǒng)漏洞，瘋狂實施盜竊其資金賬戶的“黑客”團(tuán)伙犯罪案件，涉案金額高達(dá)140余萬元。從今年6月開始至11月9日，渝中警方相繼在全國十余省市抓獲該案犯罪嫌疑人33名，平均年齡只有20歲左右。

“黑客”發(fā)現(xiàn)電商漏洞，篡改數(shù)據(jù)獲利

今年5月，重慶渝中警方接到轄區(qū)內(nèi)某商業(yè)管理公司報警，稱他們的電商平臺數(shù)據(jù)在5月13日23時至14日6時的7個小時內(nèi)，出現(xiàn)異常，估計被黑客利用網(wǎng)站代碼漏洞，惡意透支，通過第三方交易平臺購買話費、油卡、實物等進(jìn)行消費，共造成140余萬元的資金損失。接到報警后，渝中區(qū)公安分局高度重視，經(jīng)分局技術(shù)人員現(xiàn)場勘驗、檢查，發(fā)現(xiàn)該電商平臺存在支付流程邏輯漏洞，后通過民警的技術(shù)論證復(fù)原了嫌疑人整個作案經(jīng)過。犯罪嫌疑人先在平臺APP上注冊2個賬號，登錄其中1個賬號，向另一個賬號進(jìn)行轉(zhuǎn)賬操作，并在轉(zhuǎn)賬期間，使用抓包軟件截取相關(guān)數(shù)據(jù)，然后修改轉(zhuǎn)賬數(shù)值（即把轉(zhuǎn)賬數(shù)值改成負(fù)數(shù)），再將改好的參數(shù)，依原路徑發(fā)送過去，在轉(zhuǎn)賬成功后轉(zhuǎn)出的賬號就是正數(shù)，而接收轉(zhuǎn)賬的賬號就是負(fù)數(shù)。

通過不斷重復(fù)以上操作，犯罪嫌疑人就完成了不花一分錢，使賬號不斷累積可變現(xiàn)的積分。接著再通過第三方交易平臺，消費該平臺賬號資金，即不斷為全國各地手機號碼充值、辦理充值加油卡、在大型電商平臺上購物、在旅游網(wǎng)站上訂酒店、預(yù)交旅行費用等多種方式進(jìn)行套現(xiàn)。

圈內(nèi)“炫技”一擁而上，終被一網(wǎng)成擒

在明確了嫌疑人作案手法后，渝中警方立即組織各警種成立專案組進(jìn)行分析研判，開展偵查工作，查看比對相關(guān)信息。據(jù)介紹，警方通過涉案購買的話費充值手機號碼、加油卡充值信息和網(wǎng)購平臺的購物信息尋蹤追線，主要犯罪嫌疑人，22歲男子莫某某的真實身份終于浮出水面，接著專案組立即組織民警趕赴其所在地廣西賀州，將嫌疑人成功抓獲。

通過審訊，莫某某交代了其通過使用黑客軟件掃描出該電商平臺的系統(tǒng)漏洞后，利用從網(wǎng)上學(xué)來的黑客技術(shù)，盜取電商平臺資金的犯罪事實。據(jù)莫某某交代，經(jīng)過反復(fù)“實驗”，5月13日晚23時，他首次使用黑客技術(shù)，成功盜取了該電商平臺內(nèi)資金賬戶后，為炫耀“技術(shù)”，同時也為了掩蓋自己的盜竊行為，立即將整個入侵盜竊過程，在自己的黑客圈子里進(jìn)行發(fā)布傳播，圈內(nèi)“好友”們立即一擁而上，如法炮制，致使該電商平臺在短短7個小時內(nèi)損失140余萬元，莫某某一人在其期間就盜竊走了7萬多元。

從今年6月以來，截至11月9日，渝中警方專案組派遣精干力量，先后趕赴廣西、廣東、福建、黑龍江、山東、江西、四川、湖南、河北、河南、湖北、安徽、甘肅、重慶等全國10余省市，成功抓獲本案的犯罪嫌疑人33人。據(jù)了解，該案中這些嫌疑人利用黑客技術(shù)盜取的資金從幾千到數(shù)萬元不等，其行為已經(jīng)涉嫌盜竊罪，非法入侵計算機信息系統(tǒng)罪，以及非法破壞計算機信息系統(tǒng)罪。目前，其中30人已被刑事拘留，迎接他們的將是法律的嚴(yán)懲。

網(wǎng)絡(luò)并非法外之地，如此“技術(shù)”不可效仿

“這起案件的涉案團(tuán)伙成員，呈現(xiàn)出低齡化特征，被抓獲的33名嫌疑人，平均年齡僅20歲左右。”據(jù)本案專案組負(fù)責(zé)人分析介紹，所有嫌疑人幾乎都沒有正當(dāng)職業(yè)，還有部分是在校大學(xué)生。

他們就如同互聯(lián)網(wǎng)中的“蛀蟲”一般，學(xué)習(xí)到的計算機知識絲毫不用于正途，而是依靠掃描互聯(lián)網(wǎng)上各平臺系統(tǒng)漏洞，利用所學(xué)黑客技術(shù)非法入侵、破壞、控制計算機信息系統(tǒng)，并以此牟利。此外，這群人彼此間還會在一些社交軟件平臺上，相互“學(xué)習(xí)”、相互串聯(lián)，交流黑客技術(shù)，以期達(dá)到分享信息，共同非法牟利的目的。

事實上，網(wǎng)絡(luò)犯罪案件一直具有非接觸、跨地域、跨時空、鏈條化、產(chǎn)業(yè)化、偵破難度大等特點。本案嫌疑人就廣泛分布在全國10余省市，作案嫌疑人僅靠一臺電腦、一根網(wǎng)線，就完成了從掃描平臺漏洞，盜取賬戶資金，充值話費、油卡，購買機票、實物等，再到銷贓變現(xiàn)各個犯罪環(huán)節(jié)的“一條龍”操作。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。