大學(xué)生黑客攻擊政府網(wǎng)站牟利
2008年9月27日,江西警方以涉嫌破壞計(jì)算機(jī)信息系統(tǒng)罪,將李士揚(yáng)、王曉娃等6名犯罪嫌疑人向人民檢察院移交起訴;南昌市經(jīng)濟(jì)開發(fā)區(qū)人民檢察院以“涉嫌偽造公文罪”批準(zhǔn)對(duì)李汶民等犯罪嫌疑人逮捕。
此前的6月6日,江西省衛(wèi)生廳考試中心向江西省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察總隊(duì)報(bào)案稱,他們的網(wǎng)站數(shù)據(jù)庫(kù)被人篡改,有人借此造假、牟取暴利。
李士揚(yáng)、王曉娃等最終被鎖定為此案的嫌疑人。
假證可以通過(guò)
政府網(wǎng)上驗(yàn)證
5月15日,江西省衛(wèi)生廳醫(yī)政處收到一署名“張美娟”的信訪件,她反映“有人用真醫(yī)師資格證來(lái)騙人”。
5月6日,張美娟在一個(gè)QQ群里看到有人留下的一條信息:可以辦理真的《醫(yī)師資格證》和文憑學(xué)歷,且保證在省衛(wèi)生廳網(wǎng)上可以查到注冊(cè)記錄。
張美娟通過(guò)其留下的聯(lián)系方法很快聯(lián)系上了對(duì)方,商量辦證的事宜。她如實(shí)告訴對(duì)方,自己并不具備醫(yī)學(xué)方面的知識(shí),對(duì)方說(shuō)沒關(guān)系。他們很快約定辦成后付2000元。5月7日,張美娟果真在江西省衛(wèi)生廳的網(wǎng)上查到了以自己姓名注冊(cè)的醫(yī)師資格相關(guān)信息。于是,她按先前的約定,將2000元打入對(duì)方提供的賬號(hào)上。
然而,付款一周后,張美娟上網(wǎng)卻發(fā)現(xiàn)原先以自己姓名注冊(cè)的醫(yī)師資格記錄不見了。
6月2日,遠(yuǎn)在浙江省的溫嶺縣衛(wèi)生部門也來(lái)電反映,他們?cè)谵k理《行醫(yī)許可證》的過(guò)程中,發(fā)現(xiàn)有人持存在瑕疵的《醫(yī)師資格證書》來(lái)申請(qǐng)辦證。該證書是江西省衛(wèi)生廳核發(fā)的,可是查詢網(wǎng)上的數(shù)據(jù)庫(kù),卻顯示確有其人。他們已經(jīng)陸續(xù)扣下了10本這樣的證書,請(qǐng)求江西省衛(wèi)生廳核實(shí)這些證書的真?zhèn)巍?
截至6月5日, 江西省衛(wèi)生廳接到了10多個(gè)類似的查詢電話、信函。
對(duì)于驟然出現(xiàn)的這種現(xiàn)象,衛(wèi)生廳懷疑其用于發(fā)布國(guó)家醫(yī)師資格考試合格人員的網(wǎng)站被他人非法操作,有人通過(guò)篡改數(shù)據(jù)庫(kù)內(nèi)容的方法,制作虛假《醫(yī)師資格證書》牟利……遂決定向公安機(jī)關(guān)報(bào)案。
辦案民警了解到,獲得《醫(yī)師資格證書》主要有兩種途徑:一是通過(guò)國(guó)家考試;二是在《中華人民共和國(guó)執(zhí)業(yè)醫(yī)師法》頒布之前已經(jīng)取得有效職稱的人,經(jīng)國(guó)家進(jìn)行認(rèn)定,由省級(jí)衛(wèi)生行政部門頒發(fā)《醫(yī)師資格證書》。國(guó)家每年都會(huì)組織醫(yī)師資格考試,考試合格人員方可取得《醫(yī)師資格證書》。持有這個(gè)證書的人,就可以向縣以上衛(wèi)生行政部門申請(qǐng)醫(yī)師執(zhí)業(yè)注冊(cè),最終取得國(guó)家許可的行醫(yī)執(zhí)業(yè)權(quán)。
衛(wèi)生部醫(yī)師資格考試中心每年都是在2月份將上一年通過(guò)了醫(yī)師資格考試的人員數(shù)據(jù),通過(guò)光盤或網(wǎng)上下載,發(fā)至各省、市(自治區(qū)),由各地將該數(shù)據(jù)導(dǎo)入到衛(wèi)生部配發(fā)的醫(yī)師資格信息管理系統(tǒng)中,用該系統(tǒng)將數(shù)據(jù)導(dǎo)出為TXT格式文件,再使用相關(guān)軟件將其轉(zhuǎn)換成access格式的數(shù)據(jù)庫(kù),由省政府信息中心發(fā)布到衛(wèi)生廳的網(wǎng)站上。整個(gè)工作流程嚴(yán)謹(jǐn),有專人負(fù)責(zé)管理,從不對(duì)外開放。
要實(shí)施作案一般有兩種途徑:一是內(nèi)部人員與外部勾結(jié)作案;二是有黑客入侵網(wǎng)站。
多個(gè)省份政府網(wǎng)站數(shù)據(jù)被修改
辦案民警通過(guò)對(duì)網(wǎng)站工作人員調(diào)查,查看了網(wǎng)站服務(wù)器工作日志,檢查了網(wǎng)絡(luò)設(shè)備運(yùn)轉(zhuǎn)情況,初步排除了內(nèi)部人員作案的嫌疑。
6月19日,江西省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察總隊(duì)正式立案?jìng)刹?。民警通過(guò)對(duì)被攻擊受控制服務(wù)器的現(xiàn)場(chǎng)勘驗(yàn),發(fā)現(xiàn)黑客自3月26日起入侵江西省衛(wèi)生廳網(wǎng)站,篡改了數(shù)據(jù)庫(kù),并植入了一個(gè)木馬程序(在網(wǎng)站預(yù)留了后門),以實(shí)現(xiàn)對(duì)服務(wù)器的管理控制權(quán)限。經(jīng)查,黑客是利用上海、北京、香港和新加坡等地的IP地址將篡改了的數(shù)據(jù)上傳,手段非常隱蔽,具有較高的反偵查意識(shí)。
辦案民警經(jīng)過(guò)幾個(gè)晝夜的艱苦偵查,終于將黑客在網(wǎng)上的其他虛擬身份鎖定,并最終鎖定了犯罪嫌疑人上網(wǎng)的地點(diǎn)。
6月24日凌晨,抓捕行動(dòng)開始。民警秘密控制了南昌市育新路的某出租屋,當(dāng)場(chǎng)抓獲犯罪嫌疑人李士揚(yáng)及同伙5名,繳獲作案用的筆記本電腦、打印機(jī)、各類銀行卡、虛假身份證、虛假空白醫(yī)師資格證書、醫(yī)師執(zhí)業(yè)證書、建筑師說(shuō)明書等。隨后,民警又在武漢市將另一名主要犯罪嫌疑人王曉娃抓獲歸案。
警方共抓獲10名涉案犯罪嫌疑人。據(jù)警方查實(shí),他們先后入侵了江西省衛(wèi)生廳、湖北省衛(wèi)生廳、貴州省人事廳、四川省人事廳、江蘇省教育廳、遼寧省建設(shè)廳、湖北省荊州市人事局等11個(gè)網(wǎng)站,修改相關(guān)數(shù)據(jù)700余個(gè)。
警方很快揭開了這起網(wǎng)絡(luò)犯罪的內(nèi)幕。
犯罪團(tuán)伙利用黑客技術(shù)攻擊政府部門網(wǎng)站,篡改數(shù)據(jù)庫(kù)資料,然后偽造、制售假證,造成證書上網(wǎng)可查的假相,從中牟取暴利。犯罪嫌疑人李士揚(yáng)在疑犯王曉娃、劉曉衛(wèi)(北京人,在逃)的協(xié)助下,入侵網(wǎng)站——修改數(shù)據(jù)庫(kù)——辦理假證——販賣假證——使用假證——辦理從業(yè)許可證等,通過(guò)網(wǎng)絡(luò)編織了一個(gè)入侵政府網(wǎng)站、制假販假、非法牟取暴利的松散性犯罪團(tuán)伙。
兩個(gè)月牟利達(dá)200多萬(wàn)元
那么,這些黑客都是些什么人呢?
李士揚(yáng),24歲,江西省余干縣人,2004年考入江西某大學(xué)計(jì)算機(jī)專業(yè),家境貧困,因而特別留心賺錢的機(jī)會(huì)。他從幫助一些大中專院?!按碚猩辟嵢蚪痖_始,逐漸把目光瞄準(zhǔn)了四、六級(jí)英語(yǔ)考試成績(jī)合格證、自學(xué)考試畢業(yè)證,最后發(fā)展到與女友胡姚艷一道,買來(lái)電腦、激光打印機(jī),靠制販假證牟取暴利。
2007年下半年,李士揚(yáng)發(fā)現(xiàn)網(wǎng)上要求辦理《醫(yī)師資格證書》及畢業(yè)證書的信息非常多。面對(duì)這些很容易被忽略的信息,李士揚(yáng)從中看到了發(fā)財(cái)機(jī)會(huì)。接著,他便苦苦尋找方法:如何讓假證的相關(guān)信息上傳到網(wǎng)站的數(shù)據(jù)庫(kù)。
為了攻克這個(gè)難題,李士揚(yáng)買了有關(guān)黑客方面的書籍,上網(wǎng)瀏覽黑客技術(shù)發(fā)展的信息,參加有關(guān)黑客知識(shí)的網(wǎng)上論壇。但他始終沒有掌握攻克入侵網(wǎng)站的技術(shù)。2008年3月,李士揚(yáng)以“鳥人”的網(wǎng)名在“黑客工作室”發(fā)帖子,公開招募一個(gè)可以植入木馬的黑客幫手,以便入侵網(wǎng)站,修改數(shù)據(jù)庫(kù)文件。帖子只發(fā)出幾個(gè)小時(shí),武漢某軟件系統(tǒng)有限公司的王曉娃便“揭榜”了。
25歲的王曉娃,畢業(yè)于湖北某師范大學(xué)計(jì)算機(jī)科學(xué)技術(shù)與應(yīng)用專業(yè)。李士揚(yáng)要求王入侵一些網(wǎng)站,在取得使用權(quán)限后交與自己使用,同時(shí)答應(yīng)每開一個(gè)“后門”給其5000元。王曉娃見有利可圖,便躍躍欲試,但他技術(shù)欠佳,還不能勝任這樣的工作。他便在“幻影論壇”上發(fā)出了招募黑客的帖子。
于是,北京網(wǎng)名叫“小偷快跑”的劉曉衛(wèi)出現(xiàn)了。王曉娃通過(guò)MSN與劉曉衛(wèi)聯(lián)系上后,便以每開一個(gè)“后門”2700元的價(jià)格成交,他從中賺取差價(jià)。王曉娃拿出從李士揚(yáng)那里得到的“訂單”:先攻湖北省衛(wèi)生廳、江西省衛(wèi)生廳的兩個(gè)網(wǎng)站。
不到三天時(shí)間,劉曉衛(wèi)便攻下了這兩個(gè)網(wǎng)站。他把開設(shè)好的“后門”地址代碼發(fā)給王曉娃后,王曉娃通過(guò)登錄這兩個(gè)網(wǎng)站,弄清網(wǎng)站網(wǎng)絡(luò)結(jié)構(gòu)、使用程序后,編寫了網(wǎng)站服務(wù)器數(shù)據(jù)庫(kù)的操作使用手冊(cè),與地址一道發(fā)給了李士揚(yáng)。李士揚(yáng)便可以自由登錄這兩個(gè)網(wǎng)站,任意添加、修改數(shù)據(jù)。
接著,他們又入侵了貴州省人事廳、四川省人事廳、江蘇省教育廳、遼寧省建設(shè)廳、湖北省荊州市人事局等9個(gè)網(wǎng)站。
得手后的李士揚(yáng)先后發(fā)展了“南昌百年教育”、“皇家教育”等下線代理,了解辦證的信息需求,聯(lián)系黑客攻下網(wǎng)站的管理權(quán)限,再將需要辦理假證者的信息添加至網(wǎng)站數(shù)據(jù)庫(kù),保證辦假證者能夠在網(wǎng)上找到他們需要驗(yàn)證的信息,從而財(cái)源滾滾而來(lái)。李士揚(yáng)則對(duì)下線收取代理費(fèi),每上傳一個(gè)客戶的信息數(shù)據(jù),就收取1200至2000元不等的費(fèi)用?!端?、六級(jí)英語(yǔ)考試成績(jī)單》《醫(yī)師資格證書》《建筑師證書》和《教師資格證》等,李士揚(yáng)就像掌握“金庫(kù)”總鑰匙的人,每天在出租屋里得意地?cái)?shù)錢。
據(jù)警方查實(shí),在短短的兩個(gè)多月時(shí)間里,李士揚(yáng)就發(fā)展了20多名下線,如果一直往下追到制販的最底層,涉案人數(shù)可達(dá)上百人。僅此一項(xiàng),他就非法牟利達(dá)200多萬(wàn)元。
交易過(guò)程只見
錢而不見人
記者在采訪中了解到,由李士揚(yáng)牽頭組織起來(lái)的這個(gè)松散的犯罪團(tuán)伙,絕大多數(shù)成員之間彼此是不認(rèn)識(shí)的。他們使用的所有身份證、網(wǎng)絡(luò)IP地址、網(wǎng)名都是假的,整個(gè)作案過(guò)程充滿著虛假和魔幻……為了共同的利益,他們只認(rèn)錢而不認(rèn)人,也根本不需要知道對(duì)方的真實(shí)身份。
蔡琳玲,1993年9月從江西省某衛(wèi)生學(xué)校醫(yī)士系畢業(yè)后,在南昌某職工醫(yī)院工作。由于學(xué)識(shí)、學(xué)歷的差距,她沒有取得醫(yī)師資格,給病人開出的處方都得由有處方權(quán)的醫(yī)師審核、簽名才能有效。她曾多次努力參加醫(yī)師資格考試,卻一直沒有通過(guò)。
蔡琳玲總覺得自己在單位比別人矮一截,非??鄲?。一次,她愛人聽朋友張藝說(shuō)有朋友可以幫弄到《醫(yī)師資格證書》,蔡琳玲便請(qǐng)張藝幫忙。張藝很快找到了頗有“能耐”的于得系。于得系自稱有親戚在省教委當(dāng)處長(zhǎng),可以找“槍手”代考,并提出要收1.2萬(wàn)元的代理費(fèi)。后蔡琳玲因擔(dān)心醫(yī)師資格的取得引起同事懷疑,便改辦了助理醫(yī)師資格證,商定交費(fèi)5000元。張藝除留下自己的500元介紹費(fèi)后,通過(guò)QQ與于得系取得聯(lián)系,把余款全交給了他。于得系用500元在負(fù)責(zé)制作假證的李汶民處辦好證后,便通過(guò)QQ將相關(guān)信息傳給了“李煙”。在給付了1200元錢后,蔡琳玲不僅拿到了《助理醫(yī)師資格證書》,還可以在江西省衛(wèi)生廳醫(yī)考中心的網(wǎng)站上查到自己資格記錄。可見,整個(gè)制假販假的交易過(guò)程都是只見錢而不見人。
李士揚(yáng)先后以“胡建寧”、“葉春華”和“李君軍”等虛假名字購(gòu)制了10多張假身份證,使用這些假身份辦理了房屋租住,先后申請(qǐng)了寬帶網(wǎng),辦理了7張銀行卡。在網(wǎng)上,他申請(qǐng)了10多個(gè)不同的QQ號(hào),以“李煙”、“鳥人”、“黑鷹”、“較量高手”等6個(gè)不同的網(wǎng)名與不同的聯(lián)系對(duì)象打交道。
李士揚(yáng)就是用“鳥人”的網(wǎng)名把王曉娃招募到手,而王曉娃是使用“l(fā)eaper”的網(wǎng)名應(yīng)招,他只對(duì)攻克一個(gè)網(wǎng)站能賺多少錢感興趣。王曉娃也是使用虛擬的網(wǎng)名以2700元為誘餌,雇請(qǐng)了網(wǎng)名為“小偷快跑”的劉曉衛(wèi)為其攻克最早的兩個(gè)網(wǎng)站。而王曉娃、劉曉衛(wèi)辦理銀行卡、手機(jī)入網(wǎng)卡時(shí)使用的也是假身份證。
王曉娃自己掌握入侵網(wǎng)站的技術(shù)后,想從中更多牟利,對(duì)李士揚(yáng)謊稱自己“工作繁忙,不做了”,主動(dòng)推薦了一個(gè)叫“財(cái)神爺”的網(wǎng)友為李士揚(yáng)服務(wù)。而“財(cái)神爺”就是他自己,王曉娃只換了個(gè)QQ號(hào)、編了個(gè)網(wǎng)名,就以每入侵一個(gè)網(wǎng)站1萬(wàn)元向李士揚(yáng)要價(jià)。最終,他們經(jīng)過(guò)討價(jià)還價(jià),達(dá)成了每入侵一個(gè)網(wǎng)站8000元的協(xié)議。
李士揚(yáng)在與下線的業(yè)務(wù)來(lái)往中,也常常使用不同的QQ號(hào)來(lái)欺騙對(duì)方。疑犯于得系是李士揚(yáng)最早發(fā)展的下線之一,李士揚(yáng)一直使用“李煙”的網(wǎng)名與于得系進(jìn)行業(yè)務(wù)往來(lái)。今年4月,李士揚(yáng)一是擔(dān)心長(zhǎng)期使用一個(gè)QQ號(hào)開展業(yè)務(wù)容易出事,二是也想趁機(jī)將每單業(yè)務(wù)價(jià)格略微提高一點(diǎn)。他謊稱自己不做這種生意了,給于得系介紹了個(gè)新的上線“黑鷹”。直至案件偵破時(shí),于得系才知道“李煙”、“黑鷹”其實(shí)就是李士揚(yáng)。
目前,警方在押的10余名犯罪嫌疑人中,除個(gè)別人外,他們之間幾乎沒有通過(guò)電話或照過(guò)面,更不知道姓甚名誰(shuí)。他們的一切犯罪活動(dòng)都是在虛擬的網(wǎng)絡(luò)中商洽、教唆完成的,這也給警方后來(lái)的偵查、抓捕和取證工作增添了許多難度。(文中涉案嫌疑人為化名)