返回顶部
首页七里山21号 > 正文
1948—2018济南大案风云——期货交易的“木马”黑客 记者:孙康       2018-05-07      点击量:1896次 标签:七里山21号






黑 客 入 侵

2003214日上午,齐鲁期货经纪有限公司客户杨某打电话到期货交易部,称自己的账户资金被他人盗用购入天然橡胶30吨。与此同时,厦门市某进出口有限公司负责人也打来电话,称网上交易系统被侵入,账面原有的橡胶合约全部被人平掉,以低于市价1000多点的价格开仓卖出天然橡胶650吨,被盗用资金超过千万元。齐鲁期货公司立刻按规定为杨某平仓,当日造成账面亏损达390万元,下午不得不关闭了所有用户的网上交易权限,致使期货业内一片恐慌。

这是国内期货业首次发生此类案件,几乎没有可供借鉴的侦破经验。专案组为了在短期内熟悉案情,加紧学习期货、计算机、互联网等方面的专业知识。有时为弄清期货交易流水情况,一份询问笔录侦查员就记了整整两天。经连续多个深夜的学习,侦查员们在案件定性方面达成了共识,对案件有了新的深层次的认识。

上海期货交易所提供的214日的对账单显示,犯罪分子操纵的交易共10余笔,从中获利的客户超过100家。通过仔细分析交易委托流水信息,又发现了犯罪嫌疑人操纵他人账户、盗用资金的互联网IP地址,系从北京市一家网吧申请,要从众多的上网记录中寻找线索无异于大海捞针,侦查工作一时陷入僵局。

峰 回 路 转

专案组在困难面前边学习、边分析,经过夜以继日的努力,终于完成了对10余宗涉案期货交易的100余名受益客户的细致分析、排查工作,并取得了重大进展,确定了几个重点嫌疑客户。同时,在北京市公安局网络监察处的大力配合下,对侦查获得的嫌疑网络系统网内登录与期货、证券相关网站的嫌疑用户进行了重点监控。

316日,侦查工作取得了重大突破。专案组经调查得知北京某期货经纪有限公司客户杨某军、陈某胜在214日均有获利,而此二人的经纪人均为赵某波,另根据监控显示,北京市西城区一互联网用户被发现登录期货相关网站,而此用户的联系人也是赵某波。两条线索在此交汇,犯罪嫌疑人终于浮出水面。

2003317日下午,侦查员在北京市某期货经纪有限公司门前将赵某波抓获。经突审,赵某波对其犯罪事实供认不讳。通过对其暂住地进行搜查,查获其作案用的计算机,并在其硬盘上恢复出赵某波为破译他人账户及密码而个人编写“木马”程序——“期货精灵”。

期 货 精 灵”

赵某波,男,25岁,北京市密云县人,20007月自北京市首都经济贸易大学统计系投资经济专业毕业后,一直从事期货、证券炒作。该赵平日酷爱计算机,自学掌握了高级的编程技术和丰富的网络知识,经常自己编制一些期货交易统计和其他方面的软件。200212月,赵某波代理杨某军、陈某胜两名客户的期货炒作业务,因战绩不佳亏损一万余元,账面亏空无法向客户交代,赵便萌生了编制黑客程序、窃取他人账户密码、利用大户的资金制造异常行情、自己从中渔利的恶念。在经济利益的驱动下,赵某波很快在家中电脑上完成了用来窃取他人账号、密码和网上交易系统配置文件的“木马”程序的制作和调试,并取名为“期货精灵”。

20031月底,赵某波来到北京一网吧,在国内几家著名的期货BBS论坛都发布了极具诱惑性的帖子,称只要下载附件中的“期货精灵”,便可方便快捷地登录国内著名期货网站、论坛和搜索引擎,功能强大。而实际上,一旦用户下载并安装这个仅有100K字节的小“精灵”,它便会自动在后台运行,修改用户微机设置,随时监控用户交易情况,盗取用户个人数据和信息,不定期的以邮件的形式发送到赵某波注册的邮箱中。即使用户点击弹出菜单中的退出项,程序也仍在运行。

“期货精灵”共为赵某波窃取三十多名用户的重要信息,赵成功登录了十多名用户的帐户。赵某波选取了几个资金多、利用价值大的账户,于214日上午,在网吧利用假身份登记后,下载了交易系统、行情查看系统、在不同窗口打开需要操纵的客户,然后经过两次拉抬、打压“天胶”的价格达到了自己的目的,共盗用资金逾千万元,自己获利却不超过5万元,造成的损失无法估计。

此案线索主要来自互联网登录记录、通讯信息,取证的关键在于恢复其黑客程序和完整的网络记录。通过对互联网登录记录的分析,缩小了侦查范围,明确了侦查方向。通过计算机技术手段,办案人员恢复出黑客源程序、窃取的信息记录及浏览记录,结合犯罪嫌疑人供述,能够证明其全部犯罪事实,形成了完整的证据链条。





■链接

方琛团伙期货盗码案

2010121日,上期所在对期货交易进行监控的过程中,发现客户谢某在不活跃期货合约上,与涂某等2个客户账户多次进行对敲,并在事后快速转账取现,疑似转移受害人账户资金,非法获利7502.4元。126日,监控又发现客户冯某与另一客户潘某账户在不活跃期货合约上对敲,盈利9304元。2011113日,监控再次发现客户王某与客户王某某在不活跃期货合约上对敲,盈利19060元。

经调查,三起案件中的盈利方客户均处于失联状态,且都在长沙某营业部开户,而亏损方客户均否认进行过上述对敲交易,并一致表示账户被盗用了。调查组认为,三起案件操作手法相似,均选择同一品种的不活跃合约,在较短时间内完成对敲交易。盈利方客户完成对敲交易后即刻将保证金转移至银行账户,并迅速取款,从开始对敲交易到取款平均时间约为30分钟。

20111月该案件移送至证监会立案查处,随着调查的逐步深入,嫌疑人方某逐渐浮出水面。调查发现,201011月至20111月期间,嫌疑人方某利用“大白鲨”“波尔”等木马软件从多名投资者电脑中盗取了期货交易密码,并借用王某、冯某、谢某的身份证先后在长沙某期货营业部开立期货账户,利用期货远期合约不活跃的特点,在控制的期货账户与受害人账户之间多次对敲远期合约,致使实际控制账户盈利,受害人账户亏损,达到侵占他人期货保证金的目的。

本案中,嫌疑人方某等人利用木马软件盗取其他投资者的账户和密码,并通过对敲期货远期合约非法获利,是一种典型的盗码交易行为。所谓盗码交易是指行为人通过不同手段获取期货客户的账号和密码,利用不活跃合约,在自己账号和他人账号间进行方向相反、价格相同的期货合约对敲交易,通过高抛低吸方式转移账户内资金,以此盗取他人资金的行为。

在盗码案件中,违法犯罪嫌疑人往往通过不同手段获取期货客户的账号和密码,主要方式有:一是木马盗码,通过网站漏洞把盗号木马病毒挂上网站,达到窃取他人账号和密码的目的;二是偷窥盗码,即违法犯罪嫌疑人偷听客户谈话,或偷窥到客户记载的账号和密码;三是职务盗码,有些投资者会委托专业人员为其操作期货账户,在委托结束后并未修改密码,专业人员将账户密码泄露给他人。