黑客發現電商平臺漏洞7小時盜走140萬，圈內炫耀被抓

IT前沿11月19日消息 據重慶市公安局渝中區分區官方微信公眾號平安渝中消息，近日，在“2019凈網專項行動”期間，渝中區公安分局成功破獲一起涉嫌利用某電商平臺系統漏洞，瘋狂實施盜竊其資金賬戶的“黑客”團伙犯罪案件，涉案金額高達140余萬元。從今年6月開始至11月9日，渝中警方相繼在全國十余省市抓獲該案犯罪嫌疑人33名，平均年齡只有20歲左右。

“黑客”發現電商漏洞，篡改數據獲利

今年5月，重慶渝中警方接到轄區內某商業管理公司報警，稱他們的電商平臺數據在5月13日23時至14日6時的7個小時內，出現異常，估計被黑客利用網站代碼漏洞，惡意透支，通過第三方交易平臺購買話費、油卡、實物等進行消費，共造成140余萬元的資金損失。接到報警后，渝中區公安分局高度重視，經分局技術人員現場勘驗、檢查，發現該電商平臺存在支付流程邏輯漏洞，后通過民警的技術論證復原了嫌疑人整個作案經過。犯罪嫌疑人先在平臺APP上注冊2個賬號，登錄其中1個賬號，向另一個賬號進行轉賬操作，并在轉賬期間，使用抓包軟件截取相關數據，然后修改轉賬數值（即把轉賬數值改成負數），再將改好的參數，依原路徑發送過去，在轉賬成功后轉出的賬號就是正數，而接收轉賬的賬號就是負數。

通過不斷重復以上操作，犯罪嫌疑人就完成了不花一分錢，使賬號不斷累積可變現的積分。接著再通過第三方交易平臺，消費該平臺賬號資金，即不斷為全國各地手機號碼充值、辦理充值加油卡、在大型電商平臺上購物、在旅游網站上訂酒店、預交旅行費用等多種方式進行套現。

圈內“炫技”一擁而上，終被一網成擒

在明確了嫌疑人作案手法后，渝中警方立即組織各警種成立專案組進行分析研判，開展偵查工作，查看比對相關信息。據介紹，警方通過涉案購買的話費充值手機號碼、加油卡充值信息和網購平臺的購物信息尋蹤追線，主要犯罪嫌疑人，22歲男子莫某某的真實身份終于浮出水面，接著專案組立即組織民警趕赴其所在地廣西賀州，將嫌疑人成功抓獲。

通過審訊，莫某某交代了其通過使用黑客軟件掃描出該電商平臺的系統漏洞后，利用從網上學來的黑客技術，盜取電商平臺資金的犯罪事實。據莫某某交代，經過反復“實驗”，5月13日晚23時，他首次使用黑客技術，成功盜取了該電商平臺內資金賬戶后，為炫耀“技術”，同時也為了掩蓋自己的盜竊行為，立即將整個入侵盜竊過程，在自己的黑客圈子里進行發布傳播，圈內“好友”們立即一擁而上，如法炮制，致使該電商平臺在短短7個小時內損失140余萬元，莫某某一人在其期間就盜竊走了7萬多元。

從今年6月以來，截至11月9日，渝中警方專案組派遣精干力量，先后趕赴廣西、廣東、福建、黑龍江、山東、江西、四川、湖南、河北、河南、湖北、安徽、甘肅、重慶等全國10余省市，成功抓獲本案的犯罪嫌疑人33人。據了解，該案中這些嫌疑人利用黑客技術盜取的資金從幾千到數萬元不等，其行為已經涉嫌盜竊罪，非法入侵計算機信息系統罪，以及非法破壞計算機信息系統罪。目前，其中30人已被刑事拘留，迎接他們的將是法律的嚴懲。

網絡并非法外之地，如此“技術”不可效仿

“這起案件的涉案團伙成員，呈現出低齡化特征，被抓獲的33名嫌疑人，平均年齡僅20歲左右。”據本案專案組負責人分析介紹，所有嫌疑人幾乎都沒有正當職業，還有部分是在校大學生。

他們就如同互聯網中的“蛀蟲”一般，學習到的計算機知識絲毫不用于正途，而是依靠掃描互聯網上各平臺系統漏洞，利用所學黑客技術非法入侵、破壞、控制計算機信息系統，并以此牟利。此外，這群人彼此間還會在一些社交軟件平臺上，相互“學習”、相互串聯，交流黑客技術，以期達到分享信息，共同非法牟利的目的。

事實上，網絡犯罪案件一直具有非接觸、跨地域、跨時空、鏈條化、產業化、偵破難度大等特點。本案嫌疑人就廣泛分布在全國10余省市，作案嫌疑人僅靠一臺電腦、一根網線，就完成了從掃描平臺漏洞，盜取賬戶資金，充值話費、油卡，購買機票、實物等，再到銷贓變現各個犯罪環節的“一條龍”操作。