QQ大盜的黑色產業鏈

“如果把用戶的QQ信息比作一頭牛，各層轉賣者就像一條生產流水線，牛在流水線上被依次剝皮去肉，最后剩下的骨頭也被充分利用。”2012年12月10日上午，江蘇省常州市公安局網絡安全支隊（以下簡稱常州網安支隊）第三大隊副大隊長瞿俊告訴《中國新聞周刊》。

活躍用戶超過7億的網絡聊天工具QQ早已成為黑客們的目標。近期，經過四個月的調查，常州市公安局破獲了一起利用“掠奪者”“Q幣大盜4”“New Q大盜”三款木馬軟件的盜號團伙。不到一年時間，數千萬個QQ號被盜，盜號量占全國被盜QQ號總數的90%，造成數百萬用戶4000多萬元的財產損失。

盜號拿“信”

常州網安支隊終于等到了一起關于QQ被盜的報案，數額不大，涉及160個Q幣。“大部分用戶在QQ被盜之后并不會去報案，”網安支隊第三大隊的副大隊長瞿俊對《中國新聞周刊》說，“很多時候大家都覺得百十來塊錢就算了。”

警方對受害人電腦進行電子勘驗，一款叫做“掠奪者”的木馬程序被發現。這款程序不僅能盜取QQ密碼，而且還能避開騰訊公司的驗證系統而對Q幣進行轉移。與此同時，網安支隊又接到了另外一起通過QQ進行詐騙的報案，在受害人的電腦中發現了一款叫做“Q幣大盜”的木馬程序。警方分析后認定，兩款木馬來自同一個編碼源。2012年7月中旬，常州網安支隊決定成立專案組。

木馬所指向的服務器成為唯一的破案線索。

涉案服務器的注冊地位于南通市，而他的租用者卻遠在天津，訪問過該服務器的IP地址則遍布全國各地。專案組陸續鎖定了天津、黑龍江、上海、湖北、福建等15個省（市、區），31名犯罪嫌疑人。其中包括掌握著“掠奪者”“Q幣大盜”“New Q大盜”三款木馬的犯罪嫌疑人。9月9日，26個抓捕小組分赴各地進行抓捕。

此時，于闊正在天津家中上網，很快被捕。27歲的于闊圓頭圓腦，以“燕子”“杜鵑”這樣的女性網名被圈內熟知，他是“Q幣大盜”的總代理。

2012年年初，于闊從同行“帥公子”——即“掠奪者”木馬的控制者鈕華建手中拿到了這款木馬的樣本。經過技術破解后，這款木馬可以將“信”直接發到他的服務器上。按于闊的話說，“這款馬非常好用，兼容性強，信也很穩定。”

“信”是QQ盜號行業的術語，一組QQ用戶名和密碼稱為一個“信”。而批量傳送給黑客信息在圈內叫做“信封”，根據產品不同分為“裝備信封”“QQ信封”等等。通過一些黑客工具，將信里面有價值的信息（QQ靚號，QQ幣，有價值的游戲裝備等）篩選出來的過程稱為“洗信”。

僅讀過中專的于闊并非電腦高手，為了讓這款木馬效率更高，他專門花5000塊錢請了一個技術人員，協助他破解。破解的內容一是要改變木馬的傳送地址，另外還要給他“去后門”。同樣已經被捕的技術人員歐永告訴《中國新聞周刊》，很多作者在寫木馬程序的時候，會留一個“后門”，也就是將木馬獲取的信同時發到另一個服務器上，這樣可以成為作者的額外收入。

一部分這類木馬來自技術交流論壇，一些技術高手會在論壇上炫耀自己的技術能力，而這時一些盜號團伙就會把這個源文件進行破解后為己所用。而更多的時候，是在警方端掉一個盜號團伙后，他們直接將沒人控制的木馬重新破譯據為己有。

“掠奪者”木馬的操控者鈕華建就是在今年年初，看到之前的盜號團伙被警方端掉后，找人破譯了無人操控的“掠奪者”木馬，自己一步步發展起來。

洗“信”牟利

當“掠奪者” 等木馬盜取海量QQ號碼后，于闊、鈕華建這些總代理就會將號碼分批賣給下線的“洗信工作室”。

騰訊公司安全中心在2012年7月發布的《QQ盜號產業鏈分析和應對》報告指出，QQ盜號的黑色產業已經呈現集團化及行業細化的特征。

常州網安支隊第三大隊副大隊長瞿俊說，現在只要會使用QQ的人基本就可以成立一個洗信工作室。他們可以從總代理那里直接買“信”，然后將“信”中有價值的Q幣、游戲幣轉移出來，通過“5173”“淘寶”等交易平臺變現，就可以完成牟利過程。

于闊對《中國新聞周刊》說，一般一萬個信會賣1000塊錢，但這些信是可以重復售賣的。第一步先是洗“Q幣”，在支付一定報酬后，于闊會把存有海量信的服務器密碼轉給第一級“洗信人”。讓他們在規定時間內把里面Q幣全部轉到一個指定賬號，到時間后，于闊會修改密碼，“洗信人”即使不能把Q幣全轉完，也要交工。因此在這個過程中，還出現了“二級代理”“三級代理”，將信短時間內分發給各處并處理完畢。

洗過Q幣以后，于闊會同樣再把“箱子”交給下一級的“洗信人”，由他們在規定的時間內，把游戲裝備、游戲積分、游戲賬號以及游戲幣等凡是能兌換成錢的游戲財物轉走，存入固定賬號。

“箱子”里的賬號經過兩輪洗幣的賬號，還會交給下一級“洗信人”進行第三步剝削——挑QQ靚號，即QQ號碼為五位數或六位數的短號。

當QQ靚號被挑完后，于闊還會將“箱子”交給在海量QQ空間內植入廣告的團隊。常州網安支隊第三大隊副大隊長瞿俊說，“于闊、鈕華建這個團伙每天能盜四五十萬個QQ號，半年下來就有數千萬個QQ號，其中大部分QQ網友開通了QQ空間，面對如此龐大的受眾群，這級“洗信人”把代理的各種游戲、色情等廣告放進空間，賺取高額推廣費不費吹灰之力。”

而在這一系列的程序完成后，他們還會將QQ賬號密碼賣給“做忽悠”的人，也就是常見的QQ詐騙團伙。他們會請“黑客”用軟件分析每一個QQ號碼的登錄軌跡，還原并分析聊天記錄，冒充QQ所有者實施詐騙。

最后，被榨凈的QQ號還會賣給黑客用來編寫密碼詞典。被盜的QQ號碼是黑客用來計算用戶密碼習慣最好的素材。他們進行編譯、分析、比對后，從而對網銀賬戶進行破解。

在行業內，各個洗信工作室有各自的專攻項目，而且會非常“守信用”，“洗Q幣”“游戲裝備”“做忽悠”幾部分之間絕不相互侵犯利益。

幕后“掛馬”人

對于于闊、鈕華建這樣的總代理來說，擁有一款效果穩定的木馬和下級“洗信人”只是第一步，他們更需要將木馬植入到用戶的電腦中，才能真正獲得利益。因此掌握著大量網站資源的人被總代理們格外珍視，這些人在行業內被稱為“流量商”，即“掛馬”人。

常州網安支隊第三大隊副大隊長瞿俊對《中國新聞周刊》介紹，流量商或者自己是網站的站長，或者與很多網站站長熟識，他們將病毒木馬掛在點擊率較高的網頁上，當用戶點擊到那些彈出窗口時，木馬病毒就“種”到了用戶的計算機上。

“流量商就像黑社會老大一樣控制著我們。”在看守所中的于闊反反復復對《中國新聞周刊》說，“他讓我干什么我就得干什么。”

于闊說，流量商會要求他到指定的人手中去買服務器，包括防火墻等一系列的東西。“如果不做，他馬上就把我的馬撤下來。”而在行業內，很多總代理為了討好流量商，還會對其送錢送物。

而且這些流量商在選擇合作的下線盜號總代理時，通常都會有非常苛刻的要求，于闊說，他們通常會要求總代理能夠提供幾種木馬的下載，同時還要保證馬的更新和免殺，而且還要有渠道能夠包銷所有的信。

瞿俊介紹說，這些流量商通常都具有一定的技術，如果某些網站不同意“掛馬”或者掛了別人的馬，流量商就會暴力攻擊這些網站的服務器，強迫網站接受掛馬。

在偵破過程中，專案組成員發現流量商是盜號整個流程中“旱澇保收”的一個環節，據了解，流量商根據IP流量對網站進行付費，1萬IP大約需要80元～120元人民幣，而流量商向總代理收費則是按信收費，1萬信800元～1000元不等。瞿俊說，“一般一個質量比較好的站，4萬左右的流量就可以拿到1萬信。此次抓捕的一個流量商，封存賬號內就有280萬元。”

事實上，在今年以前，警方也不止一次破獲過QQ盜號的案件，其中也不乏流量商落網。但并沒有一條法律和罪名能夠判定他們的刑罰，因此大多數流量商最終都被釋放。瞿俊說，“這次被捕的流量商們，態度也非常強硬。”

如今，在看守所里的于闊非常關心自己會受到什么樣的審判，同時也不斷地強調，“如果不抓住流量商，就不可能杜絕盜號，他們隨時可以找到替代我們的人。”

（應受訪者要求文中部分人名為化名）