主页 > 推拿

淘宝“撞库”第一案

时间:2019-09-24 来源:嘉怡时尚

短短的一个月时间里,有人利用手中持有的其它邮箱账户,对淘宝网进行了9900万次的比对(即撞库),他们发现有近三分之一的账号和密码在淘宝网登陆平台也是真实存在的(相同账号和密码)。很快,这些淘宝账号和密码被直接盗走,随后卖给商家进行信用刷单。据警方调查,这些被盗取的账号在一个月时间内牟利达280万元,涉案数额十分惊人。



淘宝的网络安全防护堪称国内电商中最强大的,几乎无法直接盗取账号。那么究竟是谁在进行这一切呢?

 

“网络盗客”背后有高手


2015年11月,阿里巴巴集团向浙江省嘉兴平湖市公安局报案,称当地可能有犯罪团伙利用网络用户在其他平台的登录数据,匹配淘宝账号,获取淘宝用户的账户信息。


警方经一番侦查后发现:该犯罪团伙在短短一个月时间里,用手中持有的其它邮箱账户,对淘宝网进行了9900万次的比对,发现有2059万账户是真实存在的。随后,他们盗走了这些淘宝账户,将其卖给淘宝商家进行信用刷单。这些被盗走账号的客户频频向淘宝客服投诉,导致淘宝一度混乱。


这是典型的高科技犯罪,警方决定迅速出击。11月28日下午,警方在平湖周边的桐乡市区一酒店内将三名嫌疑人抓获,缴获作案电脑四台。三人分别是32岁的姚祥、25岁的钱国平和30岁的吕进财,均为江苏常州市人。警方在调查时发现,三人虽然是此案引发的直接操作者,但对于盗取网络信息和黑客攻击等“技术手段”,他们完全不在行。


随后,警方突击审讯了在几个人中获利最多的姚祥,在强大的审讯攻势下,姚祥低下了头。他交代说,他们背后确有一个“藏龙卧虎”式的人物,名叫徐桑。在他们三人和更多的电脑高手心里,徐桑就是个“神”,技术无人能及。姚祥还说:“我只见过他几次,看上去长得很斯文,家在江苏无锡。”


浙江平湖警方火速派员赶赴江苏无锡。在当地警方的配合下,办案民警在无锡开发区的家园宾馆发现了的确长得一脸文气的年轻人徐桑。原来,近日大赚了一把的徐桑此刻正在宾馆里玩着网络游戏,他根本不知道警察已找上了门来。


当几个民警一拥而上冲进去时,徐桑整个人完全沉浸在电脑的玩耍取乐中,竟随口一句“你们别吵,你们随便坐,冰箱里有喝的吃的,开水自己烧啦……”当几位民警当场将他按倒在床上时,徐桑还瞪着十分惊讶的一双迷糊的眼睛在问:“你们是谁?你们是不是搞错了,抓我干吗?我只是个玩家…”


坐在开往平湖的警车上,徐桑忍不住泪流满面,他这才意识到自己犯下的是重罪,一切都已无法挽回。

徐桑,1984年出生在江苏无锡市滨湖区荣巷街道的一个工人家庭,毕业于无锡职业技术学院,学的是无线电专业。但他对电脑编程特别投入,最喜欢破译别人电脑上的密码。在他读职专的两年中,他几乎把班上所有同学的电脑开机密码都破译了一遍。寝室同学不在时,他随时都能登录别人的电脑,这让他有一种特别的兴奋,“也不一定是为了偷窥别人隐私,主要是成功的快感和喜悦。”他说。


从职专毕业后,徐桑应聘的工作不是网管就是电商小公司的职员,干得很是郁闷,他感觉这些小菜一碟的活,根本不能发挥他的特长,无意思透顶。最后他还是选择回到了家,在网上开了个修电脑的小店。很多人电脑坏了,都会找他维修。


也就是在修电脑的过程中,徐桑将很多客户登录各式各样邮箱/支付宝等平台的账号记录了下来,之后再利用黑客程序对其相应密码进行破译,多半都能得到其中的密码。之后,徐桑又编出了一套便捷程序,只需一分钟便能得到50个以上的邮箱账号和密码。


但当时,徐桑并没有修改盗走别人的账号,只是通过这种途径,偶尔进入别人的邮箱看看有什么隐私,获得一点小小的成就感。“其实,我知道这个时候,我进入别人的电脑,远比在校时危险,但我控制不住一种欲望,希望获知别人的事情,甚至明知道是违法犯罪,我也愿意干。”

 

“自由侠”,黑客界之“神”


2012年,徐桑与一名广告公司的女职员胡小曼相恋。胡小曼开朗大方,让徐桑觉得自己的天空又多了一种色彩,不再那么的寂寞单调,他脸上的笑容多了起来。而胡小曼的父母却无法接受他这样一个“宅男”,他们觉得徐桑常年不与社会接触,只会在家“啃老”,没有太大的出息。


为了证明自己,徐桑更加刻苦地钻研计算机。白天,他接一些帮网络游戏公司编写游戏程序的活儿;夜里,他像黑客一样随时入侵别人的电脑,轻而易举就能让入侵对象的电脑瘫痪失常。渐渐地,徐桑在圈内有了名气,黑客论坛里有不少粉丝都很崇拜他,虚心地向他求教。


同时,他所写的游戏程序也让业界惊艳不已,一家网络公司与他签订了长期的合作合同,一年保证给他3万元的报酬。他的一句著名的黑客网络词句让业内人很是“崇敬”——“黑夜是黑客们舒适的温床,黑夜电脑黑客的眼睛是明亮的!”


2014年底,胡小曼不顾父母反对与徐桑结婚,令徐桑非常感动。尽管徐桑也想给女友一个豪华、排场的婚礼,可他根本做不到。婚后,夫妻俩仍和徐桑的父母住在一起,日子过得磕磕绊绊。一次,胡小曼对徐桑说,希望两人以后能去南京发展,在那里买一套房子安家。看着妻子期待的目光,徐桑感到歉疚又无奈:靠着眼下给小公司编游戏程序,不知道哪一天才能出头。没有渠道赚大钱,成了徐桑最大的困扰。


就在徐桑最需要渴望赚钱的时候,姚祥找到了他。原来,2010年秋天,江苏常州人姚祥在浙江嘉兴桐乡市开着一家卖羊毛衫的网店,刚开张时,没什么人来买,更谈不上人气。他听朋友们说可以买些淘宝账号来刷商家的信用级别。于是,他就通过论坛找到一些卖家,买了一批淘宝账号刷信用,生意果然火了起来。其他开网店的朋友看到他这种办法很奏效,都主动找他帮忙买账号,有的甚至愿意出高价。姚祥这才醒悟这其实是个难得的“商机”。于是,他从网上低价购买了一大批淘宝账号,然后再高价卖给需要刷信用的人,从中赚取一定的差价。


可时间一长,姚祥发现自己的业务量虽大,但利润不高,主要是购买账号的成本太高了。他由此想到,如果能直接盗走别人的淘宝账号和密码,不就能赚到更多的钱吗?于是,他在计算机论坛寻找“高手”,可联系了七八个“黑客”,人家都说淘宝的网络安全防护是国内最厉害的,他们无法直接盗号。最后,这些黑客不约而同地向他推荐了一个名叫“自由侠”的人,说他是黑客界的“神”。


经过一番费劲的周折,姚祥才打听到“自由侠”原来也是老家江苏的人,他就是家在无锡的徐桑。他买了很多礼物,亲自坐车到无锡登门拜访。徐桑在得知他的来意后,直接一口拒绝。他告诉姚祥,淘宝账号安全系数太高,他曾经尝试过盗号,最后都失败了。而且,这么做可能会触犯法律。之后,徐桑将姚祥“送”出了家门


姚祥不死心,第二天又去找徐桑,再三恳求他帮忙,并承诺只是盗号,又不骗钱,这样不会触犯法律。徐桑说道:“费那么大劲去盗号,又不图钱,那你这么远找我目的何在?”说完,他再次把姚祥送走了


姚祥郁闷之余,又觉得徐桑其实并没有在彻底的拒绝他,而且从他的口气里猜测他可能很需要钱。于是,姚祥决定最后再赌一次。当晚,他直接用微信给徐桑转账2万元,试探他是否会收下这笔钱?在焦急的等了4个小时后,徐桑竟点了收账


原来如此!姚祥如释重负:既然徐桑收了钱,就表明他有把握做这件事。次日,姚祥邀徐桑面谈,在一家豪华大酒店的包厢里。面对丰盛的酒菜,他直截了当地对徐桑说,自己得到淘宝账号后,就是拿去卖给商家刷信用的。他承诺得到利润后,给徐桑百万重酬。姚祥滔滔不绝,徐桑却一直沉默不语。


其实,在收到姚祥的转账信息后,他纠结得直抓头发。他其实并不想做这件事,因为风险太大,又会涉嫌犯罪。可金钱的诱惑实在是太难以抗拒了,想到一家人挤在60多平米的房子里,连孩子都不敢生,想到妻子多次表示想去南京买房,他觉得这或许是自己赚大钱的唯一机会了。他收下了这两万元钱,逼迫自己去“赌一把”。


案发后,警方在多次对徐桑进行审讯时,徐桑强调,他一直以为,自己帮助姚祥来搞这个像猜游戏题目一样的“游戏”,应该不会构成犯罪,他仅仅是向姚祥提供了一种技术,具体由姚祥他们来实施。他把自己的这个想法比喻成“就像发明刀具的人一样,你能说后面的人用刀杀了人,和发明刀的人有关吗”


此种说法一度让徐桑对自己有了这样的一种“解释”很满意,也是规避犯罪的一种方法,自己没有具体实施犯罪,只是提供技术,姚祥他们爱怎么样,他又没办法阻止。


但事实上,他这样的想法是多么的荒唐。他被警方抓获后,马上也意识到,自己的想法蠢到了家。因为他明知姚祥要走他的技术,就是去网络上犯罪的,犯罪的终极目的是获得大把的钱。姚祥他们做到了,也给了他钱,他不能把自己的这个做法与“发明刀的人”混为一谈,他就是在犯罪!


这一切说到底还是为了一个钱字,“就像一个刚好想睡觉的人,人家给你送来了枕头……我需要大房子,大房子需要钱去买,姚祥的出现,正合时宜,一切顺理成章了……”

 

插上翅膀飞向牢狱


此后,徐桑便开始研究如何盗取淘宝账号。尝试了多次直接盗号失败后,徐桑突然想到自己平时破译了不少邮箱、QQ等账号密码。他输入了几个账号和密码到淘宝登录平台后,竟有两个成功了!


原来,很多人为了图省事,邮箱、QQ等账号、密码与在淘宝上设置的是一模一样的!


徐桑兴奋极了,如果这么做成功的话,那对他来说就太容易了。“这不是逼着要让我这个‘自由侠’和‘黑眼睛’要发财嘛……”一阵兴奋,他在黑夜里一个人对着电脑自言自语起来。


这之后,徐桑利用自己编写的便捷盗号程序,夜以继日地发起攻击,在其他网络登录平台上,陆续盗走了9900多万个账号与密码。而后,徐桑将这些账号密码信息全部给了姚祥。姚祥找到亲戚吕进财和钱国平,让他们将这些账号和密码输入淘宝登录平台比对,结果发现竟有2059万多个账号能够直接登陆淘宝


三人将这些账号重置密码,彻底地盗走,又在10天内卖给了淘宝商家,获得了高达280万元的暴利!姚祥也履行承诺,打给了徐桑100万元。这么大一笔钱让徐桑激动不已,按此发展,只需半年时间他就能在南京买一套大房子了


与此同时,淘宝客服也接到了数以千计的客户举报,称自己账号被盗。很多不良商家经过买号刷单,竟成了钻石级别的卖家,淘宝网顿时被搅得一团乱。阿里巴巴网络中心发现,在一个月时间内,有人24小时不断地利用其他平台的账号比对淘宝账号,怀疑近期客户账号被盗事件与此有关。


2015年11月,浙江平湖市公安局接警后经过详细侦查,一举抓获了姚祥等三名犯罪嫌疑人,随后又抓获藏在幕后的徐桑。


随着徐桑、姚祥等人落网,网络警察对于“撞库”一说也作出了相应的解说:“撞库”就是指拿其他登录平台已经泄露的账号和密码,尝试登录另一个平台,国内常用的账户有QQ、邮箱、微博、支付宝等。因为很多用户在不同的网站上,使用相同的账号和密码,所以“撞库”的成功率比较高


徐桑对警方称:父母和妻子对他所做的一切并不知情,他所做的一切,对他对他的家人感到非常愧疚。目前,此案仍在进一步审理中。因徐桑等人诈骗金额特别巨大,为首者有可能至少要面临无期徒刑的重判。


80后的徐桑,在电脑技术应用上本有着过人的才华,如能找到适合其发展的空间,必定前途无量,可他却为了眼前的利益,在短短一个月内自毁前程。令人叹息。


此案也给我们敲响了警钟:如何保证个人账号不被泄露?


侦破此案的网络民警提出了下面几条有利于规避风险的建议:重要网络平台的密码一定要独立,让人猜测不到,或者用专门的软件来帮你记忆;电脑勤打补丁,安装杀毒软件;不要在公共场合使用公共无线,否则容易被窥探账号密码;尽量让密码更复杂一些;在不同的网站,要采取不同的安全账号和密码,以避免“撞库”的发生。另外,也希望互联网从业者采取更加安全的保护措施,共同建设网络安全防护阵线。


2016年10月31日,徐桑和姚祥分别被平湖法院判处有期徒刑15年和9年,另2人被判处有期徒刑七年。



相关阅读: