大学生黑客攻击政府网站牟利
2008年9月27日,江西警方以涉嫌破坏计算机信息系统罪,将李士扬、王晓娃等6名犯罪嫌疑人向人民检察院移交起诉;南昌市经济开发区人民检察院以“涉嫌伪造公文罪”批准对李汶民等犯罪嫌疑人逮捕。
此前的6月6日,江西省卫生厅考试中心向江西省公安厅公共信息网络安全监察总队报案称,他们的网站数据库被人篡改,有人借此造假、牟取暴利。
李士扬、王晓娃等最终被锁定为此案的嫌疑人。
假证可以通过
政府网上验证
5月15日,江西省卫生厅医政处收到一署名“张美娟”的信访件,她反映“有人用真医师资格证来骗人”。
5月6日,张美娟在一个QQ群里看到有人留下的一条信息:可以办理真的《医师资格证》和文凭学历,且保证在省卫生厅网上可以查到注册记录。
张美娟通过其留下的联系方法很快联系上了对方,商量办证的事宜。她如实告诉对方,自己并不具备医学方面的知识,对方说没关系。他们很快约定办成后付2000元。5月7日,张美娟果真在江西省卫生厅的网上查到了以自己姓名注册的医师资格相关信息。于是,她按先前的约定,将2000元打入对方提供的账号上。
然而,付款一周后,张美娟上网却发现原先以自己姓名注册的医师资格记录不见了。
6月2日,远在浙江省的温岭县卫生部门也来电反映,他们在办理《行医许可证》的过程中,发现有人持存在瑕疵的《医师资格证书》来申请办证。该证书是江西省卫生厅核发的,可是查询网上的数据库,却显示确有其人。他们已经陆续扣下了10本这样的证书,请求江西省卫生厅核实这些证书的真伪。
截至6月5日, 江西省卫生厅接到了10多个类似的查询电话、信函。
对于骤然出现的这种现象,卫生厅怀疑其用于发布国家医师资格考试合格人员的网站被他人非法操作,有人通过篡改数据库内容的方法,制作虚假《医师资格证书》牟利……遂决定向公安机关报案。
办案民警了解到,获得《医师资格证书》主要有两种途径:一是通过国家考试;二是在《中华人民共和国执业医师法》颁布之前已经取得有效职称的人,经国家进行认定,由省级卫生行政部门颁发《医师资格证书》。国家每年都会组织医师资格考试,考试合格人员方可取得《医师资格证书》。持有这个证书的人,就可以向县以上卫生行政部门申请医师执业注册,最终取得国家许可的行医执业权。
卫生部医师资格考试中心每年都是在2月份将上一年通过了医师资格考试的人员数据,通过光盘或网上下载,发至各省、市(自治区),由各地将该数据导入到卫生部配发的医师资格信息管理系统中,用该系统将数据导出为TXT格式文件,再使用相关软件将其转换成access格式的数据库,由省政府信息中心发布到卫生厅的网站上。整个工作流程严谨,有专人负责管理,从不对外开放。
要实施作案一般有两种途径:一是内部人员与外部勾结作案;二是有黑客入侵网站。
多个省份政府网站数据被修改
办案民警通过对网站工作人员调查,查看了网站服务器工作日志,检查了网络设备运转情况,初步排除了内部人员作案的嫌疑。
6月19日,江西省公安厅公共信息网络安全监察总队正式立案侦查。民警通过对被攻击受控制服务器的现场勘验,发现黑客自3月26日起入侵江西省卫生厅网站,篡改了数据库,并植入了一个木马程序(在网站预留了后门),以实现对服务器的管理控制权限。经查,黑客是利用上海、北京、香港和新加坡等地的IP地址将篡改了的数据上传,手段非常隐蔽,具有较高的反侦查意识。
办案民警经过几个昼夜的艰苦侦查,终于将黑客在网上的其他虚拟身份锁定,并最终锁定了犯罪嫌疑人上网的地点。
6月24日凌晨,抓捕行动开始。民警秘密控制了南昌市育新路的某出租屋,当场抓获犯罪嫌疑人李士扬及同伙5名,缴获作案用的笔记本电脑、打印机、各类银行卡、虚假身份证、虚假空白医师资格证书、医师执业证书、建筑师说明书等。随后,民警又在武汉市将另一名主要犯罪嫌疑人王晓娃抓获归案。
警方共抓获10名涉案犯罪嫌疑人。据警方查实,他们先后入侵了江西省卫生厅、湖北省卫生厅、贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等11个网站,修改相关数据700余个。
警方很快揭开了这起网络犯罪的内幕。
犯罪团伙利用黑客技术攻击政府部门网站,篡改数据库资料,然后伪造、制售假证,造成证书上网可查的假相,从中牟取暴利。犯罪嫌疑人李士扬在疑犯王晓娃、刘晓卫(北京人,在逃)的协助下,入侵网站——修改数据库——办理假证——贩卖假证——使用假证——办理从业许可证等,通过网络编织了一个入侵政府网站、制假贩假、非法牟取暴利的松散性犯罪团伙。
两个月牟利达200多万元
那么,这些黑客都是些什么人呢?
李士扬,24岁,江西省余干县人,2004年考入江西某大学计算机专业,家境贫困,因而特别留心赚钱的机会。他从帮助一些大中专院校“代理招生”赚取佣金开始,逐渐把目光瞄准了四、六级英语考试成绩合格证、自学考试毕业证,最后发展到与女友胡姚艳一道,买来电脑、激光打印机,靠制贩假证牟取暴利。
2007年下半年,李士扬发现网上要求办理《医师资格证书》及毕业证书的信息非常多。面对这些很容易被忽略的信息,李士扬从中看到了发财机会。接着,他便苦苦寻找方法:如何让假证的相关信息上传到网站的数据库。
为了攻克这个难题,李士扬买了有关黑客方面的书籍,上网浏览黑客技术发展的信息,参加有关黑客知识的网上论坛。但他始终没有掌握攻克入侵网站的技术。2008年3月,李士扬以“鸟人”的网名在“黑客工作室”发帖子,公开招募一个可以植入木马的黑客帮手,以便入侵网站,修改数据库文件。帖子只发出几个小时,武汉某软件系统有限公司的王晓娃便“揭榜”了。
25岁的王晓娃,毕业于湖北某师范大学计算机科学技术与应用专业。李士扬要求王入侵一些网站,在取得使用权限后交与自己使用,同时答应每开一个“后门”给其5000元。王晓娃见有利可图,便跃跃欲试,但他技术欠佳,还不能胜任这样的工作。他便在“幻影论坛”上发出了招募黑客的帖子。
于是,北京网名叫“小偷快跑”的刘晓卫出现了。王晓娃通过MSN与刘晓卫联系上后,便以每开一个“后门”2700元的价格成交,他从中赚取差价。王晓娃拿出从李士扬那里得到的“订单”:先攻湖北省卫生厅、江西省卫生厅的两个网站。
不到三天时间,刘晓卫便攻下了这两个网站。他把开设好的“后门”地址代码发给王晓娃后,王晓娃通过登录这两个网站,弄清网站网络结构、使用程序后,编写了网站服务器数据库的操作使用手册,与地址一道发给了李士扬。李士扬便可以自由登录这两个网站,任意添加、修改数据。
接着,他们又入侵了贵州省人事厅、四川省人事厅、江苏省教育厅、辽宁省建设厅、湖北省荆州市人事局等9个网站。
得手后的李士扬先后发展了“南昌百年教育”、“皇家教育”等下线代理,了解办证的信息需求,联系黑客攻下网站的管理权限,再将需要办理假证者的信息添加至网站数据库,保证办假证者能够在网上找到他们需要验证的信息,从而财源滚滚而来。李士扬则对下线收取代理费,每上传一个客户的信息数据,就收取1200至2000元不等的费用。《四、六级英语考试成绩单》《医师资格证书》《建筑师证书》和《教师资格证》等,李士扬就像掌握“金库”总钥匙的人,每天在出租屋里得意地数钱。
据警方查实,在短短的两个多月时间里,李士扬就发展了20多名下线,如果一直往下追到制贩的最底层,涉案人数可达上百人。仅此一项,他就非法牟利达200多万元。
交易过程只见
钱而不见人
记者在采访中了解到,由李士扬牵头组织起来的这个松散的犯罪团伙,绝大多数成员之间彼此是不认识的。他们使用的所有身份证、网络IP地址、网名都是假的,整个作案过程充满着虚假和魔幻……为了共同的利益,他们只认钱而不认人,也根本不需要知道对方的真实身份。
蔡琳玲,1993年9月从江西省某卫生学校医士系毕业后,在南昌某职工医院工作。由于学识、学历的差距,她没有取得医师资格,给病人开出的处方都得由有处方权的医师审核、签名才能有效。她曾多次努力参加医师资格考试,却一直没有通过。
蔡琳玲总觉得自己在单位比别人矮一截,非常苦恼。一次,她爱人听朋友张艺说有朋友可以帮弄到《医师资格证书》,蔡琳玲便请张艺帮忙。张艺很快找到了颇有“能耐”的于得系。于得系自称有亲戚在省教委当处长,可以找“枪手”代考,并提出要收1.2万元的代理费。后蔡琳玲因担心医师资格的取得引起同事怀疑,便改办了助理医师资格证,商定交费5000元。张艺除留下自己的500元介绍费后,通过QQ与于得系取得联系,把余款全交给了他。于得系用500元在负责制作假证的李汶民处办好证后,便通过QQ将相关信息传给了“李烟”。在给付了1200元钱后,蔡琳玲不仅拿到了《助理医师资格证书》,还可以在江西省卫生厅医考中心的网站上查到自己资格记录。可见,整个制假贩假的交易过程都是只见钱而不见人。
李士扬先后以“胡建宁”、“叶春华”和“李君军”等虚假名字购制了10多张假身份证,使用这些假身份办理了房屋租住,先后申请了宽带网,办理了7张银行卡。在网上,他申请了10多个不同的QQ号,以“李烟”、“鸟人”、“黑鹰”、“较量高手”等6个不同的网名与不同的联系对象打交道。
李士扬就是用“鸟人”的网名把王晓娃招募到手,而王晓娃是使用“leaper”的网名应招,他只对攻克一个网站能赚多少钱感兴趣。王晓娃也是使用虚拟的网名以2700元为诱饵,雇请了网名为“小偷快跑”的刘晓卫为其攻克最早的两个网站。而王晓娃、刘晓卫办理银行卡、手机入网卡时使用的也是假身份证。
王晓娃自己掌握入侵网站的技术后,想从中更多牟利,对李士扬谎称自己“工作繁忙,不做了”,主动推荐了一个叫“财神爷”的网友为李士扬服务。而“财神爷”就是他自己,王晓娃只换了个QQ号、编了个网名,就以每入侵一个网站1万元向李士扬要价。最终,他们经过讨价还价,达成了每入侵一个网站8000元的协议。
李士扬在与下线的业务来往中,也常常使用不同的QQ号来欺骗对方。疑犯于得系是李士扬最早发展的下线之一,李士扬一直使用“李烟”的网名与于得系进行业务往来。今年4月,李士扬一是担心长期使用一个QQ号开展业务容易出事,二是也想趁机将每单业务价格略微提高一点。他谎称自己不做这种生意了,给于得系介绍了个新的上线“黑鹰”。直至案件侦破时,于得系才知道“李烟”、“黑鹰”其实就是李士扬。
目前,警方在押的10余名犯罪嫌疑人中,除个别人外,他们之间几乎没有通过电话或照过面,更不知道姓甚名谁。他们的一切犯罪活动都是在虚拟的网络中商洽、教唆完成的,这也给警方后来的侦查、抓捕和取证工作增添了许多难度。(文中涉案嫌疑人为化名)