杭州警方开展净网2018行动：今年以来破获40起黑客犯罪案件

11月28日上午，杭州市公安局召开“净网”2018专项行动暨打击网络黑客犯罪新闻通报会。通报今年以来，杭州市公安机关以市、区二级网警主导推进的全市打击整治黑客攻击破坏违法犯罪行动中，共破获各类涉黑客犯罪案件40起，采取强制措施77人，批捕25人，移诉45人。公安部督办案件3起，省公安厅督办案件3起。

随着互联网科技的日益发展，互联网违法犯罪滋生了新的破坏方式即黑客攻击，并从频度和技术手段上都有了明显提升。

丨图片源自网络

杭州警方介绍，目前网络黑客犯罪呈现出新型犯罪的4个明显特征：攻击目标明显转移、犯罪技术手段越加专业、作案手段越加隐蔽伪装性强、犯罪成员呈年轻化趋势。

为全面打击整治网上违法犯罪乱象，压缩网络违法犯罪活动空间。2018年，打击网络黑客犯罪成为杭州市公安机关积极开展网上秩序打击整治专项行动（代号“净网2018”）的重要组成部分。

先后破获“滨江区某集团公司被破坏计算机信息系统案”、“西湖区某科技公司被破坏计算机信息系统案”、“西湖区麒麟病毒非法控制计算机信息系统案”、“江干区某科技有限公司被非法侵入计算机系统案”、“下城区网锋科技公司非法控制计算机信息系统案”等一系列大案要案。

● 杭州警方表示：

公安机关将始终保持对网络违法犯罪活动的高压打击态势，深入研究网络黑客犯罪规律特点，依法开展针对性的打击整治工作，并加强防范宣传和安全风险隐患排查工作，切实维护互联网正常秩序和人民群众切身利益，同时督促相关单位积极落实主体责任，并按照国家的法律法规做好自身安全防范管理工作。

● 警方提醒：

网民要在国家法律允许的范围内进行网络活动，并积极发现犯罪、举报犯罪，共同维护互联网的“清朗”。

案例1：DDOS攻击导致近千万损失！滨江警方破获非法侵入计算机信息系统案

“40岁”，“初中学历”，“无任何计算机行业从业背景”，“曾因强奸罪被判处有期徒刑十年”，“出狱后因吸食毒品多次被公安机关处罚”……这样一个人，谁都无法将其与“黑客”这个身份联想起来。

2018年8月，滨江公安分局网警大队破获一起破坏计算机信息系统案件，就抓获了这样一个“自学成才”的黑客。

DDOS攻击导致主干网络瘫痪，损失近千万！

今年8月初，滨江公安分局网警大队接滨江某集团上市公司报案称，公司网站被人DDOS攻击，导致网络堵塞，造成公司主干网络瘫痪，大量交货单无法发货,损失近千万。

网站被攻击发生不久后，该公司相关负责人随即接到境外电话号码发来的勒索短信，以及勒索电话，要求支付1个比特币，同时声称若在规定时间内不进行支付，则将继续加大攻击流量并涨价至2个比特币。

同时发起境内、外流量，同时使用多种攻击手段

市、区两级网警部门立即协同展开调查，考虑到本次案件中的DDOS攻击是一个持续的过程，且对该公司的正常运作影响巨大，网警部门一边紧锣密鼓地开展调查取证工作，一边在网络安全专家的指导下，与该公司技术人员一起对整个网络防御体系进行升级加固。

网警部门在对案件进行分析取证的过程中发现，这起DDOS攻击案件主要攻击形式是“UDP反射型”和“CC攻击”，流量特别巨大峰值达到近200G，流量源也非常复杂，既有来自重庆、山东等地的境内流量，也有来自境外流量。侦察员在侦查过程中，同时升级和调整了公司网站的防护策略，嫌疑人在发现UDP流量攻击被压制以后，逐步增加了攻击体量，同时也调整和增加了攻击模型。

目标人员疑点重重，大数据分析最终确定

通过侦查取证，网警部门初步锁定犯罪嫌疑人，警方对该人的身份展开调查，40岁男性，初中文化，没有任何互联网从业经历，曾因强奸罪被判处有期徒刑十年，还有多年吸毒史，被公安机关多次处理。

反侦察能力强 杭州网警终将案犯抓获

嫌疑人曾多次与公安机关打过交道，具有较强反侦察意识。

为了尽快将嫌疑人捉拿归案，滨江分局网警大队在市局网警分局及网络安全专家的支持下，从被攻击网站开始缜密分析、层层追查，在半个月的时间之内连续前往多省出差调查固定线索，查明犯罪嫌疑人通过跳板服务器，利用非法软件控制大量境内外“肉鸡”，对网站发起流量攻击，并向网站所属上市公司勒索一个比特币的犯罪事实，后通过大数据分析最终锁定犯罪嫌疑人。8月29日，滨江警方成功将犯罪嫌疑人抓获归案。

案例2：江干区某科技有限公司被非法侵入计算机系统案

2018年8月28日，江干分局网警大队接到报警称，杭州江干某科技股份有限公司数据服务器被侵入，公司账户内50余万资金被非法提现盗取。

接报案后，江干网警大队立即对该案进行立案侦查，查明该科技有限公司被黑客通过自行编写的漏洞扫描程序对互联网上金融平台进行扫描，发现当事公司存在远程执行漏洞，后侵入服务器向系统发起付款指令，于8月27日22时至8月28日10时之间，先后将资金以每笔不超过5万的金额，转账至8张银行卡内，总金额达50余万元。

为最大程度减少受害人的经济损失，办案民警立即对资金去向进行调查。发现涉案银行卡内仍有27万余元，民警即对该27万元进行止付。

之后警方通过缜密侦查和调取银行监控视频录像，锁定嫌疑人身份，于9月7日在湖北仙桃抓获洗钱团伙取款人共6名，紧接着于9月12日顺藤摸瓜在湖北武汉明确联系取钱团伙的中间人，同日明确黑客身份，在湖南株洲和湖北武汉同时实施抓捕，再抓获嫌疑人2名。

目前共刑事拘留4人，其它处理4人，其中主犯“黑客”1人，洗钱团伙成员3人。

警方提醒，案件破了，却需引起各互联网金融公司的重视。

由于互联网金融的迅猛发展，各类中小投资、理财、购物平台不断出现，这些中小平台在给人民生活提供便利、为实体经济不断输血上做出了巨大的贡献，但受到技术、资金等方面的限制，这些中小平台在网络构建、服务器设置、计算机系统防护等安全措施上都多少存在一些漏洞，为“薅羊毛”的不法分子留下了可趁之机。

案例3：西湖警方成功破获一起利用计算机病毒敲诈、盗窃案

2018年3月5日10时许，杭州人小王在玩某风靡网络的游戏时，意外看到广告上有一则游戏外挂广告。

出于好奇，小王下载安装了这一游戏外挂软件，但在安装后电脑自动重启，再开机后小王发现全部文件被加密上锁，屏幕上弹出一对话框显示需要支付3元才能进行解锁。

小王担心电脑上的重要文件无法使用，便按照要求使用某网络支付软件进行了支付，但小王意外发现，电脑不但没有解密，而且自己支付软件中的300多元余额也不翼而飞，小王最终选择了向西湖区公安分局报警求助。

网页上显示支付3元，实际支付金额为全部余额

西湖分局网警大队民警首先对该病毒进行了采样分析。发现该外挂软件实际是名叫“QL2.1”的勒索病毒，在点击“支付3元解锁”按钮后，弹出“注册码自助购买系统”网页，需要用户进行扫码或输入账号密码登录两种方式进行登录。

受害人登录网络支付账号并输入密码支付解锁费时，嫌疑人对受害人电脑控制释放1个程序序并创建进程，该进程会对受害人电脑加入嵌入式网页，该网页上显示支付3元，实际支付金额为全部余额。

在受害人支付完成后，嫌疑人并不对受害人被控制电脑进行解锁，后续仍然可以多次向受害人索要解锁费用。

病毒是向昵称为“QL项目团队”的上家买的

办案民警意识到这是一起较为复杂的案件。一方面病毒制作技术复杂，犯罪嫌疑人通过将多个木马病毒嵌套整合，实现先加密后转出余额的分步式二次种马的过程；另一方面犯罪行为触犯多项法条，加密计算机文件涉嫌非法控制计算机信息系统罪和敲诈勒索罪，欺骗式转出支付宝余额涉嫌利用计算机盗窃罪。

3月6日，西湖警方对该案进行立案侦查。

民警通过对病毒进行综合勘验分析，并奔走福建、深圳、山东等多地向多方调取相关证据，最终于3月15日，抓获犯罪嫌疑人李某。

在铁证面前，李某供述了自己的犯罪事实，并承认病毒是在网上向一个昵称为“QL项目团队”的上家买来的。

4月3日，这位昵称叫“QL项目团队”的王某也被西湖警方抓获，而此时王某正准备通过大面积散播传播该病毒。

李某、王某通过对该“QL” 病毒进行销售、传播，非法获利两万余元。目前，李某、王某已被西湖警方依法采取刑事强制措施，目前案件还在进一步办理之中。

案件破了，却需引起所有网民的警惕

计算机勒索病毒的制造传播，其危害面是整个互联网。从2007年“熊猫烧香”，到2017年“wannacry”等勒索病毒，制作技术日益复杂，潜伏能力日渐增强，爆发传播更加迅猛，危害范围由区域级变成了世界级，且勒索病毒破解需要耗费人力、财力和工时成本。

以王某、李某为代表的黑客，通过制作木马病毒程序，并伪装嵌套在普通软件中通过互联网传播，控制受害人计算机信息系统并敲诈勒索牟取不当利益，成为网络黑恶势力，严重影响人民的正常生活和社会和谐。

1.勒索病毒的广泛危害性。本案中病毒伪装成“秒赞”、“私家侦探”、“百度知道自动回”、游戏外挂等程序，极易传播，影响范围十分广泛；且本案中，犯罪嫌疑人通过散播病毒的方式秘密窃取的手段将受害人的全部余额转出，经济损失影响较大。

2.犯罪成员的年轻化。犯罪嫌疑人王某、李某均为二十多岁的年轻人，有一定的计算机技术。在大型勒索病毒的爆发形成的现象级事件影响下，为其传递了不良收益途径信息。如不将此类年轻黑客犯罪苗头及时遏制，其会在利益驱使和成就感鼓动下，研习提高病毒制作技术，不但会增大办案成本，也会导致青少年误入歧途。

3.病毒技术的复杂性和触犯法律的竞合性。本案中王某通过将两个木马病毒嵌套整合，实现先加密后转出余额的分步式二次种马的过程。加密计算机文件涉嫌非法控制计算机信息系统罪和敲诈勒索罪，欺骗式转出支付宝余额涉嫌利用计算机盗窃罪。 

案例4：下城网警成功破获一起非法控制计算机信息系统案

该起案例作案手法在全省都较为少见，但对网吧业主们是个提醒。

2018年7月31日，下城分局网警大队接事主张某报案称，其名下的两家网咖（石桥地区回龙路）内的150台电脑疑似被人非法植入挖矿木马进行比特币“挖矿”操作，并造成一定经济损失。

接到报案后，下城分局网警大队立即立案侦查，并上报市局网警分局组织技术力量开展侦查工作。

专案组民警通过多次对上述网咖的服务器、客户机进行网络数据抓包和程序行为分析，从而追查到非法控制网咖客户机的远程服务器和相关嫌疑人身份。

随即，专案组兵分多路，成功在杭州市西湖区某电脑公司等地先后抓获3名犯罪嫌疑人王某、李某、刘某，同时查获用于作案的服务器、电脑、手机等物品。

专案组民警继续对该远程服务器的木马文件下载日志进行勘验分析，发现浙江省内涉及160多家网吧被非法植入“挖矿”木马，其中杭州有115家，受害电脑台数在10500台以上。此外，省外多家网吧也有被非法植入“挖矿”木马的情况。

经审查，该案3名嫌疑人均交代了上述犯罪作案事实。日前，下城区检察院已对该案嫌疑人批准逮捕，该案还在进一步调查深挖中。

编  辑 | 虞佳杰     责  编 | 徐   冏   

核  发 | 胡早玲     来  源 | 杭州公安 

声明：本文来自杭州公安，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。