全国最大盗窃虚拟财产案追踪

　　2006年12月14日，广东省深圳市公安局召开新闻发布会通报：深圳警方成功破获了迄今为止全国最大的一宗盗窃网络虚拟财产案，该盗窃团伙成员分布于国内多个省市，盗取QQ号、Q币、游戏账号等，涉案金额高达百万元。目前，该团伙43人被抓获，其中有10人已被批准逮捕。

　　(本刊记者)游春亮 (本刊通讯员)高艳梅/文

　　“网民”投诉虚拟财产被盗

　　2006年5月22日，位于广东省深圳市的腾讯公司的有关人员赶到深圳市南山公安分局高新派出所报案，称该公司从2006年3月份开始，接到数以万计的用户投诉，称自己的QQ号以及QQ号中的Q币被盗，而且，投诉量还在不断上升。派出所接案后，很快将案情汇报给上级公安机关。

　　据腾讯公司工作人员介绍，当初，刚接到网民投诉后，腾讯公司组织数十名技术人员进行检查分析发现，QQ号被盗源于用户中了“木马”病毒。样本分析显示，“木马”病毒内被嵌入了发送邮件的指令，中了“木马”病毒的用户，其QQ号与密码被记录下来后自动发送至盗号者指定的邮箱。最初，发出指令的邮箱与收取密码的邮箱是同一个邮箱。

　　进入邮箱发送邮件需要密码，个别技术水平较高的用户发现自己的QQ号丢失后，循着轨迹能进入内嵌指令中指明的邮箱地址，结果不但找回了自己失窃的QQ号，还惊讶地发现里边还有数以万计的其他QQ号码，便将情况通报给腾讯公司。由此，腾讯公司怀疑，大批QQ号被盗事件应该不是单个人的行为。

　　随后，技术人员在监控过程中发现，盗号者的技术“进步”很快，“木马”病毒内嵌指令的收发邮箱变成了不同邮箱，接着，新型“木马”病毒被大量采用，盗号者不再使用邮件方式，而是通过互联网技术中的POST指令将QQ号与密码信息写入目标服务器内。

　　基本上所有的QQ号销售者会在出售之前修改密码和删除好友，作为阻碍QQ号被盗用的措施，腾讯公司技术人员对用户修改密码与删除好友行为进行限制。接着，腾讯公司对异常的查询也开始限制，例如限制来自同一个IP地址的修改。但盗号者又开始采用

代理服务器以达到越过限制的目的。

　　无奈，腾讯公司又增加了用户登录时的附加码输入。这意味着，盗号者无法通过使用工具对自己盗得的QQ号与密码进行成批的验证，而需要对着附加码(通常是写有英文字母和数字的一个图像文件)照图示一个个输入。但技术人员发现，随后出现的一些软件开始提供图像文件自动扫描、自动输入功能，这些软件的出现迫使腾讯公司开始采用写有汉字的附加码。

　　更糟糕的是，盗号者瞄准了用户的Q币。根据腾讯公司在深圳市物价局的备案，一枚Q币售价1元。鉴于QQ号的普及，Q币可以用来购买其它游戏的点卡、虚拟物品甚至一些影片、软件的下载服务等，大量专门提供Q币与人民币进行双向兑换的网站开始出现。

　　到这个时候，仅靠公司自身的技术已经无法保护用户的财产安全，于是，腾讯公司向警方寻求帮助。

　　警方千里跟踪“猎物”

　　深圳市公安局接到汇报后，立即成立“5·22”专案组，对案件进行侦破。为了引蛇出洞，警方故意使一些QQ号码“半推半就”地被盗取，而远在千里之外的人并没有发现自己俘获的“猎物”有何异样。

　　通过“放水”策略跟踪“猎物”，警方很快圈定了盗贼的大体方位与行为模式，并锁定了主要犯罪嫌疑人为辽宁省海城市的金某，一个“黑”网吧的业主。2006年6月22日，专案小组来到吉林省长春市某大学附近的一家网吧，“闲逛”的公安人员发现该网吧第三层一个被租用的包间里，正是他们要找的失窃QQ号与Q币的销售中心。

　　2006年7月8日，在当地公安机关的配合下，专案组在辽宁省鞍山市和吉林省长春市两地同时展开抓捕行动，共抓获犯罪嫌疑人43名。经审讯，专案组将该团伙朱某、于某等11名主要嫌疑人押解回深圳，其余人员交由当地警方进一步处理。

　　在这期间，警方辗转长春，辽宁辽阳、鞍山、海城等地调查，行程3000多公里，查清了盗号团伙的犯罪事实。据警方调查后发现，自2005年5月以来，以犯罪嫌疑人金某、于某为首的网络盗号团伙，以辽宁鞍山、吉林长春为基地，通过放置“木马”病毒，入侵了8000多个商业网站及300多个政府网站，非法盗取“网民”的QQ号码、Q币和

网络游戏币、游戏道具等，该团伙共盗取QQ号码和游戏账号、装备300多万个(套)，最多一天盗号30多万个，部分已通过有关网站出售，获利70多万元。

　　经深圳市南山区人民检察院批准，该团伙10名犯罪嫌疑人被逮捕，1名犯罪嫌疑人被取保候审。2006年11月18日，该案主要犯罪嫌疑人金某被公安机关抓获。至此，“5·22”盗窃QQ号、Q币案告破。2006年12月14日，警方向社会公布了此案的部分情况。

　　盗窃虚拟财产形成完整“产业链”

　　参与这次侦破行动的一位警官总结说：“盗号、‘洗信’、销售，是典型的基于互联网分工与协作基础上的‘团伙作战’。”

　　据警方介绍，“团伙作战”最核心的部分是“盗号集团”与负责销售的“洗信集团”，他们有圈子内通用的语言。例如，“洗信”的意思是将盗来的QQ号“洗白”(包括修改密码与删除该号的原有好友)或将QQ号账户中的Q币收集到一起；而“晒信”则是为防止盗得的QQ号在销售前被回收的定期登录行为。

　　位于辽宁省海城市的“盗号集团”通过招聘方式招来30多名雇员，分成三个工作室在不同地点工作，每个工作室有专人管理，下属人员均有明确的流程分工。

　　据海城市一位50多岁的男子介绍，在案发的半年前，不熟悉电脑的他找到了一份在“高科技企业”上班的工作，每天呆在工作室，有专人做饭，有专人给他提供各种现成工具，手把手地教他潜入热门网站，而他的工作就是“黑”掉网站。“每天只‘黑’一个网站”，他的进度明显慢于他的同事。

　　该男子只是整个工作流程中的一个环节，他“黑”完一个网站，其他“同事”会跟进挂上“木马”病毒(一种基于远程控制的“黑客”工具)，然后等待“木马”病毒潜入网站登录者电脑，盗走其QQ号及各种游戏账号、Q币和游戏装备。这些虚拟财产随后被交给海城市之外的合作者“洗白”，最后通过网站迅速出售给需求者。

　　“盗号集团”负责人的主要工作是寻找合适的“‘木马’病毒编写者”，并向后者采购“木马”病毒与入侵工具等作案软件。三个工作室的“‘黑’站小组”利用上司提供的入侵工具攻击各类网站，工具的易用性也使得小组成员并不需要高学历。“挂马小组”随后在攻破的网站挂上“木马”病毒，但凡访问过这些网站的用户，如果其本地的电脑安全措施不够，一旦登录QQ账户或网络游戏，密码便被发到指定的服务器上。

　　随后，守株待兔的“查信小组”收集发到指定服务器上的用户记录，由“销售小组”以万份为单位(通常价格为每万份数百元)售往作为批发商的“洗信集团”。

　　“洗信集团”负责人采购自动化工具，而下属人员承担“查信”、“洗信”、“晒信”和挑号等工作。就此，Q币被销售，一些QQ号被卖往网吧，销售给零散的上网者，而多数被卖给“广告集团”。“广告集团”以通过QQ号发送小广告牟利，但相应的QQ号又很容易被查封，需要大量的备用号码。

　　尽管彼此间相隔甚远，但互联网时代的便利使他们合作无间，而工具的易用性使得一些电脑盲也能够“一个萝卜一个坑”地分工协作，一个完整的“‘黑色’产业链”就此顺利地运作起来。

　　根据

杀毒软件企业江民公司公开的信息，最近3年中，“木马”病毒发展迅速。根据其用户反馈和网上监测，2004年被“木马”病毒感染的计算机只有60台，2005年上升到1100台，而2006年前10个月，中毒用户已超过3.7万个。

　　作为公安部2006年重点打击的新型犯罪行为之一，盗窃网络账号和虚拟物品的“产业链”目前已经市场化、规模化。有关部门也表示，需要加强针对虚拟货币的监管，维护“金融”稳定。

　　专家建议“网民”提高网络安全意识

　　网络安全已经成为“网民”目前面临的最大问题，但据记者调查，被调查对象中几乎一半的人不知道自己的号码为何被盗，还有的人甚至不知道什么是“木马”病毒。相关专家建议，如果经常使用网络账号，一定要在电脑里安装杀毒软件，定期清除“木马”病毒，经常打补丁。此外，密码还要设置得复杂一些。

　　2006年年初，轰动一时的全国首宗盗卖QQ号码案一审宣判，广东省深圳市南山区人民法院认定QQ号并非刑法意义的财物，遂以侵犯通信自由罪而不是盗窃罪，分别判处曾某、杨某两名被告人拘役6个月。南山区人民法院认定，QQ号码是一种即时通信服务代码，其本质是一种网络服务，并且这种服务自申请QQ号码时起通常是免费的。

　　我国现行的法律法规和司法解释对“财物”的内涵和外延均有明确的界定，但尚未明文将QQ号码等网络账号纳入刑法保护的财产之列。

　　因此，深圳警方对这起案件的定性引起了许多法律专家的注意。有专家认为，QQ号不仅是一个简单的即时通讯工具，同时也能被售卖并为犯罪嫌疑人创造经济利益，应该被认定为财产性利益，盗取QQ号也应该被认定是一种盗窃行为。

　　现今，我国的“网民”数量已经超过1亿，网络上虚拟财产的数额更是超过上百亿元，甚至一些地下的虚拟财产交易市场都已经拥有较大规模，可国内却至今还没有明确的法律规范来保护这样庞大的资产，随着这起全国最大盗窃虚拟财产案的侦破，虚拟财产立法等问题必然会引起有关部门关注。