“如果把用戶的QQ信息比作一頭牛，各層轉賣者就像一條流水線，牛在流水線上被依次剝皮去肉，最后剩下的骨頭也被充分利用。”2012年12月10日上午，江蘇省常州市公安局網絡安全支隊(以下簡稱常州網安支隊)第三大隊副大隊長瞿俊告訴記者?；钴S用戶超過7億的網絡聊天工具QQ早已成為黑客們的目標。近期，經過四個月的調查，常州市公安局破獲了一起利用“掠奪者”“Q幣大盜”“NewQ大盜”三款木馬軟件的盜號團伙。不到一年時間，數千萬個QQ號被盜，盜號量占全國被盜QQ號總數的90%，造成數百萬用戶4000多萬元的財產損失。

盜號拿“信”

近日，常州網安支隊接到了一起關于QQ被盜的報案，涉及160個Q幣。警方對受害人電腦進行電子勘驗，一款叫做“掠奪者”的木馬程序被發現。這款程序不僅能盜取QQ密碼，而且還能避開騰訊公司的驗證系統而對Q幣進行轉移。與此同時，網安支隊又接到了另外一起通過QQ進行詐騙的報案，在受害人的電腦中發現了一款叫做“Q幣大盜”的木馬程序。木馬所指向的服務器成為唯一的破案線索。

涉案服務器的注冊地位于南通市，而他的租用者卻遠在天津，訪問過該服務器的IP地址則遍布全國各地。專案組陸續鎖定了15個省(市、區)，31名犯罪嫌疑人。其中包括掌握著“掠奪者”“Q幣大盜”“NewQ大盜”三款木馬的犯罪嫌疑人。

27歲的于闊是“Q幣大盜”的總代理，2012年年初，于闊從同行“帥公子”即“掠奪者”木馬的控制者鈕華建手中拿到了這款木馬樣本。經破解，該木馬可以將“信”直接發到他的服務器上。按于闊的話說，“這款馬非常好用，兼容性強，信也很穩定。”

“信”是QQ盜號行業的術語，一組QQ用戶名和密碼稱為一個“信”。而批量傳送給黑客信息在圈內叫做“信封”，根據產品不同分為“裝備信封”“QQ信封”等等。通過黑客工具，將信里面有價值的信息(QQ靚號，QQ幣，有價值的游戲裝備等)篩選出來的過程稱為“洗信”。

據了解，一部分這類木馬來自技術交流論壇，一些技術高手會在論壇上炫耀自己的技術能力，而這時一些盜號團伙就會把這個源文件進行破解后為己所用。而更多的時候，是在警方端掉一個盜號團伙后，他們直接將沒人控制的木馬重新破譯據為己有。

“掠奪者”木馬的操控者鈕華建就是在今年年初，看到之前的盜號團伙被警方端掉后，找人破譯了無人操控的“掠奪者”木馬，自己一步步發展起來。

洗“信”牟利

當“掠奪者”等木馬盜取海量QQ號碼后，于闊、鈕華建這些總代理就會將號碼分批賣給下線的“洗信工作室”。

騰訊公司安全中心在2012年7月發布的《QQ盜號產業鏈分析和應對》報告指出，QQ盜號的黑色產業已經呈現集團化及行業細化的特征。

常州網安支隊第三大隊副大隊長瞿俊說，現在只要會使用QQ的人基本就可以成立一個洗信工作室。他們可以從總代理那里直接買“信”，然后將“信”中有價值的Q幣、游戲幣轉移出來，通過“5173”“淘寶”等交易平臺變現，就可以完成牟利過程。

于闊對記者說，一般一萬個信會賣1000塊錢，但這些信是可以重復售賣的。第一步先是洗“Q幣”，在支付一定報酬后，于闊會把存有海量信的服務器密碼轉給第一級“洗信人”。讓他們在規定時間內把里面Q幣全部轉到一個指定賬號，洗過Q幣以后，于闊會同樣再把“箱子”交給下一級的“洗信人”，由他們在規定的時間內，把游戲裝備、游戲積分、游戲賬號以及游戲幣等凡是能兌換成錢的游戲財物轉走，存入固定賬號。“箱子”里的賬號經過兩輪洗幣的賬號，還會交給下一級“洗信人”進行第三步剝削挑QQ靚號。

靚號被挑完后，于闊還會將“箱子”交給在海量QQ空間內植入廣告的團隊。瞿俊說，“于闊、鈕華建這個團伙每天能盜四五十萬個QQ號，半年下來就有數千萬個QQ號，其中大部分QQ網友開通了QQ空間，面對如此龐大的受眾群，這級"洗信人"把代理的各種游戲、色情等廣告放進空間，賺取高額推廣費不費吹灰之力。”

最后，被榨凈的QQ號還會賣給黑客用來編寫密碼詞典。黑客進行編譯、分析、比對后，從而對客戶網銀賬戶進行破解。在行業內，各個洗信工作室有各自的專攻項目，而且會非常“守信用”，絕不相互侵犯利益。

幕后“掛馬”人

對于闊、鈕華建這樣的總代理來說，擁有一款效果穩定的木馬和下級“洗信人”只是第一步，他們更需要將木馬植入到用戶的電腦中，才能真正獲得利益。因此掌握著大量網站資源的人被總代理們格外珍視，這些人在行業內被稱為“流量商”，即“掛馬”人。

瞿俊介紹說，流量商或者自己是網站的站長，或者與很多網站站長熟識，他們將病毒木馬掛在點擊率較高的網頁上，當用戶點擊到那些彈出窗口時，木馬病毒就“種”到了用戶的計算機上。“流量商就像黑老大一樣控制著我們。”在看守所中的于闊反反復復對記者說，“他讓我干什么，我就得干什么。”

于闊說，流量商會要求他到指定的人手中去買服務器，包括防火墻等一系列的東西。“如果不做，他馬上就把我的馬撤下來。”而且這些流量商在選擇合作的下線盜號總代理時，通常都會有非常苛刻的要求，于闊說，他們通常會要求總代理能夠提供幾種木馬的下載，同時還要保證馬的更新和免殺，而且還要有渠道能夠包銷所有的信。

瞿俊介紹說，這些流量商通常都具有一定的技術，如果某些網站不同意“掛馬”或者掛了別人的馬，流量商就會暴力攻擊這些網站的服務器，強迫網站接受掛馬。

在偵破過程中，專案組成員發現流量商是盜號整個流程中“旱澇保收”的一個環節，據了解，流量商根據IP流量對網站進行付費，1萬IP大約需要80元~120元人民幣，而流量商向總代理收費則是按信收費，1萬信800元~1000元不等。瞿俊說，“一般一個質量比較好的站，4萬左右的流量就可以拿到1萬信。此次抓捕的一個流量商，封存賬號內就有280萬元。”

如今，在看守所里的于闊非常關心自己會受到什么樣的審判，同時也不斷地強調，“如果不抓住流量商，就不可能杜絕盜號，他們隨時可以找到替代我們的人。”