未备案、没防护,这家金融公司在网上“裸奔”一年终于等来了黑客

2020-07-18 00:00:24 作者: 未备案、没防

7月17日,浦东公安分局通报一起非法入侵公司网络系统实施盗窃案。

2020年6月1日14时,浦东警方接到陆家嘴环路上一家公司报案称,5月30日至31日期间,该公司自主研发的“代付系统”遭到非法入侵,并向该公司所属银行账户发出汇款指令,先后向7个银行账户汇款共计人民币730万余元。

草台班子一夜盗走730余万元

案发后,浦东公安分局反诈打击专班即会网安支队、陆家嘴公安处等相关单位成立专案组,开展案件侦查工作。

在该公司服务器系统后台日志中,警方发现了外来入侵痕迹,通过数据梳理确认共有国内外三个IP地址对“代付系统”进行入侵。对方通过破译管理平台用户名及密码、下载客户数据、破解“代付系统”客户端平台、修改用于验证支付的手机号码及支付密码等操作掌控了资金流转权限,随后发送代付指令,从账户中盗走730万余元钱款。

通过追踪收款账号提现情况,警方顺藤摸瓜,确认金某某等4人专门负责提供账户并实施转款、取现,龙某某负责实施“黑客”入侵,张某、周某负责网上洗钱。6月5日,专案组果断开展集中收网行动,先后抓获龙某某、金某某、张某、周某等10名犯罪嫌疑人。

到案后,龙某某交代自己系无业人员,但平日喜好网络技术。5月31日凌晨,龙某某在网上收到一个名叫“张飞”提供的受害公司的账号密码,便对该公司后台进行窥探并尝试上传木马病毒控制网站。在成功登陆该公司“代付系统”后,龙某某向“张飞”提供了登陆系统客户端的“后门”。

犯罪嫌疑人金某某等人交代,有一个叫做“阿强”的人联系金某某,并索要多个私人银行账号供自己使用,承诺给予一定好处。5月31日,金某某在取现后,抽取5万余元“好处费”后,将余下的185万元现金藏匿并等候下一步指令。而犯罪嫌疑人张某、周某则表示,按照“阿强”的指令,将收到的钱款用于购买虚拟币,并通过网络转给了“阿强”。

随后警方根据掌握的信息,再一次开展大规模对比排摸,最终锁定“阿强”、“张飞”及其他相关人员信息,于6月19日将主犯刘某某等4名犯罪嫌疑人一举擒获。目前,警方已在犯罪嫌疑人金某某父亲处缴获现金155万元,上述14人及金某某父亲共15名犯罪嫌疑人已被浦东警方抓获,案件正在进一步侦查中。

代付公司“裸奔”一年等来黑客

据办案警察介绍,这个团伙平时联系并不紧密,属于临时搭建的“草台班子”。他们之所以能够盗走巨款,和受害公司对网络安全不重视有很大关系。

案发后,警方第一时间梳理受害公司情况,发现该公司虽然支付操作需与手机号绑定接收验证码,但并没有采用有字母、数字、符号相互交叉的相对复杂和难于破解的强密码,而直接沿用了系统默认的账户密码。正是考虑到该公司防护措施过于简陋,警方才会第一时间锁定是外部入侵导致该案发生。

检视服务器系统后,警方根据线索继续开展调查,同时一再叮嘱该公司管理人员要立即修改账户密码,还要记得及时升级更新系统,强调系统本身及用户错误使用导致的漏洞也常常会被黑客破译或挖掘渗透,只有及时堵住漏洞,防火墙、入侵防御系统等组成的计算机防御系统才能发挥应有的作用。

浦东公安分局网安支队中队长申屠柳焱表示,根据《计算机信息网络国际联网安全保护管理办法》第十二条规定:互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式连通之日起三十日内,到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。

然而,这家代付公司成立一年时间内,始终按规定到所在地公安机关进行备案。没有备案,公安机关也就无从检测可能遭遇的种种风险。

此外,该代付公司服务器没有购买任何防护服务,申屠柳焱表示,这几乎等于在网上“裸奔”了一年,迟早会被不法分子盯上。

在查案过程中,警方还发现这家公司没有严格落实日志流程,给警方办案造成一定的阻碍。

代付公司的疏忽大意,很大程度上导致了此次盗窃案的发生。对此,警方提醒广大市民,密码如今已近深入人们的日常生活,企业单位更是离不开“密码”二字,很多单位和个人为图省事,往往喜欢采用“12345”、“生日”、“电话”等简单数字作为常用密码。殊不知,这样做虽然避免了自己忘记密码带来的麻烦,却为不法之徒提供了可乘之机。上述案例中受害公司账户密码皆采用了默认设置,于是便被对方直接给“猜”了出来,希望广大市民群众及公司单位引以为戒,尽量使用“字母+数字+特殊符号”形成的高强度密码,切实加强防护意识。

作者:何易 周辰

图源:上海警方供图编辑:王翔责任编辑:顾一琼