2009年6月9日,双色球开奖,广东深圳当期揽得5注单注661万一等奖,总额3305万元,要知道这可是在2009年,放在现在大概相当于一个亿吧。此消息立即轰动全国,然而,兑奖人却迟迟未能现身。一时间,中奖人不知自己中奖最终可能错过兑奖截止日期的猜测随之而出,人们纷纷对此感到可惜。
然而,随后剧情的发展更加令人震惊,深圳警方发布消息称这起无人兑奖事件的背后竟然暗藏着一个惊天骗局:原来是一名黑客利用木马攻击,篡改了彩票数据库数据,制造了这起福彩3305万元巨奖的大骗局。随后,警方经过缜密侦查,于6月12日将犯罪嫌疑人程某抓获。
深圳福彩3305万犯罪嫌疑人程某
案件的经过详情是这样的:
一、起因:利用工作之便,获取内部信息,筹划诈骗计划。
程某为深圳市某技术公司的软件开发工程师,程某所在的公司长期与深圳福彩中心有业务合作,福彩中心内部的技术保障措施非常严谨,但是程某有着工作上的便利,可以接触福彩中心机房的某些主机。由于工作原因,程某对福彩中心内部的 络安全状况比较了解,再加上对福彩从摇奖、核对、中奖到领奖流程的熟悉,以及对中奖后一夜暴富的渴望,程某萌生了贪念。随后程某开始了利用木马,修改福彩中心数据,伪造中奖彩票进行诈骗的计划。
二、诈骗计划开始,制作免杀木马
由于不可能直接操作福彩中心计算机机房中的销售数据库服务器,即使因工作需要能够接触到福彩中心 络中的一台专用主机,时间也是极为短暂的。因此,程某必须采用木马进行作案,通过木马入侵深圳福彩中心计算机 络,远程控制修改销售数据库服务器上的中奖数据。
在 络上各种木马后门程序满天飞,程某从 上下载了隐蔽性极强的远程控制木马程序,并对其源代码进行了修改和功能增强。
程某利用该木马程序生成了一个木马服务器端文件,这个木马文件只有仅仅130KB,但是具备了强大的远程控制功能,而且还可以记录键盘密码,在程某入侵福彩中心的销售数据库服务器时齐了很大的作用。
程某早已得知深圳福彩中心计算机 络中安装的大多是瑞星杀毒软件,于是专门针对瑞星进行了免杀,程某为木马加了一个免杀的加密壳,并使用移动PE文件头和修改区段,以及输入表导入函数的方法,实现了瑞星软件的文件与内存免杀。此外,程某还特别使用了360等多款软件进行查杀检测,确保木马不会被查杀。
三、实现木马自动运行,趁工作之际,实现悄悄植入
如何将精心制作的木马植入福彩中心的计算机呢?虽然程某可以接触到福彩中心的一台电脑,但由于工作的原因,他并没有太多机会直接操作那台电脑。而且在程某工作时,福彩中心的工作人员也在一旁,程某没有机会植入木马。于是,程某想出了一个非常巧妙的木马运行方法,他决定利用自己的U盘制作一个autorun的自动运行木马。只要U盘一插入某台电脑中,木马就会自动运行。
经过一段时间的等待,程某终于等到了一次到福彩中心维护软件的机会,在与工作人员交谈的过程中,程某借助身体的遮盖,悄悄将自己那个只有拇指大小的U盘插入到身边一台电脑机箱的前置usb接口上。过了不到10秒钟,程某再次悄悄的将U盘取下来,这一过程非常隐蔽和短暂,工作人员根本没有察觉到。程某相信,木马已经悄悄运行了。
从福彩中心返回后,程某在自己的电脑上打开了木马客户端程序,等待福彩中心运行了木马的电脑上线。然而过了几天,也没见到任何反应。福彩中心被植入木马的电脑不可能一直未开机联 ,唯一的可能性是木马未自动执行,看来福彩中心的电脑安全性不错,禁用了U盘之类移动存储设备的自动运行功能。
过了几周,程某终于又等到了一次机会。这次在福彩中心维护软件时,恰巧有个工作人员在工作时不小心删除了一个数据文件,正着急如何恢复。程某自告奋勇帮助其恢复文件,由于有长期的业务合作,福彩中心的工作人员对程某并没有太多的戒心。当程某说恢复数据文件要用到自己U盘上一个数据恢复软件时,该员工也未阻止程某将U盘插在电脑usb接口上。在恢复数据文件的过程中,程某悄悄运行了保存在U盘上的木马,没有任何人察觉到程某行为,一切如计划般完美实现。
四、继续内 渗透,逐步扩大权限,控制数据库
程某回去后,打开客户端,等待片刻后,肉鸡终于上线了,福彩中心那台电脑已经完全被程某控制在手中。
然后在程某打算利用这台电脑作为跳板,入侵机房中的销售数据库服务器时发现,该台电脑只处在一个 络访问权限极低的子 段中,无法访问其他 段。于是程某又开始想新的办法。考虑到在福彩中心常常需要复制传输一些数据,移动硬盘,U盘等的使用频率很高,程某决定制作出感染性的病毒,让病毒通过复制文件时传播到整个 络中的其他主机上,再远程控制感染病毒的主机。
程某编写了一个感染型的下载者病毒,该病毒具备U盘传播功能,将该病毒在远程主机上运行后,很快感染了主机上的重要文件,并通过共享、U盘等各种渠道在福彩中心的局域 中进行传播。福彩中心工作人员在日常工作中,使用 络共享、U盘等进行数据文件传输时,不经意间感染了很多主机。几天过去了,程某重要控制了福彩中心计算机 络中一台很重要的主机。程某查看该主机的登陆信息,发现 络管理员常常在这台主机上操作,远程登陆维护服务器。于是程某开启了木马的键盘记录功能,开始监控记录管理员的各种密码信息。
很快程某就得到了福彩中心销售数据库的登陆地址,管理员账 、密码信息。随后通过远程终端功能登陆数据库服务器,并在该服务器上安装了新的木马,直接控制了该主机。
五、篡改中奖彩票数据,企图冒领巨奖,最终难逃法
2009年6月9日晚,双色球2009066期开奖后,程某利用数据库服务器上的木马程序将他购买的彩票数据修改为一等奖的数据。程某原打算在木马程序将其购买的彩票数据修改为一等奖后,再伪造一张彩票兑奖,但假彩票至其被抓获时,还没有来得及制作完成。
程某之所以被抓,主要还是因为他并未完全了解福彩的备份校验机制。事实上福彩中心在摇奖结束后,会从封期状态的数据库中导出数据文件进行中奖数据检索,如果后期被修改,程序会 错,福彩中心随后对上传中彩中心的数据备份文件进行对比校验后,发现备份数据中该彩票的投注 码并非中奖 码,因此判断有人非法入侵深圳福彩中心销售系统,篡改该张彩票数据记录,人为制造一等奖。随后彩票中心向警方 案。
经过警方初步调查发现,这是一起企图利用计算机 络信息系统技术诈骗彩票奖金的案件,所涉金额巨大,性质恶劣。经过 警支队的数字调查取证,逐步发现内部人员作案的可能性较大,结合时间节点,以及被修改彩票信息,调取录像等方式,多手段综合研判,最终确定作案人为程某。随后迅速实施布控,于6月12日下午,将犯罪嫌疑人程某抓获。
整个案件的经过就是这样,其实程某的技术手段在小编看来并不高明,仅仅是利用了木马以及少量内 渗透的技术,但却险些造成巨大的损失,可见人防比技防更为重要。小编对 络安全技术略有研究,会坚持更新此类文章,大家对这方面感兴趣或有什么疑问的,欢迎留言评论和私信小编。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!