网络奇才变身网银大盗 通过银行网络漏洞盗走近60万元,被抓后支招银行防盗
□记者韩景玮通讯员李建南文记者许俊文图
阅读提示
作为一个在校学生,王文苑(化名)的经历足够传奇。因自幼酷爱电脑网络,在校期间,他就开始开公司做软件业务,并先后开发多项国家级重要软件。由于为网民提供了大量前沿、便捷、智能化服务,他和他的网站也迅速有了不小的知名度,其网站刚运营就被业界高价求购。尽管还没毕业,他两年就收入了约40万元,并有了属于自己的房产。
但因为过于痴迷软件研发,王文苑迷上了查找其他网络漏洞的癖好,他在无意中找到了一家银行的网络漏洞,并轻松进入这家银行资金管理系统,面对成千上万储户的资金,王文苑道德底线崩溃,最终通过网上银行,将多名储户的近60万元现金划入自己账户。
5月18日,记者在省豫北监狱采访时得知,直到王文苑落入法网,银行仍不明白王是如何进入其银行系统盗窃的,银行总部还请王向银行讲解其破解银行漏洞的过程。王还通过监狱干警向银行提出如何防范黑客入侵的防盗建议。
因为表现好,近日,王文苑被减刑1年零3个月。
尚未毕业已是网络骄子
“王文苑现在是个大忙人”,5月18日,听说记者采访王文苑时,时任河南省豫北监狱教育监区管教干事的王晓冬说:王文苑如今和刚入监狱时已判若两人,目前改造很积极,不仅承担着监狱内的电脑排版工作,还利用自己的软件特长,积极为监狱系统开发各种管理软件。目前,王正在为省政府某部门开发一高端软件。由于表现好,今年5月7日,王文苑刚刚被减了1年零3个月的刑。
眼前的王文苑穿着囚服、戴着眼镜,显得文气而清秀。王文苑生于1983年11月14日,家住河南省鲁山县。入狱前,王是北方工业大学经济管理学院学生。据王文苑透露,他生在一个知识分子家庭,从9岁就开始接触并喜欢上玩电脑,学习成绩也一直很好,2001年,他以优异的成绩考上了北方工业大学。在大学,他学的是经济管理专业,但由于酷爱电脑,他又另外选修了电脑专业。
入校第一年,他学习非常刻苦,学业进步也非常快,尤其是对电脑软件钻研,更是到了入迷地步。上大二时,他开始尝试利用业余时间开公司,进行软件研发。他接手的第一个项目是为一家公司设计报名管理软件,他只用了3天时间,就把软件交到了客户手中。当接到第一笔1000多元的酬金时,王文苑的内心十分激动。钱虽然不多,却是他有生以来挣到的第一笔钱。那年他还未满19岁。
高兴之余,也更增强了他在软件开发方面的信心。随后,他又为北京某文化教育公司开发出了“新闻采编”软件。这次他挣了数千元。
2003年,他为某“足彩”公司开发出“彩票缩水”软件。该软件可以帮助彩票选注人员将不可能中彩的彩票号码排除掉,从而降低投注成本,提高命中率。
2004年,他参与了中国标准化管理委员会“全国产品与服务统一代码赋码”软件系统的开发,这次他独自开发出湖南省数据采集的子系统软件。2005年,他参加了北京某公司孵化基地的“异地协同设计”软件开发。此软件属国家“863”计划的一项内容。该软件可以为异地工作者建立一个移动设计平台。
随着参与软件开发次数的增多,他的软件开发经验得到了快速积累,开发能力有了迅猛提高,收入也迅速上升。2002年,他的收入只有几千元,2003年已经是万元以上,2004他挣了近10万元,2005年则有20多万元。两年多时间,他在软件开发上的收入已有40万元左右。这期间,他不但实现了生活自理,而且利用自己的收入购置了商品房。这对于一个尚在求学阶段的大学生来说,已十分不易。
参与软件开发过程中,由于经常接触网络,王文苑又迷上了网站建设,他于2005年建起了自己的网站。有了自己的网站后,他便利用会软件开发这一优势,开发出一种专门软件,以对网上有效文章进行收集,并对重复文章进行智能化筛选,以便网民更加快捷地查询相关信息。由于为网民们提供了大量前沿、便捷、智能化的服务,他和网站的也迅速有了不小的知名度。当时,在网上投票“你认为对互联网应用未来影响最大的人物”是谁的调查问卷中,他的名字高票入选。其间,曾有人提出以20多万元的价格收购他的网站,但他考虑到网站耗费了大量心血,一直舍不得出手。在网站开办一个月内,网站便在全球数千万网站中排序到7万名。为此,他曾被邀请参加由北京中关村某公司举办的“美国风险投资见面会”,会议内容主要是对“搜索引擎”等10多个高科技项目进行研讨。
小小年纪,他已成为小有名气的网络奇才。
一不留神成了网络黑客
由于痴迷软件开发,精通网络知识,王文苑养成了查找网络漏洞的癖好。这本来纯属一种个人爱好,其目的是想通过查找别人网络上的漏洞,学习对方的软件功能,提高自己的软件开发能力。他常常会很容易地进入一些大单位的系统,并能很轻松地找到对方的网络漏洞,他通过这些漏洞编设程序,最终轻松自如地进入别人和其他单位的私人空间。然而,正是他这种不以为然的爱好让他走上了犯罪道路。
2006年5月的一天,他在家中上网时,试着对某银行一家支行的网络进行搜索时,无意中发现对方的网络系统存在漏洞。于是,他便试着进入系统,没想到竟取得了成功。随后,他忽然产生了一个奇妙的想法,那就是编设程序,进一步进入该行的资金管理系统。他知道如果进入了该系统,则无异于走进一座天然宝库,因为那里有着亿万储户资金,可让他随意支取。他觉得自己无意中找到了一个一夜暴富的途径,他为此异常激动。
但他也深知这样做的后果,在他犹豫了一个月后,最终在欲望的冲动下,利用这家银行的漏洞,编设程序,再次非法侵入银行的网络服务器,在获取部分银行客户信息后,于2006年5月23日,在网吧内,假冒“王冰”的名字,在该银行开设借记卡账户,并于同年5月24日至5月28日间,先后通过该银行转账系统,将客户肖某、徐某、杜某账户内存款共59.9万元划入“王冰”的账户内。他将现款提走后,购买了20多万元的金砖。
但最终纸包不住火。案发后,王被警方逮捕。因涉嫌盗窃罪,2006年12月底,王文苑被北京西城区人民法院判处有期徒刑13年。
而这时候,他刚刚答辩完毕业论文,即将走出大学校门的他,没想到因一念之差走进了高墙。
2007年2月12日,王文苑进入位于新乡市的河南省豫北监狱服刑。从天之骄子沦为阶下囚,刚入监狱时,王文苑的情绪极为低落,从不愿和人讲话,也不愿参加任何公共活动。后经过监狱干警的积极帮教,王文苑终于化解了心中的疙瘩,开始积极投入改造中来。
悔不当初支招银行防盗
据管教干警透露,根据北京警方的调查,王文苑是建国以来利用网络窃取银行资金的第二人。案发后,这家银行总行还专门请他到银行为该行网络与财务管理人员讲解其作案手法和经过,以查找网络缺陷,堵塞漏洞。
王文苑告诉记者,其实,进入银行系统后,他完全可以从银行客户账户中划走更多的资金,但最终因为害怕,他没有深入实施犯罪。如今他在改过自新的同时,尽量利用自己的软件知识,为社会做些力所能及的贡献。但他至今仍对银行系统存在的漏洞感到不可思议。很多漏洞本来是可以避免的,但往往因为银行的疏忽和大意,导致银行的网络系统存在多种漏洞,给类似他这样的黑客可乘之机。他给记者列举了两家银行存在的漏洞,说这些漏洞都是可以避免出现的。
他告诉记者,银行完全可以通过以下手段防范漏洞,以免给银行客户造成损失:
银行系统最好专机专用,特别注意不要把核心业务服务与其他服务放在一起,以免有人利用其他服务程序的漏洞渗透进入核心业务系统;
只在服务器内开启和业务相关的程序;
物理服务器上运行的应用服务器软件和数据库服务器软件最好不要用超级权限,以免当一个系统被入侵后,造成整个物理服务器被完全控制,留下极难侦测出来的内核级后门程序;
在审计(Audit)系统的基础上完善预警机制,在较低层次实现当出现异常数据包时,服务器可以用各种办法立即通知IT人员及管理人员的功能;
使用硬件防火墙,因为当取得超级权限后,软件防火墙可能被完全绕过;
在服务器上避免用主流软件,原因并不是主流软件安全性差,而是很多人都在用主流软件,容易成为众矢之的。
王文苑服刑期间表现积极,获得减刑。
|