期货交易的“木马”黑客

孙康

2003年济南市公安局刑警支队破获全国首起黑客非法侵入他人网上期货交易账户、盗用资金、操纵期货交易价格案件，斩断了利用互联网络虚拟世界从事犯罪的黑手，是在新形势下与高科技犯罪的斗争中打的漂亮一仗。

黑 客 入 侵

2003年2月14日上午，齐鲁期货经纪有限公司客户杨某打电话到期货交易部，称自己的账户资金被他人盗用购入天然橡胶30吨。与此同时，厦门市某进出口有限公司负责人也打来电话，称网上交易系统被侵入，账面原有的橡胶合约全部被人平掉，以低于市价1000多点的价格开仓卖出天然橡胶650吨，被盗用资金超过千万元。齐鲁期货公司立刻按规定为杨某平仓，当日造成账面亏损达390万元，下午不得不关闭了所有用户的网上交易权限，致使期货业内一片恐慌。

这是国内期货业首次发生此类案件，几乎没有可供借鉴的侦破经验。专案组为了在短期内熟悉案情，加紧学习期货、计算机、互联网等方面的专业知识。有时为弄清期货交易流水情况，一份询问笔录侦查员就记了整整两天。经连续多个深夜的学习，侦查员们在案件定性方面达成了共识，对案件有了新的深层次的认识。

上海期货交易所提供的2月14日的对账单显示，犯罪分子操纵的交易共10余笔，从中获利的客户超过100家。通过仔细分析交易委托流水信息，又发现了犯罪嫌疑人操纵他人账户、盗用资金的互联网IP地址，系从北京市一家网吧申请，要从众多的上网记录中寻找线索无异于大海捞针，侦查工作一时陷入僵局。

峰 回 路 转

专案组在困难面前边学习、边分析，经过夜以继日的努力，终于完成了对10余宗涉案期货交易的100余名受益客户的细致分析、排查工作，并取得了重大进展，确定了几个重点嫌疑客户。同时，在北京市公安局网络监察处的大力配合下，对侦查获得的嫌疑网络系统网内登录与期货、证券相关网站的嫌疑用户进行了重点监控。

3月16日，侦查工作取得了重大突破。专案组经调查得知北京某期货经纪有限公司客户杨某军、陈某胜在2月14日均有获利，而此二人的经纪人均为赵某波，另根据监控显示，北京市西城区一互联网用户被发现登录期货相关网站，而此用户的联系人也是赵某波。两条线索在此交汇，犯罪嫌疑人终于浮出水面。

2003年3月17日下午，偵查员在北京市某期货经纪有限公司门前将赵某波抓获。经突审，赵某波对其犯罪事实供认不讳。通过对其暂住地进行搜查，查获其作案用的计算机，并在其硬盘上恢复出赵某波为破译他人账户及密码而个人编写“木马”程序——“期货精灵”。

“期 货 精 灵”

赵某波，男，25岁，北京市密云县人，2000年7月自北京市首都经济贸易大学统计系投资经济专业毕业后，一直从事期货、证券炒作。该赵平日酷爱计算机，自学掌握了高级的编程技术和丰富的网络知识，经常自己编制一些期货交易统计和其他方面的软件。2002年12月，赵某波代理杨某军、陈某胜两名客户的期货炒作业务，因战绩不佳亏损一万余元，账面亏空无法向客户交代，赵便萌生了编制黑客程序、窃取他人账户密码、利用大户的资金制造异常行情、自己从中渔利的恶念。在经济利益的驱动下，赵某波很快在家中电脑上完成了用来窃取他人账号、密码和网上交易系统配置文件的“木马”程序的制作和调试，并取名为“期货精灵”。

2003年1月底，赵某波来到北京一网吧，在国内几家著名的期货BBS论坛都发布了极具诱惑性的帖子，称只要下载附件中的“期货精灵”，便可方便快捷地登录国内著名期货网站、论坛和搜索引擎，功能强大。而实际上，一旦用户下载并安装这个仅有100K字节的小“精灵”，它便会自动在后台运行，修改用户微机设置，随时监控用户交易情况，盗取用户个人数据和信息，不定期的以邮件的形式发送到赵某波注册的邮箱中。即使用户点击弹出菜单中的退出项，程序也仍在运行。

“期货精灵”共为赵某波窃取三十多名用户的重要信息，赵成功登录了十多名用户的帐户。赵某波选取了几个资金多、利用价值大的账户，于2月14日上午，在网吧利用假身份登记后，下载了交易系统、行情查看系统、在不同窗口打开需要操纵的客户，然后经过两次拉抬、打压“天胶”的价格达到了自己的目的，共盗用资金逾千万元，自己获利却不超过5万元，造成的损失无法估计。

此案线索主要来自互联网登录记录、通讯信息，取证的关键在于恢复其黑客程序和完整的网络记录。通过对互联网登录记录的分析，缩小了侦查范围，明确了侦查方向。通过计算机技术手段，办案人员恢复出黑客源程序、窃取的信息记录及浏览记录，结合犯罪嫌疑人供述，能够证明其全部犯罪事实，形成了完整的证据链条。

链接

方琛团伙期货盗码案

2010年12月1日，上期所在对期货交易进行监控的过程中，发现客户谢某在不活跃期货合约上，与涂某等2个客户账户多次进行对敲，并在事后快速转账取现，疑似转移受害人账户资金，非法获利7502.4元。12月6日，监控又发现客户冯某与另一客户潘某账户在不活跃期货合约上对敲，盈利9304元。2011年1月13日，监控再次发现客户王某与客户王某某在不活跃期货合约上对敲，盈利19060元。

经调查，三起案件中的盈利方客户均处于失联状态，且都在长沙某营业部开户，而亏损方客户均否认进行过上述对敲交易，并一致表示账户被盗用了。调查组认为，三起案件操作手法相似，均选择同一品种的不活跃合约，在较短时间内完成对敲交易。盈利方客户完成对敲交易后即刻将保证金转移至银行账户，并迅速取款，从开始对敲交易到取款平均时间约为30分钟。

2011年1月该案件移送至证监会立案查处，随着调查的逐步深入，嫌疑人方某逐渐浮出水面。调查发现，2010年11月至2011年1月期间，嫌疑人方某利用“大白鲨”“波尔”等木马软件从多名投资者电脑中盗取了期货交易密码，并借用王某、冯某、谢某的身份证先后在长沙某期货营业部开立期货账户，利用期货远期合约不活跃的特点，在控制的期货账户与受害人账户之间多次对敲远期合约，致使实际控制账户盈利，受害人账户亏损，达到侵占他人期货保证金的目的。

本案中，嫌疑人方某等人利用木马软件盗取其他投资者的账户和密码，并通过对敲期货远期合约非法获利，是一种典型的盗码交易行为。所谓盗码交易是指行为人通过不同手段获取期货客户的账号和密码，利用不活跃合约，在自己账号和他人账号间进行方向相反、价格相同的期货合约对敲交易，通过高抛低吸方式转移账户内资金，以此盗取他人资金的行为。

在盗码案件中，违法犯罪嫌疑人往往通过不同手段获取期货客户的账号和密码，主要方式有：一是木马盗码，通过网站漏洞把盗号木马病毒挂上网站，达到窃取他人账号和密码的目的；二是偷窥盗码，即违法犯罪嫌疑人偷听客户谈话，或偷窥到客户记载的账号和密码；三是职务盗码，有些投资者会委托专业人员为其操作期货账户，在委托结束后并未修改密码，专业人员将账户密码泄露给他人。