江苏省淮安市侦破蔡某等人非法获取苹果ID案

1、江苏省淮安市侦破蔡某等人特大非法获取苹果ID案前言：苹果手机，号称最安全的手机，它有着华丽的外形，有着丰富多彩的应用，iphone可以改变你的一切，这些都是网友对苹果手机的评价。突然，你的苹果手机变成一块“砖头”，进入自己的手机系统需要和“专业解锁团队”联系，缴纳500元的费用后，对方才给你解锁。一个依附于苹果iOS系统的违法犯罪产业链呈现在我们面前，从业人员多达千余人，违法犯罪产业化、集团化、智能化，严重损害了“果粉”的利益。一、案件来源2015年8月底，受害人吴某报案称其苹果手机被锁定，联系手机屏幕上留下的QQ号码后，要求支付500元为其解锁。吴某给嫌疑人提供的支付宝转账了500元，手机被

2、解锁。案发后，淮安市公安局网安支队高度重视，联合立案的洪泽县公安局，抽调精干警力成立“8.31专案组”，本着“保民生、摧网络、打黑产”的思路，全力侦破此案。案件侦办过程中，专案组向市局主要领导作了专门汇报，并多次向省厅网安总队、部十一局进行了专题汇报，取得了公安部、省厅的大力支持。 二、侦破经过 （一）立足现场、细致勘验、还原作案过程一个案件的成功侦破，首先需要还原它的作案过程。那么吴某的这部手机是如何被锁定的呢？犯罪嫌疑人用绑定手机的苹果ID账号、密码登录icloud官网，（iCloud是苹果公司所提供的云端服务，使用者可以免费储存5GB的资料。 可以备份存放照片、音乐、通讯录、短信、文档等

3、内容，在你需要的时候以无线方式将他们推送到你的设备上）。同时，ICLOUD官网里还有一个“查找我的IPHONE”功能，在启动“丢失模式”后，就可以远程锁定该部手机。敲诈勒索嫌疑人便是利用该功能远程锁定了受害人的苹果手机。但是嫌疑人又是如何获取受害人的苹果ID账号、密码的？细心的侦查人员发现受害人的苹果账号是QQ邮箱注册绑定的，猫腻就在QQ邮箱内。受害人曾读取邮箱内的一封邮件，并登录了邮件内仿冒的ICLOUD官网钓鱼网站后，嫌疑人获取了苹果ID的帐号、密码，再通过上面演示的过程锁定了受害人手机，并留下联系QQ，要求受害人与该QQ联系解锁，实施敲诈行为。那么我们的苹果ID被盗后，会有哪些后果呢?除

4、了被锁定之外， 1、你可以随时被定位。进入“查找我的IPHONE”就可以实时显示你的位置。2、备份在云端的通讯录泄漏。3、备份在云端的照片泄漏。4、备份在云端的备忘录泄漏。5、远程抹掉手机上的数据。6、更换你绑定手机的苹果ID。在更换了绑定ID之后，手机的主人就完全丧失了网上的控制权。（二）深入研判、技术突破、牵出始作俑者专案组一方面对敲诈嫌疑人开展工作，明确了犯罪嫌疑人刘某。另一方面，针对受害人邮箱中的钓鱼网址，深入研判，技术攻坚，明确了网站的所有人为犯罪嫌疑人杨某，刘某获取的受害人的苹果ID很有可能是从杨某处购得。同时发现该钓鱼网站源码系从“紫缘管理系统”网站租用。 “紫缘管理系统”是钓鱼

5、网站架设的总后台，网站上的用户均是钓鱼网站的租用者，“紫缘管理系统”的架设人即为该黑产金字塔的顶端，如何查明这个人或团伙，成为了工作的关键点。专案组围绕信息流和资金流开展拉网式侦查。侦查人员发现“紫缘管理系统”已经实现了无人智能化、一条龙的建站模式。需要租用钓鱼网站的犯罪嫌疑人在缴纳费用(650-1000元/月)后，首先申请一个域名和一个服务器空间，然后自助下载网站的源程序，并在“紫缘管理系统”中绑定服务器的IP，然后根据提示加入一个QQ群，群内有机器人QQ给不太懂架设网站的人提供详细的教程。等服务到期后，自动关闭服务器、踢出QQ群。自始至终没有暴露出“紫缘管理系统”作者的任何行踪。侦查人员从

6、资金流出发，发现收款的支付宝注册人为香港人林某（女），而且违法犯罪所得大部分在香港提现。案件陷入了僵局。侦查人员通过调取在国内取款的监控录像发现，取款的为一男子，并非林某。在查询林某每次通过口岸的同行人员中，广东汕尾人蔡某和取款人员极为相似，具有重大嫌疑。（三）统一指挥、首批抓捕、擒获主犯2015年9月15日，在指挥部的统一指挥下，在南京、昆山网安的大力协助下，抓获敲诈犯罪嫌疑人刘某，钓鱼网站租用人杨某、张某。经查，刘某从杨某处购买苹果ID账号、密码200余组，用锁定受害人苹果手机的手段敲诈共计100余人，非法获利八万余元。杨某、张某从QQ好友“果粉”处获取苹果帐号（被盗或者丢失手机原来绑定的

7、账号，这些手机都被原机主锁定，需要解锁后出售），利用邮件群发机向目标苹果帐号的绑定邮箱发送钓鱼邮件，诱骗原机主登录，再通过窃取的帐号密码登录ICLOUD官网，取消账号绑定，解锁这些脏机后向苹果帐号提供者收费。这些苹果ID解锁过脏机后，很有可能还绑定苹果ID主人的其他苹果设备，因此这些苹果ID就产生了新的价值，杨某、张某将非法获取的帐号、密码信息销售给刘某这样的敲诈者，产生二次利润。两人共获取苹果帐号密码1400余组，非法获利四十万余元。9月26日，在广东警方的大力支持下，蔡某从香港返回国内时，在口岸被成功抓获。经查， 初中毕业的蔡某2014年5月份开发“紫缘管理系统”网站，该系统先后提供了IC

8、LOUD、OUTLOOK、QQ炫舞游戏、QQ邮箱、QQ安全中心等几种钓鱼模板，他人在租用钓鱼网站后，用于盗取苹果ID、QQ号、OUTLOOK的账号、密码、密保等资料。据平台数据统计，该平台先后租用用户多达3000人，非法获取各种数据多达300余万条，其中苹果ID数据80%、QQ数据19%、其他1%。蔡某非法获利达100余万元。（四）围绕平台、数据取证、扩线打黑产专案组对“紫缘管理系统”涉案数据进行提取、固定。同时，对租用钓鱼平台用户进行梳理，研判。10月，专案组成立五个抓捕组，赶赴浙江、河南、四川等地开展集中抓捕工作，在当地警方的大力协助下，成功抓获租用钓鱼网站用户张某、夏某、赵某、安某、周某

9、。5名犯罪嫌疑人共获取苹果ID 账号、密码9600余组，非法获利共达80余万元。11月19日，在深圳警方的大力协助下，专案组抓获 “果粉”郭某，其在华强北市场低价、大量收购丢失和被盗抢等来路不明的苹果手机。然后通过QQ好友根据手机串号查询到绑定的苹果ID。郭某一边自己利用“紫缘管理系统”钓取原手机机主的ID和密码，一边将部分ID发给杨某、张某钓取，后将手机解锁后高价进行贩卖。同时现场缴获待解锁的苹果手机300余部。至此整个黑色产业链全部被摧毁。三、案件规律专案组经过近两个月的缜密侦查，成功破获蔡某等人非法获取苹果手机ID案，摧毁了从收售二手苹果手机到钓鱼平台制作者、租用平台进行钓鱼再到敲诈勒索

10、的整个犯罪产业链，捣毁了国内目前最大的钓取苹果ID平台“紫缘管理系统”,抓获犯罪嫌疑人10人,涉案金额2000余万。从目前掌握的情况看，该案中黑色产业链条共分为五类：第一类为钓鱼网站开发者，通过向他人提供钓鱼网站程序、服务器空间、域名注册获利。第二类为钓鱼网站使用者，此类人员在注册成为钓鱼网站用户后，搭建钓鱼网站，通过向受害人发送钓鱼链接获取受害人的苹果设备ID帐号及密码。再将帐号密码销售给需解锁手机人员以及敲诈勒索人员获利。第三类为敲诈勒索人员，该类人员在从钓鱼网站使用者处获取到苹果ID帐号密码后，登录icloud官网，远程锁定受害人正在使用的苹果设备，使其无法正常使用后实施敲诈勒索获利。第

11、四类为二手机收售人员。该类人员将低价收购锁屏手机的苹果帐号发送给钓鱼网站使用者，解锁后高价出售手机获利。从审查情况来看，该类人员虽自称二手机销售者，但如果是正常途径获取的二手机，是不需要通过钓鱼的方式获取苹果ID账号、密码的。因此这些手机是遗失和被盗抢的手机。此类人员背后应该是一个涉及全国的被盗苹果设备销赃的产业链条。第五类为提供苹果ID查询的人员，该类人员能使用苹果设备的串号通过相关人员获取到该设备对应的苹果ID帐号。通过将此类信息销售给二手机收售人员获利。四、成功经验从普通的500元敲诈勒索案到特大非法获取苹果ID案，专案组做了大量的工作，打掉了整个犯罪产业链。能够破获此案，主要得益于自上

12、而下的打击方式，首先抓获了钓鱼平台制作者，根据平台会员为抓手，梳理出违法犯罪人员3000余人，彻底摧毁了整个产业链。办案中有以下三点体会:1、立案问题。单看每一起案件，都只能立治安案件，不构成刑事案件，敲诈勒索受害人都是300-500元之间，但300元的背后是一个硕大的犯罪产业链，首先要解决立案问题。办案人员立足本地公安内网开展案件串并工作，在我市又发现几起同类案件，经关键要素分析，为同一伙人所为，成功串并，为立案管辖及下一步打击奠定基础。2、案件定性问题。到案的犯罪产业链中十个犯罪嫌疑人中，涉及敲诈勒索、非法控制计算机系统、提供侵入、非法控制计算机信息系统程序、工具、非法获取计算机数据罪等行为。专案组多次和检、法沟通，最终和检法机关达成一致，分别对敲诈人以非法控制计算机信息系统罪、平台作者以提供侵入、非法控制计算机信息系统程序、工具罪、租用平台和收售二手机商以非法获取计算机数据罪起诉。3、电子取证问题。在该案中，电子证据起到极其重要的作用，专案组给每个抓捕组配备取证组，做到嫌疑人一到案，第一时间取证，保证数据的鲜活性、完整性。五、防范方法1、公共场合不要连接陌生WiFi。2、如果邮箱有邮件要求你输入苹果ID和密码时，一定要注意域名是否为官方网址。3、当使用苹果手机时，如果弹出“Apple ID已锁定”时，说明你已经中了木马。如果点击解锁账户，苹果ID即被窃取。遇此情