特约记者 孙文涛

　　为招揽客户，一些电商平台会选择给新注册用户发放优惠券或新人红包，而网上专人搜集各类优惠券和红包的行为被称为“薅羊毛”。想要“薅羊毛”，就要用新手机号进行注册，那么新号码从哪里来呢？有人将目光对准老年手机，通过植入木马，拦截验证码完成注册再去“薅羊毛”。

　　去年8月， 县公安局打掉一条“薅羊毛”黑色产业链，破获一起涉及全国31个省市570万多部手机的非法控制计算机案。近日，包括吴某在内的20多位嫌疑人被移送审查起诉。

　　外婆的手机收不到验证码？

　　去年8月12日，我县市民小朱在使用外婆手机时发现，手机收不到验证码短信。“试了很多次，还是收不到，我怀疑外婆的手机被人控制了。”当天，小朱向县公安局报警。

　　接警后，县公安局网安大队介入调查。大队民警对小朱外婆的手机进行现场测试，发现除无法收到验证码、密码之类的短信外，其余短信均能正常收发。

　　小朱外婆手机的“不正常”会不会只是个例呢？县网安部门迅速组织围绕涉案手机销售渠道展开调查，先后询问本地购买同款手机的37人，勘验手机25部，发现短信收发不正常的手机有15部。之后，民警对手机里的木马程序进行司法鉴定，发现手机主板被植入特殊的木马程序，能把需要的短消息上传至服务器。

　　那么，究竟是谁在这些老年机里植入木马程序？拦截含有验证码的短信有什么用途？被植入木马程序的手机到底有多少部？鉴于案情重大，绍兴、新昌两级公安机关成立由网安部门牵头的“2019.8.12”侵犯公民信息专案组，全力展开侦查。

　　500多万部手机被控制

　　专案组民警首先围绕验证码短信发去哪里展开调查，集合话单分析后，民警发现用于接收回传短信的是深圳的一个手机号码。围绕这个号码进行深挖后，犯罪嫌疑人吴某和卢某进入民警视线，并最终确认该团伙在深圳市南山区一园区内的办公地点。

　　2019年8月29日，专案组抽调30名警力在深圳开展第一轮抓捕行动。在此次抓捕行动中，民警起获大量后台服务器数据和与上下游链条交易合同。

　　经查，以犯罪嫌疑人吴某为总经理的这家公司，制作可以控制手机、识别拦截短信的木马程序，并与主板生产商合作，将木马程序植入手机主板中。“被植入木马程序激活的手机有500多万部，涉及功能机型号4500多种，受害者遍布全国31个省、直辖市、自治区。”办案民警说。

　　随后，专案组民警顺藤摸瓜，在深圳抓获其中一个手机主板制造商，现场查获大量植入木马程序的手机主板。又先后在厦门、杭州抓获利用非法购买公民个人手机号和验证码进行“薅羊毛”的嫌疑人14人。

　　同时，专案组通过公安部发起“2019净网行动”集群战役，对下游非法买卖手机号、验证码等公民信息进行“薅羊毛”的黑灰产业链进行全产业链打击。

　　犯罪分子是如何“薅羊毛”的？

　　对案件进行梳理后，民警发现，该案制作的木马主要针对老年机、儿童电话手表等功能机，而使用此两类功能机的机主相对不会关注短信验证类信息。此前，该团伙尝试针对智能机种植木马，但由于智能机使用人群范围比较广，很快会因为收不到短信而投诉，于是他们终止智能机业务。

　　那么，手机主板是如何被植入木马程序的？犯罪分子又是怎么“薅羊毛”的呢？

　　据介绍，被做了手脚的手机，只要插入电话卡，主板里的木马程序就会运行，并向后台发送短信，犯罪团伙就可以实时对这部手机进行控制。

　　犯罪嫌疑人吴某是专门负责木马病毒和对码平台的搭建。犯罪嫌疑人邓某是一家手机主板生产厂家的技术负责人，他们把吴某提供的木马病毒嵌入手机主板后，销售给手机生产商。民警介绍，厂家生产一块老年机主板只有几毛钱的利润，但安装木马程序后，厂家可以拿到三倍的利益。

　　在这条黑色产业链上，木马制作公司的下游包括对码、接码、“薅羊毛”环节。吴某团伙利用木马程序获取的手机号、验证码就流向这三个环节。对码平台，是手机号和验证码的接收平台，他们要确保每个验证码和对应的手机号相一致；接码平台相当于二级批发商，他们从吴某公司的对码平台获得手机号和验证码，然后再通过QQ群销售给“薅羊毛”的团伙或个人。这些人在购买手机号和验证码后，注册电商平台获取新人红包，这就是最后的“薅羊毛”环节。