犯罪嫌疑人制作的木马病毒（警方提供）

在美容整形医院网站上植入木马病毒，侵入服务器，盗取客户信息，层层转手后贩卖给其他美容整形医院，既侵犯公民个人隐私，又扰乱美容整形行业发展。武汉警方23日通报，一个这样的盗窃、贩卖美容整形医院客户信息的团伙近日被端掉，12名犯罪嫌疑人被抓获。

客户蹊跷流失 同行致电：你们客户资料是否泄露了?

2017年12月，武汉生意兴旺的M美容整形医院突然出现客户蹊跷流失现象，很多已经接受前期咨询和服务并达成美容整形意向的客户不再继续来该院接受服务。该院为此蒙受较大经济损失，但该院在接待、咨询、服务等多个环节均未发现异常，直到该院接到一个同行打来的电话。

2017年12月22日，另一家医院美容整形科医生阿强(化名)专门询问M医院：“你们的客户资料是否泄露了?”原来，男青年曾某当日主动向阿强介绍美容整形客户，阿强奇怪地发现这些客户都是在M医院做过咨询的。12月26日下午1时许，阿强和曾某在江汉区青年路路边一家餐馆见了面。闻讯赶来的M医院工作人员迅速报了警，将曾某带到派出所。

被抓了个“现行”，曾某不得不如实交代：为了牟利，他花3万元从网上买了2500多条武汉地区美容整形客户的信息，准备通过介绍客户给医院来赚取费用。武汉市公安局网安支队获悉案情，一连三天三夜马不停蹄地排查。初查掌握的信息让他们意识到，曾某只是“最末梢”，他的背后很可能潜藏着一个网上黑色利益链条。

这是武汉地区首次发现的医院客户信息被盗取贩卖案件。在湖北省公安厅网安总队积极支持和指导下，武汉网警迅速抽调精干力量组成专班。

排查120余人 网警“蹲守”3个月摸清交易链

网警在对受到侵害的数家医院网站系统进行检查时，发现医院使用的服务器都有被人攻击的痕迹，且被植入了木马病毒，而医院对此毫无察觉。曾某交代，他从未见过“上线”，唯一能提供的就是“上线”的QQ昵称“医美合作推广”。

武汉网警在网上秘密“蹲守”，全面甄别和梳理可能涉案人员的关系、角色。今年3月12日，“医美合作推广”在网上活动时被网警捕捉到动态。网警佯装了解业务，与其聊天。“医美合作推广”声称，自己能够获取任何一家美容整形医院的客户资料。网警通过网上排查，确定此人为内蒙古呼和浩特市的杨某某。

盯住杨某某，网警对与其相关的120多人进行深度排查，查出一个QQ昵称为“大美妞”的男子。“大美妞”时不时地向杨某某传输客户信息文件，杨某某转手倒卖出去得利。网警查出“大美妞”系河北省男子潘某某。网警还发现，频频与潘某某联系的男青年苏某是真正的信息源头，有多次入侵医院网站系统的记录。网上侦查显示，苏某系湖北省宜昌市人。与苏某曾有密切联系的，还有一个名叫蒋某的黑龙江省哈尔滨市男子。

3个月辛苦“蹲守”，网警基本掌握苏某、潘某某、杨某某等团伙骨干成员利用黑客手段构建的黑色交易链。苏某与蒋某制作木马病毒后，假扮美容客户向医院客服咨询，将病毒链接藏匿在整形需求图片上，发送给工作人员。工作人员打开图片时，服务器被植入木马病毒，客户隐私资料即被盗取。潘某某在网上发出求购美容整形客户资料的广告，苏某看到后一拍即合，将其发展为“下线”。“黑中介”杨某某作为批量信息买主，将信息加价后再转让给末端的市场人员，由他们通过电话、网络等方式对客户直接“引流”到愿意给他们提成的医院。

为了规避法律风险，他们还安排专门的中间人负责收款、付款，以防止“黑色资金”被监控。

四地同时出击 彻底端掉特大黑客犯罪团伙

5月28日，武汉市公安局网安支队与汉阳区公安分局会商案情，认为抓捕这个团伙的时机已经成熟。汉阳区公安分局刑侦大队大队长范建军率刑侦、网警、特警大队，以及琴断口街派出所、永丰街派出所等5个所队25名民警，联合网安支队10名民警共计35人，兵分四路，奔赴宜昌、北京、呼和浩特、哈尔滨实施精准同步抓捕。

前期调查发现，苏某租住在宜昌市一个比较复杂的地区。5月31日，前往宜昌抓捕苏某的民警决定先蹲守布控，再伺机而动。当日中午，民警看到苏某从租住地出来吃午饭，悄悄地贴靠上去，和他在同一家餐馆吃了一碗面。待其返回租住地，在电脑前坐下，正紧张操作时，民警果断出手将其控制，现场人赃俱获。

当晚，潘某某回到河北省廊坊三河市老家。民警布控守候一通宵。次日一早，在潘某某准备开车外出时，民警将其抓获。与此同时，杨某某、蒋某等人纷纷落网。四地出击，共抓获该团伙成员12名，这个非法入侵美容整形医院网站获取公民个人信息的特大黑客犯罪团伙被彻底端掉。

经清查，警方发现这个团伙有多个省市120多家美容医院的客户资料。苏某侵入医院网站服务器后，植入木马病毒，每隔一段时间下载新的客户资料，卖给潘某某。潘某某、杨某某再层层转手。