(三)出庭指控犯罪
2017年4月1日,北京市人民检察院第二分院,依据犯罪情节,针对该诈骗犯罪集团里的52名犯罪嫌疑人,作出不一样的处理决定,把张凯闵等50人,以诈骗罪分两案,向北京市第二中级人民法院提起公诉,对另外2名情节较轻的犯罪嫌疑人,作出不起诉决定,7月18日、7月19日,北京市第二中级人民法院公开开庭审理了此案件。
在庭审这个过程当中,50名被告人,针对于被指控的罪名,均没有提出任何异议,部分被告人以及他们的辩护人,主要提出了以下这些辩解以及辩护意见,其一,认定犯罪集团这件事情,缺乏相应的法律依据,应当以被告人实际参与并成功实施诈骗的数额,以此来认定其犯罪的数额,其二,被告人属于是被犯罪组织雇佣的话务员,在当前这个案件里面,所起到的作用是次要的以及辅助性的,所以应当认定为从犯,其三,检察机关指控的犯罪金额方面,证据是不足够的,并没有形成一个完整性的证据链条,没有办法证明被害人是被被告人欺骗的。
针对上述辩护意见,公诉人答辩如下:
一方面,该犯罪组织是以共同实施电信网络诈骗犯罪这样的目的来进行组建的。另一方面,首要分子尽管没有到案,然而在案的证据充分地能够证明,该犯罪组织是在首要分子的领导指挥之下的。并且,存在固定的人员负责窝点的组建管理,还有固定人员负责人员的召集培训。再一方面,这些人员分工担任一线话务员、二线话务员以及三线话务员。该诈骗犯罪组织是符合刑法当中关于犯罪集团的规定的,所以应当认定为犯罪集团。
一是在案证据可以证实,二线话务员,实施了,冒充警察、检察官接听拨打电话的行为,二是还在犯罪集团里面,承担了组织管理这一工作,三是在共同犯罪当中,起到了主要作用,四是应认定为主犯,五是对于从事一线接听拨打诈骗电话的被告人,已实施区别对待。在印度尼西亚以及肯尼亚,该犯罪集团先后设立了3个窝点,那些参加过2个以上窝点犯罪的一线人员,属于积极参加犯罪,在犯罪当中起主要作用,应认定为主犯,仅参加其中一个窝点犯罪的一线人员,参与的时间相对比较短,实际获得的利益较少,可认定为从犯。
首先这第三,对于本案来讲、认定诈骗犯罪集团跟被害人之间所存在的关联性的证据、主要是存有这些:犯罪集团运用网络电话和被害人电话进行联系的通话记录;犯罪集团的Skype聊天记录当中、提及到了被害人的姓名、公民身份号码等这类个人信息;被害人朝着被告人指定的银行账户去进行转账汇款的记录。起诉书认定出来的这75名被害人、起码是涵盖了上述的至少一种关联方式,实施诈骗以及被骗的证据、能够形成印证关系,完全足以认定这75名被害人是被本案诈骗犯罪组织给欺骗到了。
(四)处理结果
在2017年12月21日,北京市第二中级人民法院作出了一审判决,其认定被告人张凯闵等50人,具备以非法占有为目的的情况,参加了诈骗犯罪集团,利用电信网络技术手段,进行分工合作,冒充国家机关工作人员或者其他单位工作人员,对被害人钱财实施诈骗,各被告人的行为均已构成诈骗罪,其中存在28人是主犯,22人是从犯 。根据犯罪事实,结合情节,考量各被告人认罪态度,依据悔罪表现,法院对张凯闵等50人作出判处,从十五年到一年九个月不等有期徒刑,同时并处剥夺政治权利以及罚金,张凯闵等部分被告人因量刑过重提出上诉,在2018年3月,北京市高级人民法院二审裁定驳回上诉维持原判。
【指导意义】
(一)对境外实施犯罪的证据应着重审查合法性
对于在境外获取的、实施犯罪的证据,其一,要审查其是否契合我国刑事诉讼法的相应规定,面对能够证实案件事实并且符合刑事诉讼法规定的。这种情况下,可以当作证据来使用;其二,针对基于有关条约、司法互助协定、两岸司法互助协议或者通过国际组织受托调取的证据,应当留意审查相关办理程序、手续是不是完备,取证程序以及条件是否符合有关法律文件的规定。对于不具备规定规范的情况,通常应当要求提供所在国公证机关的证明,该证明需由所在国中央外交主管机关或者其授权机关进行认证,并且要经过我国驻该国使、领馆的认证。其三,针对委托取得的境外证据,在移交过程中,应当留意审查过程是否具备连续性,手续是否完备齐全,交接物品是否完整无缺,双方的交接清单所记载的物品信息是否保持一致,交接清单与交接物品是否完全一一对应。四是针对当事人及其辩护人、诉讼代理人所提供的源自境外的证据材料,要来审查其是不是依照条约等相关规定办理了公证以及认证,并且是经过我国驻该国使、领馆认证的 。
(二)对电子数据应重点审查客观性
首先,要对电子数据存储介质的真实性展开审查 ,借由审查存储介质的扣押、移交等法律手续以及清单 ,来核实电子数据存储介质于收集、保管、鉴定、检查等环节里是否维持原始性与同一性 。其次,需审查电子数据自身是不是客观、真实、完整 ,凭借审查电子数据的来源以及收集过程 ,以核实电子数据是不是由原始存储介质中提取 ,收集的程序和方法是否契合法律以及相关技术规范 。凡是从境外起获的存储介质之中提取、恢复来的电子数据,均应当开展无污损鉴定,把起获设备的时间当作鉴定起始的基准时间,以此确保电子数据具备客观、真实以及完整的特性 还有就是要审查电子数据内容的真实性,借助审查在案言词证据能不能跟电子数据相互印证,不同的电子数据之间能不能相互印证等方式,核查电子数据涵盖的案件信息能不能跟在案的其他证据相互印证 。
(三)紧紧围绕电话卡和银行卡审查认定案件事实
针对办理涉及电信网络诈骗犯罪的案件,在认定被害人数量以及诈骗资金数额的之时,所涉及的相应证据,必须紧密围绕电话卡以及银行卡等证据所具备的关联性,以此来对犯罪事实予以认定。其中,一方面是借助电话卡去构建被害人与诈骗犯罪组织之间的关联为此,将着手审查诈骗犯罪组织使用网络电话拨打记录清单,以及被害人接到诈骗电话号码后的陈述,还有被害人所提供的通话记录详单等一系列通讯类证据,从而认定被害人与诈骗犯罪组织之间的关联性。另一方面是借助银行卡去构建被害人与诈骗犯罪组织之间的关联。察看被害人所提供的银行账户交易明细,查看银行客户通知书,察验诈骗犯罪集团指定银行账户信息等书证,以及查看诈骗犯罪组织所使用的互联网软件聊天记录,核查聊天记录里有无出现被害人的转账账户,来判定被害人与诈骗犯罪组织之间的关联性。第三是把电话卡和银行卡合并起来认定被害人以及诈骗数额。审查,被害人接到诈骗电话的时间,审查,向诈骗犯罪组织指定账户转款的时间,审查,诈骗犯罪组织手机或电脑中储存的聊天记录中出现的被害人的账户信息,审查,转账时间是否印证,相互关联印证的,可以认定为案件被害人,被害人实际转账的金额可以认定为诈骗数额。
有明显首要分子,主要成员固定,其他人员存在特定流动性的电信网络诈骗违法犯罪组织,能够被认定为诈骗犯罪集团。
实施电信网络诈骗犯罪,涉案人员大多众多,组织严密,层级分明,各环节分工明确。对于符合刑法关于犯罪集团规定的,有明确首要分子婚外情公司-第十八批指导性案例,你了解多少?,主要成员固定,其他人员虽有一定流动性的电信网络诈骗犯罪组织,依法可认定为诈骗犯罪集团。对出资筹建诈骗窝点,掌控诈骗所得资金,制定犯罪计划等起组织、指挥管理作用的,依法可认定为诈骗犯罪集团首要分子,按照集团所犯的全部罪行处罚。对于那些对协助首要分子组建窝点、招募培训人员等有着积极作用的情况,或者是加入时间较长新证据调查取证,借助接听拨打电话这种方式对受害人实施诱骗,诱骗次数较多且诈骗金额较大的情形,依照法律能够认定为主犯,会根据其参与或组织、指挥的全部犯罪来进行处罚。对于诈骗次数较少、诈骗金额较小,在共同犯罪里起到次要或者辅助作用的情况,依照法律能够认定为从犯,依照法律会从轻、减轻或者免除处罚。
【相关规定】
《中华人民共和国刑法》第六条、第二十六条、第二百六十六条
《中华人民共和国刑事诉讼法》第十八条、第二十五条
《中华人民共和国国际刑事司法协助法》的第九条,《中华人民共和国国际刑事司法协助法》的第十条,《中华人民共和国国际刑事司法协助法》的第二十五条,《中华人民共和国国际刑事司法协助法》的第二十六条,《中华人民共和国国际刑事司法协助法》的第三十九条,《中华人民共和国国际刑事司法协助法》的第四十条,《中华人民共和国国际刑事司法协助法》的第四十一条,《中华人民共和国国际刑事司法协助法》的第六十八条
由最高人民法院以及最高人民检察院所制定的有关办理诈骗刑事案件具体应用法律若干问题的解释之中的第一条、第二条 。
对于办理电信网络诈骗等刑事案件,最高人民法院、最高人民检察院、公安部出台了关于适用法律若干问题的意见, 这里是意见的全文内容,但它很长,我没办法全部展示给你,只能告诉你它是对电信网络诈骗等刑事案件适用法律相关问题进行梳理,并给出具体规定的文件 ,目的是为司法实践提供在处理这类案件时明确的法律依据 ,帮助司法机关更准确规范地处理电信网络诈骗等刑事案件 ,让司法裁决更符合法律精神和实际情况 。
最高人民法院,与最高人民检察院,以及公安部,关于办理刑事案件的,收集提取和审查判断电子数据的若干问题的规定,
《检察机关办理电信网络诈骗案件指引》
《最高人民法院关于适用的解释》第四百零五条
叶源星提供侵入计算机信息系统程序,张剑秋提供侵入计算机信息系统程序,谭房妹非法获取计算机信息系统数据,这是一个案件。
(检例第68号)
【关键词】
专门被用来侵入计算机信息系统的程序,非法去获取计算机信息系统数据,撞库行为,打码操作。
【要旨】
若存在证据能够证实用途单一这种情况,且该用途仅仅局限于用于侵入计算机信息系统的程序,那么司法机关能够依照法律规定将其认定为“专门用于侵入计算机信息系统的程序”;要是难以进行确定的话,应当委托专门的部门或者委托司法鉴定机构来作出检验或者进行鉴定。
【基本案情】
叶源星,男,1977年3月10日出生,超市网络维护员。
张剑秋,男,1972年8月14日出生,小学教师。
谭房妹,男,1993年4月5日出生,农民。
2015年1月,被告人叶源星编写了“小黄伞”撞库软件,该软件用于批量登录某电商平台账户,其中“撞库”是指黑客通过收集已泄露的用户信息,利用账户使用者相同的注册习惯,比如相同的用户名和密码,尝试批量登陆其他网站,进而非法获取可登录用户信息的行为,此软件供他人免费使用。“小黄伞”撞库软件运行时,其撞库过程中对大量验证码的识别,需配合使用叶源星编写的打码软件,而“打码”是指利用人工大量输入验证码的行为。叶源星借助网络为他人有偿供给打码软件的验证码识别服务,与此同时,叶源星把之中的人工输入验证码任务交付给被告人张剑秋去完成,并且叶源星向张剑秋支付费用。
2015年1月,被告人谭房妹通过下载使用“小黄伞”撞库软件,向叶源星购买打码服务,获取到某电商平台用户信息,2015年2月,获取到某电商平台用户信息,2015年3月,获取到某电商平台用户信息,2015年4月,获取到某电商平台用户信息,2015年5月,获取到某电商平台用户信息,2015年6月,获取到某电商平台用户信息,2015年7月,获取到某电商平台用户信息,2015年8月,获取到某电商平台用户信息,2015年9月,获取到某电商平台用户信息2.2万余组。
犯罪嫌疑人叶源星、张剑秋借助施行上述行径,自犯罪嫌疑人谭房妹那里取得违法所得总计人民币4万多元。谭房妹经由向他人售卖电商平台用户资料,获取违法所得总计人民币25万多元。在法院进行审理的阶段,叶源星、张剑秋、谭房妹退还上缴了全部违法所得。
【指控与证明犯罪】
(一)审查起诉
2016年10月10日时,浙江省杭州市公安局余杭区分局,将犯罪嫌疑人叶源星、张剑秋、谭房妹,按涉嫌非法获取计算机信息系统数据罪,移送至杭州市余杭区人民检察院审查起诉。在此期间,叶源星、张剑秋的辩护人,向检察机关提出二名犯罪嫌疑人无罪的意见。叶源星的辩护人,则认为叶源星利用“小黄伞”软件批量验证已泄露信息的行为,不构成非法获取计算机信息系统数据罪。对于张剑秋,其辩护人觉得,张剑秋并不明白组织打码这件事是为了非法去获取某电商平台的用户信息,张剑秋和叶源星不存在共同犯罪故意,所以不构成非法获取计算机信息系统数据罪。
杭州市余杭区人民检察院,经过审查得出这样的看法,犯罪嫌疑人叶源星,编制了供他人使用的“小黄伞”撞库软件,犯罪嫌疑人张剑秋,组织码工进行打码,犯罪嫌疑人谭房妹,非法获取网络用户信息,并且出售以此来牟利此基本事实清晰,不过需要进一步去补强证据,在2016年11月25日、2017年2月7日,检察机关兩次把案件退回给公安机关去补充侦查,明确地提出了需要补查的内容、目的以及要求。一,在完善相关证据方面着重于“小黄伞”软件,其涵盖编制过程、运作原理及功能等有关内容,借此要明确该软件有没有避开或者突破某电商平台服务器设定的安全防护举措从而于非法层面获取计算机信息系统数据的功能。二,给扣押的张剑秋所用电脑实施补充勘验,目的只为确认张剑秋对于其组织的打码举动,主观上是不是明了这是在为他者非法获取某电商平台用户信息给予协助;对张剑秋跟叶源星的QQ聊天记录展开调取,以此来查明二人之间是否存在犯意上的联络。三是提取叶源星被扣押电脑的MAC地址,MAC地址又叫网卡地址,它由12个16进制数组成,是上网设备在网络中的唯一标识,接着分析“小黄伞”软件源代码中是否含有叶源星电脑的MAC地址,从而查明某电商平台被非法登陆过的账号与叶源星编制的“小黄伞”撞库软件之间是否存在关联性。四是针对被扣押的谭房妹的电脑,以及U盘展开补充勘验,从中调取内含账号与密码的文件,查明确认该文件的生成时间,还有其特征,以此来判定被查获的存储介质里的某电商平台用户信息,是不是谭房妹借助“小黄伞”软件所获取 ,。
公安机关依照检察机关所提要求,针对证据予以了进一步补充完善,与此同时,检察机关针对“小黄伞”软件的运行原理等相关问题,听取了技术专业专家的意见,结合公安机关两次退查之后补充的证据,案件证据之中存在的问题已然得到了解决。
一,明确了“小黄伞”软件具备以下功能特征:其一,“小黄伞”软件用途单一,它仅针对某电商平台账号去撞库,且接入打码平台,而这种非法侵入计算机信息系统以获取用户数据的程序并无合法用途;其二,“小黄伞”软件拥有避开或突破计算机信息系统安全保护措施的功能。在进行撞库操作期间,一个IP地址要多次登录众多账号,为避免被某电商平台判定为非法登录致使IP地址被封锁,“小黄伞”软件被编入自动拨号功能,在批量登录几组账号之后,会自动切换新的IP地址,以此实现避开该电商平台安全防护的目标。“小黄伞”软件具备绕过验证码识别防护举措的功能,当他人利用非法获取的该电商平台账号登录时,需要输入验证码 。软件“小黄伞”,会自动抓取验证码图片,发送到打码平台,由张剑秋组织的码工识别验证码,(4)其具有非法获取计算机信息系统数据功能,对登陆成功的某电商平台账号,未经授权自动抓取账号对应昵称、注册时间、账号等级等信息数据,依据此特征,可认定“小黄伞”软件属于刑法规定的“专门用于侵入计算机信息系统的程序”。
一是从张剑秋与叶源星电脑里补充勘查得到的QQ聊天记录等电子数据证实,叶源星跟张剑秋聊天时曾提到“扫平台”,还提到“改一下平台程序”,并且提到“那些人都是出码的”;二是通过补充讯问张剑秋以及叶源星,明确了张剑秋明知自己帮叶源星打验证码或许会被用于非法目的,可还是帮叶源星做了打码代理。上述证据证实张剑秋和叶源星之间已然形成犯意联络,具备共同犯罪故意。
第一,进一步补充证据,这些证据证实了一件事,哪件事呢,就是使用撞库软件的终端设备的MAC地址,和叶源星电脑的MAC地址是一致的,以及和小黄伞软件的源代码里包含的MAC地址也是一致的。第二,上述证据证实了另一件事,即叶源星就是编制“小黄伞”软件的人员。
四是,对谭房妹所有包含某电商平台用户账号与密码的文件展开比对,查明了,谭房妹利用“小黄伞”撞库软件非法获取的某电商平台用户信息文件,不仅涵盖账号、密码,还含有注册时间、账号等级、是否验证等信息,然而,谭房妹从其他渠道非法获取的账号信息文件,并不具备这些信息。进而对谭房妹名下电脑展开深层次勘查,同时针对谭房妹开展一系列讯问工作,因而明确了谭房妹借助“小黄伞”软件登录某电商平台用户账号这个行为的具体过程以及确切时间,并且该登录时间与部分账号信息文件的生成时间完全能够逐一对应起来。依据上述这些证据,最终判定谭房妹利用“小黄伞”撞库所获取的网络用户信息数量共计约2.2万余组。
综上所述,检察机关觉得案件事实上已经查清楚了,然而公安机关针对犯罪嫌疑人叶源星以及张剑秋移送起诉所适用的罪名确切来说是不正确的。叶源星、张剑秋一同给他人提供专门用在侵入计算机信息系统方面的程序,二者都已经涉嫌构成提供侵入计算机信息系统程序罪;犯罪嫌疑人谭房妹的行为已然涉嫌非法获取计算机信息系统数据罪。
(二)出庭指控犯罪
2017年6月20日,杭州市余杭区人民检察院,以被告人叶源星、张剑秋构成提供侵入计算机信息系统程序罪,被告人谭房妹构成非法获取计算机信息系统数据罪,向杭州市余杭区人民法院提起公诉,11月17日,法院公开开庭审理了本案。
庭审之时,三名被告人针对检察机关的指控,均不存在异议。谭房妹的辩护人表明,谭房妹属于初犯,在归案以后能够如实叙述罪行,自愿进行认罪,请求法庭从轻予以处罚。叶源星和张剑秋的辩护人提出了如下辩护意见:其一东莞调查,检察机关并未提供省级以上具备资质机构的检验结论,现有的证据并不足以认定“小黄伞”软件是“专门用于侵入计算机信息系统的程序”。其二,张剑秋与叶源星之间不存在共同犯罪的主观故意。其三,叶源星和张剑秋的违法所得金额应当扣除支付给码工的钱款。
关于上述辩护方面的意见,公诉人做出如下答辩:其一,在案件当中存在的电子数据,勘验所形成的笔录,技术人员给出的证言,以及被告人所做出的供述等多种证据,它们之间相互能够印证,完全足够用来证实,“小黄伞”软件具备避开并且突破计算机信息系统安全保护措施的能力,在未经授权的情况下能够获取计算机信息系统数据的功能,这属于法律所规定的“专门用于侵入计算机信息系统的程序”;其二,被告人叶源星和张剑秋拥有共同犯罪的故意。某电商平台用户信息被非法获取,此内容在 聊天记录中被两人提及,这能证实张剑秋主观上明知其组织他人打码用于批量登录该电商平台账号。张剑秋组织他人帮助打码,且叶源星提供撞库软件,二者行为相互配合、相互补充,属于共同犯罪。再者,被告人叶源星、张剑秋的违法所得应以出售验证码服务的金额认定,给码工等相关支出是犯罪成本,不能扣除。二人属于共同犯罪,应对全部犯罪数额承担责任。一是存在3名被告人,二是这3名被告人处于庭审之中,三是这3名被告人认罪的态度相对比较好,四是这3名被告人上交了全部的违法所得,据此建议对其从轻进行处罚。
(三)处理结果
浙江省杭州市余杭区人民法院采纳了检察机关指控意见,断定被告人叶源星行为构成提供侵入计算机信息系统程序罪,判定被告人张剑秋行为构成了提供侵入计算机信息系统程序罪,认定两人行为系共同犯罪,判定被告人谭房妹行为构成非法获取计算机信息系统数据罪。鉴于三名被告人都自愿认罪,且退出违法所得,所以对三名被告人判处三年有期徒刑,适用缓刑并处罚金。宣判之后,三名被告人均未提出上诉,如今判决已生效
【指导意义】
认定“专门用于侵入计算机信息系统的程序”进行审查时,通常应要求公安机关提供下述证据:其一,是从被扣押以及封存的涉案电脑、U盘等原始存储介质里收集、提取相关电子数据;其二,是对涉案程序、被侵入的计算机信息系统还有电子数据展开勘验、检查以后制作的笔录;其三,是能够证实涉案程序的技术原理、制作目的、功能用途以及运行效果的书证材料。关于四,是涉案程序中对应的制作人,以及提供人,再加上使用人,针对该程序所具备的技术原理,还有制作目的,以及功能用途,甚至运行效果,进行阐述的言词方面证据。或者是能够展示涉案程序功能的视听资料。关于五,是能够证实被侵入计算机信息系统安全保护措施的技术原理,以及功能,还有被侵入后果的专业人员的证言等证据。关于六,对有运行条件的情况,应要求公安机关进行侦查实验。若存在充足依据证实涉案程序系专门构想用于侵入计算机信息系统、非法获取计算机信息系统中数据的状况,那么能够径直判定为“专门用于侵入计算机信息系统的程序” 。
在证据审查这个过程当中,对于涉案程序是不是属于“专门用于侵入计算机信息系统的程序”,能够从以下这些方面去进行判断。一方面,要把被侵入的计算机信息系统的安全保护措施结合起来,去分析涉案程序是不是有着侵入的目的,是不是具备避开或突破计算机信息系统安全保护措施的功能。另一方面,要结合计算机信息系统被侵入的具体情形,去查明涉案程序是不是在未经授权或者超越授权的状况之下,获取计算机信息系统的数据。最后,还得分析涉案程序是不是属于“专门”用于侵入计算机信息系统的程序。
依据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十条,以及《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》第十七条,对于难以确定是否属于“专门用于侵入计算机信息系统的程序”的情况,通常应当委托省级以上负责计算机信息系统安全保护管理工作的部门进行检验,也能够由司法鉴定机构出具鉴定意见,或者由公安部指定的机构出具报告。在实践当中,应当着重查看检验报告,查看鉴定意见对于程序运行进程以及运行最终结果的判断,并且结合案件具体的情形状况,来认定涉案程序是不是具备突破或者避开计算机信息系统安全保护举措的功能,是不是拥有未经授权或者超越授权获取计算机信息系统数据的功能。
【相关规定】
《中华人民共和国刑法》第二百八十五条、第二十五条
关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释之中的第一条,关于此事的第二条,该项解释的第三条,此解释的第十条,以及该解释的第十一条
该规定第十七条,为《最高人民法院、最高人民检察院、公安部关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》中的第十七条 。
姚晓杰等11人破坏计算机信息系统案
(检例第69号)
【关键词】
破坏计算机信息系统 网络攻击 引导取证 损失认定
【要旨】
为能有效打击网络攻击层面的犯罪行为,检察机关需要加强同公安机关的配合事宜,要及时介入相关侦查工作,还要引导进行取证操作,要结合案件所具有的特点,提出明确且具体的补充侦查方面的意见。对于被害的互联网企业所提供出来的证据,以及技术支撑方面的意见,应当结合其他相关证据展开审查认定工作,要客观、全面且准确地认定破坏计算机信息系统罪所造成的危害后果。
【基本案情】
被告人姚晓杰,男,1983年3月27日出生,无固定职业。
被告人丁虎子,男,1998年2月7日出生,无固定职业。
其他9名被告人基本情况略。
2017年初,被告人姚晓杰等人受到王某某(另案处理)雇佣,王某某未直接参与本句后续行为,被告人姚晓杰等人招募多名网络技术人员,这些人员在境外成立“暗夜小组”黑客组织,“暗夜小组”从被告人丁虎子等3人处购买大量服务器资源,之后利用木马软件操控,操控的对象是控制端服务器,通过此控制端服务器实施DDoS攻击,DDoS攻击中有明确规定,指黑客通过远程控制服务器或计算机等资源,对目标发动高频服务请求,最终使目标服务器因来不及处理海量请求而瘫痪 。在2017年2月,“暗夜小组”成员,借助14台控制端服务器下的计算机,对某互联网公司云服务器上运营的三家游戏公司客户端IP展开了DDoS攻击,此次攻击为第一次。到了2017年3月上旬,他们再次利用这些计算机,对上述客户端IP进行了第二次DDoS攻击。在2017年3月下旬,“暗夜小组”成员又一次通过这些计算机,对三家游戏公司客户端IP实施了第三次DDoS攻击。因这三次攻击,致使三家游戏公司的IP被封堵,进而出现游戏无法登录的状况,还出现用户频繁掉线的情况,并且游戏无法正常运行。为了恢复云服务器的正常运营,某互联网公司组织人员对服务器进行了抢修,为此支付了4万余元 。
【指控与证明犯罪】
(一)介入侦查引导取证
2017年年初 ,有某互联网公司 ,其网络安全团队 ,在日常工作当中 ,监测到了多起现象 ,针对该公司云服务器的 ,呈现大流量高峰值的DDoS攻击 ,攻击源IP地址 ,来源并不明确 ,该公司随后就报了案 。公安机关立案之后 ,同步进行邀请 ,邀请广东省深圳市人民 检察院 ,介入侦查 ,并且引导取证 。
鉴于案件具备专业性强的特性,鉴于案件拥有技术性高的特质,深圳市人民检察院与公安机关协同,多次举行案件讨论会,针对被害单位云服务器遭受的DDoS攻击的相关特点展开研讨,就此次遭受的DDoS攻击的取证策略予以研究,提议公安机关适时把被害单位报案所给出的电子数据送往国家计算机网络应急技术处理协调中心广东分中心予以分析,从而确定主要攻击源的IP地址。
2017年,6月至9月期间,公安机关陆续抓获11名犯罪嫌疑人,侦查表明,为逃避打击,作案后“暗夜小组”的成员已出现串供情况,且将手机、笔记本电脑等作案工具要么销毁,要么进行了加密处理,“暗夜小组”成员到案后多数进行无罪辩解,有证据证实丁虎子等人实施了大量计算机远程控制行为,然而用于证明其将控制权出售给“暗夜小组”以用于DDoS网络攻击的证据较为薄弱。
基于此情况,深圳市检察机关同公安机关多次进行会商,对“暗夜小组”团伙内部结构、犯罪行为以及技术特点等问题展开分析研究,建议公安机关着重做好以下三方面工作:其一,查明致使云服务器无法正常运行的原因与“暗夜小组”攻击行为之间的关联。具体包含这些:针对被害单位给出的受攻击IP,以及近20万个攻击源IP,作进一步的筛查分析,从中找出主要攻击源的IP地址,接着将其与丁虎子等人出售的控制端服务器IP地址进行比对;把主要攻击源的波形特征查清楚,还要查清其网络协议,之后和丁虎子等人控制的攻击服务器特征作比对,以此来确定主要攻击是不是源自该控制端服务器;把攻击时间查明白,同时查清云服务器因遭受攻击而无法为三家游戏公司提供正常服务的时间;将攻击的规模查清楚;把“暗夜小组”实施攻击后给三家游戏公司发送的邮件调取出来。首先,要进行犯罪嫌疑人线上身份以及线下身份一致性的认定处置工作,接着,要把“暗夜小组”各个成员在执行犯罪期间的分工情况、所处地位以及发挥的作用调查清楚。最后,要弄清楚该犯罪行为致使的危害结果的具体状况。
(二)审查起诉
2017年9月19日 ,公安机关把该案件移送至广东省深圳市南山区人民检察院 ,进行审查起诉 。鉴于在现存的证据基本上已经梳理清晰了“暗夜小组”实施犯罪的脉络 ,“暗夜小组”成员的认罪态度开始出现了转变 。经过审查 ,整个案件的基本事实已经查清楚 ,基本证据已经被调取 ,能够认定姚晓杰等人的行为已经涉嫌破坏计算机信息系统罪 :其一是可以认定是“暗夜小组”针对某互联网公司云服务器实施了大流量攻击 。国家计算机网络应急技术处理协调中心广东分中心所出具的报告予以证实,筛选出来的大流量攻击源IP之中,有198个IP属于僵尸网络里的被控主机,这些主机是由14个控制端服务器进行控制的。经由比对丁虎子等人电脑当中的电子数据,证实丁虎子等人所控制的服务器就是针对三家游戏公司客户端实施网络攻击的服务器。分析报告还明晰了云服务器受到的攻击类型以及攻击所采用的网络协议、波形特征,这些证据与“暗夜小组”成员供述的攻击资源特征是相一致的。借助网络聊天内容,以及银行交易流水等证据,证实了“暗夜小组”买进那上头14个控制端服务器控制权,是丁虎子等三人售卖的事实呢。电子邮件等诸多证据,又推进一步去印证了“暗夜小组”实施攻击这一事实。首先,进一步提取犯罪嫌疑人网络活动记录证据,其次,提取犯罪嫌疑人之间的通讯信息证据,然后,提取资金往来种种证据,接着,结合对电子数据的分析,再次,去查清“暗夜小组”成员虚拟身份与真实身份的对应关系,随后,要查明小组成员在招募人员环节中的分工负责情况,之后,要查明小组成员在日常管理环节中的分工负责情况,再后,要查明小组成员在购买控制端服务器环节中的分工负责情况,最后,要查明小组成员在实施攻击和后勤等各个环节中的分工负责情况。
审查期间,检察机关察觉到,一次攻击行为所导致的损失依旧没有查明白,部分犯罪嫌疑人开展犯罪的次数,上下游之间交易能作为证据这一情况仍然有所欠缺。针对出现的这些问题,深圳市南山区人民检察院跟公安机关展开了踊跃的沟通,在2017年11月2日以及2018年1月16日这两个时间,分两次把案件退回到公安机关去补充侦查。就一方面来说,鉴于能够证实受影响计算机信息系统以及用户数量的证据已经没办法去调取了,这一案件仅仅能够依据造成的经济损失来认定危害后果。3. **三** ,是对丁虎子等人向 “暗夜小组 ”提供攻击服务器控制权的主观明知证据作进一步补强 。
公安机关依照要求,针对证据完成了补强操作,并且进行了完善工作,全案事实已然清查清楚,案件证据的确真实且充足,已然构建成了完整的证据链条。
(三)出庭指控犯罪
2018年3月6日,深圳市南山区人民检察院,以被告人姚晓杰等11人构成破坏计算机信息系统罪,向深圳市南山区人民法院提起公诉。4月27日,法院公开开庭,审理了本案。