欢迎访问重庆法律咨询网!

咨询热線(xiàn) 023-8825-6629
  1. 全國(guó)检察机关依法办理(lǐ)妨害新(xīn)冠肺炎疫情防控犯罪典型案例(第一批)

全國(guó)检察机关依法办理(lǐ)妨害新(xīn)冠肺炎疫情防控犯罪典型案例(第一批)

2020-06-02 admin 评论0

检例第69号 目录 要旨 基本案情 指控与证明犯罪 指导意义 相关规定 要旨 為(wèi)有(yǒu)效打击网络攻击犯罪,检察机关应加强与公安机关的配合,及时介入侦查引导取证,结合案件特点提出明确具體(tǐ)的补充侦查意见。对被害互联网企业提供的证据和技术支持意见,应当结合其他(tā)证据进行审查认定,客观全面准确认定破坏计算机信息系统罪的危害后果。 基本案情 被告人姚晓杰,男,1983年3月27日出生,无固定职业。 被告人丁虎子,男,1998年2月7日出生,无固定职业。 其他(tā)9名被告人基本情况略。 2017年初,被告人姚晓杰等人接受王某某(另案处理(lǐ))雇佣,招募多(duō)名网络技术人员,在境外成立“暗夜小(xiǎo)组”黑客组织。“暗夜小(xiǎo)组”从被告人丁虎子等3人处購(gòu)买大量服務(wù)器资源,再利用(yòng)木(mù马软件操控控制端服務(wù)器实施DDoS攻击(指黑客通过遠(yuǎn)程控制服務(wù)器或计算机等资源,对目标发动高频服務(wù)请求,使目标服務(wù)器因来不及处理(lǐ)海量请求而瘫痪)。2017年2—3月间,“暗夜小(xiǎo)组”成员三次利用(yòng)14台控制端服務(wù)器下的计算机,持续对某互联网公司云服務(wù)器上运营的三家游戏公司的客户端IP进行DDoS攻击。攻击导致三家游戏公司的IP被封堵,出现游戏无法登录、用(yòng)户频繁掉線(xiàn)、游戏无法正常运行等问题。為(wèi)恢复云服務(wù)器的正常运营,某互联网公司组织人员对服務(wù)器进行了抢修并為(wèi)此支付4万余元。 指控与证明犯罪 (一)介入侦查引导取证 2017年初,某互联网公司网络安全团队在日常工作中监测到多(duō)起针对该公司云服務(wù)器的大流量高峰值DDoS攻击,攻击源IP地址来源不明,该公司随即报案。公安机关立案后,同步邀请广东省深圳市人民(mín)检察院介入侦查、引导取证。 针对案件专业性、技术性强的特点,深圳市人民(mín)检察院会同公安机关多(duō)次召开案件讨论会,就被害单位云服務(wù)器受到的DDoS攻击的特点和取证策略进行研究,建议公安机关及时将被害单位报案提供的電(diàn)子数据送國(guó)家计算机网络应急技术处理(lǐ)协调中心广东分(fēn)中心进行分(fēn)析,确定主要攻击源的IP地址。 2017年6—9月间,公安机关陆续将11名犯罪嫌疑人抓获。侦查发现,“暗夜小(xiǎo)组”成员為(wèi)逃避打击,在作案后已串供并将手机、筆(bǐ)记本電(diàn)脑等作案工具销毁或者进行了加密处理(lǐ)。“暗夜小(xiǎo)组”成员到案后大多(duō)作无罪辩解。有(yǒu)证据证实丁虎子等人实施了遠(yuǎn)程控制大量计算机的行為(wèi),但证明其将控制权出售给“暗夜小(xiǎo)组”用(yòng)于DDoS网络攻击的证据薄弱。 鉴于此,深圳市检察机关与公安机关多(duō)次会商(shāng)研究“暗夜小(xiǎo)组”团伙内部结构、犯罪行為(wèi)和技术特点等问题,建议公安机关重点做好以下三方面工作:一是查明导致云服務(wù)器不能(néng)正常运行的原因与“暗夜小(xiǎo)组”攻击行為(wèi)间的关系。具體(tǐ)包括:对被害单位提供的受攻击IP和近20万个攻击源IP作进一步筛查分(fēn)析,找出主要攻击源的IP地址,并与丁虎子等人出售的控制端服務(wù)器IP地址进行比对;查清主要攻击源的波形特征和网络协议,并和丁虎子等人控制的攻击服務(wù)器特征进行比对,以确定主要攻击是否来自于该控制端服務(wù)器;查清攻击时间和云服務(wù)器因被攻击无法為(wèi)三家游戏公司提供正常服務(wù)的时间;查清攻击的规模;调取“暗夜小(xiǎo)组”实施攻击后给三家游戏公司发的邮件。二是做好犯罪嫌疑人線(xiàn)上身份和線(xiàn)下身份同一性的认定工作,并查清“暗夜小(xiǎo)组”各成员在犯罪中的分(fēn)工、地位和作用(yòng)。三是查清犯罪行為(wèi)造成的危害后果。 (二)审查起诉 2017年9月19日,公安机关将案件移送广东省深圳市南山(shān)區(qū)人民(mín)检察院审查起诉。鉴于在案证据已基本厘清“暗夜小(xiǎo)组”实施犯罪的脉络,“暗夜小(xiǎo)组”成员的认罪态度开始有(yǒu)了转变。经审查,全案基本事实已经查清,基本证据已经调取,能(néng)够认定姚晓杰等人的行為(wèi)已涉嫌破坏计算机信息系统罪:一是可(kě)以认定系“暗夜小(xiǎo)组”对某互联网公司云服務(wù)器实施了大流量攻击。國(guó)家计算机网络应急技术处理(lǐ)协调中心广东分(fēn)中心出具的报告证实,筛选出的大流量攻击源IP中有(yǒu)198个IP為(wèi)僵尸网络中的被控主机,这些主机由14个控制端服務(wù)器控制。通过比对丁虎子等人電(diàn)脑中的電(diàn)子数据,证实丁虎子等人控制的服務(wù)器就是对三家游戏公司客户端实施网络攻击的服務(wù)器。分(fēn)析报告还明确了云服務(wù)器受到的攻击类型和攻击采用(yòng)的网络协议、波形特征,这些证据与“暗夜小(xiǎo)组”成员供述的攻击资源特征一致。网络聊天内容和银行交易流水等证据证实“暗夜小(xiǎo)组”向丁虎子等三人購(gòu)买上述14个控制端服務(wù)器控制权的事实。電(diàn)子邮件等证据进一步印证了“暗夜小(xiǎo)组”实施攻击的事实。二是通过进一步提取犯罪嫌疑人网络活动记录、犯罪嫌疑人之间的通讯信息、资金往来等证据,结合对電(diàn)子数据的分(fēn)析,查清了“暗夜小(xiǎo)组”成员虚拟身份与真实身份的对应关系,查明了小(xiǎo)组成员在招募人员、日常管理(lǐ)、購(gòu)买控制端服務(wù)器、实施攻击和后勤等各个环节中的分(fēn)工负责情况。 审查中,检察机关发现,攻击行為(wèi)造成的损失仍未查清:部分(fēn)犯罪嫌疑人实施犯罪的次数,上下游间交易的证据仍欠缺。针对存在的问题,深圳市南山(shān)區(qū)人民(mín)检察院与公安机关进行了积极沟通,于2017年11月2日和2018年1月16日两次将案件退回公安机关补充侦查。一是鉴于证实受影响计算机信息系统和用(yòng)户数量的证据已无法调取,本案只能(néng)以造成的经济损失认定危害后果。因此要求公安机关补充调取能(néng)够证实某互联网公司直接经济损失或為(wèi)恢复网络正常运行支出的必要费用(yòng)等证据,并交专门机构作出评估。二是进一步补充证实“暗夜小(xiǎo)组”成员参与每次网络攻击具體(tǐ)情况以及攻击服務(wù)器控制权在“暗夜小(xiǎo)组”与丁虎子等人间流转情况的证据。三是对丁虎子等人向“暗夜小(xiǎo)组”提供攻击服務(wù)器控制权的主观明知证据作进一步补强。 公安机关按要求对证据作了补强和完善,全案事实已查清,案件证据确实充分(fēn),已经形成了完整的证据链条。 (三)出庭指控犯罪 2018年3月6日,深圳市南山(shān)區(qū)人民(mín)检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山(shān)區(qū)人民(mín)法院提起公诉。4月27日,法院公开开庭审理(lǐ)了本案。 庭审中,11名被告人对检察机关的指控均表示无异议。部分(fēn)辩护人提出以下辩护意见:一是网络攻击无处不在,现有(yǒu)证据不能(néng)认定三家网络游戏公司受到的攻击均是“暗夜小(xiǎo)组”发动的,不能(néng)排除攻击来自其他(tā)方面。二是即便认定“暗夜小(xiǎo)组”参与对三家网络游戏公司的攻击,也不能(néng)将某互联网公司支付给抢修系统数据的员工工资认定為(wèi)本案的经济损失。 针对辩护意见,公诉人答(dá)辩如下:一是案发时并不存在其他(tā)大规模网络攻击,在案证据足以证实只有(yǒu)“暗夜小(xiǎo)组”针对云服務(wù)器进行了DDoS高流量攻击,每次的攻击时间和被攻击的时间完全吻合,攻击手法、流量波形、攻击源IP和攻击路径与被告人供述及其他(tā)证据相互印证,现有(yǒu)证据足以证明三家网络游戏公司客户端不能(néng)正常运行系受“暗夜小(xiǎo)组”攻击导致。二是根据法律规定,“经济损失”包括危害计算机信息系统犯罪行為(wèi)给用(yòng)户直接造成的经济损失以及用(yòng)户為(wèi)恢复数据、功能(néng)而支出的必要费用(yòng)。某互联网公司為(wèi)修复系统数据、功能(néng)而支出的员工工资系因犯罪产生的必要费用(yòng),应当认定為(wèi)本案的经济损失。 (四)处理(lǐ)结果 2018年6月8日,广东省深圳市南山(shān)區(qū)人民(mín)法院判决认定被告人姚晓杰等11人犯破坏计算机信息系统罪;鉴于各被告人均表示认罪悔罪,部分(fēn)被告人具有(yǒu)自首等法定从轻、减轻处罚情节,对11名被告人分(fēn)别判处有(yǒu)期徒刑一年至二年不等。宣判后,11名被告人均未提出上诉,判决已生效。 指导意义 (一)立足网络攻击犯罪案件特点引导公安机关收集调取证据。 对重大、疑难、复杂的网络攻击类犯罪案件,检察机关可(kě)以适时介入侦查引导取证,会同公安机关研究侦查方向,在收集、固定证据等方面提出法律意见。一是引导公安机关及时调取证明网络攻击犯罪发生、证明危害后果达到追诉标准的证据。委托专业技术人员对收集提取到的電(diàn)子数据等进行检验、鉴定,结合在案其他(tā)证据,明确网络攻击类型、攻击特点和攻击后果。二是引导公安机关调取证明网络攻击是犯罪嫌疑人实施的证据。借助专门技术对攻击源进行分(fēn)析,溯源网络犯罪路径。审查认定犯罪嫌疑人网络身份与现实身份的同一性时,可(kě)通过核查IP地址、网络活动记录、上网终端归属,以及证实犯罪嫌疑人与网络终端、存储介质间的关联性综合判断。犯罪嫌疑人在实施网络攻击后,威胁被害人的证据可(kě)作為(wèi)认定攻击事实和因果关系的证据。有(yǒu)证据证明犯罪嫌疑人实施了攻击行為(wèi),网络攻击类型和特点与犯罪嫌疑人实施的攻击一致,攻击时间和被攻击时间吻合的,可(kě)以认定网络攻击系犯罪嫌疑人实施。三是网络攻击类犯罪多(duō)為(wèi)共同犯罪,应重点审查各犯罪嫌疑人的供述和辩解、手机通信记录等,通过审查自供和互证的情况以及与其他(tā)证据间的印证情况,查明各犯罪嫌疑人间的犯意联络、分(fēn)工和作用(yòng),准确认定主、从犯。四是对需要通过退回补充侦查进一步完善上述证据的,在提出补充侦查意见时,应明确列出每一项证据的补侦目的,以及為(wèi)了达到目的需要开展的工作。在补充侦查过程中,要适时与公安机关面对面会商(shāng),了解和掌握补充侦查工作的进展,共同研究分(fēn)析补充到的证据是否符合起诉和审判的标准和要求,為(wèi)补充侦查工作提供必要的引导和指导。 (二)对被害单位提供的证据和技术支持意见需结合其他(tā)在案证据作出准确认定。 网络攻击类犯罪案件的被害人多(duō)為(wèi)大型互联网企业。在打击该类犯罪的过程中,司法机关往往会借助被攻击的互联网企业在网络技术、网络资源和大数据等方面的优势,进行溯源分(fēn)析或对攻击造成的危害进行评估。由于互联网企业既是受害方,有(yǒu)时也是技术支持协助方,為(wèi)确保被害单位提供的证据客观真实,必须特别注意审查取证过程的规范性;有(yǒu)条件的,应当聘请专门机构对证据的完整性进行鉴定。如条件不具备,应当要求提供证据的被害单位对证据作出说明。同时要充分(fēn)运用(yòng)印证分(fēn)析审查思路,将被害单位提供的证据与在案其他(tā)证据,如从犯罪嫌疑人处提取的電(diàn)子数据、社交软件聊天记录、银行流水、第三方机构出具的鉴定意见、证人证言、犯罪嫌疑人供述等证据作对照分(fēn)析,确保不存在人為(wèi)改变案件事实或改变案件危害后果的情形。 (三)对破坏计算机信息系统的危害后果应作客观全面准确认定。 实践中,往往倾向于依据犯罪违法所得数额或造成的经济损失认定破坏计算机信息系统罪的危害后果。但是在一些案件中,违法所得或经济损失并不能(néng)全面、准确反映出犯罪行為(wèi)所造成的危害。有(yǒu)的案件违法所得或者经济损失的数额并不大,但网络攻击行為(wèi)导致受影响的用(yòng)户数量特别大,有(yǒu)的导致用(yòng)户满意度降低或用(yòng)户流失,有(yǒu)的造成了恶劣社会影响。对这类案件,如果仅根据违法所得或经济损失数额来评估危害后果,可(kě)能(néng)会导致罪刑不相适应。因此,在办理(lǐ)破坏计算机信息系统犯罪案件时,检察机关应发挥好介入侦查引导取证的作用(yòng),及时引导公安机关按照法律规定,从扰乱公共秩序的角度,收集、固定能(néng)够证实受影响的计算机信息系统数量或用(yòng)户数量、受影响或被攻击的计算机信息系统不能(néng)正常运行的累计时间、对被害企业造成的影响等证据,对危害后果作出客观、全面、准确认定,做到罪责相当、罚当其罪,使被告人受到应有(yǒu)惩处。 相关规定 《中华人民(mín)共和國(guó)刑法》第二百八十六条 《最高人民(mín)法院、最高人民(mín)检察院关于办理(lǐ)危害计算机信息系统安全刑事案件应用(yòng)法律若干问题的解释》第四条、第六条、第十一条

您是否正在寻找认证合格的律师,维护你的权益?

联系我们

评论

成為(wèi)第一个评论者

发表评论

评论

你的邮件地址不会公开. *表示必填

Top