本文分两部分:
一、非法网络入侵的方式以及定罪量刑标准。
二、如何从证据上争取罪名不成立和最轻的处罚。
摘要:非法入侵网站怎么判刑?黑客入侵网站修改删除信息、植入广告链接、木马病毒、后门程序非法侵入控制计算机的定罪量刑标准。
张洪强律师经验总结,禁止任何形式的转载复制。
第一部分:非法网络入侵的方式以及定罪量刑标准
一、非法“侵入”的方式主要有以下几种:
1、冒充身份侵入。冒充有合法授权的用户进入计算机信息系统的情形。冒充的方式主要有:
①破译、盗窃了他人的登录密码而自行登录。
②趁合法登录的用户未退出系统的时机,自行进行其他操作;
③使用某些非法程序附属其他合法用户登录到系统进行操作。
2、技术攻击侵入。即是指行为人通过技术攻击使得计算机信息系统的安全保障机制失去屏障功能,从而可以进入系统的行为。
3、“后门”进入。
4、“活门”进入。
二、常见的非法侵入行为涉嫌的罪名以及量刑标准。
1、黑客入侵网站涉嫌非法侵入计算机信息系统罪的,判决三年以下有期徒刑或者拘役。
2、非法网络入侵涉嫌非法获取计算机信息系统数据罪的,判决三年以下有期徒刑或者拘役,情节特别严重的,判决三年以上七年以下有期徒刑。
3、非法侵入网站服务器涉嫌非法控制计算机信息系统罪的,判决三年以下有期徒刑或者拘役,情节特别严重的,判决三年以上七年以下有期徒刑。
4、非法网络入侵涉嫌破坏计算机信息系统罪的,判决5年以下有期徒刑或者拘役,后果特别严重的,判决5年以上有期徒刑。
5、黑客入侵涉嫌非法控制计算机信息系统罪、破坏计算机信息系统罪等。
第二部分:非法侵入行为如何争取无罪和罪名不成立
很多黑客被抓后都很疑惑,明明自己在入侵或攻击时使用了跳板VPN、肉鸡等方法隐藏自己的真实IP、清除系统日志、删除上传的工具、隐藏后门文件、擦除入侵过程中所产生的痕迹等,为什么还会被抓获,这里面涉及的就是追踪与溯源反制、电子证据的收集、保存以及分析和关联的一些问题。
无论是警察破案还是法院定罪,都是基于证据,如果我们想争取到无罪和最轻的处罚,同样要靠分析证据,只有定罪的证据不成立、切断指控犯罪的证据链,才有可能争取到不批捕、不公诉、罪名不成立和最轻的处罚。
一、从五个环节争取事实不清、证据不足、罪名不成立。
根据我们遇到的案件,我将黑客非法侵入案件定罪的过程分为五个环节,这五个环节,任何一个环节出现问题,或者五个环节的证据不能相互印证,都有可能导致罪名不成立。我们律师在办理此类黑客类案件时,主要从这五个方面审查,是否存在没有证据或取证程序不合法、或不能形成证据链等问题。
定罪的五个关键环节:
1、警方从被害人电脑或者网站服务器提取相关日志证据。
2、做“痕迹分析”与入侵路径溯源,找到ip信息或其他标志信息。
3、根据ip信息或其他标志信息做出作案者画像,抓到犯罪嫌疑人。
4、扣押相关电子设备取证。
5、突破口供。
二、通过对证据的审查争取到撤案、不批捕、不公诉、罪名不成立和最轻的处罚。如果认定为事实不清、证据不足,就不符合定罪条件。
(一)争取直接证据不成立 。
直接证据指:IP地址、域名、用户名、计算机名称、虚拟身份、入侵工具、木马信息等与犯罪嫌疑人(被告人)产生一致性或关联性。
1、服务器日志、网站日志记录中提取到的相关痕迹与被告人之间不具有一致性或关联性。
(1)服务器日志中,非正常用户登录服务器的用户名、客户端名、客户端IP地址与被告人是否存在一致或相关联。例如某黑客入侵案,客户端名称为被告人的生日。
(2)安全日志、FTP日志和www日志等日志记录是否被清除,是否能提取到入侵者的IP地址、入侵时间、端口、http状态、浏览器等。
(3)律师要注意:证据链中断的情形。一旦证据链中断,就不会形成相关直接证据。
①稍微有些经验的黑客入侵者会删除相关日志记录,很多案件不会从日志中提取到入侵者的ip等信息。一旦入侵者获得了系统 root 权限, 就可以轻易地修改、删除操作系统所保存的日志记录, 甚至伪造现场, 从而掩盖入侵留下的痕迹。
②日志中发现的入侵IP,可能是跳板肉鸡,不一定是入侵者的真实IP。
2、工具软件中的信息与被告人是否一致或产生关联。
(1)警方是否提取到黑客使用过或留下的工具软件,如入侵、扫描、嗅探、攻击工具软件。
(2)这些工具软件中是否提取到入侵者的个人虚拟身份信息,如QQ号码、电子邮箱、木马收信地址等是否与被告人产生一致性或关联。
(3)要注意:
①有经验的入侵者在入侵过程或成功后,会将相关工具软件删除。
②对于黑客删除的工具软件,要注意警方数据恢复的程序是否合法以及是否存在瑕疵的问题。
3、木马程序中提取的相关痕迹证据是否与被告人产生一致性或关联性。
网络入侵常常伴随着植入木马行为,木马制作者为了使木马通过杀毒软件的检测,增加代码阅读难度,经常会对木马程序代码进行代码混淆、加密、压缩等处理,要想通过木马溯源找到入侵者,难度极大。
我们在办理案件时要注意:
(1)是否通过网站源文件与服务器日志找到可疑木马文件。
(2)使用木马的ip地址、虚拟身份等信息是否与被告人一致或产生关联性。有些木马文件在上传时会修改其日期属性,其日期属性可能是篡改后的,需考虑此情况。
(3)木马程序中的一些信息是否与被告人产生关联。
(4)根据使用木马的时间是否找到被创建的文件夹、被修改的网页文件等,从被创建的文件夹、被修改的网页文件中是否能发现线索,例如从被修改的网页文件中发现被插入的外挂网站。
4、入侵者留下的其他痕迹与被告人产生一致性或关联性。例如网络通信数据、最近使用过的文件、预读文件、回收站中的痕迹。
(二)切断三条证据链。
1、切断“端-端”的证据链。即“入侵端
-
被入
侵端”的证据链。
公安机关在侦查此类案件时,首先从报案人电脑、网站、服务器上提取相关电子证据,包括:服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、可疑木马文件等,主要依据电子形成的痕迹、物证,采取各种计算机技术追溯到作案的计算机,这是破案的关键一步。
我们律师在办理案件时,从以下三个方面努力,争取切断由“入侵端→被入侵端”的证据链。
(1)律师在办理案件时,要注意电子证据的提取过程、程序是否合法,要掌握电子证据的收集、保存专业知识。
①取证主体是否合法。要注意是侦查机关取证还是一些网络科技公司取证,要注意电子证据的取证主体的合法性的问题。
②取证程序是否合法。制作、储存、传递、获得、收集、出示等程序和环节是否合法,取证人、制作人、持有人、见证人等是否签名或者盖章。
③电子数据真实性的审查。是否载明该电子数据形成的时间、地点、对象、制作人、制作过程以及设备情况等,内容是否真实,有无裁剪、拼凑、篡改、添加等伪造、编造情形,对有疑问的电子数据, 应当对其真伪进行鉴定。
(2)
律师在办理案件时要掌握常见的一些追踪与溯源反制的思路、局限性以及技巧。
入侵溯源强烈依赖人力和经验,根据某一入侵痕迹往下找,一旦出现卡点和痕迹消失,则不能完整证明证据链逻辑。
我们律师在办理案件时,要从溯源中涉及的取证元素来审查溯源逻辑的完整性。通过对入侵行为时间线分析、攻击行为分析、用户权限分析、攻击源分析来审查溯源证据链逻辑的完整性。
(3)对作案机与被入侵机做关联性分析。
办案机关扣押到犯罪嫌疑人的电脑手机等电子设备后,会对这些电子设备提取大量电子数据作为证据,我们律师在办理案件时,要注意对入侵机与被入侵服务器中的数据、可执行程序、webshell等做关联性分析,是否提取攻击计算机与被攻击计算机之间相关联的部分。
①被扣押的犯罪嫌疑人的作案设备上是否有被入侵、被攻击网站的浏览访问记录,IP 地址、访问时间、访问行为是否与被害方提取的电子证据相互印证。
②审查被入侵系统与作案设备上各种日志记录在时间、日期、来源、目的甚至协议上是否存在一致性。
③对入侵机上的后门脚本、木马程序等与被入侵服务器上的后门脚本、木马程序的同一性进行分析,MD5是否完全一致。 是否搭建该工具的网络环境,通过运行该工具是否找到入侵日志,与被入侵网站被入侵留下的日志记录是否相同
2、
切断由“人
-人”证
据链。
黑客入侵攻击活动已形成了由黑客教学、制作销售黑客工具、实施攻击、盗窃倒卖用户信息及虚拟财产、提供交易平台销赃洗钱等各个环节分工合作的多元化、产业化的黑色链条。
在黑色产业链中,存在犯罪主观证明较难,共犯联系松散难以认定的特点,这些人一般都互不认识,只是网友,互相之间连真实名字都不知道。网络犯罪中行为人之间意思联络形式多样化、联络主体虚拟化、共同行为模糊化,有时候要形成指向某一犯罪嫌疑人的证据链是有难度的,在很多案件中,公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人,从这些被抓获的嫌疑人这里找证据指向其他环节的人,这就是我所说的网络犯罪中“由人到人”证据指向。
我们律师在处理案件时要审查证据中的同案犯的供述、聊天记录、转款记录、通话记录等,看是否有充分证据证明他们之间有预谋、有联系,争取切断“由人到人”的证据链。
①审查同案犯之间的供述是否吻合。
②审查同案犯个人的电子设备中是否提取到一致或存在关联性的证据。
③审查聊天记录问题。此类案件,同伙之间多使用境外聊天软件,我遇到的有whatsapp、蝙蝠、飞机等,这些聊天软件不需要实名注册,一般都支持看后即焚、双向撤回等功能,警方在面对有反侦察能力的代理时有时候取证是非常困难的。要注意是否有证据证明聊天账号是被告人在使用;聊天记录的取证是否合法,有些办案机关为了省事,可能仅仅对聊天记录截图打印或拍照,这是不符合电子证据取证规则的。
④审查同案犯之间的转账记录,是否有证据证明该转账的性质。例如在某起案件中,虽然存在同案犯之间的大量转账,但最终检察院认定证据不足。
3、切断由“财-人”证据链,即资金流转的证据链。
网络入侵案件,行为人在计算机系统上留下的相关痕迹是最直接的证据,但是,由于黑客都知道销毁或隐藏入侵和嗅探的痕迹来掩盖自己,在很多案件中经常存在直接证据缺失的情况。
在直接证据缺失的情况下,警方会通过利益链条来追踪作案人,通过筛查资金去向,根据资金的转移路径、使用情况,对多次流转的涉案资金进行追踪,以及搜集相关证人证言等间接证据进行侦查取证,如果能形成完整的证据链,也能够达到指控行为人实施了相关网络犯罪的证明标准。例如黄某利用木马程序网络盗窃案,涉案虚拟财产价值2000多万元,由于黄某在完成犯罪行为后将其入侵的相关数据删除,被害公司为堵住系统漏洞而将服务器重做,没有保存系统日志,无法提供服务器被入侵记录,导致证实黄某侵入系统盗窃财物的直接证据缺失。该案,警方通过资金链证据破案,最终黄某被认定为罪名成立。
我们律师要注意一些反侦查手段的实施,例如使用黑卡、地下钱庄、跑分平台、虚拟货币OTC场外交易、暗网、混币等手段,导致的证据链中断无法追溯的情况,随着反侦查能力的提高,查清资金流转路径、流转金额难度越来越大。
例如,我在2018年办理的李某网络案件,涉及到比特币的流转证据问题,公安机关起诉意见书认定涉案赃款是2000多万,但我们根据资金流水的证据,最终让检察院在起诉时,将金额降低为700多万。
我们律师在办理网络犯罪案件时要重点审查:被指控的被盗资金流向能否形成完整的链条,是否均指向犯罪嫌疑人持有的银行卡或支付宝等账户,盗窃时间、盗窃金额与犯罪嫌疑人之间的口供,与银行卡、支付宝交易时间、金额以及做案时间是否吻合,要注意审查操作网络账户的ip地址、mac地址等。
涉及虚拟货币的案件,要审查虚拟货币账户、钱包地址、IP地址等网络痕迹与被告人的关联性证据。如果不能形成证据链,就有可能从证据上切断涉案资金、虚拟货币的交易网络、交易行为以及资金流向与被告人的对应或关联关系。例如在陕西毛某一案,第三级收款账户的钱如何转出,以及尾号为TH5Y提币地址如何变现都未查清,警方在补充侦查报告中,称查清难度大,无法查清,便草草结案。
还有某起虚拟币网络盗窃案,警方在被入侵服务器上提取到犯罪嫌疑人对该服务器有xss攻击记录,便将犯罪嫌疑人抓获,但因最终没有发现虚拟币的流转证据以及变现证据,将犯罪嫌疑人释放撤案。
(三)从入侵时间、入侵方式、入侵路径的证据上找到他人作案的可能性,从而排除被告人的嫌疑。
有些网站因为存在漏洞,可能存在被多名黑客入侵的情况,我们在办理案件时要防止因为办案机关疏忽,将其他黑客的侵入行为算到我方身上的可能。如果在入侵时间、入侵方式、入侵路径上存在其他黑客入侵的可能性,则说明不能排除他人入侵可能性,在其他证据不足的情况下,不能简单的将被告人认定为入侵者。
例如苏州一起虚拟货币网络盗窃案,警方起诉意见书认定实施盗窃的时间是2019年10月22日,但是犯罪嫌疑人对该服务器进行入侵的时间是2019年9月25日,中间间隔了近一个月,并且被盗公司的服务器后台日志显示,在2019年10月16日,有一个美国的IP地址异常访问了该公司网站的最高权限,2019年10月23日,有一个香港的IP地址异常访问了该公司网站的最高权限。该案无法排除其他黑客入侵的可能性,最终检察院认为事实不清、证据不足,对犯罪嫌疑人不起诉撤案。
我们律师在办理案件时,可以从以下几个方面来审查是否存在别人入侵的可能性。
①被害人陈述的入侵时间、入侵方式、入侵路径与犯罪嫌疑人供述的入侵攻击时间是否一致。
②审查被入侵系统与作案设备上各种日志记录在时间、日期上是否存在一致性。
③审查入侵时间与入侵后果产生之前是否存在他人侵入或攻击的行为。
④审查犯罪嫌疑人供述的入侵方式、入侵路径是否与侦查机关查明的一致。不同的黑客有不同的入侵思路,入侵路径也多不相同。在某起侵入大学教务系统案件中,警方查明的入侵方式是Mysql入侵,而犯罪嫌疑人供述,其利用sshd服务入侵,通过mysql日志分析,并没有发现有写入webshell的操作,ssh日志被删除了,也无法完全认定是ssh入侵的,导致入侵方式、入侵路径无法吻合。
因时间原因,今天就简单说这些内容。关于此类案件的其他专业知识经验,有时间时在介绍。
非法网络入侵案件法条规定非常简单,但是律师要想办理好此类犯罪,维护此类犯罪嫌疑人的合法权利,不只是了解法条这么简单。网络入侵、攻击、网络盗窃案件涉及技术性问题较多,存在证据取证困难,犯罪定性争议差别大等新问题。这都亟需律师提高自身法律素养和技术素养,并加强研究。
网络入侵型案件的侦查与取证工作较为复杂,涉及网站架构、日志分析、恶意代码分析等多种知识,要想从专业角度争取到证据不足、罪名不成立,需要律师具备计算机网络犯罪方面的专业知识,掌握常见的一些追踪与溯源反制的思路、局限性以及技巧。对于律师的要求相比较传统的犯罪更高。
如果我们律师不具备这方面的专业知识,在与犯罪嫌疑人(被告人)沟通时可能会出现障碍,王某网络盗窃案,当庭拒绝律师辩护,法官问原因,被告人说律师不懂这方面的专业知识,存在沟通障碍,就是因为此。所以,我们律师必须掌握此类案件的专业知识和经验技巧,才有可能争取到无罪和罪轻的结果。
作者张洪强律师,禁止任何形式的转载复制剽窃,张洪强律师专注于网络黑产犯罪辩护研究,办理了大量网络犯罪案件。