DDOS不法網(wǎng)絡(luò)攻擊的刑事規(guī)制(二)—被害方定損注意事項(xiàng)
作者:曾崢 陳伊韜 2021-11-09上接前文,目前在法律層面上國(guó)家已經(jīng)逐步重視并強(qiáng)化了對(duì)于網(wǎng)絡(luò)黑灰產(chǎn)業(yè)的打擊力度,在全鏈條覆蓋打擊的基礎(chǔ)上頻繁發(fā)起的針對(duì)網(wǎng)絡(luò)不法行為的專項(xiàng)整治運(yùn)動(dòng)也為被害企業(yè)維權(quán)救濟(jì)送來(lái)東風(fēng)。那么,被害方尤其是被害公司應(yīng)當(dāng)如何運(yùn)用這一有利條件,化被動(dòng)為主動(dòng)呢?根據(jù)相關(guān)司法實(shí)踐,我們建議被害方在準(zhǔn)備提起刑事控告之前,需要在證據(jù)線索固定和經(jīng)濟(jì)損失統(tǒng)計(jì)上做好充分準(zhǔn)備,以期最大化保障自身利益。
一、線索證據(jù)的固定: 在打擊該類犯罪的過(guò)程中,司法機(jī)關(guān)往往會(huì)借助被攻擊的互聯(lián)網(wǎng)企業(yè)在網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)資源和大數(shù)據(jù)等方面的優(yōu)勢(shì),進(jìn)行溯源分析或?qū)粼斐傻奈:M(jìn)行評(píng)估。由于互聯(lián)網(wǎng)企業(yè)既是被害方,有時(shí)也是技術(shù)支持協(xié)助方,為確保被害單位提供的證據(jù)客觀真實(shí),必須特別注意審查取證過(guò)程的規(guī)范性;在DDoS攻擊網(wǎng)絡(luò)犯罪案件中,經(jīng)常遇到的難點(diǎn)是: (一)攻擊行為和被攻擊事件因果關(guān)系難以證明。 即被害單位遭受的攻擊來(lái)源是否均來(lái)自于犯罪方,而這也直接影響到經(jīng)濟(jì)損失的認(rèn)定與情節(jié)的嚴(yán)重性,因此,在固定攻擊記錄證據(jù)時(shí),需要特別明確時(shí)間節(jié)點(diǎn)以及攻擊頻率、強(qiáng)度等細(xì)節(jié)以期與公安機(jī)關(guān)偵查獲得的犯罪人活動(dòng)記錄一一對(duì)應(yīng)。 東檢公訴刑不訴(2018)255號(hào) 東陽(yáng)市公安局偵辦的一起案件中,2017年11月份,李某某授意魏某某對(duì)其提供的網(wǎng)站進(jìn)行ddos工具攻擊,然后進(jìn)行敲詐錢財(cái)。后魏某某運(yùn)用從QQ群中購(gòu)買的ddos攻擊工具對(duì)**網(wǎng)站、**娛樂(lè)等網(wǎng)站進(jìn)行攻擊,致使網(wǎng)站處于癱瘓狀態(tài),在計(jì)算機(jī)服務(wù)器攻擊過(guò)程中非法控制了超過(guò)二十臺(tái)以上計(jì)算機(jī)做“肉雞”。后魏某某添加網(wǎng)站管理員QQ好友,并敲詐得到2200元人民幣,其中被不起訴人李某某分得1000元。 2017年12月6日,魏某某運(yùn)用從QQ群中購(gòu)買的ddos攻擊工具對(duì)被害人董某某所在的東陽(yáng)市**紅木裝飾公司推廣網(wǎng)站(www.**.com,服務(wù)器網(wǎng)址:60.205.**.**)進(jìn)行攻擊致使網(wǎng)站處于癱瘓狀態(tài),在計(jì)算機(jī)服務(wù)器攻擊過(guò)程中非法控制了超過(guò)二十臺(tái)以上計(jì)算機(jī)做“肉雞”。后魏某某用QQ號(hào)30479****和318997****添加被害人董某某聯(lián)系,并進(jìn)行敲詐勒索未果。 經(jīng)調(diào)取阿里云計(jì)算有限公司關(guān)于該網(wǎng)站服務(wù)器被攻擊數(shù)據(jù)顯示,2017年12月6日15時(shí)03分05秒至2017年12月7日10時(shí)30分36秒期間,被攻擊服務(wù)器IP(60.205.**.**)受到64個(gè)不同“肉雞”IP的攻擊。 經(jīng)本院審查并退回補(bǔ)充偵查,本院仍然認(rèn)為東陽(yáng)市公安局認(rèn)定的犯罪事實(shí)不清、證據(jù)不足,無(wú)法證實(shí)魏某某攻擊被不起訴人李某某提供的非法網(wǎng)站過(guò)程中非法控制的計(jì)算機(jī)超過(guò)二十臺(tái),也無(wú)法證實(shí)敲詐勒索金額達(dá)到較大標(biāo)準(zhǔn),不符合起訴條件。依照《中華人民共和國(guó)刑事訴訟法》第一百七十一條第四款的規(guī)定,決定對(duì)李某某不起訴。 (二)攻擊給企業(yè)造成的次生損害(包括客戶流失,運(yùn)營(yíng)賠償以及企業(yè)聲譽(yù)等)難以認(rèn)定 雖然上述損害一般作為間接經(jīng)濟(jì)損失難以作為犯罪數(shù)額進(jìn)行認(rèn)定,但仍要重視其對(duì)于案件推進(jìn)的影響力,作為妨害社會(huì)秩序管理罪,對(duì)于社會(huì)的惡劣影響也是司法機(jī)關(guān)評(píng)判案件危害性程度的重要指標(biāo),一些網(wǎng)絡(luò)犯罪案件中,不法分子違法所得或企業(yè)經(jīng)濟(jì)損失或許并不大,但造成的負(fù)面影響卻極其嚴(yán)重。因此,企業(yè)在遭到攻擊后需及時(shí)收集、固定能夠盡可能證實(shí)自身?yè)p失的相關(guān)證據(jù),如受影響的計(jì)算機(jī)信息系統(tǒng)數(shù)量或用戶數(shù)量、受影響或被攻擊的計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的累計(jì)時(shí)間、對(duì)被害企業(yè)造成的影響等證據(jù),全面、準(zhǔn)確反映出犯罪行為所造成的危害。有條件的,可以聘請(qǐng)專門機(jī)構(gòu)對(duì)證據(jù)的完整性進(jìn)行鑒定。 二、經(jīng)濟(jì)損失的統(tǒng)計(jì): 對(duì)于企業(yè)而言,DDOS攻擊敲詐勒索固然可惡,但因?yàn)榉?wù)器癱瘓而產(chǎn)生的次生損失更加難以承受。尤其是不法攻擊者常在手游開(kāi)服環(huán)節(jié)橫路劫財(cái),長(zhǎng)時(shí)間停服不僅是對(duì)于宣發(fā)熱度的重大打擊,也會(huì)有損游戲口碑,其后在停服補(bǔ)償和數(shù)據(jù)修復(fù)上的處理稍有不慎還極可能引發(fā)公關(guān)危機(jī)招致玩家口誅筆伐。那么,在受到DDOS攻擊后,什么可以認(rèn)定為經(jīng)濟(jì)損失獲得補(bǔ)償呢?從司法實(shí)踐來(lái)看,案例仍偏向于支持企業(yè)受到的直接經(jīng)濟(jì)損失,但其中可以包括網(wǎng)絡(luò)犯罪行為給企業(yè)直接造成的經(jīng)濟(jì)損失以及企業(yè)為恢復(fù)數(shù)據(jù)、功能而支出的必要費(fèi)用。 (一)服務(wù)器搶修費(fèi)用 深圳市南山區(qū)人民法院 檢例第69號(hào) 2017年2—3月間,“暗夜小組”成員三次利用14臺(tái)控制端服務(wù)器下的計(jì)算機(jī),持續(xù)對(duì)某互聯(lián)網(wǎng)公司云服務(wù)器上運(yùn)營(yíng)的三家游戲公司的客戶端IP進(jìn)行DDoS攻擊。攻擊導(dǎo)致三家游戲公司的IP被封堵,出現(xiàn)游戲無(wú)法登錄、用戶頻繁掉線、游戲無(wú)法正常運(yùn)行等問(wèn)題。為恢復(fù)云服務(wù)器的正常運(yùn)營(yíng),某互聯(lián)網(wǎng)公司組織人員對(duì)服務(wù)器進(jìn)行了搶修并為此支付4萬(wàn)余元。 公訴人認(rèn)為,根據(jù)法律規(guī)定,“經(jīng)濟(jì)損失”包括危害計(jì)算機(jī)信息系統(tǒng)犯罪行為給用戶直接造成的經(jīng)濟(jì)損失以及用戶為恢復(fù)數(shù)據(jù)、功能而支出的必要費(fèi)用。某互聯(lián)網(wǎng)公司為修復(fù)系統(tǒng)數(shù)據(jù)、功能而支出的員工工資系因犯罪產(chǎn)生的必要費(fèi)用,應(yīng)當(dāng)認(rèn)定為本案的經(jīng)濟(jì)損失。 (二)防御維護(hù)升級(jí)費(fèi)用 (2018)京0108刑初1271號(hào)案 證人鄧某證實(shí)2017年7月4日22時(shí)40分,善豹公司的一組服務(wù)器(IP:101.201.118.42)遭到了DDOS攻擊,流量在幾秒之內(nèi)達(dá)到了60G,服務(wù)器瞬間進(jìn)入了黑洞狀態(tài),訪問(wèn)上述IP的用戶自動(dòng)訪問(wèn)到阿里云公司的高防IP(116.211.169.237),同時(shí)黑客繼續(xù)對(duì)善豹公司的服務(wù)器進(jìn)行攻擊,峰值達(dá)到413.50G,超出高防IP的防御峰值300G,高防IP也進(jìn)入了黑洞狀態(tài),直到當(dāng)日23時(shí)32分才恢復(fù)正常。公司業(yè)務(wù)因此中斷近1小時(shí),產(chǎn)生流量費(fèi)用是24453元。同年7月22日18時(shí)40分,公司的9組服務(wù)器又陸續(xù)遭到了DDOS攻擊,先后進(jìn)入黑洞狀態(tài),啟動(dòng)高防IP。黑客的持續(xù)攻擊直到同年8月1日,造成善豹公司正常業(yè)務(wù)中斷長(zhǎng)達(dá)10天,產(chǎn)生流量費(fèi)用近21萬(wàn)元。黑洞狀態(tài)即服務(wù)器的流量超過(guò)高防IP的限制,明顯產(chǎn)生異常,造成服務(wù)器狀態(tài)不可用。高防IP即具有較高的防御DDOS攻擊性能的IP地址,在公司的服務(wù)器遭受攻擊進(jìn)入黑洞狀態(tài)時(shí),會(huì)自動(dòng)將訪問(wèn)的用戶轉(zhuǎn)到高防IP地址。高防IP可以承受300G以下的DDOS攻擊。公司購(gòu)買高防IP的費(fèi)用是25974元,DDOS的流量費(fèi)用183152.82元(共計(jì)209126.82元)。另有公司的正常業(yè)務(wù)費(fèi)34414元,都一起開(kāi)在了這張發(fā)票里,故發(fā)票金額243538.82元。善豹公司的游戲日均活躍用戶在7000人左右。被攻擊期間,公司所有用戶都無(wú)法登錄游戲,善豹公司的業(yè)務(wù)受到損失。 本院認(rèn)為,關(guān)于被告人犯罪行為造成的經(jīng)濟(jì)損失如何認(rèn)定的問(wèn)題。在案證據(jù)證明,善豹公司在遭受DDOS攻擊之后,為避免公司服務(wù)器不能運(yùn)行,需要按之前所簽訂的合同向阿里云公司購(gòu)買更多的流量,并根據(jù)受到攻擊當(dāng)天緊急調(diào)用的流量數(shù)量支付費(fèi)用。善豹公司IP在2017年7月23日的受攻擊記錄顯示,網(wǎng)絡(luò)出入口流量趨勢(shì)所對(duì)應(yīng)的阿里云公司高防IP防護(hù)費(fèi)用收費(fèi)標(biāo)準(zhǔn)是人民幣4萬(wàn)元,阿里云公司亦收到了善豹公司支付的相應(yīng)款項(xiàng),上述費(fèi)用可以認(rèn)為是善豹公司因本案犯罪行為而尋求技術(shù)支持產(chǎn)生的必要費(fèi)用,故認(rèn)定被告人于貴成破壞計(jì)算機(jī)信息系統(tǒng)造成的經(jīng)濟(jì)損失為人民幣4萬(wàn)元。(當(dāng)受到DDoS攻擊時(shí)升級(jí)防護(hù)產(chǎn)品費(fèi)用可作為直接經(jīng)濟(jì)損失) (三)推廣宣傳費(fèi)用(澄清事實(shí),回復(fù)原狀) (2019)京0114刑初1114號(hào) 2018年12月至2019年1月,被告人周星林伙同被告人陳歷文在網(wǎng)上雇傭黑客,對(duì)位于北京市昌平區(qū)回龍觀鎮(zhèn)的某誠(chéng)(北京)文化傳媒有限公司(以下簡(jiǎn)稱:某誠(chéng)公司)自主研發(fā)的軟件“每屏秀秀”進(jìn)行攻擊,導(dǎo)致“每屏秀秀”系統(tǒng)出現(xiàn)異常登錄,部分文件被刪除,系統(tǒng)不能正常運(yùn)行。某誠(chéng)公司為此委托北京知道創(chuàng)宇信息技術(shù)股份有限公司(以下簡(jiǎn)稱:創(chuàng)宇公司)為系統(tǒng)提供防御措施,給某誠(chéng)公司造成經(jīng)濟(jì)損失。經(jīng)鑒定:某誠(chéng)公司2018年12月24日至2019年1月3日受攻擊支出點(diǎn)擊推廣費(fèi)、防護(hù)費(fèi)共計(jì)20余萬(wàn)元。此外,某誠(chéng)公司為此付出加班費(fèi)、補(bǔ)償商戶費(fèi)等。 本院認(rèn)為,北京天正華會(huì)計(jì)師事務(wù)所司法鑒定意見(jiàn)中,關(guān)于2018年12月24日至2019年1月3日某誠(chéng)公司支出360推廣費(fèi)、百度推廣費(fèi)、創(chuàng)宇公司防護(hù)費(fèi)應(yīng)當(dāng)認(rèn)定為某誠(chéng)公司的直接經(jīng)濟(jì)損失,加班工資及差旅費(fèi)、客戶補(bǔ)償金數(shù)額,因缺乏確因此次攻擊支出的必要費(fèi)用的證據(jù),對(duì)該部分損失,酌情考慮。其他費(fèi)用不能認(rèn)定為某誠(chéng)公司的直接經(jīng)濟(jì)損失。 (四)目前來(lái)講,營(yíng)業(yè)額損失、獎(jiǎng)勵(lì)補(bǔ)償?shù)纫蚍?wù)器崩潰造成的間接損失賠償較難得到支持 (2015)沈和刑初字第00024號(hào) 2014年7月14日至2014年8月5日間,被告人纏某、荊某及李某、吳某、傅某、趙某等人(均另案處理),在黑龍江省哈爾濱市道外區(qū)地鐵家園D3東一單元2113室內(nèi),通過(guò)網(wǎng)絡(luò)獲取遼寧巨合網(wǎng)絡(luò)發(fā)展有限公司運(yùn)營(yíng)的“億酷棋牌世界”游戲平臺(tái)位于沈陽(yáng)市和平區(qū)砂山街13號(hào)機(jī)房的IP,之后通過(guò)網(wǎng)絡(luò)發(fā)送給名為“BOSS”的黑客團(tuán)伙,由該非法團(tuán)伙采用DDOS攻擊方式,利用大量網(wǎng)絡(luò)服務(wù)請(qǐng)求來(lái)占用寬帶網(wǎng)絡(luò)資源,對(duì)“億酷棋牌世界”游戲平臺(tái)進(jìn)行非法干擾,致使平臺(tái)服務(wù)器癱瘓三次,累計(jì)關(guān)閉50小時(shí),5萬(wàn)余合法用戶直接受到影響,造成遼寧巨合網(wǎng)絡(luò)發(fā)展有限公司因更換高防機(jī)房增加服務(wù)費(fèi)直接損失90948元,因賠償用戶虛擬游戲道具直接損失折合人民幣192269.19元,因用戶充值減少造成間接損失人民幣311831.17元。 法院認(rèn)為,巨合網(wǎng)絡(luò)向用戶賠償?shù)氖翘摂M游戲道具,公司并沒(méi)有實(shí)際財(cái)產(chǎn)損失,故該部分金額不應(yīng)認(rèn)定為直接損失。判決向被告人纏某追繳贓款人民幣九萬(wàn)零九百四十八元,依法返還被害單位遼寧巨合網(wǎng)絡(luò)發(fā)展有限公司 《弈劍行》的手游廠商青度互娛是一個(gè)由兩人組成的小工作室,在開(kāi)服當(dāng)日遭到黑客DDOS攻擊敲詐威脅時(shí)毅然選擇停服抗?fàn)帲l(fā)出了“閉關(guān)鑄劍三載,出世已無(wú)江湖”的感嘆。[1]萬(wàn)幸的是,現(xiàn)如今在TapTap上依然能夠看到《弈劍行》的活躍,并斬獲了9.3分的高分評(píng)價(jià)。但在幸存者背后,已經(jīng)有太多的辛酸和苦楚,不是每一款游戲都能在首發(fā)紅利期消退后再度脫穎而出,而這便意味著游戲開(kāi)發(fā)數(shù)載枯禪的心血付之一炬。廣大中小型工作室往往做到依靠作品生存便以竭盡所能,更無(wú)余力再去落實(shí)較為昂貴的技術(shù)防御措施,而以此為勒索目標(biāo)的不法分子,并不單單是妨害社會(huì)管理秩序,更是扼殺游戲產(chǎn)業(yè)的希望與夢(mèng)想,理應(yīng)受到正義追訴。也希望今后能有更多配套的措施和政策出臺(tái),降低維權(quán)成本,暢通控訴渠道,幫助引導(dǎo)行業(yè)良性發(fā)展,讓受到不法侵害的企業(yè)都能夠勇于發(fā)聲,抗?fàn)幍降住?/p> 注釋 [1] 騰訊網(wǎng) 《弈劍行》上線首日被黑客敲詐至閉服,黃一孟:TapTap定將負(fù)責(zé)到底, https://new.qq.com/omn/20210809/20210809A0FVZI00.html,訪問(wèn)時(shí)間:2021年10月28日.
