下载客户端

爬虫、嗅探、逻辑炸弹……新型网络犯罪技术升级，如何见招拆招？

2020-08-31 21:47

来源：澎湃新闻·澎湃号·媒体

原创郭洪平方圆

相貌普通的黎一在“黑客”界是“大师级”的存在。在他眼里，绝大多数“网虫”皆为“屌丝”，一般的专业工程师与他“过招”无不如“菜鸟”般被“秒杀”。现实生活中，黎一经营着一家小公司，过着不温不火的日子，但“如何成为一个有钱人”的念头始终盘居在他的脑海。思来想去，黎一想到了自己的“黑客”技术。于是，一个大胆的想法产生了。

黎一找来与自己“志趣”相同的温迪、袁鹏（另案处理），三人一拍即合，紧锣密鼓地进行作案准备。经过一段时间“嗅探”，他们发现总部设在上海的“天兑”理财公司网络系统存在漏洞容易利用，于是，黎一很快筛选出某大学的网络服务器作为进入“天兑”理财系统的公共服务器，并在网上盗得该大学一名员工的电子账号及密码，这意味着黎一可以戴着“假面具”大摇大摆地到达“金库”随意“搬钱”。2018年5月4日起，黎一等人开始对“天兑”理财公司备付金第三方平台下手。（方圆公众号：fangyuanmagazine）

在广西南宁一间屋子里，黎一打开笔记本电脑，在温迪的辅助下，熟练地连上移动Wi-Fi，用事先盗取的账号和密码登录某大学的网络服务器，很容易就攻破了“天兑”理财公司的防火墙，侵入第三方支付平台计算机系统。随着手指在笔记本电脑按键上不停翻飞，几十万元很快轻松进入事先设定的账户中。

20多天时间里，他们从南宁到广州，频繁转换宾馆酒店，在“天兑”理财公司第三方支付平台用200余元变造出400多笔下单金额，共从上海“天兑”理财平台窃取5000多万元，等到该公司次月盘账时发现，网络上留下的只有淹没在海量电子数据中的一些异样符号……6月18日，法院以盗窃罪作出一审判决：黎一、温迪均被判处无期徒刑，剥夺政治权利终身，并处没收个人全部财产。

记者从最高人民检察院了解到，随着互联网的迅速发展，利用或针对网络实施的犯罪越来越多，近两年来，检察机关办理网络犯罪案件数量逐年大幅上升，年平均增幅达34%以上。尤其像黎一这样的新型网络犯罪日渐增多。有关分析显示，新型网络犯罪正通过人工智能、机器学习、大数据分析等新技术被实施于各个环节，已经形成“黑灰产业链”和犯罪利益联合体，与其他违法犯罪活动分工合作、相互交织，严重损害人民群众的合法权益和社会安全稳定。

作案手段升级，分工日益细化

有学者表示，新型网络犯罪一般有两种类型，一种是针对网络的犯罪，另一种是利用网络实施的犯罪。针对网络的犯罪常见的有网络窃密、制作传播网络病毒、高技术侵害、高技术污染等；利用网络实施的犯罪常见的有网上诈骗、网上盗窃、网上赌博、网上色情、网上洗钱等。

最高检网络犯罪研究中心主任谢鹏程告诉记者，新型网络犯罪与传统网络犯罪不同的是，这类犯罪呈现出明显的集团化、产业化、智能化状态，表现出跨部门、跨行业色彩，形成了盘根错节的网络犯罪黑色产业链。

“在新型网络犯罪中，作案手段高度技术化且不断升级是这类犯罪最明显的一个特征。”北京市一位检察官告诉记者，所谓作案手段不断升级，是指“爬虫”“嗅探”“逻辑炸弹”等新型网络犯罪层出不穷，涉案产品类型、技术手段和违法行为不断更新迭代。

2018年3月，犯罪嫌疑人连某某等二人从网上购买到“嗅探”设备后，劫持多个用户的手机号及短信内容，并借助查询到的部分被劫持手机对应的身份证号，通过手机号及短信验证登录多名被害人的移动支付平台，通过给网络赌博网站账户充值等方式转移被害人钱款，几番流转后再转入自己账户或提现，共盗刷9人52000余元。（方圆公众号：fangyuanmagazine）

这位检察官说，所谓“嗅探”，是指对计算机网络上传输的数据包进行捕获、截取，而并不使数据传输再定向或改变其内容，接受数据的用户难以发觉。“嗅探”技术既可以被网络管理员用于实时监视网络运行、捕捉分析通信数据、查找网络安全漏洞，也可以被当作黑客工具，用以窃取用户数据、窥探用户隐私、实施会话劫持等网络攻击。

一些犯罪分子利用“嗅探器”设备，远程劫持相同基站下活跃用户的手机号及短信内容，后利用实名制手机号与身份信息的关联性，进一步查询到被劫持手机号对应的身份证号，再通过“手机号（或身份证号）+验证短信”方式登录被害人注册过的一些移动支付平台，获取被害人的银行卡号，以网络游戏充值等方式窃取被害人钱款。这种新兴犯罪，使得犯罪分子可在被害人毫不知情的情况下，远程操控被害人的移动支付账户。

同时，新型网络犯罪的另一个鲜明特征是“分工日益细化”。比如，在黎一侵入某理财平台计算机系统盗窃巨额资金一案中，黎一、温迪等人就有详细的分工计划。黎一负责寻找“软柿子”（目标），温迪负责筹备银行卡和设备器材，袁鹏负责物色持卡取现人员，整个作案过程显然就是一个精心设计的台本。

他们的第一步是隐藏“贼”踪。黎一在作案过程中戴的是“假面具”、“走”的是公共网、用的是“抓包”软件、使的是“独门绝技”，来去自由、收放自如、无踪无影，作案后将使用过的电脑等硬件设备器材悉数销毁。一旦被抓，完全可以用“贼”不是我、我没做“贼”来蒙混。他们的第二步是变幻“赃”影。赃款提现的任务他们安排不知内情的袁鹏和其雇来的6人执行，接到袁鹏汇聚的钱款后火速进行套现、转移和兑换。他们认为，取“赃”之人不知“赃”，“赃”过手即不为“赃”，何况偷的是人民币，拿在手上的却是美元，何以确“赃”？第三步是“贼”“赃”分离。一方面他们在人员上采取1+1+1+X的结构, 最容易暴露的袁鹏等7人不知“赃”从何来、“贼”在何方，另一方面黎一、温迪即使被擒，也可凭有“贼”无“赃”或借有“赃”无“贼“的理由得以全身而退。

一位检察官告诉记者，较之于传统网络犯罪，新型网络犯罪的产业链条特征明显，产业链的上中下游犯罪分工明确。产业链上游提供技术工具，制作木马病毒，通过网页、邮件等形式“挂马”，诱导用户访问下载并在用户的电脑中种植木马软件，以此来获取用户电脑中的信息或者直接将用户的电脑予以控制。产业链中游将获取的用户账号、密码等信息通过数据平台清洗后既可以用来盗取财产，也可以以用户信息为对象直接转卖获利，而其控制的“僵尸网络”在发动网络攻击时可以发挥巨大的作用。产业链的下游则以盗窃、诈骗等形式将获取的数据变现。（方圆公众号：fangyuanmagazine）

认清新型网络犯罪，需要不断对其犯罪形式和特点进行深度分析。北京市检察院检察官告诉记者，新型网络犯罪还有一个明显特征是，犯罪团伙呈现“公司化”模式。有的成立专门公司，租用高档写字楼，设立多个部门或岗位，利用合法的网络平台宣传、招聘，对招聘人员进行培训和考核，采用企业运作模式管理，迷惑性极强。

如王某、梁某等170人诈骗案，犯罪分子于2014年成立某投资管理集团有限公司，后公司设立“秒盈微交易”虚假网络投资平台，要求业务员冒充“白富美”女性通过微信添加好友并在朋友圈大量发布虚假图片信息，与被害人闲聊增进感情，伺机向被害人表明投资分析师的身份，然后引诱被害人上套。

同时，随着云计算、区块链、人工智能等新技术的快速发展，新型网络犯罪的手段也迭代更新，表现出明显的高智能化，作案隐蔽性很强。尤其是，一些犯罪行为人本身就掌握丰富的计算机和网络技术、熟悉网络缺陷与漏洞，有的就是业内专业人员，能够轻易掌控网络系统，获取各类电子数据和信息，利用智能化手段实施犯罪。而且，多维延伸的虚拟空间和纵横通达的网络领域，为犯罪分子隐蔽犯罪行为提供了便利条件。行为人经过精心策划与全面安排，借助专业计算机软件，隐匿网络行踪，实现“无痕化”犯罪。

最高检惩治网络犯罪维护网络安全研究指导组办公室检察官告诉记者，新型网络犯罪还有一个明显特征，就是犯罪行为跨平台、跨时空、跨地域。如有的行为人在境外诈骗境内受害人，或在境内租用服务器攻击境外服务器等。

例如蒋某破坏计算机信息系统罪一案，为避免被追诉，其在国内成立公司租用服务器，劫持并篡改用户浏览器数据；再如某跨境电信诈骗案，被告人在某国向境外的中国公民实施电信诈骗，且犯罪集团有人专门联系“车手集团”（洗钱集团），通过互联网利用透传技术拨打电话并利用Telegram、QQ等软件与被害人进行沟通，在收到被害人钱款后便迅速转走。

对此，最高检网络犯罪研究中心主任谢鹏程坦言，新型网络犯罪高发多发的客观原因在于互联网及其应用场景的快速发展，主观原因则是这类犯罪收益大而风险小，隐蔽性强而追诉难。所以，这类犯罪已由过去的单一化向公司化、集团化、链条化发展，通过收集作案对象信息实施精准犯罪的势头已经形成。（方圆公众号：fangyuanmagazine）

法律难点制约案件办理

近年来，办案机关打击新型网络犯罪成绩斐然，但现实情况也在不断提示办案人员，由于网络犯罪的“非接触式”特性，犯罪人与被害人不见面，共同犯罪人甚至也不见面，且犯罪方式、手段的不断翻新，尤其是新型网络犯罪的许多做法都是首次出现，办案人员也是首次遇到，这在相当程度上给侦查、取证、认定等工作带来很大难度。

例如广西壮族自治区柳州市柳北区一起未成年人被网络性侵害案就曾一度难住办案人员——在江苏昆山工作的20岁犯罪嫌疑人张彪，通过QQ群交友，认识了广西柳州的11岁女孩北北。随着聊天次数的增加，双方熟络起来，张彪就开始引诱北北发送裸照和视频。开始北北是拒绝的，但张彪不断诱骗，北北经不住诱惑便拍了自己的裸照和视频发过去。张彪收到裸照及视频后，也把自己的裸照以及从网上下载的黄色视频发给北北，还承诺给北北发红包、购买情趣用品等。就这样，张彪通过发红包以及淫秽语言和淫秽图片聊天等诱骗手段，诱惑被害人北北把自己的上身和下身裸照及视频通过ＱＱ发给他，张彪则通过观看被害人的裸照及视频并摸弄自己的生殖器进行自慰。女孩的父亲发现情况不对后，很快到柳州市公安局柳北分局报案。

由于柳州市公安局柳北分局此前从未办理过这类案件，这种利用网络对幼童实施性侵害的行为是否构成犯罪？现有证据能否达到立案标准？一系列问题让民警们犯了难。他们一方面把情况向上进行汇报，另一方面也请求区检察院提前介入，商讨处理办法，但在如何认定上双方意见不一。虽然这起案件后来通过办案检察官陆启航的分析，并以最高检之前发布的一个指导性案例作依据，认定这种行为侵犯了未成年被害人的性自主权、身心健康和人格尊严，属于犯罪行为，但当初在遇到这种情况时双方在看法上并不一致。

实践中，类似柳北区这样在办理新型网络犯罪案件中遇到侦查难、取证难、认定难、起诉难、配合难等情况的例子还有很多。河南郑州手机网络传销案、广东深圳侵入计算机窃取数据案、北京东城破坏计算信息系统案等都有这样的特点，有的甚至在一起案件的定性理解上争执不下。浙江杭州一位检察官说，犹豫、争执、看法不一的原因是一些法律难点还没有解决。（方圆公众号：fangyuanmagazine）

记者采访了最高检打击网络犯罪部门有关检察官及一些基层办案人员，对当前新型网络犯罪治理中遇到的一些法律难点进行了梳理，主要有以下几个方面——

第一，电子证据提取比较难。山东一位基层检察官说，司法实践中，电子证据问题是困扰司法办案的突出难题，体现在办案各个环节。由于电子证据海量、分布广，收集起来难度很大，侦查机关囿于技术水平的限制、缺乏应对新型网络犯罪的经验以及对犯罪的预判不足，导致对电子证据的取证不够及时精准。

第二，法律认定比较难。由于新型网络犯罪在方式和手段上往往都是以前没见过的花样，且在司法实践中又缺少例证可循，给司法机关适用法律准确定性带来极大挑战。如在黑灰产业链中，上游恶意养号、支付结算服务、广告推广等上游黑产行为，多以帮助信息网络犯罪活动罪认定，但由于实践中对主观“明知”认定较难，致使上述行为徘徊在罪与非罪之间。又如，“薅羊毛”“恶意刷单”“反向刷单”等行为能否以破坏生产经营罪认定、网络直播平台淫秽表演能否认定传播淫秽物品牟利罪、深度链接是否侵犯著作权等问题在实践中意见不一。同时，对有些网络行为认定缺乏民事、行政前置法的依据。如以比特币、Q币、游戏装备为犯罪对象的案件，是以侵财犯罪还是以破坏计算机信息系统罪论处有分歧，同案不同判时有发生，根本原因在于民事法律对虚拟财产定性不明。

除此以外，现有法律规定不能有效应对网络犯罪升级演变。一位办案人员表示，在现有法律框架内，对网络“黑灰产业链”中的帮助行为、为违法犯罪发布信息的行为、以及网络服务提供者的刑事责任等新型网络犯罪的认定存在争议，虽然已经有相关的司法解释，但对于执行中出现的具体问题，缺乏相应细化指导意见或典型、指导性案例的支撑。

第三，跨区域办案协作比较难。虽然法律赋予了网络犯罪广泛的管辖权，但实践中还存在分散管辖、各管一段、协作不够顺畅等情况。浙江省杭州市检察院第二检察部副主任董彬坦言，网络犯罪的跨域性与传统地域管辖、级别管辖存在冲突。

同时，还有国际司法协作机制不够顺畅的问题、办案组织和队伍不能满足专业化要求的问题等。如国际司法协助问题，新型网络犯罪有非常明显的跨境特征，犯罪人员跨境流动、网络资源跨境使用、犯罪行为跨境实施，这些都对国际司法协作提出了更高的要求。由于各国在网络犯罪管辖权、跨国电子取证等问题上立场不同、程序设置不同，加大了协调难度。

“魔道”斗法，如何见招拆招

新型网络犯罪大幅上升，打击和应对手段必须紧紧跟上。今年6月10日，最高人民检察院检察长张军在最高检网络犯罪检察理论与实务专题研讨会上就强调，“网络犯罪‘魔高一尺’，检察办案必须‘道高一丈’”。（方圆公众号：fangyuanmagazine）

对此，全国人大宪法和法律委员会副主任委员、清华大学法学院教授周光权在最高检今年的一次网络犯罪研讨会上建议，增设利用计算机妨害业务犯罪的相关条款。他认为，有必要增设单独罪名，精准打击网络刷单炒信、在系统外干扰监测数据采样、擅自删除计算机信息系统数据等形形色色利用信息网络妨害业务的行为。

中国人民大学教授刘品新认为，要加大机制创新，推动建立基于资金大数据、企业工商大数据、网络账号注册大数据等可信数据库的查询与出证机制，建设全国办理涉众型网络犯罪案件的电子化证据共享机制，建立异地办理、跨境取证的高效协助机制。他建议最高检设立检察机关大数据证据实验室，为全国办案提供关于海量资金数据分析、海量物流数据分析、海量发票数据、海量轨迹数据及相关检验报告、鉴定意见审查的协助。

谢鹏程表示，要反思和强化网络犯罪的刑事规制体系。现行的网络犯罪刑事规制体系虽然规则严密，体系完整，但是从司法实践来看，仍然不适应遏制网络犯罪蔓延要求，不足以震慑和遏制网络犯罪，追赃挽损的力度也有待进一步加大，“应当反思近年来有关网络犯罪的立法、司法解释和司法政策，采取加大惩治网络犯罪和追赃挽损力度的措施”。

而对专门从事办案的人员来说，他们更多的是希望加强操作性建设，比如，如何细化电子证据的提取审查，怎样做好行政执法与刑事司法衔接，怎么推动立法完善以及加强国际司法协助等。总的是，“魔道”斗法，必须要见招拆招，他打过来一掌，我就得还过去一拳，不管遇到什么情况，都能从办案“工具箱”里找到称手的“家伙”。

北京一名检察官希望对利用“爬虫”、VPN等新型技术手段侵权犯罪的法律边界进行明确。现在利用“爬虫”等技术手段爬取互联网数据的行为广泛存在，但合法的数据挖掘、利用与数据安全、隐私保护之间的边界还相对模糊。

实践中，对于利用“爬虫”技术获取他人数据是否属于刑事追责范围，有较大争议。因此建议：利用“爬虫技术”手段抓取数据后使用的行为是否涉嫌犯罪，取决于其使用方式及数据本身的价值。由于“爬虫”本身仅仅是对人类访问行为的模仿，因此访问行为不会构成侵权犯罪。但是如果被数据抓取到的网站本身设置有一些技术措施，以确保只有特定的用户才可以通过这些技术措施访问信息，而“爬虫”控制者以非法侵入他人计算机信息系统等不正当手段侵入并获取数据，无论数据是否系合法储存于该计算机信息系统内，均突破了技术保护限制，情节严重的，涉嫌危害计算机信息系统安全犯罪。（方圆公众号：fangyuanmagazine）

上海一位检察官希望建立专业化办案机制，发挥“捕诉一体”先发优势，与公安机关建立信息通报、案情会商研判机制，完善提前介入机制，加强网络犯罪案件引导侦查取证，在侦查前期督促侦查人员有效搜集固定证据。同时，打造新型网络犯罪核心办案团队，实行“专案专办”，提升办案的专业化、精细化水平，办好办成铁案。

浙江杭州一位检察官希望加强多部门联动，凡重大、疑难、敏感新型网络犯罪案件，公安机关应当及时商请同级检察院提前介入，检察院应当及时指定专人或组织专班介入工作，明确侦查取证思路和方向，引导公安机关全面搜集、固定证据，并对侦查活动合法性进行监督，提高案件质量和提升诉讼效率，公安机关应当对检察院的提前介入工作提供支持。同时，开展多方会商，确保案件依法、及时办理。

除此以外，有的办案人员希望重新解读共同犯罪的行为共同说，将未达到定罪情节的违法行为也纳入其中，为刑法惩治犯罪提供理论基础；有的建议进一步提高刑事证据规则的适用，增强被告人说明义务；有的希望对内涵不清的一些罪名进行解读，如帮助信息网络犯罪活动罪的“信息网络”在实践中如何理解等。

还有不少办案人员认为，“魔道”斗法，人才和装备特别重要。作为基层办案人员，他们非常希望加强人才培养，用好系统内有计算机、法学双重背景的人员，盘活用好现有的检察技术人才，选派他们参与辅助办案，促进检察业务和检察技术的深度融合。同时，要加强装备建设，给办案人员配备先进的“武器”，以适应办案需要。（文中涉案人员均为化名）