计算机犯罪专业律师办案技巧指导《域名劫持流量劫持类计算机犯罪案件无罪攻略》

济南张洪强律师流量劫持类计算机犯罪案件办案技巧指导
流量劫持类犯罪是新型犯罪，专业性强，与传统犯罪不同，办理流量劫持案件，不仅面临法律适用问题，也时刻面临着错综复杂的技术问题。
济南计算机网络犯罪专业律师张洪强，专注于流量劫持类计算机犯罪的辩护研究，对制作劫持程序、跳转代码、弹窗广告、dns域名劫持、植入木马控制网站、买卖网站控制权、webshell等计算机流量犯罪案件有丰富的办案经验和数量的办案技巧，著作《域名劫持流量劫持类计算机犯罪无罪攻略》在办理计算机犯罪案件时，能最大程度的维护黑客个人、漏洞挖掘者、黑客工具开发者、网络黑产从业者的合法权益。
一、争取将流量劫持行为按照民事侵权或者行政处罚处理。
我们律师在办理此类流量劫持案件中，首先考虑的就是能否争取将案件作为不正当竞争和民事侵权类处理，争取将流量劫持的行为适用〈中华人民共和国反不正当竞争法〉或者民法典，而不是适用刑法来当做犯罪处理。
2015 年以前，流量劫持一直被视为不正当竞争行为，按民事侵权或按行政违法处理，公安机关基本没有对此类案件进行刑事立案。
〈中华人民共和国反不正当竞争法〉第12条规定，未经其他经营者同意，在其合法提供的网络产品或者服务中，插入链接、强制进行目标跳转的行为，属于不正当竞争行为。
2022年3月17日，《最高人民法院关于适用〈中华人民共和国反不正当竞争法〉若干问题的解释》发布，第二十一条规定，未经其他经营者和用户同意而直接发生的目标跳转，法院应当认定为反不正当竞争法规定的“强制进行目标跳转”。仅插入链接，目标跳转由用户触发的，法院应当综合考虑插入链接的具体方式、是否具有合理理由以及对用户利益和其他经营者利益的影响等因素，认定该行为是否违反不正当竞争法的规定。
例如，发生在2018年的某起流量劫持案件，公安机关没有刑事立案，而是由杭州市市场监督管理局于2018年11月16日对某数据公司作出《行政处罚决定书》，进行罚款处理，该案中认定通过http会话劫持等技术手段，在其他经营者合法经营网站的目标客户浏览器中插入链接广告，劫取其他网站流量；提高了广告主的访问流量，违反《反不正当竞争法》第十二条第二款第（一）项规定，由市场监督管理局对涉案公司进行罚款处理。
此外，我们律师在办理案件时，要注意犯罪嫌疑人流量劫持的具体方式是什么，要注意涉案的流量劫持技术是否对计算机信息系统、网络的硬软件设备造成破坏，是否对计算机系统运作、网络数据造成严重的影响等，例如采用“诱导”式劫持手段的案件，就不应刑事立案，而应按照不正当竞争来处理。所谓“诱导”式劫持，是指利用带有误导性的广告、默认选项、下拉框、关键词等进行诱导式劫持，间接阻碍但未截留用户请求的数据，使得用户在正常使用服务的过程中多了些诱导式的选择，但结果仍能到达目标网站或网页。
二、将流量劫持行为从罪名定性上争取罪名更轻的定性。流量劫持类案件的定性在司法实践中缺乏统一的标准，对相同性质的“流量劫持”行为，不同的办案人员可能会有不同的定性和罪名认定。
流量劫持涉及的罪名主要有四个，不同的罪名刑期不一样。处罚最重的是破坏计算机信息系统罪，最高可判15年有期徒刑。处罚第二重的是非法控制计算机信息系统罪、非法获取计算机信息系统数据罪，最高判7年有期刑。处罚第三重的是帮助信息网络犯罪活动罪，最高判3年有期徒刑。
例如：
①付某、黄某流量劫持案，上海浦东法院判决：破坏计算机信息系统罪。
②张某流量劫持案，温州法院判决：非法控制计算机信息系统罪。
③陈某、王某流量劫持案，在重庆法院被判：非法获取计算机信息系统数据罪。
④李某、梁某等人流量劫持案，在中山市第一法院判决：帮助信息网络犯罪活动罪。
⑤汪某流量劫持案，二审绵阳市中级法院依法改判，认为一审法院认定罪名不准确，将该案由破坏计算机罪二审改为非法控制计算机罪。
我们律师在办理案件时，如果不能争取到按不正当竞争、民事侵权处理，也不能从证据上争取事实不清证据不足的话，就要考虑争取能否按最轻的罪名来认定。
1、从技术原理角度争取最轻的罪名认定。
流量劫持类案件的技术方式多样，常见的有流氓插件、网站挂马、DNS劫持、路由器劫持、运营商劫持等，基于流量劫持的技术原理不同，在实现流量劫持这一目的时，对计算机信息系统造成的危害后果也可能不同。例如架设镜像服务器、插入跳转代码、使用恶意软件修改域名解析设置、修改IP地址、变造访问请求不同的劫持方式，对计算机信息系统造成的危害后果也不同。
2、从被告人所处的环节争取最轻的罪名认定。流量劫持已经形成了制作、投放恶意代码，协助植入代码，DNS劫持、后期经营运转等多个犯罪环节的黑色产业链，在团伙中参与的环节不同、加入团伙的时间不同，可能所涉及的罪名也不同。
三、从证据上争取事实不清、证据不足，不能形成证据链，争取到撤案、不批捕、不公诉、罪名不成立等。
我们律师在办理案件时要通过对证据的审查，看能否争取到事实不清、证据不足，如果案件被认定为事实不清、证据不足、不能形成证据链，就有可能争取到撤案、不批捕、不公诉、罪名不成立等。
首先，要注意以下事实是否有证据证明，是否查清。
1、犯罪嫌疑人的电脑、相关服务器是否被扣押到，是否从扣押的电脑、服务器等电子设备中提取到劫持程序、跳转代码等工具性程序，是否提取了有关网络日志或相关数据、账单、资料等证据。要注意扣押程序以及电子证据提取程序是否合法的问题。
2、是否对劫持程序进行司法鉴定和功能性鉴定，劫持程序工作原理、植入方式、植入时间是否查清。
3、是否有被害方的后台日志、反作弊软件记载的数据或检测结果；被害方是否委托第三方进行过监视检测（第三方网络服务商提供的侵权行为数据等。
4、计算机代码修改数据是否查清。
5、原IP地址转入到篡改后的指定IP地址的路径数据是否查清。
6、将用户流量劫持到篡改后网站的路径数据是否查清。。
7、劫持到的流量本身数据是否查清。例如在有些案件中，为了统计劫持流量的数据，一些劫持程序中会加入统计代码进行劫持统计，这个数据是否取得，取得程序是否合法。
其次，审查是否形成证据链。
犯罪嫌疑人被抓，一般是劫持元素与犯罪嫌疑人发生关联性，我们律师在办理案件时，要注意与犯罪嫌疑人发生关联性的元素证据是否形成了证据链，如果不能形成证据链则有可能争取到罪名不成立的处理结果。
1、审查流量劫持行为的网络痕迹证据链。稍微有些经验的黑客入侵者会删除相关日志记录、入侵痕迹，并且会对劫持程序、跳转代码进行代码混淆、加密、压缩等处理，溯源难度极大。我们在办理案件时要注意电子证据的提取过程、程序是否合法，要掌握电子证据的收集、保存专业知识。
①入侵痕迹关联到被告人的证据链：报案人电脑、网站、服务器上提取相关电子证据，包括：服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、可疑木马文件等。
②植入程序关联到被告人的证据链：劫持程序中否提取到个人虚拟身份信息，如Q+Q号码、电子邮箱、木马收信地址等，木马的ip地址、虚拟身份等信息是否与被告人一致或产生关联性。
③流量流向路径关联到被告人的证据链：追踪流量劫持需要专业的、特殊的工具去观察，如果不能及时记录、抓包、并同时存档的话，很可能就错过了最好的取证机会。因为广告的插入、链接的访问都是在某个时间点发生的，如果错过了就很难重现，还原流量劫持的“犯罪现场”有时是不可能实现的，这就是为什么有些流量劫持案件最终定罪的原因。
我们律师要特别注意一种情况，就是一个客户可能同时找多个黑客进行流量劫持，如何确定某次的劫持行为是张三还是李四实施的，是我们特别要掌握的。
2、审查同案犯之间的人员证据链。
流量劫持已经形成了一条庞大的黑色地下产业链，催生出专门从事流量劫持的网络服务行业，很多流量劫持的参与人被抓是因为同案犯指认或者与同案犯存在聊天记录、转账记录等。
我们律师在办理案件时，要注意审查同案犯之间的证据链，看能否从证据上讲犯罪嫌疑人与犯罪团伙分离出来，在很多案件中，这些人一般都互不认识，只是网友，互相之间连真实名字都不知道，并且使用一些境外聊天软件联系，对于侦查机关来说，要找到确凿的证据链也不是容易的事情。
①审查同案犯之间的供述是否吻合。
②审查同案犯个人的电子设备中是否提取到一致或存在关联性的证据。
③审查聊天记录问题。要注意是否有证据证明聊天账号是被告人在使用；聊天记录的取证是否合法，有些办案机关为了省事，可能仅仅对聊天记录截图打印或拍照，这是不符合电子证据取证规则的。
④审查同案犯之间的转账记录，是否有证据证明该转账的性质。例如在某起案件中，虽然存在同案犯之间的大量转账，但最终检察院认定证据不足。
3、审查资金链流向证据。
流量劫持案件，行为人在计算机系统上留下的相关痕迹是最直接的证据，但是，由于黑客都知道销毁或隐藏入侵的痕迹来掩盖自己，在很多案件中经常存在直接证据缺失的情况。
在直接证据缺失的情况下，警方会通过利益链条来追踪作案人，通过筛查资金去向，根据资金的转移路径、使用情况，对多次流转的涉案资金进行追踪，很多流量劫持类案件的嫌疑人被抓，就是因为资金流向，但是随着反侦查能力的提高，查清资金流转路径、流转金额难度越来越大。
这里只强调一点，就是在有些案件中，公安机关在计算被告人的违法所得时，会根据某个推广ID账户下结算的全部推广费算作流量劫持的违法所得，或者将某个银行账户中的所有流水算作违法所得，这个我们要注意，如果存在其他合法推广合法业务时，必须要求剔除。
济南计算机犯罪律师张洪强，系北京市京师（济南）律师事务所高级合伙人律师，深耕计算机网络犯罪，对破坏计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪以及提供非法侵入控制计算机信息系统程序、工具罪具有深入研究和总结。张洪强律师熟悉黑客技术原理和电子数据取证，对黑客入侵、网络盗窃、漏洞利用、权限提升、木马病毒、黑客ddos流量攻击、抓包撞库/木马盗号等计算机网络犯罪案件有深入研究总结，著作《流氓软件恶意程序类计算机犯罪无罪攻略》、《黑客入侵类计算机犯罪无罪攻略》、《网络攻击类计算机犯罪无罪攻略》《域名劫持流量劫持类计算机犯罪无罪攻略》《木马病毒类计算机犯罪无罪攻略》《爬虫类计算机犯罪无罪攻略》等，为办理计算机犯罪案件提供有效的指导。