计算机犯罪专业律师办案技巧指导《网络攻击类计算机犯罪案件无罪攻略》

济南张洪强律师办案技巧指导—《网络攻击类计算机犯罪案件无罪攻略》
使用黑客技术对网站、服务器进行网络攻击类犯罪是新型犯罪，需要我们律师掌握相关的计算机知识，加强研究学习，只有加强研究学习，才能处理好这类案件，维护被告人的合法权益。
济南计算机犯罪专业律师张洪强，专注于网络黑客类计算机犯罪的研究和总结，熟悉网页篡改、流量攻击（ddos攻击、cc攻击等）、数据库攻击（SQL注入）、恶意扫描、域名攻击（DNS域名劫持）、嗅探、Web破坏等计算机犯罪案件，为对黑客个人、漏洞挖掘者、黑客工具开发者（木马、外挂、远控、爬虫、撞库工具）涉嫌入侵、控制、破坏计算机案件具有丰富的办案经验和技巧，善于维护黑客个人、漏洞挖掘者、黑客工具开发者的合法权益。
此类网络犯罪属于高科技新型犯罪，整个作案流程都是借助计算机网络技术在虚拟的网络空间操作，与传统犯罪现场不同，电子证据容易灭失和篡改，很难取得完整的证据链，在加上电子证据具有“易灭失”的特点，在实际办案过程中经常会发生证据不充分的情况。并且在这类案件的办理过程中经常出现对于证据的标准和司法解释的理解适用把握宽严不一等问题 ，导致出现定罪难、定性争议大的司法乱象，例如张洪强律师办理的毕某、杨某等网络犯罪案件，就因为从证据上切断了证据链，最终检察院不公诉，关了八个月无罪释放。
网络攻击类计算机犯罪案件无罪攻略一：争取认定为事实不清。
罪名成立的前提是案件事实清楚，但是在网络攻击网站、服务器案件中，因为黑色产业链的原因以及取证技术原因，经常存在事实不能完全查清的情况，我们律师证在辩护时要重点审查以下关键点是否查清，如果以下内容没有查清并有充分证据证明，就可以事实不清为由要求罪名不成立。
1、是否找到主控服务器、是否找到攻击软件程序，是否针对攻击软件做侦查实验。在很多此类犯罪案件中，实施网络攻击（ddos）的工具程序都没能找到，作为此类犯罪的直接证据，如果找不到工具软件程序，就没法证明该程序具有破坏计算机信息系统的功能，可能导致案件事实无法查清。例如在梁某案件中，梁某自己口供供述他用ddos攻击软件对某公司网站进行了攻击，后来翻供说他没有进行过ddos攻击，只是将上线给他的木马程序安装到其控制的肉鸡中，公安机关未查到三人制作木马程序的相关证据，也无法核实被攻击对象，最终法院判决检察院指控的破坏计算机信息系统罪不成立。
2、是否从主控服务器中提取到中控端的攻击记录（包括攻击目标、攻击流量和攻击时长）。在赵某、刘某等人案件中，公安机关未提取到赵某、刘某的中控端的攻击记录（攻击目标、攻击流量和攻击时长），故无法认定他们提供给“阿布小组”的“肉鸡”流量就是全部攻击被害公司的流量。
3、被控列表中的ip对应的服务器是否核实，是否从被控服务器中提取到木马程序被控端。在某DDOS攻击案中，因从被控端服务器提取到的被控端程序的MD5值以及安装时间与主控端不一致，最终无法查清事实。
4、网络攻击的具体时间、具体攻击方式手段是否查清。看是否出现攻击时间、手段与被告人供述不一致或与其他证据不一致的情况。例如钟某案中，中国电+信的分析报告证明被害网站遭受UDP反射型ddos攻击与CC型DDOS攻击，但钟某供述自己只是实施过CC型DDOS攻击，并且从主控端也未发现udp攻击的工具。
5、造成的损失是否查清，包括破坏计算机的数量、被攻击网站的用户数量、网站瘫痪持续时间、购买防护的支出等，还有被攻击IP的运行记录、访问日志等。 很多案件争取到无罪与罪轻就是因为造成损失的的事实无法查清、证据不足。
网络攻击类计算机犯罪案件无罪攻略二：审查证据链是否完整。
网络犯罪与传统犯罪不同，因为网上证据与网下证据衔接难，很难形成完整的证据链，容易导致事实不清、证据不足，最后定不了罪，如果证据不足、事实不清，就无法定罪，我们在争取无罪和罪轻时，需要要考虑能不能以专业合法的思维，推翻证据、切断证据链，在审查证据链时，可以考虑按照以下四步来走。
第一步：审查‘由案到机’的证据链，看能否切断。我们在办理在网络攻击网站服务器攻击案件时，首先要审查从“被攻击计算机→攻击傀儡机→控制傀儡机→发动攻击计算机”整个联系的证据是否环环相扣。因为‘肉鸡’和VPN的使用，以及犯罪嫌疑人删除相关日志等反侦查行为，他们留在网络上的痕迹往往都是虚假的，并且很多肉鸡的机房在境外，要想形成完整证据链是有难度的。
我们要通过对防火墙日志、服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、U盘插拔记录、远程勘验记录、主控列表、木马程序的MD5值、ip注册信息、木马连接访问日志等证据的质证，看能否切断‘由案到机’的证据链。我们律师在审查这些电子证据时，需要严格把握其合法性、客观性和关联性，着重审查其勘验、检查、鉴定文书，注意证据的瑕疵和非法证据的排除。
第二步：审查‘由机到人’的证据链，看能否切断。攻击网站、服务器案件中，各犯罪嫌疑人在网络空间使用的一般都是虚拟身份，找到了发起攻击的 IP，也无法直接证实系犯罪嫌疑人发起的攻击。仅有IP地址无法简单的认定犯罪，大部分被判刑的都是有其他证据印证，例如自己认罪、证人证明或者网络日志缓存日志等痕迹、Q+Q登录信息以及其他信息相印证。
“从机器到人”的最后一个环节的司法认定过程，往往需要结合犯罪嫌疑人的供述、相关证人证言等予以认定，将言词证据与其他证据进行综合分析，各个证据之间要能够相互印证，排除合理怀疑，这样，整个证明的过程才是完整、严密的，得出的结论才会是排他的和唯一的。
我们律师在办理案件时要将言词证据与其他证据进行综合分析，尤其是要注意与扣押的电脑、手机中的各种日志证据进行对比印证，要注意审查侦查人员是否对IP地址拥有者的电脑进行排查，确定电脑是否被病毒控制，或者其他人使用，要配合网络日志，以及一些q+q登录时间等其他证据。找到各个证据之间存在矛盾和不能印证的地方，如果能切断由“机器到人” 这一环，也就无法确定谁是作案者、无法定罪。
第三步：审查‘由人到人’的证据链，看能否切断。网络攻击犯罪呈现出黑色产业链的特征，犯罪主观证明较难，共犯联系松散难以认定，这些人一般都互不认识，只是在微+信群、q+q群里的网友，互相之间连真实名字都不知道。例如肉鸡出租者、木马病毒开发者、销售者、挂马者、恶意程序开发者等，网络犯罪中行为人之间意思联络形式多样化、联络主体虚拟化、共同行为模糊化，有时候要形成指向某一犯罪嫌疑人的证据链是有难度的，在很多案件中，公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人，从这些被抓获的嫌疑人这里找证据指向其他环节的人，这就是我所说的网络犯罪中“由人到人”证据指向。
我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录等，看是否有充分证据证明他们之间有预谋、有联系，争取切断“由人到人”的证据链。
随着网络黑产从业者反侦察能力的提高，公安机关在取证时要找到“由人到人”的证据链越来越困难，张洪强律师处理的很多计算机网络犯罪案件中，犯罪团伙使用境外的聊天软件，这些聊天软件是端到端的加密，服务器不留痕迹，直接用ID登录，不需要绑定任何身份信息，极致安全私密、信息可以双向撤回、删除聊天信息，这些都为我们从证据上切断“由人到人”的证据链提供了条件和可能。
第四步：审查网络攻击行为与损害后果之间的因果关系证明的证据链，看能否切断。网络攻击犯罪中最难证实的是危害行为和危害结果之间的因果关系，在反射型 DDoS 攻击犯罪中更加凸显。在很多ddos案件中，会出现多个黑客团伙对同一个网站或服务器进行攻击的情况，如何证明网站不能运行是由某一个攻击行为导致的，在证据上是有难度的。
如果不能证实攻击行为与损害后果之间的因果关系就没法定罪，因为技术原因，在很多案件中办案机关即使尽了最大努力，勘验检查工作仍然无法穷尽收集所有数据，也就是说普通案件证明标准要求的“排除一切合理怀疑”几乎不可能实现。
我们需要重点注意的是，在反射型ddos攻击案件中，存储于攻击设备上的攻击日志并不能完全证明攻击行为与被攻击结果之间的因果关系。即使有证据证明被告人有攻击行为，也不能充分的证明攻击时间中的损害后果就是由犯罪嫌疑人实施。
网络攻击类计算机犯罪案件无罪攻略三：降低网络攻击行为造成的损失，争取认定为没有造成“后果严重”、“后果特别严重”。
在司法实践中，对“后果严重”、“后果特别严重”的认定存在模糊之处，我们律师在辩护时，主要从是否能正常运行、破坏计算机信息系统的台数、计算机信息系统网站使用的用户数量、提供服务的时间以及违法所得和经济损失等要素进行辩护，争取认定为没有造成“后果严重”和后果特别严重”。如果能争取认定为没有造成“后果严重”，就可以争取罪名不成立，如果能争取认定为没有造成“后果特别严重”就可以争取将刑期降低一个档次。
在此类案件中，基本上每个被害人都会提出自己所遭受的经济损失，以此来要求犯罪嫌疑人赔偿或者加重对犯罪嫌疑人的处罚。在很多案件中，被害人提出的自己的经济损失往往都是夸大的损失，并非是真实的损失数额，而且在经过夸大之后，损失数额很容易就达到五万元后果特别严重的标准，现实司法实践中，对于损失具体如何计算，计算的依据是什么，并没有明确的规定，各个法院对此采取的标准也不相同。这种施用的混乱其实也给辩护律师提供了辩护空间，这就要求我们辩护律师在面对此类问题时，要具有专业的思维，要认真审查所谓的经济损失，以争取最轻的处理结果。
在邓某等人案中，邓某对某公司WEB服务器发动cc攻击和“SQL”攻击，公诉机关指控邓某犯罪后果特别严重，要求判决邓某5年以上有期徒刑，经审查证据，仅有广西某电子商务有限公司出具的注册用户统计表及说明材料、深圳市某信科技有限公司出具的说明材料予以证明，无其他合法有效的证据佐证，故法院没有采纳检察院的意见，判决认定邓某犯罪后果“特别严重”的证据不足，最终只判决邓某一年六个月有期徒刑，从五年以上的刑期降低为一年六个月，就是因为“后果特别严重” 的证据不充分。
我们律师在办理案件时，可以通过以下几个方面来辩护：
1、网络攻击行为是否导致计算机信息系统不能运行。实践中，对计算机信息系统造成破坏的认定标准并不统一。我们律师需要掌握对“破坏”和“干扰”的认定标准，要掌握运行崩溃、中断、迟缓的证据标准，争取对犯罪嫌疑人(被告人)最有利的认定。我们要注意，网站流量折线示意图、浏览次数、独立访客、IP数据较案发时前后时段的数据有明显降低，并不能简单证明网络瘫痪不能运行。
2、要审查被害单位所称的造成损失的证据，对被害人没有证据的夸大的损失要坚决予以排除。
在刘某网络攻击案中，被攻击公司报案称其遭受网络攻击致使一台服务器烧毁，但因该公司无法提供发票也未保留原有组件，无法提供服务器品牌、型号、组成、及cpu等基本信息，长春市价格认定中心及吉林省物价局均无法对被烧毁服务器的经济损失进行鉴定，且该公司研发的“某游戏”为棋牌手游，利用的都是具有交互等功能的服务器，信通等技术部门和物价部门均无法认定、该公司也无法提供其在被攻击期间服务器停服累计的时间和造成的损失，也无法核实接受域名解析或身份认证的用户数量，所以最终无法认定被告人的ddos攻击行为造成后果的严重程度。
3、要审查被害单位购买的防护服务是否超过必要限度，对超过必要限度购买的高防服务的支出不应算到被告人的头上。例如，被告人只对某公司的一个ip进行攻击，但被害单位购买的覆盖多个ip的防护服务。还有一种情况就是，被攻击单位购买的防护服务是按年计算的，显然不能让被告人承担全年的防护支出。
4、要排除由他人网络攻击造成的损失。在很多案件中，都存在被攻击的系统网站还遭受别人网络攻击的情况，需要根据证据情况确定被告人攻击的ip所占比例，如果确定不了，也就确定不了损失。在赵某、刘某等案件中都存在这种情况，最终无法确定被告人在案发时控制的“肉鸡”数量在所有参与攻击的“肉鸡”数量所占的比例，也无法认定被告人的“肉鸡”攻击鑫泽公司造成的具体经济损失数额。
5、要降低被攻击的网站的用户数量。被攻击的网站用户数量越多，其瘫痪后造成的损失就越大，被告人承担的刑事责任就越大，降被攻击的网站的用户数量可以降低刑期。我们在辩护时要注意，在很多网络案件中，被攻击网站的会员数量的认定缺少认定的方法、标准及统计依据， 我们必须掌握对相关证据的质证技巧。
作者：济南计算机犯罪律师张洪强。
济南计算机犯罪律师张洪强，现在是北京市京师（济南）律师事务所的高级合伙人律师，刑事辩护部主任，深耕计算机网络犯罪，对破坏计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪以及提供非法侵入控制计算机信息系统程序、工具罪具有深入研究和总结。张洪强律师熟悉黑客技术原理和电子数据取证，对黑客入侵、网络盗窃、漏洞利用、权限提升、木马病毒、黑客ddos流量攻击、抓包撞库/木马盗号等计算机网络犯罪案件有深入研究总结，著作《流氓软件恶意程序类计算机犯罪无罪攻略》、《黑客入侵类计算机犯罪无罪攻略》、《网络攻击类计算机犯罪无罪攻略》《域名劫持流量劫持类计算机犯罪无罪攻略》《木马病毒类计算机犯罪无罪攻略》《爬虫类计算机犯罪无罪攻略》、《ddos网络攻击类计算机犯罪无罪攻略》等，为办理计算机犯罪案件提供有效的指导。