今年5月,一种名叫“WannaCry”的勒索病毒席卷全球,导致大量用户“中招”。与传统电脑病毒不同的是,该病毒是先将电脑资料加密,并以删除文件威胁用户缴纳一定数量的比特币。就在上个月,另一种“BadRabbit”病毒同样以勒索比特币为目的袭击了欧洲部分地区。不少人觉得病毒背后的黑客神秘莫测,想要抓住他们简直是一件不可能的事情。可就在近日,一起由海淀检察院提起公诉的勒索比特币的案件进行了宣判,被告人潘某被法院判处有期徒刑3年。而该案也是北京市首起由黑客实施非法网络攻击,敲诈勒索比特币的案件。
案情回顾
三公司网站遭黑客攻击
事情还要回到去年8月的一天傍晚,海淀检察院科技犯罪检察部检察官白磊结束了一天忙碌的工作,打算下班回家。没料到刚刚走出单位大楼时,他就接到一个电话。白磊定睛一看手机,来电号码有些眼熟,他知道这是公安局法制部门的电话。“八成电话内容又和案子有关。”白磊心里默念道。
“是白磊吗,你好,打扰了”。果不其然,电话那头传来的是北京市公安局公共交通安全保卫分局法制处工作人员的声音。法制处工作人员急促地说完案情,征求白磊的取证意见。
原来,公安机关当天破获了一起黑客网络攻击、敲诈勒索比特币的案件,北京刑警刚刚在贵州将犯罪嫌疑人潘某抓获,经过初审,潘某交代自己在暗网上雇佣了俄罗斯黑客对国内几家大型网站进行流量攻击,随后使用邮件敲诈这几家网站大量比特币作为终止攻击的代价。
可由于潘某采取了雇佣境外黑客网络流量攻击,使用即时销毁邮箱发送敲诈邮件的方法,公安机关无法对潘某所使用邮箱进行远程勘验侦查,也无法调取所发送敲诈邮件等相关证据,所以此类案件如果不在初审阶段拿到有力证据,案件将很难开展后续工作。
听完案情介绍后,白磊明确告知公安机关承办人,除了继续调取嫌疑人口供、固定电子证据外,需要马上联系国内3家被敲诈单位,调取3家单位所收到的敲诈邮件,并让潘某先描述敲诈邮件细节、再辨认这些敲诈邮件,如果潘某自己主动承认这些邮件是其发送的,就要求潘某在邮件的打印版本上签字确认。
事后证明,破案后第一时间让潘某在自己发送的敲诈邮件上签字确认,成为整个案件得以认定、起诉的决定性证据,虽然在被捕后多次讯问过程中潘某翻供辩解并非自己所为,但开庭时这些他自己签字确认的敲诈邮件最终成为了促使他当庭认罪的有力证据。
黑客竟是网络安全专家
潘某原本是国内一家著名网络安全公司贵州分公司的网络安全人员,具有多年网络安全防护经验,但是每天在为客户提供网络安全服务、抵御网络攻击的同时,潘某竟有着不为人知的一面——对国内多家网站实施网络流量攻击、敲诈勒索比特币。
据潘某被捕后交代,由于自己经济紧张,他从去年7月开始萌生利用DDOS攻击敲诈比特币的想法,随后分别于去年8月1日、4日和10日通过互联网联系境外黑客对国内3家大型交易网站进行DDOS流量攻击。
被DDOS攻击后,这3家网站都出现了客户端无法启动、网站交易系统瘫痪、用户不能正常访问等现象,同时3家网站所在公司工作人员都接到变声电话和匿名邮件,在电话和邮件里对方声称正在对这些网站进行所谓的“压力测试”,如果想结束攻击必须向固定地址支付一定数量的比特币,否则攻击将继续,网站将持续不能正常登录。
事后潘某交代,为了反侦查他给被害单位打的电话都是利用境外的网络电话,并用变声软件对自己声音进行处理,这样被害单位既无法报警追踪电话源头,也无法通过声音辨别敲诈人。而这些发送电子邮件的邮箱也都是潘某为了实施敲诈专门注册的境外邮箱,潘某拒绝交代邮箱密码,并声称已经将邮箱注销,销毁了所有已发送邮件。公安机关在抓获潘某后,的确发现了潘某所使用电脑中有一个占很大内存空间的虚拟主机,可是潘某拒绝交代该虚拟主机密码,至今无法破解。
虽然被害单位均雇佣了安全公司对潘某发起的流量攻击进行防御分析,但是先期受到攻击的两家网站都无法抵挡攻击,网站连续多日被攻击瘫痪导致大量用户投诉,迫于无奈,两家公司分别向潘某指定地址打进22个和44个比特币,给两家公司共造成经济损失23万余元。第三家被攻击网站则一直坚持防御攻击,没有支付比特币,并及时报警。
创新破案
初期取证成定罪有力证据
海淀区检察院科技犯罪检察部,是去年刚刚成立的一个部门,由于面对的是采取高科技手段犯罪的嫌疑人,因此在工作方式方法上有着不少创新。本案中的提前介入、引导侦查取证就是一项重要工作机制,正是因为检察官在侦查初期就了解案情、引导取证,很多案件得以顺利侦破、起诉。
在本案庭审过程中,潘某虽然认罪,但是反复向合议庭陈述,称比特币目前在国内是违法的虚拟物品,本身没有价值,各级物价部门对比特币都没有一个价格认定结论,完全靠各个交易平台自己的认定、兑换率,因此不应认定自己敲诈的比特币具有相应财产属性价值,也就不应根据这个价值来认定自己的刑罚。
针对潘某的这一辩解,检察官可以说早有准备,在案件审查起诉期间,白磊就和同事前往两家被害网站购买比特币的比特币交易平台,通过和该平台运营公司进行长期沟通交流,学习了解了比特币的基本属性、交易模式等基本信息,同时调取了两家被害单位购买比特币的所有交易账单,核实被害单位为了购买这些比特币共花费人民币23.4万余元。最终在起诉时,检察官并没有认定潘某敲诈所得比特币的价值是多少,而是以潘某敲诈行为给被害单位造成的经济损失来认定这起案件的数额。
经过依法公开庭审,在出庭公诉人严密的证据体系下,被告人潘某庭审上对其犯罪事实供认不讳。今年10月27日,潘某因犯敲诈勒索罪被法院判处有期徒刑3年,罚金人民币5000元。自此,北京市首起由黑客实施非法网络攻击,敲诈勒索比特币案成功画上圆满句号。
白磊表示,比特币具有没有集中发行方、总量有限、使用不受地域限制和匿名性等四个主要特点。虽然比特币被称为“货币”,但由于其不是由货币当局发行,不具有法偿性与强制性等货币属性,并不是真正意义的货币。目前很多刑事案件中比特币被用于诈骗、赌博、洗钱等犯罪活动,而类似本案这种以比特币作为敲诈目标的案件中,犯罪嫌疑人就是看中了比特币具有匿名、跨境流通便利等特征,意图利用这一特点逃避公安机关的侦查打击。
就在今年9月,中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会《关于防范代币发行融资风险的公告》中,已经明确在国内禁止比特币为代表的代币交易。
名词解释
暗网
暗网是指那些储存在网络数据库里、不能通过普通超链接访问而需要通过动态网页技术访问的资源集合,不属于那些可被标准搜索引擎索引的表面网络。有专家将互联网比作冰山,人们通常访问的网络只是露在水面上的部分,而在水面以下,还存在看不见的暗网。
有数据表明,犯罪分子在这些隐藏的网站售卖毒品和违禁品,每年所获得的利润约有1亿美元,而暗网中通行的虚拟货币比特币,也不需要信用卡和银行账户信息就能完成交易,进一步逃脱了监管。由此可见,暗网给各国的线上线下安全带来诸多不安定因素。
DDOS攻击
DDOS攻击全称是“分布式拒绝服务攻击”,这是一种能使被攻击者的服务器或者网络不能提供正常服务、以分布式攻击为手段的网络攻击方式。DDOS攻击不仅会导致企业重要资料丢失、机密外泄,还会导致计算机大面积整体瘫痪,对企业的生存发展造成不可挽回的巨大危害。
例如黑客控制1000台电脑,每台电脑带宽是10M,那么相当于黑客有了10G的流量。当控制的这些电脑同时向某一网站发起流量攻击时,目标网站可能瞬间带宽被占满而无法访问。目前国内多数中小型互联网企业均可以抵御1G到2G的小规模入侵,但10G以上的入侵几乎无力抵抗。北京晨报记者 黄晓宇