本报记者从北京海淀法院了解到,近年来,被称为“数字绑票”的勒索病毒、蠕虫病毒、DDOS攻击等黑客攻击破坏活动相关案件呈增长趋势。一条制作黑客工具、销售工具、获取信息、倒卖信息、控制系统的地下产业链已成型。蠕虫和勒索病毒结合的“WannaCry”上月以来肆虐全球,成为近年来波及面最广的网络安全事件,受攻击电脑中的文档、照片、程序等多种文件被加密,用户需支付“比特币”赎金取回,否则文件就被彻底删除。目前,对于“黑客犯罪”即危害计算机信息系统安全的行为,我国刑法主要规定了四项罪名。那么,勒索病毒索要比特币究竟该当何罪?
黑客罪1
编传恶意程序致3万QQ用户感染
IT男赵某不到30岁,原为一家公司的病毒样本分析师,当从网络论坛上得知编写恶意程序,帮助一些软件公司增加软件的下载量,可赚取广告推广费用后,他就编写了破坏性程序,并上传到互联网。
这个恶意程序隐藏在一个网络链接内,用户只要点击了链接,就会有推广软件被“静默”下载到计算机。如果用户点链接时已登录QQ,此病毒性程序还会登录QQ群管理,在群共享中继续发布这一网络链接。恶意程序进入QQ后,会自动伪装成“QQ聊天记录查询”,一旦有人好奇点击了该链接,便会在群共享中发布。
赵某上传此恶意程序5天后,便发现大量用户被感染,随后自行将存储该程序的服务器关闭。短短5天内,已有3万余名QQ用户被感染,被感染用户计算机自动下载并隐藏运行10余款推广软件。而用户每下载一次推广软件,赵某便可获得0.2到0.5元不等的广告推广费,他共应获利1.3万余元。
经鉴定,赵某编写的这套破坏性程序,会造成QQ用户隐私信息泄露、财产损失等安全风险。
判决 赵某因犯破坏计算机信息系统罪,被判处有期徒刑10个月、缓刑1年。这个罪名针对的是对系统、系统内信息进行删改等操作影响系统功能、数据、应用程序的正常运行、后果严重的或故意制作、传播计算机病毒等破坏性程序,影响系统正常运行的行为。
黑客罪2
侵入政府服务器植入恶意程序
黄某以VPN拨号的方式,非法侵入某地政务内网,租用服务器,通过黑客攻击软件,扫描并侵入某地30台政府服务器,通过软件工具扫描出上述服务器下有漏洞的主机,植入大量恶意程序。
判决 黄某因犯非法侵入计算机信息系统罪,被法院判处拘役4个月、缓刑8个月。本罪打击的是对国家事务、国防建设、尖端科学技术领域计算机信息系统的侵入行为。
黑客罪3
侵入阿里巴巴云计算服务器
何某是广西一家科技有限公司的法定代表人。大学本科文化程度的他通过互联网,侵入北京阿里巴巴云计算技术有限公司服务器,并下载了该公司虚拟机账号、密码共计11506组。
判决 何某因犯非法获取计算机信息系统数据罪,被判处有期徒刑3年,罚金人民币1万元。这个罪名主要针对除特殊系统之外的,入侵系统、通过技术手段获取账号、密码等身份认证信息或控制计算机系统的行为。
黑客罪4
销售侵入控制服务器的木马程序
80后男子黄某是中专文化程度,他在互联网上的QQ群里向他人销售能够侵入、控制网站服务器的webshell网页木马程序,通过支付宝交易49次,获利10260元。
后经司法鉴定,该程序是利用网站漏洞获取网站服务器文件的读取、写入、修改、删除等权限。
判决 黄某因犯提供侵入、非法控制计算机信息系统程序、工具罪,被判处有期徒刑11个月,并处罚金1万元。本罪打击的是提供黑客工具的行为。
剖析
黑客是怎样索财的
海淀法院刑事审判二庭法官姜楠称,目前司法实践中,较为常见的黑客勒索财物方式是“勒索病毒”和利用控制的傀儡机占据网络资源使目标系统无法正常服务即“DDOS攻击”;根据不同情况,一般以“破坏计算机信息系统罪”或“敲诈勒索罪”定罪。
姜楠分析,黑客索财可分为两步:第一步犯罪手段行为,是通过网络攻击、植入病毒等方式,影响计算机系统的功能、正常运行;第二步犯罪目的行为,是以阻止正常运营、删除数据相威胁,向机主、网站经营者等利益相关人索要钱款。
蠕虫型勒索病毒属于破坏性程序,它能够自我复制、传播并破坏计算机系统功能,在7天不交付赎金等特定触发条件下破坏系统数据;同时,遭受攻击、传染的计算机系统的软件或硬件不能正常运行。所以在不考虑罪量要素的情况下,其手段行为属于“破坏计算机信息系统罪”;而黑客以网络攻击、销毁文件、不予解锁等方式索要钱款,属于“敲诈勒索罪”。而上个月发生的勒索病毒索财同时触犯了这两个罪名,法院会从一重罪处断。
“破坏计算机信息系统罪”的量刑更多取决于所影响计算机系统的台数、经济损失、系统不能运行时间等方面;而“敲诈勒索罪”主要取决于索要的钱款数额。因此,不同的案件事实及证据将决定哪个罪名量刑更高及最终适用。
释法
比特币并非“财物”不算“敲诈勒索罪”
“WannaCry”事件的特殊之处,是黑客索要比特币而非钱款,这在目前司法实践中较为鲜见。不过已有通过勒索病毒索要比特币的案件,公诉机关以“敲诈勒索罪”诉至法院,目前案件尚在审理中。
比特币作为一种虚拟产品,其法律本质究竟是财物还是电子数据?姜楠法官认为,如果只将其视为电子数据,而不纳入刑法保护的“财物”范畴,那么索要比特币就不符合“敲诈勒索罪”的犯罪构成。
与比特币法律地位接近的网络游戏装备、游戏币、Q币、网络账号等属虚拟财产,学界的主流观点认为应纳入“财物”范围,但目前执行的司法解释,申明盗窃虚拟财产不按“盗窃”论处,主要是因为虚拟财产的本质是计算机信息系统数据,将其解释为财物超出了法律解释的合理范畴,另外从操作层面上也难以解决数额计算的问题。
比特币不同于传统的虚拟财产,但在目前国家监管层面将它定位为“虚拟产品”的情况下,刑事司法直接将其定位为“财物”,不免有冒进和越位之嫌。姜楠法官认为,在当前情况下,暂不将比特币纳入传统“财物”的范围内,对勒索病毒索要比特币的行为以“破坏计算机系统罪”定性更为稳妥。
本文转自d1net(转载)