×

劫持 流量 犯罪 技术 信息

流量劫持与信息技术犯罪

jnlyseo998998 jnlyseo998998 发表于2023-03-11 14:09:04 浏览21 评论0

抢沙发发表评论

流量劫持与信息技术犯罪

作者:广东瀛双律师事务所 乔治律师

【业务交流:自行百度“广东瀛双律师事务乔治律师”“瀛双刑辩”】

最高人民法院于2018年公布了指导案例102号:付宣豪、黄子超破坏计算机信息系统案,即,被告人付宣豪、黄子超等人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时跳转至其设置的“5w.com”导航网站,被告人付宣豪、黄子超等人再将获取的互联网用户流量出售给杭州久尚科技有限公司(系“5w.com”导航网站所有者),违法所得合计人民币754762.34元。上海市浦东新区人民法院于2015年5月20日作出(2015)浦刑初字第1460号刑事判决并认定被告人的行为构成破坏计算机信息系统罪。

法院认为,刑法286条规定,不论是对计算机信息系统还是针对计算机信息系统的数据或者程序进行破坏,造成计算机信息系统不能正常运行,后果严重的,构成破坏计算机信息系统罪。而在本案中,被告人的“流量劫持”行为,通过修改域名解析,使对特定域名的访问由原IP地址转入到篡改后的指定IP地址,导致用户无法访问原IP地址对应的网站或者访问虚假网站,从而实现窃取资料或者破坏网站原有正常服务的目的。显然是对网络用户的计算机信息系统功能进行破坏,造成计算机信息系统不能正常运行,符合破坏计算机信息系统罪的客观行为要件。

也是自此,“流量劫持”成了破坏计算机信息系统罪的标志。

但是需要考虑的是“流量劫持”在实践中表现为各种各样的方式。笔者认为,对于不同的“流量劫持”案件应当具体化分析。因为,刑法286条规定的破坏计算机信息系统罪的核心因素是“破坏性”,而当“流量劫持”不具备破坏性时,不能机械地适用刑法286条的规定。

流量劫持,一般从危害结果的角度上讲,可以分为域名劫持与链路劫持。虽然两种形式的流量劫持都被冠之以流量劫持之名。但是深度解析行为人的行为方式,应当定性为不同的罪名。

展开全文

一、域名劫持

正如笔者在开篇所讲到的付宣豪、黄子超破坏计算机信息系统案,属于典型的域名劫持,即用户在浏览器输入网址,向网络运营商发出请求,后者会通过域名解析,提供网络服务器的IP地址,将用户导向预定的网站或网页。但在域名解析被劫持的情况下,目标域名被恶意地解析到其他IP地址,用户被迫进入其他网站或网页,因而无法正常上网。

当然对于解析域名DNS流量劫持行为定性为破坏计算机信息系统罪并无太大争议。

域名解析式的DNS流量劫持分为两种形式:

第一,付宣豪、黄子超破坏计算机信息系统案,在该案件中,付宣豪等人正是通过直接侵入路由器DNS服务器,将“2345.com”等导航网站的IP与“5w.com”导航网站的IP进行替换,从而导致用户本来应当访问“2345.com”网站时,访问到了“5w.com”网站。由于付宣豪等人不仅仅是实现了对计算机信息系统(注:《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第 4 条专门提及了“域名解析服务器”,故路由器DNS服务器属于计算机信息系统)的侵入、控制,同时还对其中的数据进行篡改。

因此,付宣豪等人所实施的行为应当属于刑法286条所规定的破坏行为。另一方面,对于用户而言,本来应当访问“2345.com”网站时访问到了“5w.com”网站,致使用户无法正常访问自己所想要访问的网站。同时对于“2345.com”网站的运营商而言,付宣豪等人的行为导致“5w.com”网站对“2345.com”网站的覆盖,可以理解为具有破坏性。因此,在此种DNS劫持案件适用破坏计算机信息系统罪并无太大争议。

第二,是通过ARP欺骗进行流量劫持的情况。虽然从客观上讲行为人仅仅是实施了“获取”与“非法控制行为”。

但是,就其内核,行为人实际上是实施了“篡改”的行为。例如,用户在正常访问A网站时,发送数据请求,行为人截获数据请求后,通过ARP欺骗的方式,冒充DNS服务器,并将钓鱼网站或者B网站的IP对用户进行反馈。虽然,行为人的行为始终是围绕截获“用户的数据请求”进行。

但是,行为人在截获用户的数据请求之后,并未按照用户所指向的数据进行公网IP的查询,而是将钓鱼网站或者B网站的IP进行反馈,实质是实施了篡改用户需求的行为。因此,对于该种DNS流量劫持也应定性为破坏计算机信息系统罪。

不过,由于这种攻击太过泛滥,以致大部分路由器都带了防ARP攻击的功能。客户端的ARP防火墙也数不胜数,似乎成了安全软件的标配。所以,目前此种流量劫持的案件较少。

二、链路劫持

用户正常访问网站的基本步骤是,用户发送数据请求,进入路由器DNS服务器中,由服务器将需要访问网站的IP反馈给用户后,用户登录网站。而域名劫持发生在用户将请求发送至服务器期间。而链路劫持,则发生在目标网站内部,即指通过跳出弹窗广告、下拉框、菜单、关键词等手段,诱导用户先经过中间网站或网页,然后进入目标网站或网页的行为。

而在链路劫持的过程中,虽然行为人所实施的行为,或许以用户的行为为媒介,访问到了行为人预设的网站。

但是,请注意:在该过程中,预设的网站并未覆盖目标网站。

换言之,行为人实施的其实是“搭便车”的行为,目标网站并未因弹窗广告等而被屏蔽,行为人并未对用户登录哪个网站施加干预的能力,而是在用户所登录的目标网站上,通过技术手段设置了弹窗、广告。从目标网站运营商的角度看,行为人的行为虽然通过技术等方式,侵入目标网站,并对目标网站的系统数据进行了增加、删除、修改等操作权限。但并未阻碍目标网站的运行。因此,行为人的行为并未达到造成计算机信息系统不能正常运行的程度,换言之,并不构成破坏计算机信息系统罪。

例如最高人民法院指导案例145号:张竣杰等非法控制计算机信息系统案:被告人张竣杰等人共谋,为赚取赌博网站广告费用,对存在防护漏洞的目标服务器进行检索、筛查后,向目标服务器植入木马程序(后门程序)进行控制,再使用“菜刀”等软件链接该木马程序,获取目标服务器后台浏览、增加、删除、修改等操作权限,将添加了赌博关键字并设置自动跳转功能的静态网页,上传至目标服务器,提高赌博网站广告被搜索引擎命中几率。

法院在审理该案件中认为:“1.通过植入木马程序的方式,非法获取网站服务器的控制权限,进而通过修改、增加计算机信息系统数据,向相关计算机信息系统上传网页链接代码的,应当认定为刑法第二百八十五条第二款“采用其他技术手段”非法控制计算机信息系统的行为。2.通过修改、增加计算机信息系统数据,对该计算机信息系统实施非法控制,但未造成系统功能实质性破坏或者不能正常运行的,不应当认定为破坏计算机信息系统罪,符合刑法第二百八十五条第二款规定的,应当认定为非法控制计算机信息系统罪。”

对于破坏计算机信息系统罪与非法控制计算机信息系统罪之间的核心区别就在于所呈现的结果状态不同。破坏计算机信息系统罪着重强调破坏性,即导致计算机信息系统无法正常运行(可参见笔者撰写的《破坏计算机信息系统罪中破坏性的司法解读》)。而非法控制计算机信息系统罪则强调对数据进行增删改的行为。两罪之间并非严格对立关系,而是递进式。即,破坏计算机信息系统一般会采取“侵入”→“控制”→“对数据进行增删改”从而达到“破坏”的效果。但若行为人的行为仅仅止步于“增删改”,尚未达到破坏的效果,则只能以非法控制计算机信息系统罪定罪处罚,而不能动用286条破坏计算机信息系统罪。

比如,天津市红桥区人民法院审理的(2018)津0106刑初309号刑事案件,郭某某与李某某在天津市红桥区风光里49门404号共同开办“深蓝网络工作室”。通过购买黑客非法控制的网站管理权限及利用非法获取的银行卡和身份信息的方式骗取360广告联盟的审核认证,再通过浏览网页、点击广告、使用刷票软件等方式点击已搭建的与被控制网站相似的二级域名网站增加广告点击量、展现量以非法赚取广告费。

该案从本质上,也是属于链路劫持方式的流量劫持,而郭某等人虽然是通过撰写恶意代马、植入病毒等手段非法侵入计算机信息系统使目标网站被控制,但其根本目的并非破坏目标网站的功能或破坏其数据,而是期望网站能够正常运营,以使得被控制网站能够继续成为其犯罪的有效工具。且,在客观上“360”网站也依旧正常运行。正因如此,本案最终定性为非法控制计算机信息系统罪。