防范、处理攻击事件，是各大平台安全部门的日常工作。近日最高检发布的第18批公报案例中，有一起利用DDoS攻击手段引起服务器崩溃的案件。因为攻击者销毁证据，以及被害公司未能妥善保存造成损失的证据，给攻击者的定罪和求偿带来了难度。通过这个案例，可以给安全部门的朋友们提个醒：工作中，技术非常重要，但懂点法律也非常必要！

基本案情

2017年初，被告人姚某某等人接受王某某（另案处理）雇佣，招募多名网络技术人员，在境外成立“暗夜小组”黑客组织。

“暗夜小组”从被告人丁某某等3人处购买大量服务器资源，再利用木马软件操控控制端服务器实施DDoS攻击。

2017年2—3月间，“暗夜小组”成员三次利用14台控制端服务器下的计算机，持续对某互联网公司云服务器上运营的三家游戏公司的客户端IP进行DDoS攻击。

受害互联网公司网络安全团队在日常工作中监测到多起针对该公司云服务器的大流量高峰值DDoS攻击，攻击源IP地址来源不明。

攻击导致三家游戏公司的IP被封堵，出现游戏无法登录、用户频繁掉线、游戏无法正常运行等问题。

某互联网公司由于其攻击，造成向游戏用户赔付11万余元；并且为恢复服务器的正常运营，组织人员对服务器进行了抢修并为此支付4万余元。

公安机关陆续将11名犯罪嫌疑人抓获。侦查发现，“暗夜小组”成员为逃避打击，在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理。

（DDoS攻击：是指黑客通过远程控制服务器或计算机等资源，对目标发动高频服务请求，使目标服务器因来不及处理海量请求而瘫痪的网络攻击。）

判决结果

根据（2018）粤0305刑初418号刑事判决书：

姚某某等人成立破坏计算机信息系统罪。

其中，姚某某被判处有期徒刑2年；其余10名被告人分别判处有期徒刑一年至二年不等。

宣判后，11名被告人均未提出上诉，判决已生效。

案例分析

本案中，对姚某某等人定罪，存在两个重要问题：

第一个问题是：

姚某某等人销毁了犯罪时使用的计算机等数据载体，如何证明行为与数据终端之间的关联性？如何证明其攻击与造成的损失之间具有因果关系？

本案事实中，某互联网公司网络安全团队虽然监测到多起针对该公司云服务器的大流量高峰值DDoS攻击，但并未锁定攻击源IP地址。

同时，“暗夜小组”成员为逃避打击，在作案后已串供并将手机、笔记本电脑等作案工具销毁或者进行了加密处理；未能从前述电脑等工具中提取到直接证明攻击是设备发起的直接证据。

本案中，侦查人员从以下三个方面证明行为人实施了犯罪事实：

第一，行为与数据终端之间有关联性。

通过被害公司提供的系统数据，将受攻击IP和近20万个攻击源IP作进一步筛查分析，筛查出主要攻击源的IP地址。发现：这些IP中，有198个IP为僵尸网络中的被控主机；而这些主机又由14个控制端服务器控制。

第二，数据终端与行为人之间有关联性。

通过姚某某等人的网络聊天内容和银行交易流水等证据，查清了“暗夜小组”的姚某某等人从丁某某等人处购买了上述14个控制端服务器的控制权的事实。

第三，行为与损害结果之间有关联性。

通过第一步中确定的攻击时间、服务器受损时间、攻击的规模，以及实施攻击后“暗夜小组”给受害公司发送邮件的事件；可以发现：主要攻击源的攻击类型、波形特征和网络协议，与丁某某等出售、姚某某等人实际控制的攻击服务器的攻击资源特征相同；攻击发生的时间与损害出现的时间相同。并查明，攻击发生时，网络中不存在同规模的其他攻击。

因此，可以确定主要攻击来自于姚某某等人实际控制、丁某某等人出售的控制端服务器。

本案中，犯罪嫌疑人在实施网络攻击后，发邮件向被害人敲诈勒索的证据，是认定攻击事实与损害结果间因果关系的重要证据。

第二个问题是：

互联网公司的损失数额应当如何认定？

本案中，受害公司提出，由于攻击导致服务不能进行，其向客户退费人民币114358元；为修复系统数据、功能而支出的员工工资人民币47170元。是否能将这些损失全部计算为犯罪损失呢？

破坏计算机信息系统造成损失的数额，是刑法第286条规定中“后果严重”的一种类型。依据本条规定：

“后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。”

实践中，常通过违法所得数额和造成的经济损失判断危害后果的大小。

经济损失标准并不一定能全面、准确反映出犯罪行为所造成的危害。一些案件中，违法所得或者经济损失的数额并不大，但网络攻击行为导致受影响的用户数量特别大，或通过其他后果，造成了恶劣社会影响。

但在本案中，受影响计算机信息系统和用户数量的证据已经无法取得，只能以造成的经济损失为标准认定行为的危害后果。

根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条规定，“经济损失”包括：

“危害计算机信息系统犯罪行为给用户直接造成的经济损失以及用户为恢复数据、功能而支出的必要费用。”

本案中，除了造成服务不能进行直接带来的经济损失，被害公司为修复系统数据、功能而支出的员工工资也是因犯罪产生的必要费用；也应当认定为本案的经济损失。

判决中，对于攻击导致服务不能进行向客户退费人民币114358元；理论上能够认定为本案的经济损失。但，由于被害公司没有就费用的支出标准、依据提交充分的证明材料，法院没有将这部分费用认定本案经济损失。

此外，对于修复系统数据、功能而支出的员工工资人民币47170元；这一费用被法院认定为由犯罪所产生的必要费用，是认定本案经济损失的依据。

最后，对于修复费用可能与公司员工工资存在部分混同的情况，法院在量刑时以此为依据，对行为人的处罚进行了酌情从轻处理。

写在最后

本案中，行为人实施了租用第三方服务器、销毁作案工具、删除聊天记录等反侦查手段；但这些手段都没有影响相关证据的获取和因果关系认定。天网恢恢，疏而不漏；在此提醒各位老友，侦查手段远比你想的深入，千万不要动歪脑筋！

另外，如果遭到相关攻击，保存证据非常重要！如果能第一时间锁定攻击IP，相关电子数据记录将可能成为有力的定案证据。第一时间除了要保存遭到攻击的相关电子数据；保存攻击造成的直接损失的证据，和由于攻击支出的修复、维护、赔偿金等费用的凭证也十分重要。

刑事程序中，定罪要求的证据证明标准，与民事上的证明标准存在差异。是否保存充足的证据，不仅决定了你能否获得赔偿，还关乎是否能否对行为人按照损失数额定罪。只有依法充分地保存证据，才能在不同的诉讼场景中“立于不败之地”。

附录：规范依据

《中华人民共和国刑法》：

第二百八十六条：破坏计算机信息系统罪

违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；

后果特别严重的，处五年以上有期徒刑。

关于《刑法》第286条规定的“后果严重”，《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》有明文规定：

第四条 破坏计算机信息系统功能、数据或者应用程序，具有下列情形之一的，应当认定为刑法第二百八十六条第一款和第二款规定的“后果严重”：

（一）造成十台以上计算机信息系统的主要软件或者硬件不能正常运行的；

（二）对二十台以上计算机信息系统中存储、处理或者传输的数据进行删除、修改、增加操作的；

（三）违法所得五千元以上或者造成经济损失一万元以上的；

（四）造成为一百台以上计算机信息系统提供域名解析、身份认证、计费等基础服务或者为一万以上用户提供服务的计算机信息系统不能正常运行累计一小时以上的；

（五）造成其他严重后果的。

第六条 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，具有下列情形之一的，应当认定为刑法第二百八十六条第三款规定的“后果严重”：

（一）制作、提供、传输第五条第（一）项规定的程序，导致该程序通过网络、存储介质、文件等媒介传播的；

（二）造成二十台以上计算机系统被植入第五条第（二）、（三）项规定的程序的；

（三）提供计算机病毒等破坏性程序十人次以上的；

（四）违法所得五千元以上或者造成经济损失一万元以上的；

（五）造成其他严重后果的。

第十一条 本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。

本解释所称“身份认证信息”，是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。

本解释所称“经济损失”，包括危害计算机信息系统犯罪行为给用户直接造成的经济损失，以及用户为恢复数据、功能而支出的必要费用。

以上就是今天的分享，感恩读者！