解开“撞库”案件中的技术谜团
近日,最高人民检察院发布第十八批指导性案例,表明严厉打击网络犯罪的立场。本文就其中第68号“撞库”案例进行简要梳理,重点解读办案机关在办理此类网络犯罪案件中对相关技术问题的认定和判断,也有益于IT人员认清法律红线、增强法律意识。
1. 案情介绍
2015年1月,叶某编写了用于批量登录某宝账户的“小黄伞”撞库软件(“撞库”是指黑客通过收集已泄露的用户信息,利用账户使用者相同的注册习惯,如相同的用户名和密码,尝试批量登陆其他网站,从而非法获取可登录用户信息的行为)供他人免费使用。
“小黄伞”软件需要结合“打码” (“打码”是指利用人工大量输入验证码的行为)平台,实现账号密码批量验证并登陆。叶某将“打码”业务交由“码工头”张某协助完成,并向其支付费用。
谭某通过下载“小黄伞”,向叶某购买打码服务,成功获取某宝账号2.2万余组,并将非法获取的账号密码出售给他人,从中获取人民币25万余元。
2018年5月18日,浙江省杭州市余杭区人民法院判决认定叶某、张某的行为构成提供侵入计算机信息系统程序罪;谭某的行为构成非法获取计算机信息系统数据罪。
2. 分工图
如果把刑事案件的指控,比作一项攻防战,则办案机关可以视作进攻方,主要职能是固定犯罪证据,向法院提出罪刑指控;而辩护律师是防守方,主要职能是从指控罪名、证据认定等多角度,为犯罪嫌疑人减轻或免除处罚。以下我们从攻、防两个角度,看看本案中控辩双方是如何较量的。
3. 进攻方:检察机关如何组织指控
在案件办理过程中,杭州市余杭区人民检察院关注的重点内容包括:
- 完善“小黄伞”的编制过程、运作原理、功能等方面的证据,以便明确“小黄伞”是否具有避开或突破某宝服务器的安全保护措施,非法获取计算机信息系统数据的功能。
- 对扣押的张某电脑进行补充勘验,以便确定张某主观上是否明知其组织打码行为是为他人非法获取某宝用户信息提供帮助;调取张某与叶某的QQ聊天记录,以便查明二人是否有犯意联络。
- 提取叶某被扣押电脑的MAC地址,分析“小黄伞”的源代码中是否含有叶某电脑的MAC地址,以便查明某宝服务器被非法登陆过的账号与叶某编制的“小黄伞”软件之间是否存在关联性。
- 对被扣押的谭某电脑和U盘进行补充勘验,调取其中含有账号、密码的文件,查明文件的生成时间和特征,以便确定被查获的存储介质中的某宝用户信息是否系谭某使用“小黄伞”软件获取。
4. 防守方:辩护人的主要观点
庭审中,被告人谭某、叶某、张某对公诉机关的指控均无异议。
被告人叶某及张某的辩护人分别提出辩护意见,主要有以下几点:
- 公安机关未能对软件进行侦查实验或进行司法鉴定,故认定“小黄伞”软件属于专门用于侵入计算机信息系统的程序存在瑕疵;
- 叶某主观恶性较小,犯罪情节较轻,其获利金额应扣除其支付给码工的钱款,实际所得不足一万元,属于“情节严重”而非“情节特别严重”;
- 张某与叶某之间无共同犯罪的主观故意,其只是负责联系码工的“码工头”。即使认定张某构成共同犯罪,也应认定其系从犯,或对其打码行为单独评价(仅获利1200余元)。
对于上述观点(2)、(3),法院均不予认同。法院经审理认为,叶、张二人供述和辩解与QQ聊天记录证实了“共同犯罪的主观故意”,二人属于共同犯罪,应当对全部犯罪金额承担责任,且地位作用相当,不宜区分主从犯;而对于辩护人主张的应扣除叶某支付给码工的钱款,法院认为属于犯罪成本,不应在违法所得中扣除。而对于涉及技术认定的观点(1),我们将在下文中进行重点讲解。
5. 从技术角度看证据链
关于技术类犯罪,如何从技术角度搜集犯罪线索、固定证据,一直是案件侦查中的重点和难点。
——如何证明叶某为“小黄伞”的编制者?
关键词:MAC地址
从本案判决书中看,辩护人并未就此提出辩护意见。
对此,公安机关结合相关证据证实了使用撞库软件的终端设备的MAC地址(被攻击平台工作人员证实为50:46:5D:A3:58:AB)、叶某电脑的MAC地址、“小黄伞”的源代码里包含的MAC地址(公安机关提取叶某电脑MAC地址为50-46-5D-A3-58-AB)三者一致。从而证明叶某就是“小黄伞”的编制者。
——如何证明“小黄伞”是“专门用于侵入计算机信息系统的程序”?
关键词:对软件功能的分析
本案中,叶某辩护人提出“小黄伞”软件不属于我国《刑法》规定的“专门用于侵入计算机信息系统的程序”。对此,办案机关主要根据以下思路进行证明:
首先,结合被侵入的计算机信息系统的安全保护措施,分析“小黄伞”是否具有侵入的目的,是否具有避开或者突破计算机信息系统安全保护措施的功能;
其次,结合计算机信息系统被侵入的具体情形,查明“小黄伞”是否在未经授权或超越授权的情况下,获取计算机信息系统数据;
最后,分析“小黄伞”的总体功能,是否属于“专门”用于侵入计算机信息系统的程序。
具体而言,在本案中,通过被告人供述以及技术专家对“小黄伞”运行原理的分析(基于源代码),“小黄伞”被确认具有以下特点:a) 用途单一,仅能针对某宝进行撞库和接入打码平台;b) 被写入自动拨号功能,在批量登陆几组账号后,会自动切换新的IP地址,具有避开或突破计算机信息系统安全保护措施的功能;c) “小黄伞”具有绕过验证码识别防护措施的功能,会自动抓取验证码图片发送到打码平台,由张某组织的码工对验证码进行人工识别;d) “小黄伞”对登陆成功的账号,在未经授权的情况下,会自动抓取账号对应的昵称、注册时间、账号等级等数据。根据以上特征,可以认定“小黄伞”属于刑法规定的“专门用于侵入计算机信息系统的程序”,故公安机关未能对该软件进行侦查实验或进行司法鉴定,并不影响对其功能的认定。
——如何证明谭某利用“小黄伞”非法获取某宝用户信息?
关键词:提取数据、比对数据
在已经认定了软件编制者、软件功能后,接下来的就是对于使用“小黄伞”与实害后果(某宝账户被盗)之间的因果关系进行证明。
本案中,侦查机关从谭某使用的电脑、无线路由器、u盘进行检查,并提取到“小黄伞”软件及相关某宝账号、密码数据、电脑Mac地址等,并对所有包含某宝用户账号和密码的文件进行比对,查明用户信息文件不仅包含账号密码,还包含注册时间、账号等级、是否验证等,而谭某从其他渠道非法获取的账号信息文件并不包含这些。从而结合谭某的供述,认定叶某编制的“小黄伞”软件,就是某宝用户账号遭“撞库”被盗的元凶,证据链完成了闭合。
6. 启发
对于IT人员来说,本案具有警示和风险提示意义。案件始于某宝报案频繁登陆行为,侦查人员发现嫌疑人设备中的犯罪工具,并抽丝剥茧,定位到“小黄伞”编制者叶某、“码工头”张某,继而在检察机关指导下完善软件功能、原理、犯罪所得等证据收集,最终成功证明犯罪。可见网络黑手,难逃法网恢恢。IT人员应当以此为鉴,切忌贪图小利,利用自身专长编写违法软件扰乱公共秩序,从而陷入违法犯罪深渊。
对于普通个人用户而言,我们应注意到“撞库”攻击的成本和技术门槛极低和普及的事实。我们提醒,个人用户应注意个人信息保护,在不同平台上创建账号时尽可能采用不同昵称和密码,从而减少账号被盗的风险。
对于控制和存储用户个人数据的企业而言,应该提高对撞库防御的意识和能力,并意识到到撞库可能对企业运营造成的沉重打击,不仅可能因为机密信息泄露导致业务受到影响,还可能引起监管部门关注和调查,甚至引发诉讼索赔。因此,我们建议企业应至少做到以下两点:(1)建立网络安全保护体系,防御和监控反常登陆或外部攻击;(2)增强企业内部员工安全意识,重视安全培训与演练。
联系作者:louhe@deheng.com
解开“撞库”案件中的技术谜团相关推荐
- 关于FB撞库、群控的技术实现
facebook多批量账号 常规的FB养号需要更多的成本,ip,设备,程序.(海量FB账号),也就是多批量账号操作,认真做内容或正规手段做营销(需要成本.团队.时间).需要用上的IP用机房的ip肯定是 ...
- 户外服装品牌TheNorthFace遭遇撞库 撞库究竟如何成功窃取账户信息
前言:近期户外服装品牌TheNorthFace遭遇撞库攻击,thenorthface.com网站上有200,000个账户被黑.撞库攻击到底是如何成功窃取账户数据的? 近期户外服装品牌TheNorthF ...
- python 脚本撞库国内“某榴”账号
其实日常生活中我们的用户名和密码就那么几个,所以这给撞库带来了可能,本文主要给出python脚本撞库的一点粗浅代码.这里只讨论技术本生,代码中某榴的地址也已经改掉,避免被管理员误解禁言等发生,谢谢大家 ...
- 撞库:2017年的大麻烦
本文讲的是 撞库:2017年的大麻烦,每拥有100万的失窃凭证,黑客们可以使用Sentry MBA等类似工具大规模入侵目标网站上的账户.而根据Shape Security发布的2017凭证泄露报告,2 ...
- 撞库攻击:一场需要用户参与的持久战
一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战. 对于大多数用 ...
- 报告显示,媒体行业已成撞库攻击常见目标
一项报告显示,在2018年1月到2019年12月间,全球媒体行业共遭受了170亿次撞库攻击. 这份名为<Akamai 2020年互联网状况/媒体行业中的撞库攻击>的报告还发现,在报告期间内 ...
- linux C语言多线程库pthread中条件变量的正确用法逐步详解
linux C语言多线程库pthread中条件变量的正确用法: 了解pthread常用多线程API和pthread互斥锁,但是对条件变量完全不知道或者不完全了解的人群. 关于条件变量的典型应用,可以参 ...
- 撞库***:一场需要用户参与的持久战
一,背景: 用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和***之间在用户数据这个舞台上一直在进行着旷日持久的***战. 对于大多 ...
- wo-27s管理员账户和密码_某数据监测与分析系统可被撞库出登录密码
点击蓝字 · 关注我们 01 漏洞标题 某数据监测与分析系统可被撞库出登录密码 02 漏洞类型 逻辑漏洞 03 漏洞等级 中危 04 漏洞地址 http://xx.xx.xx.xx:8000/Use ...
最新文章
- java methode_Java Method.getTypeParameters方法代码示例
- 认识Backbone (五)
- 采用Filter的方法解决Servlet的编码问题
- 虚拟机红帽linux登陆密码,[操作系统]vmware虚拟机安装了linux(redhat)系统忘记登录密码怎么办...
- android rebound平移,Android 仿 IOS 拖拽回弹之进阶 ReboundFrameLayout
- 记第二期“研途同行“研究生论坛《出国交流经验分享》
- 本地方法栈线程公有_Java运行时区域,哪些区域是线程私有的?哪些是共有的?...
- LeetCode 206. 反转链表 思考分析
- Android中如何下载文件并显示下载进度
- 7.生产者消费者 案例 (使用Lock 同步锁 方式,使用Condition完成线程之间的通信)...
- ZooKeeper 这么牛逼,基本原理你懂吗?
- 对无焦点窗口模拟按键_键盘不为人知的一面——单按键篇
- 拖拽化、低代码、可视化布局学习资料搜集
- 无法通过计算机名访问 win10,win10系统主机名无法访问局域网共享的恢复方法
- ZOJ:1003 Crashing Balloon(DFS)
- 【接口技术】实验二:基本I/O实验
- 淀粉肽Amyloid β-Protein (1-24)、Aβ1-24|138648-77-8|DAEFRHDSGYEVHHQKLVFFAEDV
- IBM罗睿兰的“告别信”
- 关于Unity中的NGUI优化,你可能遇到这些问题
- Convert的用法