遭DDoS攻擊 如何確定賠償范圍？_CHE

防范、處理攻擊事件，是各大平臺安全部門的日常工作。近日最高檢發布的第18批公報案例中，有一起利用DDoS攻擊手段引起服務器崩潰的案件。因為攻擊者銷毀證據，以及被害公司未能妥善保存造成損失的證據，給攻擊者的定罪和求償帶來了難度。通過這個案例，可以給安全部門的朋友們提個醒：工作中，技術非常重要，但懂點法律也非常必要！

基本案情

2017年初，被告人姚某某等人接受王某某（另案處理）雇傭，招募多名網絡技術人員，在境外成立“暗夜小組”黑客組織。

“暗夜小組”從被告人丁某某等3人處購買大量服務器資源，再利用木馬軟件操控控制端服務器實施DDoS攻擊。

2017年2—3月間，“暗夜小組”成員三次利用14臺控制端服務器下的計算機，持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。

受害互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，攻擊源IP地址來源不明。

攻擊導致三家游戲公司的IP被封堵，出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。

騰訊新聞《潛望》：Binance曾對接香港監管部門:7月5日消息，據騰訊新聞《潛望》報道，過去這幾個月中，大多數華人背景的加密頭部公司都有找人來香港對接監管部門，其中包括神魚的Cobo以及CZ的Binance等。騰訊新聞《潛望》報道中還表示，在香港遞交加密貨幣交易平臺申請牌照之前需要的成本至少在1億港幣左右，這其中除了管理人員的成本外，絕大部分成本都屬于系統技術上。但這只是一張在港申請交易平臺牌照的入門券。[2023/7/5 22:18:37]

某互聯網公司由于其攻擊，造成向游戲用戶賠付11萬余元；并且為恢復服務器的正常運營，組織人員對服務器進行了搶修并為此支付4萬余元。

機關陸續將11名犯罪嫌疑人抓獲。偵查發現，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。

（DDoS攻擊：是指黑客通過遠程控制服務器或計算機等資源，對目標發動高頻服務請求，使目標服務器因來不及處理海量請求而癱瘓的網絡攻擊。） 

判決結果

根據（2018）粵0305刑初418號刑事判決書：

Mango攻擊者Avraham Eisenberg在波多黎各被捕:金色財經報道，Mango攻擊者Avraham Eisenberg已在波多黎各被捕，他曾用“高利潤交易策略”耗盡了DeFi交易平臺Mango Markets價值1.1億美元的加密貨幣。據FBI特別探員Brandon Racz簽署的一份證詞稱，Avraham Eisenberg“故意且有意地”操縱商品（即Mango Markets期貨合約）銷售。

另據周二公開的一份文件顯示，Avraham Eisenberg將面臨商品欺詐和商品操縱的指控，這些指控可能會使其受到罰款或監禁等懲罰，也可能使他成為第一位因操縱去中心化金融(DeFi)交易平臺而面臨指控的美國居民。[2022/12/28 22:11:39]

姚某某等人成立破壞計算機信息系統罪。

其中，姚某某被判處有期徒刑2年；其余10名被告人分別判處有期徒刑一年至二年不等。

宣判后，11名被告人均未提出上訴，判決已生效。

案例分析

本案中，對姚某某等人定罪，存在兩個重要問題：

第一個問題是：

姚某某等人銷毀了犯罪時使用的計算機等數據載體，如何證明行為與數據終端之間的關聯性？如何證明其攻擊與造成的損失之間具有因果關系？

Web3開發平臺Alchemy正在為新的風險投資基金籌集1200萬美元:金色財經報道，根據提交給美國證券交易委員會（SEC）的文件，Web3開發平臺Alchemy正在為一個風險投資基金籌集1200萬美元。目前，Alchemy SPV III基金還沒有開始籌集資金。文件沒有說明該基金的用途。Alchemy聯合創始人兼首席技術官Joseph Lau被列為該基金的執行官。（CoinDesk）[2022/9/14 13:28:10]

本案事實中，某互聯網公司網絡安全團隊雖然監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，但并未鎖定攻擊源IP地址。

同時，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理；未能從前述電腦等工具中提取到直接證明攻擊是設備發起的直接證據。

本案中，偵查人員從以下三個方面證明行為人實施了犯罪事實：

第一，行為與數據終端之間有關聯性。

通過被害公司提供的系統數據，將受攻擊IP和近20萬個攻擊源IP作進一步篩查分析，篩查出主要攻擊源的IP地址。發現：這些IP中，有198個IP為僵尸網絡中的被控主機；而這些主機又由14個控制端服務器控制。

第二，數據終端與行為人之間有關聯性。

迅雷數字藏品平臺非同數藝推出宋徽宗《竹禽圖》藏品:金色財經報道，迅雷數字藏品平臺非同數藝將于6月28日上午11時開售宋朝皇帝宋徽宗的《竹禽圖》藏品，該藏品創意以《竹禽圖》為基礎，進行動畫形式的創新創作，讓數字藏品成為文物活起來，本數字藏品為《竹禽圖》部分動畫一件。此次發售的《竹禽圖》藏品是由中國文物報社發起的“海外文物藝術專題”作品之一，《竹禽圖》真跡現藏于美國大都會博物館。藏品限量出售3000份，現已開啟預約。非同數藝上的數字藏品均基于迅雷鏈技術鑄造生成，用戶購買的數字藏品具有唯一性、不可篡改、不可分割等特性。[2022/6/27 1:33:34]

通過姚某某等人的網絡聊天內容和銀行交易流水等證據，查清了“暗夜小組”的姚某某等人從丁某某等人處購買了上述14個控制端服務器的控制權的事實。

第三，行為與損害結果之間有關聯性。

通過第一步中確定的攻擊時間、服務器受損時間、攻擊的規模，以及實施攻擊后“暗夜小組”給受害公司發送郵件的事件；可以發現：主要攻擊源的攻擊類型、波形特征和網絡協議，與丁某某等出售、姚某某等人實際控制的攻擊服務器的攻擊資源特征相同；攻擊發生的時間與損害出現的時間相同。并查明，攻擊發生時，網絡中不存在同規模的其他攻擊。

因此，可以確定主要攻擊來自于姚某某等人實際控制、丁某某等人出售的控制端服務器。

BTC盈利地址數量達22個月以來低點:金色財經消息，Glassnode數據顯示，BTC盈利地址數量（7日MA）為23354,141.250，達22個月以來低點。[2022/6/18 4:37:02]

本案中，犯罪嫌疑人在實施網絡攻擊后，發郵件向被害人敲詐勒索的證據，是認定攻擊事實與損害結果間因果關系的重要證據。

第二個問題是：

互聯網公司的損失數額應當如何認定？

本案中，受害公司提出，由于攻擊導致服務不能進行，其向客戶退費人民幣114358元；為修復系統數據、功能而支出的員工工資人民幣47170元。是否能將這些損失全部計算為犯罪損失呢？

破壞計算機信息系統造成損失的數額，是刑法第286條規定中“后果嚴重”的一種類型。依據本條規定：

“后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。”

實踐中，常通過違法所得數額和造成的經濟損失判斷危害后果的大小。

經濟損失標準并不一定能全面、準確反映出犯罪行為所造成的危害。一些案件中，違法所得或者經濟損失的數額并不大，但網絡攻擊行為導致受影響的用戶數量特別大，或通過其他后果，造成了惡劣社會影響。

但在本案中，受影響計算機信息系統和用戶數量的證據已經無法取得，只能以造成的經濟損失為標準認定行為的危害后果。

根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條規定，“經濟損失”包括：

“危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。”

本案中，除了造成服務不能進行直接帶來的經濟損失，被害公司為修復系統數據、功能而支出的員工工資也是因犯罪產生的必要費用；也應當認定為本案的經濟損失。

判決中，對于攻擊導致服務不能進行向客戶退費人民幣114358元；理論上能夠認定為本案的經濟損失。但，由于被害公司沒有就費用的支出標準、依據提交充分的證明材料，法院沒有將這部分費用認定本案經濟損失。

此外，對于修復系統數據、功能而支出的員工工資人民幣47170元；這一費用被法院認定為由犯罪所產生的必要費用，是認定本案經濟損失的依據。

最后，對于修復費用可能與公司員工工資存在部分混同的情況，法院在量刑時以此為依據，對行為人的處罰進行了酌情從輕處理。

寫在最后

本案中，行為人實施了租用第三方服務器、銷毀作案工具、刪除聊天記錄等反偵查手段；但這些手段都沒有影響相關證據的獲取和因果關系認定。天網恢恢，疏而不漏；在此提醒各位老友，偵查手段遠比你想的深入，千萬不要動歪腦筋！

另外，如果遭到相關攻擊，保存證據非常重要！如果能第一時間鎖定攻擊IP，相關電子數據記錄將可能成為有力的定案證據。第一時間除了要保存遭到攻擊的相關電子數據；保存攻擊造成的直接損失的證據，和由于攻擊支出的修復、維護、賠償金等費用的憑證也十分重要。

刑事程序中，定罪要求的證據證明標準，與民事上的證明標準存在差異。是否保存充足的證據，不僅決定了你能否獲得賠償，還關乎是否能否對行為人按照損失數額定罪。只有依法充分地保存證據，才能在不同的訴訟場景中“立于不敗之地”。

附錄：規范依據

《中華人民共和國刑法》：

第二百八十六條：破壞計算機信息系統罪

違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；

關于《刑法》第286條規定的“后果嚴重”，《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》有明文規定：

 第四條 破壞計算機信息系統功能、數據或者應用程序，具有下列情形之一的，應當認定為刑法第二百八十六條第一款和第二款規定的“后果嚴重”：

（一）造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的；

（二）對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的；

（三）違法所得五千元以上或者造成經濟損失一萬元以上的；

（四）造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的；

（五）造成其他嚴重后果的。

第六條 故意制作、傳播計算機病等破壞性程序，影響計算機系統正常運行，具有下列情形之一的，應當認定為刑法第二百八十六條第三款規定的“后果嚴重”：

（一）制作、提供、傳輸第五條第（一）項規定的程序，導致該程序通過網絡、存儲介質、文件等媒介傳播的；

（二）造成二十臺以上計算機系統被植入第五條第（二）、（三）項規定的程序的；

（三）提供計算機病等破壞性程序十人次以上的；

（四）違法所得五千元以上或者造成經濟損失一萬元以上的；

第十一條 本解釋所稱“計算機信息系統”和“計算機系統”，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。

本解釋所稱“身份認證信息”，是指用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等。

本解釋所稱“經濟損失”，包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失，以及用戶為恢復數據、功能而支出的必要費用。

以上就是今天的分享，感恩讀者！

Tags：DOSDDOSCHEENBDDOS價格ChesterCoinRENBTCCURVE

比特幣交易