FavoriteLoading
0

小伙伴喊你來看不知道的新型網絡犯罪——全國首個流量劫持案

新型網絡犯罪:全國首個流量劫持案

2013年底至2014年10月,付某、黃某等人租賃多臺服務器,使用惡意代碼修改互聯網用戶路由器的DNS設置,進而使用戶登錄“2345.com”等導航網站時,跳轉至其設置的“5w.com”導航網站。最后,兩人再將獲取的互聯網用戶流量出售給“5w.com”導航網站所有者——杭州久尚科技有限公司。“2345.com”網站察覺后向警方報案,上海警方于2014年10月立案。2014年11月17日,被告人付某接民警電話通知后自動至公安機關,到案后如實供述了自己的不法事實。2014年11月17日,被告人黃某主動投案,并如實供述了自己的不法事實。經查,兩名被告人短時間內違法所得高達75.47萬余元。

浦東法院在審理后認為,被告人付某、黃某違反國家法律規定,對計算機信息系統中存儲的數據進行修改,后果特別嚴重,均已構成破壞計算機信息系統罪。

法律規范基礎:民刑法律的雙重規制

首先,對于流量劫持這個名詞,可能大家還比較陌生,但上網時遇到各種惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口、強制訪問某些網站的現象大家可能會比較熟悉。其實,“流量劫持”并非法律概念,根據2015年12月,六家互聯網公司就互聯網流量劫持問題發表的聯合聲明所述,所謂“流量劫持”,是指犯罪分子通過特殊技術手段,截取用戶的原始訪問需求,將特定網頁返回給用戶,或破壞原有正常服務以達到牟利目的的行為。

流量劫持包括以下兩種情形:1、域名劫持,主要表現是:用戶在正常的上網狀態下(如3G、4G和Wi-Fi等狀態),目標域名會被惡意地錯誤解析到其他IP地址上,造成用戶無法正常使用服務;2、數據劫持,表現為對于返回的內容,會在其中強行插入彈窗或嵌入式廣告等其他內容,干擾用戶的正常使用,并對用戶體驗構成極大傷害。

其次,一般認為,流量劫持分成“軟性”和“硬性”兩種

“軟性”的流量劫持,一般構成不正當競爭,其不采取技術手段破壞他人計算機系統,而是采取其他手段,如帶有誤導性的廣告、下拉框、菜單或者關鍵詞等,誘導其他網站的潛在用戶自行進入特定網站,從而實現“流量劫持”的目的。對于很多商品而言,消費者在固定一段時間的消費往往是唯一的,這就導致對顧客的“分流”實質上形成了替代效應。換言之,利用競爭對手關鍵詞的企業每達成一件交易,就意味著其競爭者同樣數量交易機會的喪失。

所謂“硬性”流量劫持,即像本案中的被告人那樣,采用破壞他人計算機系統的方法實現劫持流量的目的。“硬性”流量劫持有多種方法,其中一種是DNS(負責域名解析的服務器)劫持。這也正是付某、黃某兩人所采取的方式。一旦黑客破壞了DNS解析的過程,輸入域名后,可能轉化為黑客指定的IP地址,用戶往往很難看出破綻,但所有的流量都會轉向黑客指定的虛假的服務器。黑客不但可以很容易獲取各種密碼、個人信息等,還可以植入木馬病毒,盜竊個人財產。

最后,當前我國刑法并未規定“流量劫持”中的“流量”屬于財產,用戶流量流失以及各方遭受的經濟損失也難以歸入財產犯罪。但是,硬性的“流量劫持”行為客觀上導致計算機信息系統被植入惡意軟件并危害網絡的正常運行,是對計算機信息系統的破壞。也即采取域名解析等技術手段方式時,必然會涉及對網絡用戶的計算機信息系統中存儲、處理的數據進行修改、增刪等行為,從而具備破壞計算機信息系統罪的客觀要件。

刑法中的破壞計算機信息系統罪,是指違反國家規定,對計算機信息系統功能或計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行破壞,或者故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的行為。因此,通過技術方法“硬性”劫持他人流量,造成下列后果的,依照有關的司法解釋,均可以破壞計算機信息系統罪論處:造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的;對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的;違法所得五千元以上或者造成經濟損失一萬元以上的;造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的;造成其他嚴重后果的。

另外,根據《中華人民共和國刑法》第二百八十六條,有以下三種行為之一的,構成破壞計算機信息系統罪:一、違反國家規定,對計算機信息系統功能進行刪除、修改、增加、干擾,造成計算機信息系統不能正常運行,后果嚴重的;二、違反國家規定,對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作,后果嚴重的;三、故意制作、傳播計算機病毒等破壞性程序,影響計算機系統正常運行,后果嚴重的。

本案被告人,使用惡意代碼修改互聯網用戶路由器的DNS設置,實現流量劫持,屬于“對計算機信息系統中存儲的數據進行修改”,短時間內違法所得高達75.47萬余元人民幣(違法所得五千元以上的,依法應當認定為“后果嚴重”),依法構成破壞計算機信息系統罪。

此次浦東法院的判決,首次在司法層面將流量劫持認定為犯罪。

寫在最后

流量劫持對傳統刑法理念產生了一定的沖擊,因此,立法上的完善是解決“流量劫持”在司法適用上的有效途徑。隨著網絡犯罪類型的越來越多樣化發展,如何提升立法規范的可預測性,以及更好的發揮立法、司法解釋和司法案例的作用更值得我們進一步思考。(作者單位:中國政法大學法與經濟學研究院)

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。