检察机关引导公安机关补充固定关键性证据,利用编程技术及大数据模型协助海量电子数据证据审查,破获流量劫持犯罪团伙3个,抓捕犯罪嫌疑人11人,有效净化了网络空间——
“流量狂欢”的破灭
在流量为王的互联网时代,流量就是资源,每一次点击都可能带来真金白银的兑现。有不法分子就瞄准了这样的“商机”,联系国内非法流量主开展网络流量劫持违法犯罪,帮助境外广告主向国内网民推广境外涉赌、涉黄网站,从而获取境外广告主支付的巨额费用。
日前,四川省绵竹市检察院办理了非法控制计算机信息系统系列案,及时斩断伸向网民的流量黑手,破获流量劫持违法犯罪团伙3个,抓捕犯罪嫌疑人11人,已成功追回涉案虚拟货币等违法所得1200余万元,有效净化了网络空间。
赌场打工
偶然发现“生财之道”
2022年6月,绵竹市公安机关在办理一起网络赌博案时,发现参赌人员频繁提到一个叫张某的人。此人无正当职业,但出手阔绰,还邀请参赌人员乘坐头等舱赴新疆、海南三亚等地旅游,多次为参赌人员娱乐场所高消费买单等,张某的异常行为引起了办案民警的注意。
公安机关以涉嫌开设赌场罪依法传唤张某。面对讯问,张某辩称自己并未开设赌场,也未曾为他人赌博提供条件。但当民警深究其资金来源及手机中为何存有大量赌博网站信息时,张某自知无法掩饰,经其交代,一起非法控制计算机信息系统系列案浮出了水面。
仅有中专文凭的张某无一技之长,一直无所事事、混迹社会。2013年,张某因犯非法拘禁罪被判处有期徒刑一年十个月,刑满释放后去往菲律宾一家赌场打工。
打工期间,张某偶然发现,有用户输入他所工作的赌场网址,却总是跳转到其他赌博网站。经打听,张某了解到这种情形被称为“流量劫持”,境外黑灰网站的经营者(广告主)想增加UV(访客量),就找到具有技术、设备和网络资源的人(流量主),由流量主通过部署相关设备和软件,使网络用户在访问特定网站时,被强制跳转到广告主推广的网站页面,从而达到流量劫持的目的。而链接流量主和广告主的人被称为“网络黄牛”,通过赚取广告主付费与流量主报价之间的差价获利。张某认为自己找到了“生财之道”,回国后四处打听流量劫持的渠道。
2019年,时任资阳市某运营商销售总监的涂某为招揽公司IDC(网络资源外包)业务,在网上加入了几十个行业QQ群寻找需求客户。张某通过QQ群添加涂某好友后,直截了当地询问涂某能否提供有偿的流量劫持服务。虽然涂某十分清楚,这既不符合公司规定,也不符合法律规定,但在利益的诱惑下,两人还是一拍即合。
随后,涂某以测试网络质量为由,安排机房工作人员将张某购买的服务器安装于资阳市某运营商的机房,张某把该服务器的远程登录操作权限交给了上游广告主。2019年4月、10月,他们开展了两次流量劫持操作,但因使用该运营商网络的用户较少,加之“测试”工作只能开展三五天时间,时限一到服务器就会被机房断电断网,导致通过该服务器的网络流量过小,最终未继续实施流量劫持。
不过,张某还是“豪爽”地先后付给涂某共计1.58万元作为报酬,希望借此打通省级运营商关系,省去中间商环节。而张某通过此次试水,也自诩摸清了这行轻松来钱的“门路”。
各怀鬼胎,暗箱操作“黑吃黑”
结束与涂某的合作后,张某继续沿用“成功经验”寻找流量主。2020年4月,他结识了谢某。谢某拥有4家公司,其中2家公司主营与通信行业相关业务,有技术、有流量、有人脉、有经验的谢某,无疑是张某的最佳合作伙伴。
“早在张某之前,我就为非法赌博网站提供过流量劫持服务。”到案后,谢某交代,为了安全起见,双方商定只干“黑吃黑”的活,即不碰国内正规网站流量,仅劫持同类非法网站流量,谢某通过配置软件,可以将所有经手流量访问的网站与前期收集的几十万个同类非法网站名单进行对比,只有当用户访问同类非法网站时才进行流量劫持。张某遇到谢某时,谢某已经是具有流量劫持全套技术的资深人士,且为张某准备了一套成熟的“局”。
为了提高用户访问量,谢某找到朋友张某乙。张某乙在上海拥有一家网络科技公司,并在杭州、南昌、武汉、西安、兰州等地拥有机房,对外开展IDC业务,拥有大量网络流量。谢某将用于流量劫持的服务器邮寄给张某乙,由其安排技术人员进行部署。
谢某交代,由于黑灰网站用户注册量返点费用高于访问量返点费,为了显得流量更有价值,其还在KTV找了一些服务人员,给每人几百元钱,确保每天有人通过他的流量登录广告主推广的赌博网站充值消费。
2020年9月,谢某因另案涉嫌帮助信息网络犯罪活动罪被黑龙江省牡丹江市公安局取保候审;同年11月,因涉嫌帮助信息网络犯罪活动罪又被福建省晋江市公安局取保候审。谢某嗅到了危险的信号,2021年初把架设在各地做流量劫持服务器的远程管理权全部打包给了朋友高某,由高某接手与各方对接打理,谢某退隐后台,只从高某处领取分红。
高某作为资深的广告从业者有着更广的人脉渠道,全国多地运营商的流量资源从各色人手中通过高某向张某聚来。直至2022年6月张某案发被捕,张某向高某支付的推广费用折合高达1600余万元,张某通过抽取中间费借此敛财折合400余万元。
法网恢恢,疏而不漏。2022年6月,张某因涉案被公安机关刑拘,这场“流量狂欢”终告结束。紧接着,他的合作方也陆续到案。
罚当其罪,坚持罪责刑相适
检察官邀请运营商专家、网络安全专家、检察技术人员进行技术讨论。
2022年9月1日,应公安机关邀请,绵竹市检察院依法介入。“案件涉及专业的计算机技术和复杂的网络架构,如网络流量是如何控制的、犯罪嫌疑人如何通过流量来获取非法利益、涉案人员的交易金额如何认定等,为此,市检察院针对该案成立办案组,由检察技术人员协助检察官依法同步介入引导侦查,重点围绕电子数据技术解读、引导公安机关补充固定关键性电子数据证据、通过人工智能大模型协助分析审查海量电子数据等提供技术支持。”绵竹市检察院承办检察官何静告诉记者。
办案人员讯问犯罪嫌疑人。
通过梳理张某的供述,检察官发现与他合作的流量主包括涂某、谢某、高某、梁某等人。为此,检察机关建议公安机关加派人手“兵分多路”进行侦查。谢某被抓后,其同伙迅速安排人员将用于流量劫持的服务器断电下架,清除了服务器中的关键电子数据。
检察官召开案件讨论会。
办案人员在运营商机房实地查看服务器端口镜像连接。
在此情况下,检警多次召开联席会议,就案件技术问题咨询运营商专家,赴谢某公司所在地对流量劫持过程进行现场侦查实验。
“新型计算机网络犯罪中电子数据灭失无法恢复、犯罪嫌疑人技术性辩解,都可能成为影响定罪量刑的关键因素。”何静表示,侦查实验还原了谢某的行为可以成功使用户访问的域名跳转至目标网站域名,虽然关键数据被故意抹去,但其劫持原理、过程的稳定供述,侦查实验、劫持引流的客观查询数据,可以综合认定谢某违反国家规定,对计算机信息系统实施了非法控制。
2022年9月,在审查逮捕期间,张某辩称自己只是广告主与流量主之间的中间商,没有实际参与流量劫持,不构成非法控制计算机信息系统罪的共犯,应以帮助信息网络犯罪活动罪定罪。
针对其辩解,办案组在检察技术人员辅助下,调取整理张某常用的11个账号239万余条聊天记录,发现张某不仅作为中间商参与信息网络犯罪,还事先与流量主商讨流量劫持目标,并在整个流量劫持过程中提供技术支持、问题反馈及劫持优化。
“张某在明知谢某、高某以流量劫持的方式为其推广非法网站,发送被劫持和被推广的域名,参与到流量劫持中,其行为违反国家法律规定,系采用其他技术手段获取计算机信息系统中存储、处理或者传输的数据,对计算机信息系统实施非法控制的共同犯罪。”检察官分析认为。
针对张某违法所得的认定问题,考虑到张某与上游广告主之间结算均使用虚拟货币,张某的虚拟货币钱包交易情况复杂,无法准确锁定广告主转账主体等特殊情况,办案组建议公安机关通过下级流量主收到的费用倒推出张某收到的推广费用,最终确定2019年4月至2022年6月期间张某伙同他人共收取推广费用2500余万元,张某非法获利500余万元。
一系列客观证据与主观证据形成证据锁链。2023年1月,公安机关将张某移送绵竹市检察院审查起诉。绵竹市检察院经审查认为,张某伙同他人使用非法控制计算机信息系统的技术手段,推广赌博、色情网站的行为,既触犯帮助信息网络犯罪活动罪,也触犯非法控制计算机信息系统罪,应择一重处,于2023年6月对其以涉嫌非法控制计算机信息系统罪向法院提起公诉。
2024年1月,张某因犯非法控制计算机信息系统罪被判处有期徒刑四年,并处罚金50万元。4月,绵竹市检察院以涂某、谢某等5人涉嫌非法控制计算机信息系统罪依法提起公诉。6月,涂某等2人被判处有期徒刑一年至三年,缓刑一年至四年,各并处罚金3000元至3万元。谢某、高某等3人案已于10月24日开庭审理。
“流量劫持涉案人员多,地域覆盖广,可能存在漏犯线索,但大量犯罪案件线索散布于各犯罪嫌疑人的各种联络中,线索之间又存在交叉。”办案组在案件办理中提出,“该案的办理应拔出萝卜带出泥,要把吸附在通信机房里的‘水蛭’、深藏在运营商队伍中的‘内鬼’、破坏国内网络安全生态的‘污染源’彻底揪出来、清理掉。”绵竹市检察院针对张某通话记录、短信内容、网站访问记录等进行汇总分析,梳理出跨越北京、广东、四川、陕西四地的10余条犯罪线索,形成犯罪网络关系图,向公安机关提出关联犯罪一查到底的意见,彻底斩断黑灰网络产业链。
据记者了解,截至目前,当地公安机关已对张某乙等5人侦查终结并移送绵竹市检察院审查起诉。
(来源:检察日报·明镜周刊 作者:曹颖频 李敏 曾啟秀 赵晓颖)
