谁也没想到,潘俊明竟然是个黑客。当来自北京的公安人员走进国内一家著名网络安全公司贵州分公司的办公区域,径直抓捕了正坐在自己的工位上进行网络安全维护工作的潘俊明时,在场的同事都感到十分诧异。
被抓捕时,刚刚过了30岁生日的潘俊明是这家网络安全公司贵州分公司的网络安全人员,他具有多年网络安全防护工作经验。然而,每天在为客户提供网络安全服务、抵御网络攻击的同时,潘俊明却也有着不为人知的另外一面,他私底下雇用了俄罗斯黑客,对国内多家网站实施网络流量攻击、敲诈勒索比特币。
2017年10月27日,被告人潘俊明因犯敲诈勒索罪被法院判处有期徒刑三年,罚金人民币5000元。这是北京市首起由黑客运作的非法网络攻击、敲诈勒索比特币案。纵观此案,攻击网络平台索要比特币这种新型的勒索方式,实际上也掀开了互联网“黑产”的黑幕一角。
从网络安全员到黑客
拿破仑曾说过,不想当将军的士兵不是好士兵。在网络安全领域,也有一句类似的俗语,叫作不懂黑客技术的安全员不是个合格的安全员。潘俊明做网络安全工作也有不少年头,工作中总免不了与网络黑客打交道。
像他这样的资深网络技术人员都知道,网络安全领域就如战场,面对别人的武器,一名合格的网络安全员必须得清楚地知道对方用的是什么“武器”,包括武器性能、构造、杀伤力和相应的防御措施,一定得注重对攻防技术的理解和不断体会,不然应对高手如云的入侵团队,安全员就会无能为力。
然而,现实生活中的经济压力与潘俊明常有耳闻的网络黑客们的高额收益相对比,让他的心态发生了微妙的变化。案发后,潘俊明回忆说,他刚开始是在网络上寻找投资途径,就想赚点钱,贴补生活开销。
不过后来,他在寻找新获利渠道时还是瞄准了与自己工作最接近的领域,在浏览网页的时候,潘俊明发现了一家名为河北某大宗交易平台的网站,网上很多人评论说,这家平台存在骗钱的行为,所以,他就认为这也许是一家非法网站。利用手头掌握的技术资源和专业知识,潘俊明决定“黑”这个平台一回。
潘俊明太熟悉如何攻击这样的平台了。要想让一家网络平台在瞬间瘫痪,黑客常用DDOS攻击,全称是“分布式拒绝服务攻击”,这是一种能使被攻击者的服务器或者网络不能提供正常服务、以分布式攻击为手段的网络攻击方式。DDOS攻击不仅会导致企业重要资料丢失、机密外泄,还会导致计算机大面积整体瘫痪,对企业的生存发展造成不可挽回的巨大危害。
例如,黑客控制1000台电脑,每台电脑带宽是10M,那么这名黑客相当拥有了10G的流量。当他控制的这些电脑同时向某一网站发起流量攻击时,目标网站的带宽可能瞬间被占满而无法访问。目前,国内多数中小型互联网企业均可以抵御1G到2G的小规模入侵,但对10G以上的入侵几乎无力抵抗。
不过这样的攻击如果是由自己来操作的话,太容易被追踪到,潘俊明就通过暗网资源,联系了一名俄罗斯黑客,让他在境外进行攻击。2016年8月1日上午,当交易窗口开始运作的时候,河北某大宗交易平台发现客户端无法登录,这家公司位于北京市海淀区苏州桥附近的机房经查实,发现客户端遭到DDOS攻击。该平台服务商的网络技术安全人员立即更换了IP地址,但马上又遭到攻击。此后,网络安全员再次启用新的IP地址却依旧遭到攻击,交易平台被迫暂停交易。
正当河北某大宗交易平台对遭受攻击毫无头绪、束手无策的时候,他们接到了一个利用境外VOIP代理电话向这个平台的客服拨打的电话,说自己对他们的网站进行了攻击,要求对方向他提供邮箱。
随后,潘俊明通过自己的邮箱给对方邮箱发了邮件,内容为我们正在对你的网站进行压力测试,如果想停止压力测试,需要向指定的比特币地址打入22个比特币,如果想彻底解决,需要汇入44个比特币。
河北某大宗交易平台这才明白,自己是遭遇到了黑客的敲诈勒索。他们与平台服务商进行了沟通,决定在第二天将交易平台的服务器更换到防护级别更高的机房。结果在8月3日下午,交易平台再次遭到攻击,为避免继续被攻击,他们被迫再次停止交易。当天,河北某大宗交易平台向潘俊明指定的比特币地址汇入22个比特币。潘俊明停止了攻击,次日平台恢复正常。
一连攻击三家网站
按照当时的市场价格,每个比特币的价格折合成人民币是4000元左右,也就是说这一次,潘俊明共获利8万余元。尝到甜头之后,潘俊明在网上继续寻找下一个攻击对象。
2016年8月4日,一家安徽的邮币卡交易中心突然遭遇了DDOS攻击,随后潘俊明向该交易中心发送了相似的邮件内容进行敲诈。这次,潘俊明提高了敲诈勒索的价码,他要求对方汇入40个比特币,自己便会停止攻击,汇入80个比特币就彻底解决问题。
与上一家被害人公司相同,这家邮币交易卡中心的后台经过三天的防御,仍旧不能够阻挡潘俊明雇用的黑客的网络攻击,最后只能妥协,向他指定的网络地址汇入40个比特币。在这期间,潘俊明还攻击了北京某金融交易平台,巧合的是,这家金融交易平台与河北某大宗商品交易平台都属于同一个服务商。
再次遭遇黑客挑衅的这家服务商被迫让网络安全员进行了更有力的还击。于是,网络安全员与黑客之间开展了一次斗智斗勇的无硝烟战争。他们通过不断更换服务器IP地址来分散DDOS攻击,但是黑客不依不饶,一天之中先后攻击了6个服务器IP地址,网络运营商又对这些IP地址进行强制封停。
到了8月11日,上午9点半开始,这个交易平台再次遭受攻击,用户无法登录平台查看行情。到下午的时候,公司闭盘,停止交易并将服务器升级为两个高防IP,但是到了第二天,攻击者却绕开高防IP,直接攻击了服务器的真实IP,导致网络中断20分钟。最后服务商只好直接更换了服务器,这家金融交易平台才暂时躲过了攻击。双方在攻击与防御期间,潘俊明不断地发来邮件,表示只要支付40个比特币就可以停止攻击。
当北京的这家金融交易平台打电话询问服务器工作人员有没有永久有效的防护措施时,网络安全人员十分无奈地回答,他们也没有更好的办法,解决问题的根本办法,还是需要找发起攻击的一方。不过,与前两家被害单位不同的是,北京某金融交易平台选择了报警处理。
此时的潘俊明正在网络上售卖自己的战利品。同样是利用网络资源,他找到一个叫小李的中介负责帮他洗钱,约定六四分成。敲诈河北大宗交易平台所得22个比特币价值8万元,潘俊明获利5.6万元,小李获得2万余元。
对于这笔钱潘俊明给自己提现了5000元,又用其中的4万余元支付境外黑客的费用。而在售卖敲诈安徽某邮币交易中心所得的40个比特币时,潘俊明耍了一个心眼,他在小李介绍售卖的过程中,偷偷记下了上家的联系方式,直接越过小李开始与上家联系售卖的事情。他打算将手中的比特币折现一部分,剩下的比特币则继续留在网上当作长远投资,因为当时的比特币价格一直在上涨,市场价格最高的时候甚至突破了每个1000美元。
检警合作固定关键证据
北京警方在接到报警之后立刻开展了侦查活动。在防止被追踪方面,潘俊明可谓用足了自己的专业手段,他给被攻击的几家网络平台打的电话都是利用境外的网络电话,并用变声软件对自己声音进行处理,这样就让警方无法追踪电话源头,也不能通过声音辨别敲诈人。
发送电子邮件的邮箱也都是潘俊明为了实施敲诈专门注册的境外邮箱,到案后,其本人拒绝交代邮箱密码,并声称已经将邮箱注销、销毁所有已发送邮件。
尽管潘俊明给警方案件的侦破设置了层层障碍,公安网络技术人员最终还是锁定了潘俊明。然而对于这种新型案件的证据进行固定时,公安人员还是遇到了一些疑难技术问题。比如,公安机关在抓获潘俊明后,发现了潘俊明所使用的电脑中有一个占很大内存空间的虚拟主机,但是潘俊明拒绝交代该虚拟主机密码,至今这个主机仍无法破解。
2016年8月中旬的一天傍晚,海淀区检察院科技犯罪检察部检察官白磊下班回家,在刚刚走出单位大楼的时候,接到了北京市公安局公共交通安全保卫分局法制处打来的电话,电话那头的公安局法制处承办人急促地说完了大概的案情,征求白磊的取证意见。
自2016年海淀区检察院科技犯罪检察部成立以来,创新工作方式方法,其中提前介入、引导侦查取证就是一项重要工作机制。检察官在侦查初期就了解案情、引导取证,促进了很多案件的顺利侦破和起诉。
这一次,北京刑警刚刚在贵州将犯罪嫌疑人潘俊明抓获,经过初审,潘俊明交代了自己在暗网上雇用俄罗斯黑客对国内几家大型网站进行流量攻击,随后使用邮件敲诈这几家网站大量比特币作为终止攻击代价的事实,但是由于潘俊明采取了雇用境外黑客进行网络流量攻击、使用后即时销毁邮箱发送敲诈邮件的方法,公安机关无法对潘俊明所使用的邮箱进行远程勘验侦查、无法调取所发送敲诈邮件等相关证据,此类案件如果不在初审阶段拿到有力证据,案件后续工作将很难开展。
听完案情介绍后,白磊明确告知公安机关承办人,除了继续调取嫌疑人口供、固定电子证据外,马上联系国内3家被敲诈单位,调取3家单位所收到的敲诈邮件,并让潘俊明先描述敲诈邮件细节再辨认这些敲诈邮件,如果潘俊明自己主动承认这些邮件是其发送的,就要求潘俊明在这些敲诈勒索邮件的打印版本上签字确认。
事后证明,破案后第一时间让潘俊明在自己发送的敲诈邮件上签字确认,成为整个案件得以认定、起诉的决定性证据,虽然潘俊明在被捕后讯问过程中多次翻供,辩解攻击行为并非自己所为,但开庭时他自己签字确认的这些敲诈邮件却成为促使他最终当庭认罪的有力证据。
敲诈比特币同样是犯罪
2017年10月,由北京市海淀区检察院科技犯罪检察部提起公诉的潘俊明涉嫌发动黑客网络攻击、敲诈勒索比特币案,依法公开庭审。在出庭公诉人展示的一组组证据面前,被告人潘俊明对其犯罪事实供认不讳。
潘俊明承认自己于2016年7月开始萌生利用DDOS攻击敲诈比特币的想法,随后分别于8月1日、4日、10日通过互联网联系境外黑客对国内3家大型交易网站进行DDOS流量攻击。被DDOS攻击后,这3家网站都出现了客户端无法启动、网站交易系统瘫痪、用户不能正常访问等现象,网站连续多日被攻击瘫痪,导致大量用户投诉,迫于无奈,两家公司分别向潘俊明指定的地址打进了22个、44个比特币,以换取黑客停止攻击。两家公司因此而遭受经济损失共计人民币23万余元。
在庭审过程中,潘俊明虽然认罪但是反复向合议庭陈述称,比特币在目前国内是违法的虚拟物品,本身没有价值,各级物价部门对比特币都没有一个价格认定结论,完全靠各个交易平台自己的认定、兑换率,因此不应认定自己敲诈的比特币具有相应财产属性价值,也就不应根据这个价值来认定自己的刑罚。
针对潘俊明的这一辩解,检察官早有准备:在案件审查起诉期间,白磊就和办案同事前往两家被害网站购买比特币的比特币交易平台,通过和该平台运营公司进行细致的沟通交流,了解了比特币的基本属性、交易模式等基本信息,同时调取了两家被害单位购买比特币的所有交易账单,核实被害单位为了购买这些比特币共花费人民币234961.52元。
最终在起诉时,检察官并没有认定潘俊明敲诈所得的比特币的价值是多少,而是以潘俊明敲诈行为给被害单位造成的经济损失来认定这起案件的数额。
办案检察官白磊介绍说,比特币具有没有集中发行方、总量有限、使用不受地域限制和匿名性等四个主要特点。虽然,比特币被称为“货币”,但由于其不是由发行货币的法定单位发行,不具有法偿性与强制性等货币属性,因此,并不是真正意义的货币。
目前,在很多刑事案件中,比特币被用于诈骗、赌博、洗钱等犯罪活动的情形不少。在类似本案的这种以比特币作为敲诈目标的案件中,犯罪分子就是看中了比特币所具有的匿名、跨境流通便利等特色,意图利用这一特点逃避公安机关的打击。
2017年9月4日,中国人民银行、中央网信办、工业和信息化部、工商总局、银监会、证监会、保监会联合发布的《关于防范代币发行融资风险的公告》中,已经明确在国内禁止比特币为代表的代币交易。
最终,法院认定,被告人潘俊明在犯罪期间,网络上比特币是可以自由交易的“虚拟货币”,其交易价格在短期内比较稳定,而被害公司为了购买潘俊明向其索要的比特币,在比特币交易网站上实际支付了人民币货币,并因此造成了数额巨大的经济损失,以犯罪期间比特币的交易价额认定犯罪数额具有合理性。因此,法院支持了检察机关的起诉意见。(文中涉案人物均为化名)
閱讀更多 律者文摘 的文章
