DIC:遭DDoS攻擊 如何確定賠償范圍？

防范、處理攻擊事件，是各大平臺安全部門的日常工作。近日最高檢發布的第18批公報案例中，有一起利用DDoS攻擊手段引起服務器崩潰的案件。因為攻擊者銷毀證據，以及被害公司未能妥善保存造成損失的證據，給攻擊者的定罪和求償帶來了難度。通過這個案例，可以給安全部門的朋友們提個醒：工作中，技術非常重要，但懂點法律也非常必要！

基本案情

2017年初，被告人姚某某等人接受王某某（另案處理）雇傭，招募多名網絡技術人員，在境外成立“暗夜小組”黑客組織。

“暗夜小組”從被告人丁某某等3人處購買大量服務器資源，再利用木馬軟件操控控制端服務器實施DDoS攻擊。

2017年2—3月間，“暗夜小組”成員三次利用14臺控制端服務器下的計算機，持續對某互聯網公司云服務器上運營的三家游戲公司的客戶端IP進行DDoS攻擊。

受害互聯網公司網絡安全團隊在日常工作中監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，攻擊源IP地址來源不明。

攻擊導致三家游戲公司的IP被封堵，出現游戲無法登錄、用戶頻繁掉線、游戲無法正常運行等問題。

鏈游Ascenders將于5月18日在Arbitrum上開啟NFT mint:5月8日消息，鏈游Ascenders: Simulation宣布將于 5 月 18 日在 Arbitrum 上開啟 NFT mint，Ascenders: Simulation是一款資源管理經營模擬網頁游戲，計劃于 6 月 8 日正式上線。

此前報道，2022 年 3 月 8 日，鏈游 Ascenders 完成 640 萬美元融資，三箭資本等領投。[2023/5/8 14:50:12]

某互聯網公司由于其攻擊，造成向游戲用戶賠付11萬余元；并且為恢復服務器的正常運營，組織人員對服務器進行了搶修并為此支付4萬余元。

機關陸續將11名犯罪嫌疑人抓獲。偵查發現，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理。

（DDoS攻擊：是指黑客通過遠程控制服務器或計算機等資源，對目標發動高頻服務請求，使目標服務器因來不及處理海量請求而癱瘓的網絡攻擊。） 

判決結果

根據（2018）粵0305刑初418號刑事判決書：

摩根資產管理：美國更多地區性銀行可能陷入危機:金色財經報道，摩根資產管理固定收益首席投資官Bob Michele表示，美國地區銀行業壓力仍處于危機水平，原因是消費者需要錢來購買價格更高的商品，而不僅僅是追求更高的回報，這推動了存款外流。Michele還表示，消費者已經耗盡了疫情期間《救助法案》帶來的多余積蓄，現在他們更多地在使用借貸消費。更多的地區性銀行可能正處于危機中，因為它們嚴重依賴美國聯邦存款保險公司和聯邦住房貸款銀行來獲得額外現金，至于銀行救助計劃到期后銀行將如何運作仍有待觀察。Michele表示，認為危機僅限于第一共和銀行有點天真了。[2023/4/27 14:29:03]

姚某某等人成立破壞計算機信息系統罪。

其中，姚某某被判處有期徒刑2年；其余10名被告人分別判處有期徒刑一年至二年不等。

宣判后，11名被告人均未提出上訴，判決已生效。

案例分析

本案中，對姚某某等人定罪，存在兩個重要問題：

第一個問題是：

姚某某等人銷毀了犯罪時使用的計算機等數據載體，如何證明行為與數據終端之間的關聯性？如何證明其攻擊與造成的損失之間具有因果關系？

本案事實中，某互聯網公司網絡安全團隊雖然監測到多起針對該公司云服務器的大流量高峰值DDoS攻擊，但并未鎖定攻擊源IP地址。

美股開盤，道指開跌約180點:金色財經報道，行情顯示，美股開盤，道指開跌約180點，納指開跌0.7%，標普500指數開跌0.75%。[2022/11/28 21:07:59]

同時，“暗夜小組”成員為逃避打擊，在作案后已串供并將手機、筆記本電腦等作案工具銷毀或者進行了加密處理；未能從前述電腦等工具中提取到直接證明攻擊是設備發起的直接證據。

本案中，偵查人員從以下三個方面證明行為人實施了犯罪事實：

第一，行為與數據終端之間有關聯性。

通過被害公司提供的系統數據，將受攻擊IP和近20萬個攻擊源IP作進一步篩查分析，篩查出主要攻擊源的IP地址。發現：這些IP中，有198個IP為僵尸網絡中的被控主機；而這些主機又由14個控制端服務器控制。

第二，數據終端與行為人之間有關聯性。

通過姚某某等人的網絡聊天內容和銀行交易流水等證據，查清了“暗夜小組”的姚某某等人從丁某某等人處購買了上述14個控制端服務器的控制權的事實。

第三，行為與損害結果之間有關聯性。

通過第一步中確定的攻擊時間、服務器受損時間、攻擊的規模，以及實施攻擊后“暗夜小組”給受害公司發送郵件的事件；可以發現：主要攻擊源的攻擊類型、波形特征和網絡協議，與丁某某等出售、姚某某等人實際控制的攻擊服務器的攻擊資源特征相同；攻擊發生的時間與損害出現的時間相同。并查明，攻擊發生時，網絡中不存在同規模的其他攻擊。

美FDIC代理主席：沒有一家加密公司擁有聯邦存款保險:金色財經報道，美國聯邦存款保險公司（FDIC）代理主席Martin Gruenberg周二在參議院聽證會中表示，沒有一家加密貨幣公司擁有聯邦存款保險。參議院銀行委員會高級成員參議員Bob Menendez詢問道，\"事實上，此時FDIC保險不涵蓋任何類型的加密貨幣，對嗎？\"Gruenberg回答“是的。FDIC的優勢在于公眾對我們存款保險體系的信心。如果這種信心受到質疑，它確實會使系統面臨風險”。Menendez表示，FTX的崩潰再次呼吁國會認真審視加密貨幣交易所和借貸平臺。[2022/11/16 13:09:15]

因此，可以確定主要攻擊來自于姚某某等人實際控制、丁某某等人出售的控制端服務器。

本案中，犯罪嫌疑人在實施網絡攻擊后，發郵件向被害人敲詐勒索的證據，是認定攻擊事實與損害結果間因果關系的重要證據。

第二個問題是：

互聯網公司的損失數額應當如何認定？

本案中，受害公司提出，由于攻擊導致服務不能進行，其向客戶退費人民幣114358元；為修復系統數據、功能而支出的員工工資人民幣47170元。是否能將這些損失全部計算為犯罪損失呢？

Evmos：v8.0.0 版本升級將被推遲，請用戶在版本更新提案中投反對票:8月26日消息，Evmos 在 Twitter 表示，v8.0.0 版本升級將被推遲，新版本仍需進行修改。Evmos 表示希望用戶在版本更新提案（Prop #50）中投反對票，未來將推出新的版本。[2022/8/26 12:49:59]

破壞計算機信息系統造成損失的數額，是刑法第286條規定中“后果嚴重”的一種類型。依據本條規定：

“后果嚴重的，處五年以下有期徒刑或者拘役；后果特別嚴重的，處五年以上有期徒刑。”

實踐中，常通過違法所得數額和造成的經濟損失判斷危害后果的大小。

經濟損失標準并不一定能全面、準確反映出犯罪行為所造成的危害。一些案件中，違法所得或者經濟損失的數額并不大，但網絡攻擊行為導致受影響的用戶數量特別大，或通過其他后果，造成了惡劣社會影響。

但在本案中，受影響計算機信息系統和用戶數量的證據已經無法取得，只能以造成的經濟損失為標準認定行為的危害后果。

根據《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條規定，“經濟損失”包括：

“危害計算機信息系統犯罪行為給用戶直接造成的經濟損失以及用戶為恢復數據、功能而支出的必要費用。”

本案中，除了造成服務不能進行直接帶來的經濟損失，被害公司為修復系統數據、功能而支出的員工工資也是因犯罪產生的必要費用；也應當認定為本案的經濟損失。

判決中，對于攻擊導致服務不能進行向客戶退費人民幣114358元；理論上能夠認定為本案的經濟損失。但，由于被害公司沒有就費用的支出標準、依據提交充分的證明材料，法院沒有將這部分費用認定本案經濟損失。

此外，對于修復系統數據、功能而支出的員工工資人民幣47170元；這一費用被法院認定為由犯罪所產生的必要費用，是認定本案經濟損失的依據。

最后，對于修復費用可能與公司員工工資存在部分混同的情況，法院在量刑時以此為依據，對行為人的處罰進行了酌情從輕處理。

寫在最后

本案中，行為人實施了租用第三方服務器、銷毀作案工具、刪除聊天記錄等反偵查手段；但這些手段都沒有影響相關證據的獲取和因果關系認定。天網恢恢，疏而不漏；在此提醒各位老友，偵查手段遠比你想的深入，千萬不要動歪腦筋！

另外，如果遭到相關攻擊，保存證據非常重要！如果能第一時間鎖定攻擊IP，相關電子數據記錄將可能成為有力的定案證據。第一時間除了要保存遭到攻擊的相關電子數據；保存攻擊造成的直接損失的證據，和由于攻擊支出的修復、維護、賠償金等費用的憑證也十分重要。

刑事程序中，定罪要求的證據證明標準，與民事上的證明標準存在差異。是否保存充足的證據，不僅決定了你能否獲得賠償，還關乎是否能否對行為人按照損失數額定罪。只有依法充分地保存證據，才能在不同的訴訟場景中“立于不敗之地”。

附錄：規范依據

《中華人民共和國刑法》：

第二百八十六條：破壞計算機信息系統罪

違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，后果嚴重的，處五年以下有期徒刑或者拘役；

關于《刑法》第286條規定的“后果嚴重”，《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》有明文規定：

 第四條 破壞計算機信息系統功能、數據或者應用程序，具有下列情形之一的，應當認定為刑法第二百八十六條第一款和第二款規定的“后果嚴重”：

（一）造成十臺以上計算機信息系統的主要軟件或者硬件不能正常運行的；

（二）對二十臺以上計算機信息系統中存儲、處理或者傳輸的數據進行刪除、修改、增加操作的；

（三）違法所得五千元以上或者造成經濟損失一萬元以上的；

（四）造成為一百臺以上計算機信息系統提供域名解析、身份認證、計費等基礎服務或者為一萬以上用戶提供服務的計算機信息系統不能正常運行累計一小時以上的；

（五）造成其他嚴重后果的。

第六條 故意制作、傳播計算機病等破壞性程序，影響計算機系統正常運行，具有下列情形之一的，應當認定為刑法第二百八十六條第三款規定的“后果嚴重”：

（一）制作、提供、傳輸第五條第（一）項規定的程序，導致該程序通過網絡、存儲介質、文件等媒介傳播的；

（二）造成二十臺以上計算機系統被植入第五條第（二）、（三）項規定的程序的；

（三）提供計算機病等破壞性程序十人次以上的；

（四）違法所得五千元以上或者造成經濟損失一萬元以上的；

第十一條 本解釋所稱“計算機信息系統”和“計算機系統”，是指具備自動處理數據功能的系統，包括計算機、網絡設備、通信設備、自動化控制設備等。

本解釋所稱“身份認證信息”，是指用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等。

本解釋所稱“經濟損失”，包括危害計算機信息系統犯罪行為給用戶直接造成的經濟損失，以及用戶為恢復數據、功能而支出的必要費用。

以上就是今天的分享，感恩讀者！

Tags：ENDDOSDDOSDICEndor ProtocolDDOS幣MEDIC價格

萊特幣