脚本外挂犯罪(一) 从外挂程序开发技术上争取无罪。
脚本外挂犯罪(二):从外挂程序功能鉴定上争取无罪。
脚本外挂犯罪(三):外挂犯罪案件从证据上争取无罪。
张洪强律师外挂犯罪专题经验总结与研究,禁止转载复制。
游戏外挂程序犯罪案件取证难,很多案件都无法查清外挂程序的作者和代理身份、无法查清外挂的功能、无法查清外挂的销售人次。
例如某案件,犯罪嫌疑人被抓以后,不承认他是外挂软件的制作者,因为只有下线销售代理的举报而没有其他证据而释放。
一、外挂犯罪案件的证据体系问题。
很多外挂从业者被抓之后,拒不承认外挂是他制作和销售的,但最终也有一些人被定了罪判了刑,为什么?就是因为不能推翻侦察机关取得的证据链条。要争取不批捕、不公诉、罪名不成立需要从证据入手,看能否切断证据链。
外挂犯罪是网络犯罪,具有匿名性、隐蔽性和高科技性,与传统犯罪不同,电子证据取证难,容易篡改和灭失,在很多案件中,犯罪嫌疑人留下的痕迹都是虚假的,要从虚假的网络痕迹中找到确凿的定罪的证据是很难的。
①外挂程序的提取问题,如果提取不到,将无法确定外挂的功能,无法定罪。我在山东处理的一起案件,外挂制作者被抓后,涉案的外挂程序已经被销毁,无法提取到。
②外挂的运行原理是否查清。如果查不清运行原理,案件将无法定罪。
③外挂黑色产业链的组织架构、运作模式是否查清。
外挂的制作者在境外,或者人在境内,但是在境外论坛交流、招揽代理,上下线之间一般都互不认识,只是通过微信、qq、以及telegrame、WhatsApp等境外聊天工具联系的网友,互相之间连真实名字都不知道,不收取资金转账、只收取比特币、usdt等,通过网络进行非实名制的私下交易,因为网上证据与网下证据衔接难,很难形成完整的证据链,即使有线索将犯罪嫌疑人抓获,也有可能因事实不清、证据不足而不批捕、不公诉、撤案。
我们要掌握的就是此类案件的证据体系以及证据问题。在办案时要审查证据的内容以及体系,要掌握证据的证明内容和证明标准问题,主要包括:
怎么证明外挂是我制作的?
怎么证明外挂是我销售的、销售平台是我搭建的?
怎么证明涉案的QQ号、手机号与被告人有关。
怎么证明我与外挂团伙之间存在关系?
怎么证明卖出多少个软件,获利多少钱?
怎么证明外挂具有侵入控制计算机信息系统的功能?
怎么证明外挂具有破坏计算机信息系统的破坏力?
怎么证明外挂破坏了游戏平衡?
二、从证据上争取无罪的思路和经验指导。
网络犯罪与传统犯罪不同,即使有线索指向犯罪嫌疑人并将其抓获,也很难确定犯罪嫌疑人就是外挂的制作者、销售者。在外挂犯罪案件中,证据一般都是围绕人员架构、资金流和网络痕迹,我们律师要重点审查人员链、资金流和网络痕迹的相关证据,看能否找到证据存在的问题,切断证据链。
1、审查技术链证据指向。
我们在办理案件时可以按照以下几步来审查相关证据,看能否切断证据链:
第一步: 审查外挂的代码信息与嫌疑人的关联性。
审查涉案外挂程序中是否留有代表作者身份信息的字符串信息,该字符串信息能否指向犯罪嫌疑人。例如在一起外挂案件中,在涉案外挂程序源码中发现有一个字符串“mischa07”, 犯罪嫌疑人陈某供述自己曾用“mischa07”作为在一些网站、论坛以及邮箱、账号的登录名。该字符串就对犯罪嫌疑人形成了一定的指向性。
第二步:审查被告人电脑、手机中是否检测出外挂的相关文件、程序,是否与公安机关提取的涉案外挂程序一致,主要包括文件名、目录名、md5值的质证。是否发现“外挂”生成程序、“外挂”源代码、辅助硬件等作案工具。
在一起外挂案中,游戏公司报案后提供的外挂程序安装包中有9个文件,公安机关从犯罪嫌疑人张某电脑中提取的外挂程序安装包中也有9个文件中,9个文件中有6个文件的MD5值相同,3个文件的MD5值不同。很显然,两款外挂程序属于不同的版本,游戏公司报案的外挂软件造成的影响和损失不应算在犯罪嫌疑人张某的头上。
第三步:相关的ip地址、mac地址、域名、服务器中的痕迹信息等与嫌疑人的关联性。
审查虚拟主机、ip地址、域名、解析记录、上网日志的关联性,审查销售平台、发卡机器人的注册信息,相关销售平台、下载网址等ip地址等网络痕迹是否与被告人的电脑、qq、邮箱、微信、微博等个人账户的登录ip地址一致。
2、切断人员链证据,即‘同案犯指认→被告人’的证据指向。
外挂犯罪呈现出黑色产业链的特征,这些人一般都互不认识,只是通过微信、qq、以及境外聊天工具联系的网友,互相之间连真实名字都不知道。
在很多案件中,公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人,从这些被抓获的嫌疑人这里找证据指向其他环节的人,这就是“由人到人”证据指向,随着网络黑产从业者反侦察能力的提高,公安机关在取证时要找到“由人到人”的证据链越来越困难。
我们遇到很多外挂从业者被抓都是因为下线销售者、代理被抓而被牵连,所以我们要重视人员链的相关证据。
A、同案犯的举报、指认。
审查同案犯举报是否有其他证据来证明,单纯举报而没有其他证据印证的,难以定罪,就像我遇到的一起案件,嫌疑人被举报被抓,但警方已经找不到他销售的外挂,无法提取做功能性鉴定,最终,因证据不足,不能查清犯罪事实,检察院无法逮捕。
我们律师在处理案件时要审查证据中的聊天记录、转款记录、虚拟币往来记录、通话记录、联机记录等,看是否有充分证据证明他们之间有预谋、有联系,争取切断“由人到人”的证据链。
B、和同案犯之间存在聊天记录、聊天记录的内容。
要审查qq、微信、whatsapp、纸飞机等境外网络聊天记录证据是否合法、能否相互印证。
①能否证明聊天账号是嫌疑人在使用。
很多嫌疑人被抓后,都会否认自己使用某一个QQ号、微信号、境外聊天账号等,要看有没有相关的账号注册信息、登录地址、mac网络痕迹信息证明某个聊天账号是嫌疑人在使用。
②能否证明聊天记录的内容与涉案的外挂程序有关。
很多外挂从业者会涉及多款外挂的制作和销售,有时警方发现的聊天记录不一定涉及案发的这款外挂。有可能聊天记录谈的是另外一款外挂程序。
③聊天记录的取证程序是否合法合规。
在很多外挂类案件中,警方会对聊天记录进行截图,要注意看侦查人员在取证时有没有取证笔录,有没有见证人在场,如果没有取证笔录和见证人在场,不符合电子证据的取证规则,我们还要审查原始载体的问题。
C、和同案犯之间有资金、虚拟币的往来记录。
3、审查资金链的证据指向。
购买外挂的资金→外挂销售者→外挂代理→外挂作者。
资金链证据包括:
①销售平台的域名、ip地址、管理页面截图(证实充值金额)销售网站的会员消费记录、银行账户交易清单。
②相关微信、支付宝交易流水、转账记录等。
③虚拟币的流转记录。
现在很多外挂的作者都只收取虚拟币,不接受银行卡、支付宝等流水交易。关于比特币、USDT等虚拟币的追踪问题,我已经说过多次,有需要的可以搜索张洪强律师网站查看,这里在简单一说:虚拟币流向路径关联到被告人的证据是否形成证据链的问题。
要审查虚拟货币账户、钱包地址、IP地址等网络痕迹与被告人的关联性证据。如果不能形成证据链,就有可能从证据上切断涉案资金、虚拟货币的交易网络、交易行为以及资金流向与被告人的对应或关联关系。
例如在陕西毛某一案,第三级收款账户的钱如何转出,以及尾号为TH5Y提币地址如何变现都未查清,警方在补充侦查报告中,称查清难度大,无法查清,便草草结案。
还有某起虚拟币网络盗窃案,警方在被入侵服务器上提取到犯罪嫌疑人对该服务器有xss攻击记录,便将犯罪嫌疑人抓获,但因最终没有发现虚拟币的流转证据以及变现证据,将犯罪嫌疑人释放撤案。
我们律师在办理案件时需要注意,由于数字货币具有具有强匿名特点,持有者信息则为公钥与私钥字符串,系统生成的不同账户、地址不存在关联性。在这种特性之下,用户的真实身份很难去追踪和验证。尽管用户在区块链网络中的行为都是公开透明的,凭借这些交易行为确实可以利用大数据分析技术来对交易双方的真实身份进行推断,但这种方式的推断具有很大的主观性,容易找到辩护的空间。
我们还需要注意一种情况就是在一些案件中,犯罪嫌疑人可能会使用混币器、联合币(共享发送)、暗钱包、隐形地址等方式混币,分离交易中的输入和输出地址,即割裂输入地址和输出地址之间的关系,目的是提高加密货币的隐私性和匿名性,使其更难追踪加密货币的用途以及它属于谁。
我们在辩护时,在对证据进行审查与质证时,要有专业的思维,来审查数字货币账户与犯罪嫌疑人之间的关联性证据。从以下三个方面入手:
(1)能否阻断钱包地址与犯罪嫌疑人(被告人)的身份信息对应关联关系的证据链。
(2)能否阻断断钱包地址与犯罪嫌疑人的IP地址以及设备的MAC地址对应关联关系的证据链。
(3)能否阻断比特币交易过程与犯罪嫌疑人的其他网络信息、网络痕迹形成对应或关联关系的证据链。
关于这三个方面的内容我已经说过多次,这里就不在重复。
我们律师要注意一些反侦查手段的实施,例如使用黑卡、地下钱庄、跑分平台、虚拟货币OTC场外交易、暗网、混币等手段,导致的证据链中断无法追溯的情况,随着反侦查能力的提高,查清资金流转路径、流转金额难度越来越大。
例如,我在2018年办理的李某网络案件,涉及到比特币的流转证据问题,公安机关起诉意见书认定涉案赃款是2000多万,但我们根据资金流水的证据,最终让检察院在起诉时,将金额降低为700多万。
作者:张洪强律师,禁止转载复制。有需要交流的可以搜索张洪强律师网站、电话。
张洪强律师网络犯罪研究专题
脚本外挂犯罪(一) 从外挂程序开发技术上争取无罪。
脚本外挂犯罪(二):从外挂程序功能鉴定上争取无罪。
脚本外挂犯罪(三):外挂犯罪案件从证据上争取无罪。
热门跟贴