2015年1月，被告人叶源星编写了用于批量登录某电商平台账户的“小黄伞”撞库软件(“撞库”是指黑客通过收集已泄露的用户信息，利用账户使用者相同的注册习惯，如相同的用户名和密码，尝试批量登陆其他网站，从而非法获取可登录用户信息的行为)供他人免费使用。“小黄伞”撞库软件运行时，配合使用叶源星编写的打码软件(“打码”是指利用人工大量输入验证码的行为)可以完成撞库过程中对大量验证码的识别。叶源星通过网络向他人有偿提供打码软件的验证码识别服务，同时将其中的人工输入验证码任务交由被告人张剑秋完成，并向其支付费用。

　　针对案件专业性、技术性强的特点，深圳市人民检察院会同公安机关多次召开案件讨论会，就被害单位云服务器受到的DDoS攻击的特点和取证策略进行研究，建议公安机关及时将被害单位报案提供的电子数据送国家计算机网络应急技术处理协调中心广东分中心进行分析，确定主要攻击源的IP地址。

　　由于本案被害人均是中国大陆居民，根据属地管辖优先原则，2016年4月，肯尼亚将76名电信网络诈骗犯罪嫌疑人(其中大陆居民32人，台湾地区居民44人)遣返中国大陆。经初步审查，张凯闵等41人与其他被遣返的人分属互不关联的诈骗团伙，公安机关依法分案处理。2016年5月，北京市人民检察院第二分院经指定管辖本案，并应公安机关邀请，介入侦查引导取证。

　　2017年6月20日，杭州市余杭区人民检察院以被告人叶源星、张剑秋构成提供侵入计算机信息系统程序罪，被告人谭房妹构成非法获取计算机信息系统数据罪，向杭州市余杭区人民法院提起公诉。11月17日，法院公开开庭审理了本案。

　　【基本案情】

　　庭审中，50名被告人对指控的罪名均未提出异议，部分被告人及其辩护人主要提出以下辩解及辩护意见：一是认定犯罪集团缺乏法律依据，应以被告人实际参与诈骗成功的数额认定其犯罪数额。二是被告人系犯罪组织雇佣的话务员，在本案中起次要和辅助作用，应认定为从犯。三是检察机关指控的犯罪金额证据不足，没有形成完整的证据链条，不能证明被害人是被告人所骗。

　　三是通过进一步补充证据，证实了使用撞库软件的终端设备的MAC地址与叶源星电脑的MAC地址、小黄伞软件的源代码里包含的MAC地址一致。上述证据证实叶源星就是“小黄伞”软件的编制者。

　　实施电信网络诈骗犯罪，大都涉案人员众多、组织严密、层级分明、各环节分工明确。对符合刑法关于犯罪集团规定，有明确首要分子，主要成员固定，其他人员虽有一定流动性的电信网络诈骗犯罪组织，依法可以认定为诈骗犯罪集团。对出资筹建诈骗窝点、掌控诈骗所得资金、制定犯罪计划等起组织、指挥管理作用的，依法可以认定为诈骗犯罪集团首要分子，按照集团所犯的全部罪行处罚。对负责协助首要分子组建窝点、招募培训人员等起积极作用的，或加入时间较长，通过接听拨打电话对受害人进行诱骗，次数较多、诈骗金额较大的，依法可以认定为主犯，按照其参与或组织、指挥的全部犯罪处罚。对诈骗次数较少、诈骗金额较小，在共同犯罪中起次要或者辅助作用的，依法可以认定为从犯，依法从轻、减轻或免除处罚。

　　杭州市余杭区人民检察院经审查认为，犯罪嫌疑人叶源星编制“小黄伞”撞库软件供他人使用，犯罪嫌疑人张剑秋组织码工打码，犯罪嫌疑人谭房妹非法获取网络用户信息并出售牟利的基本事实清楚，但需要进一步补强证据。2016年11月25日、2017年2月7日，检察机关二次将案件退回公安机关补充侦查，明确提出需要补查的内容、目的和要求。一是完善“小黄伞”软件的编制过程、运作原理、功能等方面的证据，以便明确“小黄伞”软件是否具有避开或突破某电商平台服务器的安全保护措施，非法获取计算机信息系统数据的功能。二是对扣押的张剑秋电脑进行补充勘验，以便确定张剑秋主观上是否明知其组织打码行为是为他人非法获取某电商平台用户信息提供帮助；调取张剑秋与叶源星的QQ聊天记录，以便查明二人是否有犯意联络。三是提取叶源星被扣押电脑的MAC地址(又叫网卡地址，由12个16进制数组成，是上网设备在网络中的唯一标识)，分析“小黄伞”软件源代码中是否含有叶源星电脑的MAC地址，以便查明某电商平台被非法登陆过的账号与叶源星编制的“小黄伞”撞库软件之间是否存在关联性。四是对被扣押的谭房妹电脑和U盘进行补充勘验，调取其中含有账号、密码的文件，查明文件的生成时间和特征，以便确定被查获的存储介质中的某电商平台用户信息是否系谭房妹使用“小黄伞”软件获取。

　　三是本案认定诈骗犯罪集团与被害人之间关联性的证据主要有：犯罪集团使用网络电话与被害人电话联系的通话记录；犯罪集团的Skype聊天记录中提到了被害人姓名、公民身份号码等个人信息；被害人向被告人指定银行账户转账汇款的记录。起诉书认定的75名被害人至少包含上述一种关联方式，实施诈骗与被骗的证据能够形成印证关系，足以认定75名被害人被本案诈骗犯罪组织所骗。

　　鉴于此，深圳市检察机关与公安机关多次会商研究“暗夜小组”团伙内部结构、犯罪行为和技术特点等问题，建议公安机关重点做好以下三方面工作：一是查明导致云服务器不能正常运行的原因与“暗夜小组”攻击行为间的关系。具体包括：对被害单位提供的受攻击IP和近20万个攻击源IP作进一步筛查分析，找出主要攻击源的IP地址，并与丁虎子等人出售的控制端服务器IP地址进行比对；查清主要攻击源的波形特征和网络协议，并和丁虎子等人控制的攻击服务器特征进行比对，以确定主要攻击是否来自于该控制端服务器；查清攻击时间和云服务器因被攻击无法为三家游戏公司提供正常服务的时间；查清攻击的规模；调取“暗夜小组”实施攻击后给三家游戏公司发的邮件。二是做好犯罪嫌疑人线上身份和线下身份同一性的认定工作，并查清“暗夜小组”各成员在犯罪中的分工、地位和作用。三是查清犯罪行为造成的危害后果。

　　(一)介入侦查引导取证

　　(检例第68号)

　　2018年3月6日，深圳市南山区人民检察院以被告人姚晓杰等11人构成破坏计算机信息系统罪向深圳市南山区人民法院提起公诉。4月27日，法院公开开庭审理了本案。

　　2017年12月21日，北京市第二中级人民法院作出一审判决，认定被告人张凯闵等50人以非法占有为目的，参加诈骗犯罪集团，利用电信网络技术手段，分工合作，冒充国家机关工作人员或其他单位工作人员，诈骗被害人钱财，各被告人的行为均已构成诈骗罪，其中28人系主犯，22人系从犯。法院根据犯罪事实、情节并结合各被告人的认罪态度、悔罪表现，对张凯闵等50人判处十五年至一年九个月不等有期徒刑，并处剥夺政治权利及罚金。张凯闵等部分被告人以量刑过重为由提出上诉。2018年3月，北京市高级人民法院二审裁定驳回上诉，维持原判。

　　计算机信息系统数据案

　　破坏计算机信息系统案

　　2015年1月至9月，被告人谭房妹通过下载使用“小黄伞”撞库软件，向叶源星购买打码服务，获取到某电商平台用户信息2.2万余组。

　　被告人叶源星、张剑秋通过实施上述行为，从被告人谭房妹处获取违法所得共计人民币4万余元。谭房妹通过向他人出售电商平台用户信息，获取违法所得共计人民币25万余元。法院审理期间，叶源星、张剑秋、谭房妹退缴了全部违法所得。