网络盗窃支付宝宝、网银、手机银行、微信钱包、游戏币、游戏装备道具、比特币、U币等虚拟币案件的办案经验总结——张洪强律师办案经验总结
 济南律师张洪强专注于网络盗窃犯罪、非法侵入计算机犯罪辩护研究，著作有《网络盗窃案件无罪攻略》 《计算机犯罪无罪攻略》《网络犯罪无罪攻略》等，擅长通过对电子证据的精准把握以及计算机犯罪的特点，对律师办理网络盗窃案件、黑客入侵提供精准有效的指导，张洪强律师办理过众多盗窃比特币等虚拟币、黑客非法侵入控制计算机犯罪等网络犯罪案件，对网络盗窃案件无罪、改判案例的原因和辩护思路、办案技巧有系统的收集、总结和研究。
  一、网络盗窃犯罪的分类：
 网络盗窃案件形形色色，犯罪手段也呈现日新月异的趋势,我们律师必须对每一种网络盗窃的类型都有所了解，根据犯罪手段的不同，我将网络盗窃案件分为四类：
  第一类：通过木马病毒等方式盗窃网络账户（网银、支付bao、wei信钱包、游戏账户）账号密码转账。
第二类：通过扫码软件撞库获取网络账号密码，通过接码平台接收手机验证码转账盗窃。
 第三类：利用漏洞非法修改数据充值。利用f软件抓包拦截，修改数据。利用购物平台漏洞充值套现、非法获利。
  第四类：利用自己知晓的他人账户密码实施盗窃。
  二、网络盗窃案件取证难、定性难的特点。
 网络盗窃、黑客入侵是新型高科技犯罪，整个作案流程都是借助计算机网络技术在虚拟的网络空间操作，网络盗窃案件具有模糊性、虚拟性、隐蔽性、专业性、分散性等特点，与传统犯罪不同，不会在犯罪空间或者说在犯罪场所留下可以证明其行为和人身同一的痕迹或者物品，尤其是“木马病毒”犯罪隐蔽性强，发现难、取证难、打击难，属于作案手段或罪名上的新类型犯罪，专业办案队伍匮乏。在这样情况下，即使有线索指向犯罪嫌疑人并将其抓获，也很难确定某一个已经受理的具体网络犯罪行为就是该犯罪嫌疑人所为。
在很多案件中，我们发现，很多技术高超的黑客会使用一些反侦查反取证技术，例如数据清除、数据隐藏、数据加密、虚拟机、影子系统、去中心化、对抗取证分析、VPN 等技术，一般黑客通过注册表来克隆帐户，用克隆帐户访问一些核心信息，通过DOS修改文件时间等手段，造成一种迷惑的假象，黑客也会在肉鸡上开vpn服务，不过通常访问的时候都是过三层代理访问肉鸡，即使被发现和跟踪也只能访问到代理主机，同样它也是一台肉鸡，而且多数都不是在国内。
 这些反取证技术使得犯罪嫌疑人留下的网络痕迹都是虚假的，让公安侦查机关取得证据的难度加大，并且使得公安取证的证据中，会存在很多取证程序上的瑕疵，存在证据的针对性和完整性问题，在加上电子证据具有“易灭失”的特点，在实际办案过程中可能会发生证据不充分、无法定罪的情况。
 三、如何才能为网络盗窃嫌疑人争取到无罪罪轻的结果、维护好他们的合法权益。
 我们律师一定要专业，只有专业化，掌握一定的计算机、网络大数据恢复电子取证等高科技知识，才能处理好网络犯罪案件。我在处理这些案件时发现，有些法律从业人员在办理这类案件时，对这类案件涉及的计算机网络知识不是很懂，在辩护时对相关证据找不到问题，因为对相关技术根本就不懂，所以公安机关说啥就是啥，有些从业人员不知道木马病毒、ip地址认定、IE浏览记录、网络日志、网关日志、搜索引擎、安装目录、文件、日志文件，we+b站点、木马程序、 脚本等，如果一个律师连这些最基本知识都不懂，又如何给这类案件辩护呢，这就是我多次提到的专业化的原因，处理网络犯罪的律师必须专业化。
 在网络盗窃案件中，证据一般都是围绕资金流和网络痕迹，我们律师要做的工作就是从资金流和网络痕迹的证据中找到证据存在的问题，审查证据链，张洪强律师处理的毕某、王某、杨某等人网络犯罪案件中，就是因为切断了资金流证据和痕迹证据，才最终让他们无罪释放。
 四审查辩护技巧，是张洪强律师总结的办理黑客入侵网络盗窃案件的有效辩护方法，如下：
   第一步：审查‘由案到机’的证据链。
   第二步：审查‘由机到人’的证据链。
   第三步：审查‘由财到人’的证据链。
   第四步：审查‘由人到人’的证据链。
   具体操作内容如下：
   第一步，审查‘由案到机’的证据链。
 公安机关在侦查此类网络盗窃案件时，主要依据电子形成的痕迹、物证，采取各种计算机技术追溯到作案的计算机，明确作案主体使用计算机IP 地址。我们律师在处理这类案件时，第一步要做的，就是通过对服务器日志、网站日志、用户文件、最近访问记录、浏览器记录、删除数据恢复、U盘插拔记录等电子证据的质证，来审查‘由案到机’的证据链。如果我们律师在处理案件时,切断了由‘由案到机’的证据，就使案件确定不了作案的具体计算机的ip地址，就会使案件很难定罪。
张某网络盗窃案，办案机关查看被盗公司网络平台系统安全日志后，发现了一个可疑IP地址（A地址），根据此IP地址将张某从家中捉获，但张某一直不认罪，辩解自己从没实施过网络盗窃。那么从证据角度仅凭系统安全日志的IP地址能否认定张某的电脑就是实施黑客入侵和网络盗窃的计算机呢？
当然不能，如果我们仔细分析证据就会发现，在系统账户登录日志中，有一个新创建的隐藏用户，通过检查该隐藏用户的安全日志，发现在两天内该隐藏用户显示有四个IP地址，除了公安机关所说的A地址外，还有B、C、D三个地址，而A、B、C、D四个IP地址，分属湖北、新疆、辽宁、贵州四个地区，而张某在这期间没有购买高铁或机票的记录，当时公安机关办案人员认为，犯罪嫌疑人使用登录代理，但是又不能提供证据，很显然，此案可以切断“由案到机”的证据链。
在刘某网络盗窃案中，证据中有提取的犯罪嫌疑人刘某的上网日志、缓存日志数据，侦查机关以此来证明刘某的电脑使用木马病毒在被盗窃的网站上挂过木马，但是通过所有的缓存记录进行分析，可以发现在服务器的发帖时间，该用户并未登录发帖账户，在服务器上也没有相关信息。这也可以切断“由案到机”的证据链。
在某网游公司充值卡被盗窃案件中，公安机关将冯某捉获，并取得了下面这些证据来证明冯某的计算机就是实施网络盗窃的电脑，那么我们看看下面这些证据能否证明呢？
第一项证据：系统登录日志（公安机关在网游公司系统账户登陆日志中发现了一个新创建的管理员用户E）。
第二项证据：最近访问文档记录（通过检查E用户最近访问文档的记录中，发现该E帐户打开过“ip地址伪装.zip”，“账户密码查看器.rar”等文件）。
 第三项证据：公安机关从“ip地址伪装.zip”，“账户密码查看器.rar”两个文件中发现一个Q+Q号。
 第四项证据：该Q+Q号在冯某的IP地址登陆过。
 一些对网络黑产和计算机知识不是很精通的的人包括律师，可能会认为，这些证据足可以证明冯某就是实施网络盗窃的人，但我们分析却不这么认为：
我们分析证据发现，“ip地址伪装.zip”，“账户密码查看器.rar”这两个文件在服务器系统内未能直接找到。办案机关后来做了一个说明，说这两个文件是黑客侵入时使用的软件，并且使用完之后立即删除了,既然这两个文件被立即删除了，那证据当中这两个文件又是从哪里来的？公安机关说明称：对该服务器浏览器的分析，发现嫌疑人曾经用浏览器登录微yun帐号xxx，并从微yun下载自己的软件。经数据恢复，在微yun帐号内找到“ip地址伪装.zip”、 “账户密码查看器.rar”，这两个文件就是这么来的。
 首先：没有充分证据证明“ip地址伪装.zip”，“账户密码查看器.rar”这两个软件是黑客侵入时使用的软件，也没有证据证明这两个软件内的Q+Q号是谁的。
  其次，这两个文件不是从服务器内取得，而是从微yun上下载的，不能证明该微yun账户是冯某的，也不能证明是冯某在操作涉案的微yun账户。
再次，对冯某家里的电脑进行提取相关的电子数据，发现，在案发时间该电脑并没有登陆过被盗窃网游公司的网站。很明显，这个案件可以切断“由案到机”的证据链。
 第二步：审查‘由机到人’的证据链。
 公安机关经核实找到了IP对应的那台计算机，是否就能证明该IP地址的拥有人，在这台计算机上从事违法行为？当然不能，定罪需要一个严谨的调查、取证的过程，IP地址只是其中一部分，还需要证明是犯罪嫌疑人本人使用该IP地址做出了构成犯罪的行为，仅仅一个ip地址，只能作为线索，对相关嫌疑人进行“初查”。
 在信息网络犯罪中，当犯罪行为与锁定的IP地址关联后，只是表明：第一，犯罪行为与现实地址建立了可能的关联，但并不意味着必然的关联。如果存在利用IP地址随机分配等情形，则不能得出犯罪行为与锁定的IP地址的现实地点之间的必然关联。第二，即便前述关联确立，亦不能直接建立现实地点与行为人之间的关联。即仍然需要在现实地点与行为人之间确定必然的关联性，以此才可以最终认定行为人与网络犯罪行为之间的关联性。
 仅有IP地址无法简单的认定犯罪，大部分被判刑的都是有其他证据印证，例如自己认罪，或者网络日志缓存日志等痕迹、Q+Q登录信息以及其他信息相印证。
王某网银盗窃案中，公安机关从报案人的电脑中提取出木马病毒，并证实该木马病毒挂马IP地址，而王某的Q+Q号，在案发前两天曾登陆过该IP地址，那是否能证明王某就是盗窃网银的犯罪实施者呢？经过分析我们可以发现，该木马病毒是通过租借虚拟专用服务器（VPS）和虚拟专用网络（VPN），通过公共网络将木马程序从网络后台植入被害人电脑，在同一个公共网络中多台计算机的IP地址是相同的，所以，仅凭一个ip地址，是无法确定王某就是盗窃网银的黑客，是可以切断“由机到人”的证据链的。
此外，在另外十多起案件中，都是存在一种情况，就是涉案ip的电脑本身中了木马病毒，沦为被别人控制的“肉鸡”，我们律师在处理案件时，一定要看警察找到IP地址后，是否对IP地址拥有者的电脑进行排查，确定电脑是否被病毒控制，或者其他人使用，要配合网络日志，以及一些q+q登录时间等其他证据。
 第三步：审查‘由财到人’的证据链。
有些案件中，网络盗窃者技术高超，不会留下任何网络痕迹证据，公安在侦查时，可能会从资金流向入手，所以我们律师在处理案件时，要掌握对资金流证据的质证技巧。
网络盗窃的欠款转移，一般都有洗钱的环节，甚至经过专业的洗钱团队来进行洗钱，赃款转移大量使用黑卡，有些会转入赌博平台，还有些会把网络游戏作为资金流转平台，资金转入后，立即被用来购买游戏装备、点卡等，然后打折出售给游戏装备商套现，还有很多案件，涉及虚拟币的流转问题、U币跑分、承兑问题，要想将每一笔资金都形成指向犯罪嫌疑人的证据链是很难的。
张洪强律师办理的山东李某等5人网络犯罪案件，他们将得来的赃款全部从境外网站上购买比特币，公安机关起诉意见书认定涉案赃款是2000多万，但我们根据资金流水的证据，最终让检察院在起诉时，将金额降低为700多万。张洪强律师办理网络犯罪案件中，降低赃款金额最多的案子，将1.9亿赃款金额最终变更为1.2亿，足足降低了将近7000万。
我们律师在办理网络犯罪案件时要重点审查：被指控的被盗资金流向能否形成完整的链条，是否均指向犯罪嫌疑人持有的银行卡或支付宝等账户，盗窃时间、盗窃金额与犯罪嫌疑人之间的口供，与银行卡、支付宝交易时间、金额以及做案时间是否吻合。我只简单说以下两个方面。
 1、赃款流入的银行卡是否是犯罪嫌疑人所有或持有。要重点注意在赃款流转的过程中那些黑卡的问题，要看这些黑卡是否为犯罪嫌疑人持有，要审查证据中，是否有黑卡的扣押证据；还要注意取款人方面的证据问题，是否抓到取款人，是否有证据证明取款人与犯罪嫌疑人有关联。
2、操作赃款的的支付bao、网银或其他网络支付账户是否是犯罪嫌疑人持有和操作。在很多网络盗窃案中，赃款会流入多个支付bao、网银等网络支付账户，我们律师在办理案件时，要重点审查是否有证据证明这些账户都是由犯罪嫌疑人所有或操作。
 在王某网银盗窃案中，赃款被转入5个支付bao账户，之后全都流入网络赌博平台，没有任何证据证明这5个支付bao账户由王某操作，那公安机关为何将王某抓获呢？原因就是网安侦查总队分析这5个支付bao账户的登录IP地址轨迹，发现王某的Q+Q号和邮箱以及支付bao账号IP轨迹在不同时间点与这5个支付bao账号多次吻合，以此来证明涉案的5个支fu宝账号使用者是王某。这一点是需要我们律师注意的，就是IP轨迹吻合问题， 在很多黑客入侵和网络盗窃案件中，都会出现这个问题，我们律师要注意的是，根据多个支付账号的IP地址轨迹吻合就来认定一个人是黑客是一种推定，在租借虚拟专用服务器（VPS）和虚拟专用网络（VPN）的情况下，在同一个公共网络中多台计算机的IP地址是相同的，如果没有其他证据印证，是有可能切断资金流向证据的。
 第四步：审查‘由人到人’的证据链。
 在很多案件中，网络盗窃都呈现出黑色产业链，这些人一般都互不认识，只是网友，互相之间连真实名字都不知道。例如漏洞发现者、在一些fd漏洞群发布某网站漏洞者、扫码软件开发者、扫号团伙（撞库匹配）、验证平台软件开发者(解码平台软件开发者)、肉鸡出租者、木马病毒开发者销售者、挂马者、出售黑卡者、专业洗钱者等等。
网络犯罪中行为人之间意思联络形式多样化、联络主体虚拟化、共同行为模糊化，有时候要形成指向某一犯罪嫌疑人的证据链是有难度的，在很多案件中，公安机关只抓获黑色产业链一个环节上的犯罪嫌疑人，从这些被抓获的嫌疑人这里找证据指向其他环节的人，这就是我所说的网络犯罪中“由人到人”证据指向。
随着网络黑产从业者反侦察能力的提高，公安机关在取证时要找到“由人到人”的证据链越来越困难。
  我们律师在处理案件时要审查证据中的聊天记录、转款记录、通话记录等，看是否有充分证据证明他们之间有预谋、有联系。
 网络盗窃犯罪案件涉及技术性问题较多，存在证据取证困难，往往很难找到充分证据，证据难采信，犯罪客观事实尤其是涉案数额认定不易，犯罪主观证明较难，共犯联系松散难以认定，犯罪定性争议差别大等新问题。这都亟需律师提高自身法律素养和技术素养，并加强研究。
 山东济南张洪强律师专注于网络盗窃犯罪、非法侵入计算机犯罪辩护研究，著作有《网络盗窃案件无罪攻略》《计算机犯罪无罪攻略》《网络犯罪无罪攻略》等，擅长通过对电子证据的精准把握以及计算机犯罪的特点，对律师办理网络盗窃案件、黑客入侵提供精准有效的指导。
张洪强律师，现在是北京市京师（济南）律师事务所的高级合伙人律师，刑事辩护部主任，在2024年12月当选北京市京师律师事务所华东区刑事委员会的副主任，自2013年开始执业，已经是资深律师，办理过众多公安部督办的大案要案，委托张洪强律师做辩护人的客户有某市的副市长、有某国企的副总、有某世界500强上市公司ceo，甚至有法官涉嫌刑事犯罪也委托张洪强律师，这些有一定身份、社会地位和法律知识的人涉嫌刑事犯罪案件时能委托张洪强律师作为他们的辩护律师，足以说明张洪强律师的辩护能力、专业能力得到了涉案副市长、法官、上司公司ceo等人的认可，很多外省的嫌疑人因涉嫌刑事犯罪案件慕名来到济南委托张洪强律师，自律师执业以来，张洪强律师办理过海口、兰州、岳阳、温州、南宁、成都、甘肃天水、甘肃陇南、吉林、辽宁、深圳、广州、河南新乡、许昌、商丘等众多外省刑事犯罪案件。