Czy można ustalić adres IP transakcji? Czy można śledzić ludzi za pomocą historii transakcji bitcoinowych? Czy można wykryć pranie pieniędzy bitcoinami? Czy policja może ustalić konta bitcoinowe?
Pytanie: Czy policja może ustalić, kto dokonał przelewu bitcoinowego? Czy można ustalić adres IP transakcji? Czy można śledzić ludzi za pomocą historii transakcji bitcoinowych? Czy można wykryć pranie pieniędzy bitcoinami? Czy policja może ustalić konta bitcoinowe?
Odpowiedź: Kierunek transakcji bitcoinów można sprawdzić. Transakcje bitcoinowe są rejestrowane na blockchainie bitcoinowym, można zobaczyć płynność bitcoinów, z którego portfela zostały przeniesione do jakiego portfela, jednak wiesz tylko, do którego portfela trafiły, nie wiesz, do kogo należy ten portfel. Bitcoin jest zarówno przejrzysty i publiczny, jak i anonimowy; transakcje i kierunki są publiczne i będą rejestrowane, ale osoby prowadzące transakcje są anonimowe.
Szczególnie ważne: w sprawach dotyczących przestępstw związanych z siecią bitcoinów, dowody na kierunek transakcji bitcoinowych zazwyczaj koncentrują się wokół przepływu środków i śladów sieciowych. Naszą pracą jako prawników w obronie spraw dotyczących przestępstw związanych z bitcoinami jest znalezienie problemów w dowodach dotyczących przepływu środków i śladów sieciowych.
Metoda „pięciu przerwań” do śledzenia kierunku przepływu bitcoinów.
Przestępstwa związane z bitcoinami różnią się od przestępstw tradycyjnych tym, że nie pozostawiają w przestrzeni przestępczej ani w miejscu przestępstwa śladów ani przedmiotów, które mogłyby udowodnić ich działania i związki osobiste. W wielu sprawach, ślady pozostawione przez podejrzanego są fałszywe, a znalezienie pewnych dowodów skazujących wśród fałszywych śladów jest trudne, ponieważ dowody internetowe i dowody offline są trudne do powiązania, przez co trudno jest stworzyć kompletny łańcuch dowodowy. To prowadzi do niejasności faktów i niewystarczających dowodów, co uniemożliwia postawienie zarzutów. To, co często mówię, to że na świecie nie ma prawdy, są tylko konstrukcje i interpretacje faktów na podstawie dowodów.
Podczas prowadzenia takich spraw, przede wszystkim musimy zapoznać się z systemem dowodowym w tych sprawach, a także sklasyfikować i podzielić odpowiednie dowody. Dowody w tego rodzaju przestępstwach można podzielić na kilka kategorii, jak poniżej:
(1)Zeznania podejrzanego, zeznania współsprawcy, świadectwa górnego lub dolnego dostawcy.
(2)Informacje rejestracyjne, adresowe i transakcyjne portfela bitcoinowego.
(3)Informacje o użytkownikach powiązanych z adresami portfela uzyskane i analizowane za pomocą komputerów, telefonów komórkowych oraz metod pozyskiwania danych w chmurze, takie jak nazwy e-maili, konta na Weibo, adresy IP logowania QQ itp.
(4)Rekordy transakcji na platformach handlowych oraz wyjaśnienia sytuacji.
(5)Rekordy doładowań i wypłat w grach internetowych.
(6)Rekordy transakcji bankowych.
(7)Historia czatów z aplikacji takich jak WeChat, QQ oraz Bat, Paper Plane i innych zagranicznych programów czatowych.
(8)Dane elektroniczne odzyskane z zajętych komputerów, telefonów komórkowych, dysków przenośnych oraz raporty analizy i oceny; adresy bitcoinowe kontrolowane przez podejrzanego, klucze oraz analiza wirtualnych adresów osób transakcyjnych na podstawie historii transakcji podejrzanego.
(9)Dokumenty elektroniczne dotyczące działań płatniczych z wykorzystaniem zewnętrznych platform transakcyjnych, klientów, związanych urządzeń mobilnych oraz płynności finansowej.
Ponieważ tego rodzaju przestępstwa odbywają się głównie w wirtualnej przestrzeni internetowej, zbieranie dowodów opiera się głównie na dowodach elektronicznych. Dowody elektroniczne w innych przestępstwach internetowych mają pewne wspólne cechy, tj. są łatwe do zniszczenia i manipulacji, a także ze względu na przestępstwa w wirtualnej przestrzeni trudno zostawić wystarczające ślady. Dodatkowo, pracownicy czarnej branży zazwyczaj mają pewne umiejętności unikania wykrycia, takie jak korzystanie z torów lub VPN do przeprowadzania transakcji, bezpośrednie użycie przenośnych pamięci USB oraz płatności gotówkowych w celu przeprowadzenia transakcji bitcoinowych. Ich umiejętności w zakresie sieci i komputerów są znacznie wyższe niż przeciętnego człowieka, a ich zniszczenie lub usunięcie dowodów elektronicznych jest bardziej całkowite. Większość przypadków dotyczy również pierwotnych danych elektronicznych, a po aresztowaniu pracownicy czarnej branży często odmawiają mówienia prawdy, co prowadzi do trudności w tworzeniu łańcucha dowodowego związku transakcji bitcoinowych, działań transakcyjnych, sieci transakcyjnych i kierunków przepływu środków w wielu sprawach.
Teraz krótko przedstawię, jak my, prawnicy, często przeglądamy łańcuch dowodowy, gdy bronimy oskarżonych w tego rodzaju przestępstwach. Przy przeglądaniu dowodów w celu obrony bierzemy pod uwagę kilka aspektów, które mogą stworzyć łańcuch dowodowy.
1. Czy można przerwać łańcuch dowodowy dotyczący powiązania adresu portfela z tożsamością podejrzanego (oskarżonego). Na początku nasi prawnicy powinni zbadać dowody, aby sprawdzić, czy można przerwać powiązania adresu portfela bitcoinowego z tożsamością podejrzanego. Aby postawić zarzuty, konieczne są dowody potwierdzające, że portfel bitcoinowy odbierający nielegalne środki należy do podejrzanego lub jest z nim powiązany. Anonimowość bitcoinów niesie ze sobą trudności w udowodnieniu, że portfel bitcoinowy odbierający nielegalne środki należy do podejrzanego. W sprawie, w której Li i inni uruchomili internetowy kasyno, gracze mogli stawiać zakłady tylko w bitcoinach lub etherze. Gracze musieli przelać bitcoiny lub ethereum na adres portfela, aby móc grać. Organy ścigania początkowo ustaliły cztery adresy portfela bitcoinowego jako konta odbierające zakłady na podstawie adresu odbiorcy podanego przez zgłaszającego, ale ostatecznie z powodu problemu z dowodami nie udało się złamać anonimowości portfela bitcoinowego i ostatecznie uznano tylko jeden adres bitcoinowy za konto odbierające zakłady.
2. Czy można przerwać łańcuch dowodowy dotyczący powiązania adresu portfela z adresem IP podejrzanego oraz MAC urządzenia. Musimy zrozumieć ograniczenia dowodów uzyskiwanych poprzez triangulację lub wykrywanie docelowego ruchu, a także zwrócić uwagę na wady i powiązania dowodów związanych z adresami IP w przypadku korzystania z torów lub VPN. Dodatkowo, w przypadkach przestępstw internetowych, gdy działanie przestępcze jest powiązane z określonym adresem IP, oznacza to tylko, że: po pierwsze, działanie przestępcze mogło zbudować możliwe powiązanie z rzeczywistym adresem, ale nie oznacza to koniecznego związku. Jeśli istnieją przypadki losowego przydzielania adresów IP, nie można ustalić koniecznego związku między działaniem przestępczym a rzeczywistym miejscem adresu IP. Po drugie, nawet jeśli to powiązanie zostanie ustalone, nie można bezpośrednio wykazać związku między rzeczywistym miejscem a sprawcą. Wciąż musimy ustalić konieczne powiązanie między rzeczywistym miejscem a sprawcą, aby ostatecznie ustalić związek między sprawcą a działaniem przestępczym w sieci. Musimy wiedzieć, że tylko posiadanie adresu portfela sprawia, że trudno ustalić adres IP logowania, a tylko adres IP również nie może bezpośrednio ustalić związku między rzeczywistym miejscem a sprawcą. Nie można po prostu stwierdzić przestępstwa. Większość skazanych miała inne dowody, które je potwierdziły, na przykład przyznanie się do winy lub dowody z danych z logów sieciowych, pamięci podręcznej, informacji o logowaniu QQ, informacji o postach oraz innych informacji, które to potwierdziły.
3. Czy można przerwać łańcuch dowodowy dotyczący powiązania procesu transakcji bitcoinów z innymi informacjami internetowymi lub śladami sieciowymi podejrzanego. Bitcoin jest tylko półanonymowy; protokół nie zna prawdziwego imienia strony transakcyjnej, ale poprzez różne metody można nadal powiązać informacje o transakcji z rzeczywistymi osobami. W wielu sprawach aresztowanie podejrzanych nie wynika z powiązania adresu portfela bitcoinowego z prawdziwą tożsamością, ale z różnych śladów internetowych pozostawionych podczas transakcji bitcoinowych, które poprzez analizę dowodów powiązane zostały z tożsamością podejrzanego. Jako prawnicy podczas obrony musimy zwrócić uwagę na legalność pozyskiwania tych śladów sieciowych, na przykład w jednej sprawie, pewien pan Feng został aresztowany za sprzedaż bitcoinów grupie oszustów. Po aresztowaniu był zdziwiony, ponieważ przeprowadzał transakcje bitcoinowe, korzystając z publicznego WiFi, i podjął szereg działań mających na celu zwiększenie anonimowości, takich jak korzystanie z VPN, wielokrotna zmiana adresów portfeli, korzystanie z gier internetowych do dokonywania wpłat i wypłat, więc dlaczego wciąż udało się go znaleźć? W rzeczywistości jest to problem, z którym spotykają się wielu ludzi w ekosystemie kryptowalut. W tej sprawie, chociaż Feng korzystał z publicznego WiFi do transakcji, aplikacja Dropbox na jego laptopie połączyła go z serwerem firmy, co spowodowało, że jego adres IP powiązany był z kontem Dropbox w logach serwera tej firmy. Musimy również zwrócić uwagę na sytuację, w której nawet jeśli podejrzany nie odwiedza żadnej strony osobistej, informacje Cookie przechowywane na komputerze mogą być powiązane z wcześniejszymi historiami przeglądania.
4. Czy można przerwać łańcuch dowodowy dotyczący powiązania kierunku przepływu środków z podejrzanym (oskarżonym).
Proces przekształcania bitcoinów w gotówkę jest kluczowym dowodem w sprawach. Wiele spraw zakończyło się aresztowaniem przestępców dzięki znalezieniu dowodów w procesie przekształcania, a dowody związane z przerwaniem przepływu środków są kluczowym elementem, który możemy wykorzystać w celu umorzenia sprawy, niewniesienia oskarżenia lub uzyskania uniewinnienia.
Musimy zwrócić uwagę, że obecnie w wielu sprawach proces przekształcania bitcoinów w gotówkę ma metody unikania wykrycia, takie jak przekształcanie ich za granicą przez nielegalne kantory lub kasyna, transakcje gotówkowe offline, mieszanie monet lub korzystanie z ciemnej sieci, co utrudnia ustalenie kierunku przepływu środków. W ubiegłym roku prowadziłem sprawę w prowincji Henan, w której pan Li wyszukiwał grupy QQ „Telekomunikacja Pranie” i „Profesjonalne Pranie”, dołączał do grupy i ogłaszał, że oferuje usługi prania pieniędzy dla grupy oszustów zajmujących się telekomunikacją. Kupili oni dużą ilość kart bankowych czarnych kart, które dostarczali grupie oszustów, a następnie przelali wszystkie pieniądze z kart bankowych na bitcoiny przez platformę Huobi, a następnie sprzedali bitcoiny innym w transakcjach gotówkowych offline, a po potrąceniu prowizji przekazali gotówkę z sprzedaży bitcoinów grupie oszustów. Aby unikać wykrycia, stosowali gotówkowe transakcje offline, co zwiększało anonimowość, więc tożsamość głównego sprawcy kupna i sprzedaży bitcoinów była znana tylko pod nazwą WeChat, a jego tożsamość pozostała niepotwierdzona, a kwota zaangażowana nie mogła być ustalona.
W przestępstwach sieciowych związanych z bitcoinami, z powodu anonimowości bitcoinów oraz zdolności pracowników czarnej branży do unikania wykrycia, w procesie przepływu środków często używa się czarnych kart, nielegalnych kantorów, stron hazardowych lub mieszania monet, na ciemnej sieci. Trudno jest stworzyć łańcuch dowodowy wskazujący na konkretnego podejrzanego. W sprawie oszustwa internetowego, którą prowadziłem w 2017 roku, cały depozyt klientów został zakupiony z zagranicznych stron internetowych w bitcoinach. Organy ścigania ustaliły, że kwota zaangażowana w sprawę wynosiła ponad 20 milionów, ale podczas obrony odkryliśmy, że znaczna część tej kwoty nie mogła utworzyć łańcucha dowodowego przepływu środków. Ostatecznie prokuratura zmieniła kwotę zaangażowaną na ponad 7 milionów. W sprawach dotyczących przestępstw sieciowych, które prowadziłem, największe zmniejszenie kwoty miało miejsce w sprawie w prowincji Zhejiang, gdzie kwota oszustwa spadła z początkowych 190 milionów do 120 milionów, co oznacza spadek o około 70 milionów.
Nasi prawnicy podczas prowadzenia spraw dotyczących przestępstw sieciowych powinni szczególnie zbadać:
(1)Czy karty bankowe, na które wpływają nielegalne środki, należą do podejrzanego lub są przez niego posiadane. Należy szczególnie zwrócić uwagę na problem czarnych kart w procesie przepływu nielegalnych środków, aby zobaczyć, czy te czarne karty są posiadane przez podejrzanego. Należy zbadać dowody, czy istnieją dowody na ich zajęcie; należy również zwrócić uwagę na kwestie dowodowe w odniesieniu do wypłacających, czy udało się schwytać wypłacającego, czy istnieją dowody łączące wypłacającego z podejrzanym.
(2)Czy konta Alipay, bankowości internetowej lub innych kont płatności internetowej używane do operacji nielegalnych środków są posiadane i obsługiwane przez podejrzanego. W wielu przypadkach nielegalne środki spływają do wielu kont Alipay, bankowości internetowej itp. Nasi prawnicy, prowadząc sprawy, powinni szczególnie zbadać, czy istnieją dowody potwierdzające, że te konta są posiadane lub obsługiwane przez podejrzanego. W sprawie pana Wanga, nielegalne środki zostały przekazane do pięciu kont Alipay, które następnie wpłynęły na platformy hazardowe, bez żadnych dowodów potwierdzających, że te pięć kont Alipay było obsługiwanych przez pana Wanga. Dlaczego więc organy ścigania aresztowały pana Wanga? Powód jest taki, że zespół ds. wykrywania cyberprzestępczości przeanalizował ślady adresów IP logowania tych pięciu kont Alipay i odkrył, że numer QQ pana Wanga, jego adres e-mail oraz ślady adresów IP konta Alipay wielokrotnie pokrywały się w różnych momentach, co wykazało, że użytkownikiem tych pięciu kont Alipay był pan Wang. To jest coś, na co powinniśmy zwrócić uwagę jako prawnicy – problem pokrywania się śladów adresów IP. W wielu sprawach pojawia się ten problem. Prawnicy muszą zauważyć, że opieranie się na pokrywaniu się śladów adresów IP wielu kont płatności w celu stwierdzenia, że dana osoba jest podejrzanym, to założenie. W przypadku wynajmu wirtualnych serwerów prywatnych (VPS) i wirtualnych sieci prywatnych (VPN), wiele komputerów w tej samej publicznej sieci ma ten sam adres IP. Jeśli nie ma innych dowodów potwierdzających, może to doprowadzić do przerwania łańcucha dowodowego przepływu środków.
5. Czy można przerwać łańcuch dowodowy „związku człowieka z sprawą”. To znaczy przerwać dowody łączące podejrzanego z innymi współsprawcami.
Przestępstwa związane z bitcoinami mają cechy czarnego łańcucha przemysłowego, a podejrzani zazwyczaj się nie znają, mogą być tylko znajomymi w sieci, nie znają nawet swoich prawdziwych imion. W przestępstwach sieciowych formy kontaktu między sprawcami są zróżnicowane, podmioty kontaktowe są wirtualne, a wspólne działania są niejasne. Czasami trudne jest stworzenie łańcucha dowodowego wskazującego na konkretnego podejrzanego. W wielu sprawach organy ścigania łapią tylko jeden element czarnego łańcucha przemysłowego, a dowody wskazujące na innych sprawców znajdują się wśród tych zatrzymanych podejrzanych, co nazywam „dowodami od człowieka do człowieka” w przestępstwach sieciowych.
W miarę jak umiejętności unikania wykrycia przez pracowników czarnej branży wzrastają, organy ścigania mają coraz większe trudności w znalezieniu „dowodów od człowieka do człowieka” podczas zbierania dowodów. W ubiegłym roku w sprawach, które prowadziłem w Jingzhou w prowincji Hubei i Zhoukou w prowincji Henan, grupy przestępcze korzystały z aplikacji do czatowania Bat i tajwańskiego WhatsApp. Te aplikacje do czatowania są szyfrowane end-to-end, serwery nie pozostawiają śladów, logowanie odbywa się bez potrzeby wiązania jakichkolwiek danych osobowych, co zapewnia wyjątkowe bezpieczeństwo i prywatność. Informacje mogą być wyświetlane po ich zniknięciu, a wiadomości mogą być usuwane w obie strony. To wszystko stwarza warunki i możliwości do przerwania łańcucha dowodowego „od człowieka do człowieka”.
Nasi prawnicy podczas prowadzenia spraw powinni zbadać dowody dotyczące historii czatów, historii przelewów, historii połączeń itp., aby sprawdzić, czy istnieją wystarczające dowody na to, że miały miejsce działania z premedytacją oraz że były ze sobą powiązane. Powinniśmy dążyć do przerwania łańcucha dowodowego „od człowieka do człowieka”.
Musimy szczególnie zwrócić uwagę na zeznania samego podejrzanego oraz zeznania współsprawcy. Jak już wspomniano, przestępstwa związane z bitcoinami są trudne do udowodnienia z powodu ich anonimowości oraz trudności w pozyskiwaniu dowodów elektronicznych. Uzyskanie pełnego łańcucha dowodowego do oskarżenia przestępstwa jest dość trudne; w wielu sprawach zeznania podejrzanego są bardzo ważne, a wiele przełomów w sprawach wynika z zeznań. Musimy zbadać stabilność zeznań podejrzanego oraz zgodność z zeznaniami innych współsprawców i istniejące sprzeczności. Gdy zeznania podejrzanego są niejednoznaczne lub zmieniają się, musimy zrozumieć, jak oceniać i weryfikować takie dowody.
Sprawy dotyczące przestępstw związanych z bitcoinami często wiążą się z dużą ilością technicznych problemów i trudnościami w pozyskiwaniu dowodów. Często trudno jest znaleźć wystarczające dowody, które można uwzględnić, a obiektywne fakty przestępstwa, szczególnie określenie kwoty zaangażowanej, są trudne do ustalenia. Trudno także wykazać subiektywną stronę przestępstwa, a powiązania współsprawców są luźne i trudne do ustalenia. Te wszystkie nowe problemy wymagają od prawników podniesienia swojego poziomu wiedzy prawnej i technicznej oraz wzmocnienia badań. Tylko jeśli zrozumiemy cechy tego rodzaju przestępstw oraz techniki obrony, możemy osiągnąć uniewinnienie lub złagodzenie kary w obronie w takich sprawach.
