鉴定实战 | 某虚拟币传销案件

admin 2024年5月19日00:25:01评论6 views字数 2260阅读7分32秒阅读模式

鉴定实战 | 某虚拟币传销案件

在数字化快速发展的今天,网络传销已成为一种新型的非法活动,它披着“创业”、“投资”等外衣,吸引了不少人参与,但背后却隐藏着巨大的风险。与传统的传销相比,网络传销具有隐蔽性强、传播速度快、诱惑性大等特点,常常打着“快速致富”、“零风险”等口号,诱骗受害人参与投资。

01

案情介绍

2020年6月前后,陈某某伙同陈某甲、唐某某、赖某某、余某某(均另案处理)等人在马来西亚开发“xxxxxx”项目,以网上平台推广MT代币、SGB虚拟币的方式,实施发展会员拉下线的非法传销犯罪活动。

虚拟货币网络传销典型过程

  1. 筹建虚拟货币公司:创建一个声称拥有显赫背景的虚拟货币公司。

  2. 发布白皮书:为了吸引投资者并让他们相信这些虚拟货币具有实际的经济价值。

  3. 建立宣传网站、专用交易平台和虚拟货币钱包:需要有专门的网站和交易平台来进行交易,同时也需要有专门的钱包应用程序来管理这些虚拟货币。

  4. 参与多层级推广活动:通过上级邀请、分级推广的方式获取收益,吸引更多的人加入。

如果要识别一个虚拟货币是否是传销盘,跟传统传销盘识别一样,主要关注几点:

  • 是否有门槛费(入门费)

  • 是否存在层级关系

  • 是否可以通过发展下线获利

传销案件的定罪标准主要依据《中华人民共和国刑法》第二百二十四条之一关于组织、领导传销活动罪的规定,以及最高人民检察院、公安部联合印发的《关于公安机关管辖的刑事案件立案追诉标准的规定(二)》中的相关规定,传销案件的定罪标准包括以下几点:1. 行为要件:组织、领导以推销商品、提供服务等经营活动为名,要求参加者以缴纳费用或者购买商品、服务等方式获得加入资格,并按照一定顺序组成层级,直接或者间接以发展人员的数量作为计酬或者返利依据,引诱、胁迫参加者继续发展他人参加。2. 人员和层级要求:涉嫌组织、领导的传销活动人员在三十人以上且层级在三级以上。3. 主观要件:行为人具有组织、领导传销活动的主观故意,即明知自己的行为是组织、领导传销活动而故意为之。
02
鉴定过程

此次案件鉴定过程,我所主要参与了服务器远程固定和平台后台数据分析两个过程。

1. 服务器远程固定

远程证据固定之前,我们可以跟委托方先进行初步的沟通,了解平台模式,结合平台白皮书情况,以及前期掌握的情况,对整个平台架构有初步了解。部分平台可能除了网站后台外,还有APP和前台站点。

次是一个部署在AWS上的站点,使用网探成功连接(图1)后,按照规范完成证据固定工作(图2)。

鉴定实战 | 某虚拟币传销案件
图1
鉴定实战 | 某虚拟币传销案件
图2
2. 平台后台数据分析
本身固定回来的数据库文件可以离线分析,但是为了更直观地掌握原始数据,对服务器仿真分析。
使用火眼仿真加载固定的服务器镜像文件进行系统仿真,先通过虚拟机网卡配置文件 /etc/sysconfig/network-scripts/ 修改其IP为服务器内网地址:192.168.8.136,然后修改配置文件/www/wwwroot/xxxxxxxx/config/database.php,将数据库连接指向数据库分配的IP地址。(图3)

鉴定实战 | 某虚拟币传销案件

图3

常见PHP框架、CMS系统的数据库配置文件位置

1. ThinkPHP:数据库配置文件通常位于cachesconfigsdatabase.php

2. PHPCMS V9:数据库配置文件也在cachesconfigsdatabase.php

3. WordPress:数据库配置文件通常是wp-config.php,位于站点根目录下

4. 其他常见CMS:

  • UCenter:/data/config.inc.php

  • Discuz!:/config.inc.php

  • UCH:/config.php

  • 帝国CMS:/e/class/config.php

  • ECShop:/data/config.php

  • ShopEX:/config/config.php

  • Joomla!:/configuration.php

  • HDWiki:/config.php

通用方法

在某些情况下,数据库配置文件可能位于PHP应用程序的根目录或子目录中,文件名可能包括database.php、config.php、db_config.php等

使用账号和密码登录后台管理系统进行数据提取。(图4、图5)
鉴定实战 | 某虚拟币传销案件
图4
鉴定实战 | 某虚拟币传销案件

图5

传销案件的鉴定难点主要是涉案人员众多、涉案资金庞大、层级关系错综复杂

很多情况下需要根据邀请人ID(会员ID),将用户表、金额表等不同表进行关联分析。

推荐使用网钜数据分析软件对涉案人员和资金进行层级分析统计,可直观展现每个会员的邀请人ID、所在层级、直接下线人数、下线层数、最大层数等。

可以直接使用网钜连接在线数据库,也可以导入数据库文件后,按需选择需要导出的数据表。本案因为本身已经从后台导出了相关数据,直接使用组织架构分析功能。(图6、7、8)

鉴定实战 | 某虚拟币传销案件

图6

鉴定实战 | 某虚拟币传销案件

图7

鉴定实战 | 某虚拟币传销案件

图8

总结
1. 技术要点
  • 数据固定:服务器、数据库数据固定;

  • 站点仿真:为了更好地理解公司的运作模式,可以借助仿真网站来模拟其业务流程和用户交互;

  • 数据分析:通过数据库的完整还原、密文内钱包地址的解密、会员层级的计算虚拟货币和积分交易的统计分析等步骤,对案件展开深入分析;

2. 获利和投入认定注意点

平台有复,无法筛选的,一般根据后台的转入、转出、充值、提币等关键栏目认定

3. 虚拟币定价

USDT和美元挂钩,可以直接定价。

网站后台栏目中,虚拟币资金流水记录如有记录交易价格,可该价格来计算。如没有记录交易价格,根据案件要求,按照案发时间段实际的币价平均值或最低值计算。

供稿:sunshine

编辑:海飞同学
审核:厚朴、Spring

鉴定实战 | 某虚拟币传销案件

原文始发于微信公众号(网络安全与取证研究):鉴定实战 | 某虚拟币传销案件

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月19日00:25:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   鉴定实战 | 某虚拟币传销案件https://cn-sec.com/archives/2754047.html

发表评论

匿名网友 填写信息