Từ vụ xâm nhập e-mail để lừa đảo: Webmail và bảo mật an ninh mạng

Còn ở Việt Nam, có vẻ như nhận thức về vấn đề này mới đang bắt đầu được nói đến!

"Bò" đã mất rồi…

Mới đây, các đơn vị nghiệp vụ của Tổng cục An ninh I, Tổng cục An ninh II Bộ Công an phối hợp với Cơ quan An ninh điều tra Công an tỉnh Khánh Hòa đã hoàn tất hồ sơ bắt giữ 3 đối tượng là Lê Thị Kim Quyên, 34 tuổi, đăng ký thường trú ở ấp 1, xã Trung Ngãi, huyện Vũng Liêm, tỉnh Vĩnh Long; Nnadikwe Christian Sunday và Deke Collins, quốc tịch Nigieria tạm trú tại TP HCM.

Theo tài liệu điều tra, nhóm đối tượng này đã mạo danh các giao dịch kinh tế thông qua việc thâm nhập hòm thư điện tử, kết bạn qua mạng xã hội để lừa đảo chiếm đoạt tài sản. Cầm đầu đường dây này được xác định là Mamado Abdallar Mark, 38 tuổi, quốc tịch Nigieria, hiện đang bỏ trốn.

Cụ thể, cuối tháng 9/2013, Công an tỉnh Khánh Hòa đã nhận được đơn của Công ty TNHH MTV Xuất nhập khẩu thủy sản Khánh Hòa (Khaspexco) tố cáo một công ty khác lừa đảo chiếm đoạt số tiền 121.000USD. Qua xác minh được biết, trước đó, tháng 6/2013, bằng hộp thư điện tử, Khaspexco có giao dịch hợp đồng ngoại thương với chi nhánh Công ty Safcol Australia Pty L.T.D, chi nhánh tại Thái Lan.

Theo hợp đồng, Khaspexco thỏa thuận cung cấp cho Safcol 13.000 kg hàng thủy sản có tổng trị giá 121.000 USD. Sau khi chuyển hàng đã lâu mà vẫn chưa nhận được thanh toán, nên Khaspexco có thư hối thúc phía đối tác trả tiền. Ngạc nhiên là ngay sau đó, Safcol đã phúc đáp rằng đã trả tiền "theo yêu cầu" của Khaspexco?

Cùng với lá thư phúc đáp, đối tác đã đính kèm một lá thư điện tử được gửi từ chính hộp thư điện tử của Khaspexco trước đó, với nội dung đề nghị Safcol chuyển tiền vào tài khoản của Công ty Lê Quyên tại Shinhan Bank Việt Nam! Thấy có dấu hiệu bất thường, Khaspexco đã có đơn trình báo tới Công an tỉnh Khánh Hòa.

Kết quả điều tra cho thấy toàn bộ số tiền 121.000 USD đã rơi vào túi Kim Quyên cùng người tình là Mamado Abdallar Mark thay vì đến được tài khoản của Khaspexco. Mamado được xác định là đã chỉ đạo hai người Nigieria là Nnadikwe Christian Sunday và Deke Collins xâm nhập hộp thư điện tử của Khaspexco để nắm thông tin và soạn thảo văn thư đề nghị Safcol chuyển tiền vào tài khoản chi nhánh Công ty Lê Quyên như trên…

Đấu tranh mở rộng vụ án, Công an Khánh Hòa phát hiện ngoài phi vụ nêu trên, đôi tình nhân Mamado - Kim Quyên cùng đồng bọn còn thực hiện 3 vụ lừa đảo khác. Tháng 8/2013, Mamado, Nnadikwe và Deke xâm nhập hộp thư điện tử của một doanh nghiệp ở quận 10, TP HCM và nắm được thông tin doanh nghiệp này bán hơn 32.000 kg ống thép cho một công ty ở Myanmar và đang đề nghị bên mua tạm ứng 28.250 USD. Lập tức, nhóm lừa đảo gửi e-mail đề nghị chuyển 28.250 USD cũng vào tài khoản Công ty Lê Quyên rồi chiếm đoạt.

Hai vụ lừa còn lại đã xác định đều liên quan đến việc kết bạn cá nhân qua mạng Internet. Một nạn nhân nữ ở Lạng Sơn đã kết bạn với một người tên là William qua Facebook. Sau đó, nạn nhân này nhận được điện thoại và tin nhắn đề nghị nộp lệ phí 85 triệu đồng vào tài khoản chi nhánh Công ty Lê Quyên để nhận quà của William trị giá 8.000 USD kèm một lọ nước hoa 25.000 bảng Anh. Đương nhiên là tiền thì mất mà quà ảo thì nào có?

Tương tự, một nữ nạn nhân khác ở phường Lộc Thọ, TP Nha Trang cũng kết bạn qua mạng xã hội với một người xưng tên Austin Eric ở Anh quốc. Người này báo tin đã gửi tặng chị máy laptop, điện thoại Apple, đồng hồ, bó hoa ép khô và đề nghị chị nộp lệ phí 76 triệu đồng. Số tiền này cũng theo những món quà ảo bốc hơi không dấu vết!

Sau 4 phi vụ lừa đảo được xác định nói trên, nhóm của Mamado Abdallar Mark đã chiếm đoạt 149.250 USD và 161 triệu đồng. Cơ quan điều tra cũng thu giữ 4.600 USD, 127 triệu đồng do Nnadikwe và Deke giao nộp; cùng một số chứng cứ, tài liệu khẳng định hành vi phạm tội của nhóm đối tượng trên.

…mới lo "làm chuồng"?

Không thể phủ nhận webmail có những lợi điểm riêng của nó, đặc biệt là với mục đích sử dụng mang tính cá nhân. Dễ sử dụng với giao diện đơn giản, ngôn ngữ đa dạng. Và điều quan trọng nhất đối với không ít người dùng, là vì nó miễn phí! Nhưng cũng chính bởi nó miễn phí nên dễ bị giả mạo. Càng phổ biến bao nhiêu thì càng dễ trà trộn bấy nhiêu. Để cho bạn đọc dễ hình dung, có thể coi việc dùng hòm thư công cộng với dùng hòm thư riêng có đăng ký giống như lựa chọn cách lưu trữ tài liệu bằng văn bản vậy.

Tên miền riêng có đăng ký dịch vụ hòm thư điện tử của một tổ chức, cơ quan, doanh nghiệp tựa như một ngôi nhà riêng, biệt lập, có người trông coi (quản trị mạng), cửa khóa chắc chắn và các đối tượng ra vào ngôi nhà ấy đều có kiểm soát. Vậy thì tài liệu, văn bản được cất giữ trong ngôi nhà đấy chắc chắn an toàn hơn là nếu nó được lưu giữ ở một ngăn kéo công cộng đâu đó ngoài kia (máy chủ đặt ở nước ngoài), ai cũng có thể đi qua đi lại, ngó nghiêng, xem xét.

Ngoài những yếu tố mất an toàn đến từ người sử dụng thì webmail còn tiềm ẩn những khả năng mất an toàn từ chính nhà cung cấp dịch vụ. Còn nhớ cách đây ít lâu, người dùng hòm thư điện tử gmail đã một phen khốn khổ bởi sự cố máy chủ Google bất ngờ tự động thiết lập lại (reset) hệ thống. 0,08% người sử dụng dịch vụ gmail toàn thế giới mất hoàn toàn dữ liệu hòm thư và chỉ còn lại đúng 3 thư chào của nhà cung cấp.

Lê Thị Kim Quyên (đã bị bắt) và người tình Mamado Abdallar Mark đang bị truy nã. Ảnh do cơ quan Công an cung cấp.

Như một động thái nhìn nhận nghiêm túc vấn đề, mới cuối tháng 3 vừa qua, Phó chủ tịch UBND TP Hà Nội Nguyễn Thị Bích Ngọc một lần nữa yêu cầu các cơ quan, sở, ban, ngành của thành phố cần phải thực hiện nghiêm túc việc chấm dứt sử dụng hòm thư điện tử công cộng. Ngoài những lo ngại về hiệu quả ứng dụng công nghệ thông tin trong công việc, Phó Chủ tịch Nguyễn Thị Bích Ngọc cho rằng vẫn còn các đơn vị chưa nghiêm túc triển khai gửi, nhận văn bản điện tử trong thành phố, đặc biệt là việc khai thác, sử dụng hòm thư điện tử @hanoi.gov.vn.

Nếu xét thêm khía cạnh toàn bộ các thùng thư webmail như yahoo hay gmail, hotmail… đều được đặt ở nước ngoài  thì việc trao đổi văn bản, chỉ đạo, chỉ thị giữa lãnh đạo và các cơ quan chức năng của thành phố như đang làm rõ ràng là một lỗ hổng lớn về bảo mật.

Thủ đoạn cũ, nạn nhân mới

Theo phân tích của TS. Nguyễn Tuấn Anh, Học viện Kỹ thuật Mật mã, thì các hình thức lừa đảo trực tuyến là có thể định dạng được, nhưng không phải lúc nào cũng đề phòng được. Một trong những thủ đoạn đó là cài mã độc. Kẻ lừa đảo có thể gửi cho người dùng một lời nhắn gây tò mò như "Cơ hội kiếm 1 triệu đồng/tháng bằng công việc online", "Phần mềm giúp học giỏi tiếng Anh trong 3 tháng"... và kèm theo đó là một đường link dẫn tới một trang chứa mã độc.

Nếu nạn nhân nhấn chuột vào đường link đó thì một chương trình độc hại sẽ được cài lên máy của họ. Hoặc việc cài mã độc lên máy nạn nhân cũng có thể được thực hiện thông qua cách giả mạo thông báo của tổ chức có uy tín (ngân hàng, nhà cung cấp dịch vụ thư điện tử...), kẻ lừa đảo gửi cho người dùng Internet một đường link tới website của tổ chức đó. Tuy nhiên, website đó lại chứa lỗi XSS (Cross - Site Scripting) và đường link có mang payload độc hại mà không phải người dùng nào cũng có thể nhận ra, nhất là người dùng phổ thông.

Bằng cách cài mã độc lên máy tính của nạn nhân, kẻ lừa đảo có thể sẽ thực hiện các hành động tấn công tiếp theo như: đánh cắp mật khẩu (mã độc là key logger), đánh cắp dữ liệu nhạy cảm của nạn nhân (mã độc là trojan), lợi dụng để tấn công DDoS lên hệ thống khác (mã độc là botnet),... hoặc đơn giản chỉ là để phát tán mã độc.

Thủ đoạn tiếp theo là lừa đánh cắp tài khoản. Theo phân tích của TS Nguyễn Tuấn Anh, tài khoản của người dùng Internet có thể bị đánh cắp theo cách đơn giản hơn nhiều so với cách cài mã độc lên các thiết bị của họ. Để đánh cắp tài khoản người dùng trên website S, kẻ lừa đảo trước hết sẽ tạo ra một website S' có giao diện giống hệt với giao diện của website S, đồng thời đăng ký cho website S' một tên miền gần giống với tên miền của website S. Ví dụ, người dùng Facebook có thể bị đánh lừa bởi các tên miền www.faccebook.com; www. Fakebook.com hoặc www.facebook.webly.com...

Tiếp theo, kẻ lừa đảo sẽ mạo danh quản trị website S để gửi một email tới hộp thư của người dùng (ví dụ, với thông báo rằng website S đang thực hiện thanh lọc các tài khoản không hoạt động, để đảm bảo tài khoản không bị xóa khỏi hệ thống thì người dùng phải tái xác nhận tài khoản của mình tại địa chỉ được gửi kèm theo e-mail). Nếu người dùng không nghi ngờ mà nhấp chuột vào đường link thì sẽ nhìn thấy trang đăng nhập giống hệt với trang đăng nhập vẫn thường thấy trên website S.

Khi người dùng nhập định danh và mật khẩu của mình vào thì những thông tin đó sẽ được gửi cho kẻ lừa đảo, còn người dùng sẽ được định hướng sang website S thật sự. Như thế, họ không hay biết tài khoản của mình đã bị đánh cắp.

Nếu tài khoản bị đánh cắp thuộc các forum, blog... thì kẻ tấn công có thể thực hiện đăng/xóa bài viết dưới danh nghĩa nạn nhân. Nếu tài khoản bị đánh cắp là tài khoản hộp thư điện tử thì kẻ lừa đảo có thể sử dụng nó để khai thác dữ liệu nhạy cảm của nạn nhân (nội dung các e-mail).

Ngoài ra, e-mail thường là công cụ để xác thực một số thao tác trên các tài khoản thuộc các website khác (ví dụ như xác thực yêu cầu thay đổi mật khẩu), nên tài khoản e-mail có thể bị kẻ tấn công khai thác để chiếm đoạt các tài khoản khác của nạn nhân. Nếu tài khoản bị đánh cắp thuộc các trang mạng xã hội hoặc thuộc hệ thống tin nhắn tức thời (chat) thì kẻ lừa đảo có thể mạo danh nạn nhân để lừa những người có trong danh sách bạn bè. Cách thức trên đây cũng có thể được sử dụng để lừa đảo, chiếm đoạt thông tin thẻ tín dụng của nạn nhân và sau đó sử dụng các thông tin này để thực hiện mua hàng trực tuyến, hoặc làm thẻ giả để rút tiền từ tài khoản của nạn nhân.

Ngoài ra, còn có các dạng lừa đảo chiếm đoạt tiền qua việc gửi, nhận thư điện tử mà không ít người mắc phải. Với cách này, những kẻ dụng tâm tìm cách đánh vào lòng tham con người bằng việc dụ nạn nhân bỏ ra một số tiền nhất định để nhận lại một khoản tiền lớn hơn nhiều. Đây là một loại hình lừa đảo không chỉ ở Việt Nam, có tổ chức và thủ đoạn tinh vi và đã có từ lâu nhưng vẫn phổ biến và nhiều người mắc bẫy. Đó là những "Lá thư Nigeria", hay "Trò lừa 419", "Trò lừa ngân hàng Nigeria", "Tù nhân Tây Ban Nha" hay "Trò lừa  món tiền đen"…

Bản chất của trò lừa này là dụ nạn nhân bỏ ra một số tiền nhất định ("lệ phí trả trước") để được nhận lại một khoản tiền lớn hơn nhiều. Kịch bản được dựng lên thường là có một khoản tiền phi pháp lớn (hàng chục triệu USD) cần được rút khỏi một ngân hàng nào đó. Và người ta muốn nhờ chuyển số tiền đó vào tài khoản của nạn nhân "tiềm năng" với lời hứa sẽ được hưởng phần trăm nhất định (từ 10% đến 40%).

Khi nạn nhân đồng ý, kẻ lừa đảo tìm cách tạo niềm tin cho nạn nhân (trình ra một số giấy tờ liên quan, tạo vẻ thân thiện bằng những bức ảnh cá nhân...) rồi yêu cầu nạn nhân chuyển trước một khoản chi phí (khoảng vài nghìn USD). Nếu nạn nhân chuyển tiền thì kẻ lừa đảo lại nghĩ ra những lý do để yêu cầu chuyển thêm những khoản khác: phí lưu kho, phí chuyển tiền, phí luật sư,... Cứ như thế cho đến khi nạn nhân phát hiện ra mình bị lừa thì màn kịch kết thúc