Vạch trần thủ đoạn trộm cắp từ hệ thống thanh toán trực tuyến Paypal

I. Với những người có hiểu biết về công nghệ thông tin nói chung, đặc biệt là về tội phạm công nghệ cao thì chuyện "hack" các tài khoản ngân hàng quốc tế để "kiếm chác" không phải là điều gì quá mới mẻ. Tại nhiều thành phố lớn như Hà Nội, TP  HCM… đã từng có thời kỳ phong trào "CC chùa" (đánh cắp tài khoản ngân hàng) bùng lên một cách rất khó kiểm soát. Có những lúc các website bán hàng trực tuyến quốc tế đã phải "cấm cửa" những giao dịch có xuất xứ từ Việt Nam do nạn chôm chỉa tài khoản.

Tuy nhiên, các ngân hàng quốc tế ngày càng nâng cao tính bảo mật đã khiến chuyện trộm tiền trong ví người khác đã dần trở nên khó khăn. Nạn CC chùa cũng theo đó mà giảm mạnh. Nhưng với những hacker (tội phạm mạng) có trình độ một chút, thì chúng luôn tìm ra những kẽ hở trong thanh toán trực tuyến. Từ đó khoét sâu vào để chiếm đoạt tài sản bất hợp pháp.

Tháng 8 vừa qua, Cơ quan CSĐT Công an TP Hà Nội đã hoàn tất bản kết luận điều tra vụ án Bùi Đình Hảo sử dụng mạng máy tính để chiếm đoạt tài sản. Có thể nói trong vụ án này, Hảo đã có thủ đoạn cực kỳ tinh vi để can thiệp vào một website thanh toán trực tuyến hàng đầu của thế giới. Qua đó, chỉ trong một thời gian ngắn, Hảo cùng đồng bọn đã chiếm đoạt hàng tỉ đồng bất hợp pháp.

Một điều tra viên thuộc Phòng CSĐT Công an TP Hà Nội cho chúng tôi biết, tháng 9/2013, Cơ quan điều tra đã lần ra đường dây của các đối tượng Bùi Đình Hảo (23 tuổi, trú tại Định Công, Hoàng Mai, Hà Nội); Vũ Phong (33 tuổi, trú tại Cảm Hội, Hai Bà Trưng, Hà Nội) và Nguyễn Văn Dũng (37 tuổi, trú tại Nguyễn Trãi, Thanh Xuân, Hà Nội).

Bùi Đình Hảo là người có trình độ công nghệ thông tin, đã phát hiện lỗi trên hệ thống thanh toán trực tuyến trên mạng Internet của Paypal (thuộc Công ty eBay, trụ sở tại San Jose, California và một số trụ sở đặt tại Singapore). Khi người sử dụng tiến hành nâng cấp từ tài khoản Paypal phổ thông (Standard) lên tài khoản hạng thương gia (Business) thì sẽ được phép thanh toán ủy nhiệm chi của Paypal vào tài khoản thẻ tín dụng của một ngân hàng. Nghĩa là Hảo có thể chuyển tiền từ các tài khoản trên Paypal sang các thẻ tín dụng nhằm rút tiền hoặc mua hàng hóa, chiếm đoạt tài sản.

Được biết, Paypal là một cổng thanh toán trực tuyến dùng để chuyển tiền từ tài khoản ngân hàng vào tài khoản Paypal để giao dịch trên mạng (hoặc có thể rút tiền từ tài khoản Paypal về ngân hàng).

Bản chất của Paypal là dịch vụ thanh toán và chuyển khoản điện tử thay thế cho các phương thức truyền thống sử dụng giấy tờ như séc và các lệnh chuyển tiền. Paypal thu phí thông qua thực hiện việc xử lý thanh toán cho các hãng hoạt động trực tuyến, các trang đấu giá và các khách hàng doanh nghiệp khác.

Mọi khách hàng muốn lập tài khoản Paypal đều phải trên 18 tuổi có thẻ ghi nợ (debit card), thẻ tín dụng (credit card) (thẻ dùng để xác nhận tài khoản Paypal và chi trả cho việc thanh toán online), một tài khoản ngân hàng (dùng để rút tiền về Việt Nam) và một địa chỉ e-mail.

Mặc dù trên thế giới có nhiều công ty cũng kinh doanh dịch vụ thanh toán điện tử, song Paypal hiện đang là công ty đứng đầu bảng về dịch vụ này - bởi uy tín và mức độ bảo mật rất cao.

Điều đáng nói ở đây là tất cả các tài khoản Paypal mà Bùi Đình Hảo đăng ký đều không có một xu, song khi "nâng cấp" lên hạng thương gia thì Hảo nghiễm nhiên được quyền "chi trước trả sau". Nghĩa là Hảo cứ việc thò tay vào ví của Paypal rồi rút cả ngàn USD ra sử dụng mà hầu như không vướng bất cứ một sự ngăn trở nào. Nhiều chuyên gia về công nghệ thông tin nhận xét, trình độ hack của Hảo thuộc hàng  "quái kiệt".

II. Để có thể thực hiện thành công hành vi ăn cắp tiền trong hệ thống thanh toán trực tuyến của Mỹ, Hảo đã liên kết với các đối tượng Vũ Phong và Nguyễn Văn Dũng tạo thành một "bộ tam bất tử"!

Vũ Phong là Chủ tịch Hội đồng quản trị Công ty CP Thương mại dịch vụ trực tuyến (MPT), kinh doanh dịch vụ quảng cáo trực tuyến trên mạng Internet. Trong quá trình làm việc, Phong biết nhiều người cần mua, sử dụng thẻ VISA ảo và thẻ trả trước để xác minh các dịch vụ trực tuyến như Facebook, Google…

Tháng 4/2013, Phong quen một đối tượng tên là Quốc (sinh sống tại Mỹ) và thường nhờ Quốc mua hộ các thẻ do các ngân hàng của Mỹ phát hành để gửi về Việt Nam bán lại kiếm lời. Thông qua diễn đàn Mm04…com, Phong biết được Hảo có khả năng chiếm đoạt tiền thông qua việc hack hệ thống Paypal, nhưng không có khả năng rút được tiền.

Sau những cuộc nói chuyện qua mạng, "tư tưởng lớn gặp nhau", Phong và Hảo bắt tay vào cuộc kiếm tiền trên mạng. Hảo sẽ chịu trách nhiệm thực hiện phần thao tác trên máy tính để chuyển tiền từ tài khoản Paypal vào các thẻ mua hàng tại Mỹ. Số tiền này sẽ được đổ vào các thẻ ngân hàng mà Phong nhờ Quốc mua trước đó. Khi chuyển khoản thành công, các thẻ này sẽ được chuyển về Việt Nam để Phong rút tiền mặt.

Theo thỏa thuận Hảo được hưởng 70%, Phong được hưởng 30% trên tổng số tiền rút ra được (nếu như số tiền rút ra tại Việt Nam). Trường hợp số tiền được rút từ Mỹ thì Phong được hưởng 10%, Quốc giữ lại 20%; còn 70% vẫn phải trả lại cho Hảo.

Từ trái qua: Bùi Đình Hảo, Vũ Phong và Tăng Hiếu Thiên.

Để hack được một tài khoản Paypal, thông qua một website viet…info, Hảo đã mua được thông tin cá nhân của các công dân Mỹ với giá 20-25USD/1.000 thông tin. Từ những thông tin này, Hảo lập tài khoản phổ thông của Paypal (việc này khá đơn giản, hầu như ai cũng có thể đăng ký được).

Tiếp đó, Hảo sử dụng thông tin từ một thẻ tín dụng được phát hành tại Mỹ (thẻ này đã hết thời hạn sử dụng) rồi dựa vào những thông tin đó để "nâng cấp" tài khoản Paypal thành hạng "thương gia". Khi đã trở thành chủ nhân của tài khoản này, thì chủ tài khoản sẽ được phép "chi trước trả sau" với số tiền lên đến cả ngàn USD.

Nếu như bình thường, thẻ tín dụng dùng để nâng cấp từ hạng phổ thông lên thương gia phải ở trạng thái "đang hoạt động". Việc đó sẽ đảm bảo cho việc chủ thẻ sẽ phải thanh toán đầy đủ số tiền họ đã sử dụng khi thanh toán trực tuyến. Tuy nhiên các kỹ sư bảo mật của Paypal lại không nghĩ đến việc có một kẻ nào đó có thể dùng thẻ đã hết hạn để đăng ký.

Từ những thông tin mua được ở trên mạng, thông qua một loạt các thao tác nhập thông tin từ thẻ tín dụng, xác nhận giao dịch… Hảo đã có được trong tay hàng trăm account Paypal hạng thương gia. Hảo cũng rất ma lanh khi chỉ để dư nợ dưới 1.000 USD (đủ độ an toàn để hệ thống Paypal không phát hiện được).

Sau khi thử nghiệm thấy thành công Hảo đã chuyển ào ạt tiền từ account Paypal vào các thẻ tín dụng "ảo". Sau đó nhờ Quốc rút tiền từ các ngân hàng của Mỹ rồi chia phần trăm chuyển về Việt Nam cho Hảo và Phong.

Có những thời điểm, việc rút tiền từ Mỹ không thực hiện được, Hảo đã thực hiện giao dịch chuyển tiền từ Mỹ về Việt Nam cho một người tên là Minh (ở ngõ 95 Hoàng Văn Thái, Thanh Xuân, Hà Nội).

Khi được Hảo chuyển tiền vào các tài khoản thẻ tín dụng, Phong đã nhờ một đối tượng khác ra các cửa hàng có sử dụng máy thanh toán thẻ (POS) để mua đồ điện tử như Iphone, Ipad… Sau khi mua được hàng, Phong đã rao bán trên mạng để lấy tiền mặt.

Sau đó đến lượt Nguyễn Văn Dũng - Giám đốc Công ty TNHH Du lịch Đường mòn xanh được Phong rủ vào đường dây kiếm tiền. Dũng không từ chối. Trước đó, Dũng đã ký hợp đồng với Ngân hàng V… làm đơn vị chấp nhận thanh toán thẻ qua máy POS và một trang web chuyên thanh toán trực tuyến. Phong đã thỏa thuận với Dũng lập các đơn đặt tour du lịch và hóa đơn yêu cầu thanh toán.

Từ đó, các đối tượng sẽ chuyển tiền vòng vèo từ tài khoản ngân hàng mà Hảo chiếm đoạt được sang website thanh toán trực tuyến của công ty Dũng. Trên cơ sở đó Dũng đề nghị Ngân hàng V. giải ngân.  Khi nhận được tiền từ ngân hàng gửi vào tài khoản của Dũng, Dũng đã chuyển cho Phong 90% số tiền, giữ lại 10%.

Chỉ trong khoảng 2 tháng, các đối tượng Hảo, Phong và Dũng đã liên kết với nhau chiếm đoạt số tiền lên đến cả tỉ đồng.

III. Tháng 7/2014, Phòng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (PC50) Công an TP Hà Nội cũng đã khám phá một thủ đoạn mới của nhóm tội phạm chuyên đánh cắp tiền từ các ngân hàng. Bằng cách ăn trộm thông tin trên mạng, các đối tượng sản xuất hàng loạt thẻ tín dụng giả rồi rút hàng tỉ đồng của nhiều ngân hàng lớn.

Qua điều tra, các trinh sát đã bắt giữ Tăng Hiếu Thiên (quốc tịch Trung Quốc) và Đinh Văn Chính (29 tuổi  trú tại xã Quang Lãng (Phú Xuyên, Hà Nội).

Cơ quan Công an đã làm rõ các đối tượng câu kết với nhau thành lập 4 công ty kinh doanh dụng cụ phòng cháy chữa cháy gồm: Công ty TNHH Ninh Cát, Công ty TNHH Thương mại Phước Hiền,  Công ty TNHH TMDV Bảo Phương và Công ty TNHH Thương mại Lực Long. Sau đó chúng mở tài khoản và hợp đồng dịch vụ thanh toán thẻ tại ngân hàng và ký với các ngân hàng tại Việt Nam đặt máy POS nhằm mục đích chiếm đoạt tiền. Các ngân hàng chúng đăng ký gồm Eximbank, Vietcombank, Oceanbank, BIDV…

Tất cả thẻ tín dụng mà Tăng Hiếu Thiên cùng đồng bọn sử dụng để giao dịch đều lấy cắp thông tin từ thẻ do nước ngoài phát hành. Khi ngân hàng chuyển tiền vào tài khoản của các công ty trên, Thiên và Chính trực tiếp cùng các "giám đốc" đi rút ở các phòng giao dịch hoặc các trạm ATM.

Rất ranh ma, chúng chuyên thuê sinh viên, người thất nghiệp đứng tên làm giám đốc các công ty đó. Cơ quan Công an đã làm rõ cả 4 công ty trên đều không có bất cứ hoạt động kinh doanh nào mà chỉ làm bình phong để sử dụng thông tin thẻ tín dụng lấy trộm được, quẹt tại những máy POS này.

Sau hơn một năm sử dụng thủ đoạn trên, Thiên và Chính đã thực hiện hàng nghìn giao dịch chiếm đoạt hơn 1,1 tỉ đồng. Cơ quan chức năng đã thu giữ 5 máy POS của các ngân hàng khác nhau, 2 máy làm thẻ tín dụng giả, 21 phôi thẻ, 45 thẻ tín dụng có chữ Trung Quốc và Việt Nam đã qua sử dụng…

Để trốn tránh sự phát hiện của cơ quan chức năng, chúng chỉ mở công ty một vài tháng rồi lại giải tán thành lập công ty khác. Hoặc có ngân hàng phát hiện có dấu hiệu sử dụng thẻ tín dụng giả, đã cắt hợp đồng với công ty và thu hồi máy POS. Nhưng ngay lập tức chúng lập công ty khác để giao dịch…