Ai đã "tiếp sức" cho tội phạm công nghệ cao? (bài 4)

Mua website để lừa đảo: Chỉ 100 nghìn đồng!

Lâu nay, với người dân cũng như chủ doanh nghiệp thiếu thông tin thường nghĩ rằng để lập một website sẽ phải mất nhiều tiền cho đội ngũ thiết kết cũng như mua tên miền, hosting (nơi lưu trữ dữ liệu)... Tuy nhiên vài năm trở lại đây, ở Việt Nam đã nở rộ những dịch vụ có thể lập một trang web trong vòng vài phút, với chi phí siêu rẻ. Lợi dụng điều này, nhiều đối tượng có ý định xấu đã mua chúng nhằm thu thập dữ liệu người dùng, thậm chí lập các trang web nhái các ngân hàng, dịch vụ chuyển tiền, công ty chuyển phát nhanh... với mục đích lừa đảo chiếm đoạt tài sản.

Trung tá Nguyễn Đức Bình, điều tra viên giàu kinh nghiệm thuộc phòng Cảnh sát hình sự (CSHS) Công an TP Hà Nội cho chúng tôi biết, qua công tác điều tra, thời gian gần đây cơ quan công an phát hiện nhiều cá nhân, tổ chức chuyên rao bán các website trên mạng Internet để thu thập thông tin người dùng, ẩn dưới các nội dung như "Cuộc thi bình chọn giọng hát nhí" hay "Tặng quà game"... Một số người dân thiếu cảnh giác muốn tham gia bình chọn hay tặng quà thì phải khởi tạo account (tài khoản), gồm tên tuổi, địa chỉ email, số điện thoại... Ai muốn nhận được quà ảo thì phải cung cấp thêm giấy CMND, CCCD, tài khoản ngân hàng...

Với vai là một sale bất động sản cần gói dữ liệu thông tin người dùng, qua mạng Internet, tôi đã lên hệ với nickname Zalo Minh Tuấn (anh ta cho biết từng tốt nghiệp khoa CNTT của một trường đại học lớn ở Hà Nội). Tuấn quảng cáo hiện anh ta đang có rất nhiều gói dữ liệu thông tin user (người dùng) khác nhau, chia theo nhiều bậc như Normal1, Normal2 (user thuộc dạng trung lưu, tài khoản ngân hàng từ vài chục đến vài trăm triệu đồng) hoặc Vip1, Vip2 cho đến SuperVip... (user dạng thượng lưu, tài khoản có từ 1 tỷ đồng cho đến 10 tỷ, 100 tỷ...). Các gói này có nhiều mức giá, từ vài triệu đến vài chục triệu đồng.

Thấy tôi chần chừ chưa mua, Tuấn giới thiệu thêm gói dịch vụ lập website để khách hàng có thể tự thu thập thông tin người dùng với giá siêu rẻ. Chỉ từ 100 đến 200 ngàn đồng là có ngay một website. Sau khi có được website và tên miền, chủ sở hữu có thể sử dụng để chạy quảng cáo, spam vào các hội nhóm hoặc qua tin nhắn Messenger để nhanh chóng thu thập được thông tin của người dùng. Với một website, chỉ trong một ngày có thể thu thập được thông tin của hàng ngàn user.

Với số tiền cao hơn, từ 500 ngàn đồng đến 1 triệu đồng, Tuấn sẽ cung cấp "gói giải pháp" mạnh, đồng bộ. Nghĩa là cung cấp dịch vụ hoàn chỉnh, như tạo website nhái với tên miền có sẵn, tích hợp trang quản lý thông tin của nạn nhân, thậm chí kèm theo cả những công cụ giúp ẩn danh, xóa dấu vết nhằm tránh bị cơ quan chức năng hỏi thăm.

Còn theo một "nhà cung cấp" dịch vụ tên T. Phong, thời điểm hai năm đại dịch COVID-19 bùng nổ, công ty anh ta đã bất ngờ "ăn nên làm ra" với dịch vụ tạo website "nhẹ" để bán cho khách hàng. Do việc khởi tạo quá đơn giản, và có thể "sản xuất hàng loạt" nên mỗi ngày công ty bán ra hàng trăm website cho khách hàng, thu về cả chục triệu đồng.

Đồng thời, do là người viết code nên T.Phong vẫn có thể điều khiển được những website đã bán. Chính khách hàng sau đó lại cũng là người đi thu thập dữ liệu cho công ty của Phong. Anh ta chỉ việc ngồi một chỗ, dữ liệu cứ "chảy" vào hàng giờ, hàng phút. Trên cơ sở những dữ liệu này, Phong lại tập hợp thành "gói" bán cho những bên cần thông tin như nhân viên tín dụng, sale nhà đất, thậm chí bên cho vay lãi nặng...

Trên thực tế, thời gian qua đã xảy ra rất nhiều những vụ lừa đảo qua công cụ fishing. Điển hình như vụ việc xảy ra trên địa bàn quận Đống Đa (Hà Nội).

Nhóm đối tượng Minh Hoàng, Trương Huy Cường và Lưu Quốc Toàn (cùng trú tại tỉnh Quảng Nam) đã lên mạng Internet mua tên miền và trang web http://bom.to... Sau đó, Hoàng lập trình thành trang web có giao diện giống giao diện của ngân hàng T.

Trên trang web này có ô để người bị hại điền tên đăng nhập và mật khẩu. Hoàng cũng lập một gmail được đăng nhập đồng thời 3 điện thoại của Lê Minh Hoàng, Trương Huy Cường và Lưu Quốc Toàn để cả ba quản lý.

Đối tượng Cường sử dụng mạng xã hội Facebook tìm kiếm từ khóa “ck nhầm” thì thấy bài viết của chị T. (trú tại quận Đống Đa, Hà Nội) đăng về bị chuyển khoản nhầm. Cường lọ mọ và xác định số điện thoại của chị T.

Tiếp đó Cường đã gọi cho chị T., giả danh là cán bộ của ngân hàng Tech..., trao đổi về việc chuyển nhầm tiền và đề nghị chị T. cho Cường làm thủ tục tra soát giao dịch, nếu đúng là sai sót thì sẽ chuyển lại tiền cho chị T. Sau đó đối tượng gửi tin nhắn có chứa đường link dẫn đến website lừa đảo, yêu cầu chị T. đăng nhập và cung cấp mật khẩu.

Khi có được thông tin về ID và Password đăng nhập vào tài khoản Internet banking của chị T. và phát hiện có hơn 700 triệu đồng, Cường lập tức đặt lệnh chuyển 200 triệu đồng của nạn nhân sang một ngân hàng khác. Khi đó chị T. vẫn nghĩ rằng nhân viên ngân hàng đang giúp mình nên đã đọc mật khẩu OTP cho đối tượng. Chỉ vài giây sau, tài khoản của chị đã bị trừ 200 triệu đồng. Cường tiếp tục thực hiện giao dịch chuyển tiền, và yêu cầu chị T. đọc mật khẩu. Thấy có gì đó sai sai, chị T. không đọc OTP nữa mà làm đơn trình báo cơ quan công an.

Những trang thông tin chuẩn bị... chết

Bên cạnh những cá nhân tổ chức chuyên bán những trang web fishing đơn giản, thì trong giới "underground" còn có nhiều lập trình viên cao cấp; chuyên viết thuê các website dưới nền tảng Metatrader 5 (MT5).

Những trang web dạng này sử dụng để nhái các nền tảng giao dịch ngoại hối, chứng khoán, tiền ảo... Chi phí để lập các trang web luôn được giữ kín, song không dưới 50 triệu/site. Và các đối tượng cũng lập trình sẵn thời gian trong khoảng 3-6 tháng là trang web die (chết).

Sau khi mua được những website này, nhóm đối tượng lừa đảo sẽ kêu gọi người dân đầu tư, quảng cáo rằng đây là sàn đầu tư ngoại hối của Tây; rất uy tín... Sau một thời gian dụ được nhiều người dân đầu tư, nhóm đối tượng cầm đầu sẽ đánh sập để chiếm đoạt tài sản của họ.

Trung tá Lê Minh Hải, Đội trưởng Đội Điều tra trọng án Công an TP Hà Nội chia sẻ, hơn một năm trước, Công an TP Hà Nội phối hợp với Công an TP Hồ Chí Minh đã triệt phá hàng loạt sàn kinh doanh ngoại hối có tên rất Tây gồm: rforex.com, Yaibroker, Vistaforex, Exswiss... được quảng cáo là có nguồn gốc từ nước Anh. Tuy nhiên, sau khi đã “cuỗm” được hàng trăm tỷ đồng của người chơi, nhóm đối tượng đã đánh cháy tài khoản và đánh sập các website rồi biến mất.

Bắt giữ nhóm đối tượng, cơ quan công an làm rõ những website trên do các đối tượng đi mua trên mạng, và đổi sang giao diện tiếng Anh nhằm lừa nhà đầu tư. Nhóm admin sẽ thao túng tất cả quyền mua bán/ thắng thua trên các sàn này. Nhà đầu tư một khi chuyển tiền vào chơi là chỉ có thua.

Mua dữ liệu cá nhân: Dễ như mua rau

Bên cạnh vấn nạn mua bán website để thu thập thông tin người dùng, hay để dụ đầu tư chứng khoán, ngoại hối với Tây; thời gian gần đây, tình trạng mua bán tài khoản ngân hàng, giấy CMND... cũng ngày một nở rộ và trở thành công cụ đắc lực tiếp tay cho những đối tượng lừa đảo.

Cũng theo điều tra viên Nguyễn Đức Bình, gần như 100% các đối tượng lừa đảo online đều thực hiện hành vi chiếm đoạt tài sản của bị hại bằng cách lừa bị hại chuyển tiền vào tài khoản của chúng cung cấp, hoặc chiếm quyền điều khiển tài khoản ngân hàng trực tuyến. Từ đó bọn chúng sẽ thực hiện việc rửa tiền bằng cách thực hiện liên tiếp rất nhiều các lệnh chuyển tiền đến các tài khoản ngân hàng khác nhau. Hoặc mua các loại thẻ cào điện thoại, thẻ game... rồi lại chuyển ra tiền mặt (chấp nhận mất 10-20% phí). Cũng có không ít trường hợp các đối tượng sử dụng để mua các loại tiền điện tử như Bitcoin, Ethereum... sau đó bán đi đổi sang tiền VNĐ.

Có thể nói những hội nhóm mua bán tài khoản ngân hàng hàng ngày rao bán công khai, đầy rẫy trên các trang mạng xã hội, như... bán rau ngoài chợ. Chúng tôi thử truy cập vào Group "Mua bán..." và liên hệ với nickname Mai Nguyen để đặt mua một tài khoản ngân hàng. Nickname này cho biết cô ta có thể cung cấp tài khoản (tk) hơn 20 ngân hàng khác nhau, giá chỉ từ 200 ngàn đồng/tk. Nếu mua số lượng lớn thì giá chỉ còn 100-150 ngàn đồng/tk.

Còn muốn mua thẻ ATM cứng thì giá từ 1,5 triệu - 2 triệu đồng. Khách hàng đồng ý chỉ cần chuyển khoản tiền, sau chừng nửa ngày sẽ nhận được tài khoản gồm thẻ cứng; ID, password cùng sim điện thoại để nhận mật khẩu OTP. Ngoài ra, Mai Nguyen cũng cho biết nếu khách hàng muốn làm thẻ đúng tên mình thì giá tầm 500 ngàn đồng/tài khoản, và là bank ngẫu nhiên chứ không được chọn. Khi tôi nói nhiều người chào giá cạnh tranh hơn, Mai Nguyen lập tức giảm giá: thôi 50 ngàn cũng được, anh mua 3 tk trở lên giá chỉ còn 30 ngàn/tk…

Theo lãnh đạo Phòng CSHS, tình trạng mua bán dữ liệu cá nhân như giấy CMND/CCCD có thể tiếp tay cho các đối tượng lừa đảo. Bọn chúng mua về làm giả, rồi sử dụng để lập tài khoản ngân hàng; đăng ký số điện thoại trả sau; lập công ty ảo không có nhân viên; đăng ký mã số thuế; thậm chí vay tiền qua app rồi bùng nợ...