Camera an ninh - Con dao hai lưỡi
Thời gian gần đây, trên mạng xã hội Telegram xuất hiện nhiều hội nhóm mua bán các clip từ việc hack camera từ phòng ngủ, spa, phòng tắm, khách sạn… chủ quan trong khâu bảo mật, nhiều người đã tự biến mình thành “mồi ngon” của hacker khi hình ảnh riêng tư bị lấy cắp và rao bán.
Hàng nghìn video riêng tư được rao bán
Vào ứng dụng Telegram, chỉ cần tìm kiếm từ khóa “hack cam”, phóng viên dễ dàng tìm thấy hàng chục nhóm chuyên chia sẻ các video clip nhạy cảm được hack từ camera của các gia đình, khách sạn, nhà vệ sinh. Kèm theo đó là tin nhắn thông tin chủ tài khoản quản lý để các thành viên trong nhóm liên hệ nạp tiền đăng ký vào các nhóm ẩn hay còn gọi là “Nhóm VIP”.
Hầu hết các nhóm này đều quảng cáo “thành tích” hack của mình với những lời lẽ cực kỳ gây tò mò như: “Để đáp ứng nhu cầu của anh em, hiện bên mình có nhóm với hơn 400 QR Cam và còn cập nhật thường xuyên với giá cả hợp lý. Phần mềm bên mình quét liên tục từ nam ra bắc, mọi ngóc ngách. Từ nhà vệ sinh, ghế sofa, phòng ngủ, phòng tắm, phòng khách, khách sạn... với những hình ảnh chân thực, đảm bảo không làm khách hàng thất vọng”.
Cùng với bài viết quảng cáo, các nhóm này thường để đường dẫn vào tài khoản liên hệ “mua vé” sở hữu việc xem các clip từ việc hack camera nói trên.
Theo đó, hacker đưa ra 3 gói để khách hàng lựa chọn. Với gói “siêu VIP”, khách hàng sẽ phải bỏ ra 800.000 để được duyệt vào nhóm kín xem trực tiếp từ hàng trăm camera của các phòng ngủ, thay đồ, nhà vệ sinh, spa, massage. Đặc biệt là được cấp tài khoản ID để xem phát trực tiếp từ hàng trăm camera.
Gói thứ 2 có giá 500.000 đồng, theo quảng cáo khách hàng được xem toàn bộ video hack từ camera, cập nhật hàng ngày, hình ảnh chất lượng cao. Gói thấp nhất là gói mini, khách hàng chỉ cần đóng 150.000 đồng để được thêm vào nhóm trải nghiệm với hơn 1.000 video, hình ảnh ngẫu nhiên, chất lượng kém, cắt cúp không hoàn chỉnh.
Nếu chọn gói 2 và 3, khách hàng chỉ cần vào nhóm là xem video, còn nếu vào nhóm siêu VIP sẽ cần tải ứng dụng của một hãng camera nổi tiếng, sau đó quét QR code để xem trực tiếp video từ camera đang ghi hình.
Điều đáng nói, trong các nhóm kín này, các thành viên tỏ ra rất hào hứng và bàn luận sôi nổi với những lời lẽ thô tục về những video mà họ cho là “đáng đồng tiền bát gạo”.
Trong vai một người có nhu cầu “thưởng thức” các video nhạy cảm, phóng viên đã đặt vấn đề với người quản trị của một nhóm hacker. Người này tư vấn rất nhiệt tình các gói để khách hàng chọn lựa. Khi tỏ ra nghi ngờ, liệu bỏ tiền rồi liệu có chắc chắn xem được các video hấp dẫn như lời quảng cáo không thì người này ngay lập tức gửi chào hàng cho phóng viên vài clip để “mục sở thị”. Cùng với đó là lời mời gọi: “Hấp dẫn thế anh còn chần chừ gì nữa”.
Tiếp tục nhắn tin một tài khoản có tên L.T hỏi về giá vào nhóm kín xem video nhạy cảm, phóng viên được giới thiệu các mức: 350 nghìn đồng/3 tháng, 600 nghìn đồng/6 tháng và 800 nghìn đồng được sử dụng vĩnh viễn. Số tiền thanh toán được các đối tượng quy đổi thành thẻ nạp điện thoại hoặc chuyển khoản vào một tài khoản ngân hàng.
Được biết, sau khi chuyển tiền qua 1 tài khoản ngân hàng, khách hàng sẽ được L.T thêm vào 1 nhóm riêng tư có tên “nhóm Vip hack camera”. Các thành viên trong nhóm sẽ được hướng dẫn lưu các mã code trên về máy và tải ứng dụng Hik-Connect để quét các mã code sau đó xem trực tiếp camera được hack từ các gia đình.
Chính vì kiếm tiền dễ dàng nên nhiều hacker đã không từ thủ đoạn nào để hack những đoạn clip riêng tư rao bán cho các khách hàng có tính tò mò.
Lợi dụng lỗ hổng bảo mật để làm việc phi pháp
Ngày 15/9, Cơ quan Cảnh sát điều tra Công an quận Cẩm Lệ đã khởi tố bị can, bắt tạm giam Nguyễn Quốc Việt (sinh năm 1994, trú tại huyện Hải Lăng, tỉnh Quảng Trị) về hành vi “Cưỡng đoạt tài sản”.
Cụ thể, Việt là đối tượng đánh cắp clip cảnh sinh hoạt vợ chồng từ camera trong phòng ngủ của chị L.L.H. rồi tống tiền bị hại. Việt yêu cầu chị H. phải chuyển khoản 130 triệu đồng để xóa clip, nếu không sẽ bán cho bên thứ 3 hoặc đăng lên trang web đồi trụy. Vì lo sợ, chị H. đã chuyển trước cho Việt 10 triệu đồng. Sau khi vụ việc bị phát giác, đã có thêm nhiều bị hại tố cáo Việt chiếm đoạt số tiền trên 800 triệu đồng.
Trước đó, Cơ quan Cảnh sát Điều tra - Công an tỉnh Phú Thọ đã khởi tố vụ án, khởi tố bị can đối với Nguyễn Viết Lợi, sinh năm 1996, thường trú tại khu 8, xã Mỹ Lung, huyện Yên Lập về tội “Xâm nhập trái phép vào mạng máy tính mạng viễn thông phương tiện điện tử của người khác” được quy định tại Khoản 1 Điều 289 Bộ luật Hình sự.
Theo đó, từ khoảng cuối năm 2021, do có hiểu biết về công nghệ thông tin và tìm hiểu trên mạng Internet, Lợi biết đến công cụ phần mềm (tool) được đăng tải miễn phí trên mạng Internet có tên là “Masscan”, công cụ này có chức năng quét các dải IP được công khai trên mạng (dải IP Internet này thuộc các nhà mạng cung cấp dịch vụ Internet tại Việt Nam và nước ngoài). Sau khi quét các dải IP có sẵn, phần mềm “Masscan” sẽ trả kết quả là một tệp dữ liệu Excel có chứa các IP của hệ thống camera giám sát an ninh của các cá nhân, tổ chức tại Việt Nam và quốc tế.
Có được tệp dữ liệu trên, Lợi tiếp tục sử dụng một loại phần mềm được tải miễn phí trên mạng Internet để tiến hành dò tìm tên đăng nhập và mật khẩu của hệ thống camera giám sát an ninh. Sau khi hoàn tất việc quét dữ liệu từ phần mềm, Lợi có các tệp dưới dạng hình ảnh thể hiện góc quan sát của hệ thống camera an ninh của các cá nhân, tổ chức. Từ đó, Lợi chọn lọc các camera có góc quay giám sát tại khu vực riêng tư, nhạy cảm như: Phòng ngủ gia đình, phòng thay đồ của cửa hàng quần áo, khu vực chăm sóc khách hàng của thẩm mỹ viện… để tiến hành đăng nhập bằng phần mềm giám sát trên điện thoại cá nhân.
Sau khi xâm nhập trái phép vào camera an ninh của cá nhân, tổ chức, Lợi tiến hành sao lưu, lấy cắp dữ liệu ghi hình từ camera. Để thu lợi bất chính, Lợi lập các nhóm trò chuyện trên Telegram và đăng tải hình ảnh chứa góc quay camera, mã QR Code, tên đăng nhập và mật khẩu của camera giám sát. Khi các thành viên muốn vào nhóm Telegram để xem sẽ phải nộp cho Lợi tiền phí từ 500 nghìn đồng đến 1 triệu đồng. Đối với hình ảnh thu thập được từ camera giám sát thể hiện hình ảnh nhạy cảm, Lợi yêu cầu người tham gia chuyển phí cho Lợi là 500 nghìn đồng/3 tháng.
Cụ thể, Lợi đã sử dụng máy tính, điện thoại cá nhân để xâm nhập trái phép vào hệ thống camera an ninh tại một cơ sở thẩm mỹ viện, lấy cắp dữ liệu từ camera an ninh.
Tiếp theo, Lợi xâm nhập trái phép vào hệ thống camera an ninh tại cơ sở kinh doanh quần áo thuộc địa bàn quận Đống Đa, Hà Nội. Sau đó, đối tượng lấy cắp dữ liệu từ camera an ninh, chụp ảnh góc quay và đăng tải hình ảnh lên nhóm Telegram rao bán.
Sau này khi bị bắt, tại Cơ quan Cảnh sát điều tra, Lợi khai tổng số tiền thu được từ hoạt động bán thông tin, hình ảnh là trên 100 triệu đồng; số tiền này đã sử dụng hết cho việc tiêu xài cá nhân.
Theo cảnh báo của cơ quan chức năng, đây là phương thức tấn công từ xa của các đối tượng tội phạm mạng, chúng khai thác các lỗ hổng bảo mật của camera chiếm quyền quản trị và khai thác dữ liệu trái phép, kiếm tiền trên sự riêng tư của người khác. Đã có rất nhiều nạn nhân bị lấy cắp hình ảnh nhạy cảm vì camera không được bảo mật kỹ càng. Thậm chí, nhiều người bị xâm nhập camera nhưng hoàn toàn không biết cho đến khi video bị phát tán thì mới “tá hỏa”.
Thiết bị được coi là “cánh tay đắc lực” trong việc giám sát có thể có tác dụng ngược lại nếu người dân chủ quan và thiếu các hành động bảo mật đối với camera an ninh của mình. Do đó việc trang bị những kiến thức bảo mật để bảo vệ chính bản thân mình.
Ngoài ra, khi lắp đặt camera an ninh, mọi người hãy tìm hiểu và lựa chọn các công ty lắp đặt camera uy tín, dịch vụ tốt và chuyên nghiệp như có trụ sở công ty, mã số thuế, quy trình công khai minh bạch; nên ưu tiên lựa chọn camera chính hãng, có nguồn gốc xuất xứ của các thương hiệu sản xuất uy tín. Lưu ý, không nên lắp camera quan sát ở các khu vực nhạy cảm, riêng tư…
Trao đổi về vấn đề trên, ông Ngô Minh Hiếu, chuyên gia về an ninh mạng của Trung tâm Giám sát an toàn Không gian mạng quốc gia - thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết: “Camera gia đình tiềm ẩn rất nhiều rủi ro về an ninh bảo mật quyền riêng tư cá nhân. Nếu người dùng không biết cách chọn lựa sản phẩm có tính bảo mật tốt và quản trị vận hành đúng phương pháp thì nguy cơ bị hack bất cứ lúc nào.
Ngoài ra, có nhiều ứng dụng, công cụ miễn phí để hack camera. Hacker có thể dùng các ứng dụng này để khai thác các lỗ hổng bảo mật của camera đã có trước đó để chiếm quyền quản trị và khai thác dữ liệu trái phép. Hoặc hacker có thể thay đổi mật khẩu camera do mật khẩu được cài đặt ở mức độ quá đơn giản. Đó là lý do nhiều gia đình bị hack các clip nhạy cảm.
Theo khoản 30 điều 1 Nghị định 14/2022/NĐ-CP, hành vi rao bán dữ liệu camera bị phạt tiền 40-60 triệu đồng và áp dụng biện pháp khắc phục là buộc hủy bỏ các thông tin trái phép. Người rao bán dữ liệu camera còn có thể phải chịu trách nhiệm hình sự về Tội xâm nhập trái phép vào mạng máy tính, viễn thông hoặc phương tiện điện tử của người khác, theo điều 289 Bộ Luật hình sự; khung hình phạt từ phạt tiền 50-300 triệu đồng hoặc phạt tù 1-12 năm.