Đường dây xâm nhập mạng, chiếm đoạt thông tin lớn nhất được khám phá như thế nào?

Trong vụ án này, các bị can đều là những đối tượng trẻ tuổi, am hiểu về công nghệ thông tin… Bằng việc thiết kế phần mềm độc hại có tính năng thực hiện sao chép thông tin, xâm nhập trái phép vào phương tiện điện tử của nhiều cá nhân, các đối tượng đã lấy cắp dữ liệu, thu lời bất chính 14 tỷ đồng. Từ vụ án, cảnh báo về tình trạng lộ, lọt dữ liệu cá nhân.

Các bị can gồm Nguyễn Văn Anh (SN 1994, phường Nhân Chính, quận Thanh Xuân); Nguyễn Đức Hiếu (SN 1996, ở phường Trung Hòa, quận Cầu Giấy), nhân viên Công ty Cổ phần chứng khoán kỹ thương; Nguyễn Văn Tiệp (SN 1993, ở xã Tân Triều); Nguyễn Minh Quang (SN 2001, ở xã Thanh Liệt, huyện Thanh Trì); Lê Văn Hoàng Sơn (SN 2000, ở phường Trúc Bạch, quận Ba Đình); Đặng Việt Hoàng (SN 2002), Lưu Văn Quang (SN 1998, cùng ở đường Xuân Đỉnh, quận Bắc Từ Liêm); Chu Minh Thành (SN 1991); Nguyễn Đình Quân (SN 2001); Chu Văn Lộc (SN 1997, ở phường Yên Hoà, quận Cầu Giấy, TP Hà Nội); Đỗ Khắc Tiến (SN 1996, ở phường Vĩnh Phước, TP Nha Trang, tỉnh Khánh Hòa); Lã Minh Tuấn (SN 1996, ở huyện Tân Yên, tỉnh Bắc Giang) và Lê Nguyễn Hải Nam (SN 1996, ở quận Ngũ Hành Sơn, TP Đà Nẵng) cùng về tội “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác”.

Kể lại quá trình đấu tranh, triệt phá đường dây “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác”, các điều tra viên và cán bộ điều tra, Phòng điều tra các loại án khác (Phòng 4), Cục ANĐT, Bộ Công an nhớ lại: Cuối năm 2023, theo sự phân công của lãnh đạo Bộ Công an, lãnh đạo Cục ANĐT, cán bộ Phòng 4 tiếp nhận nguồn tin do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chuyển đến.

Với một lượng thông tin lớn, các sự kiện chủ yếu diễn ra trên không gian mạng, đối tượng liên lạc với nhau bằng các nhóm kín; dữ liệu thu được chủ yếu là chứng cứ điện tử, ban đầu các điều tra viên và cán bộ Phòng 4 gặp rất nhiều khó khăn trong việc củng cố tài liệu, làm rõ hành vi của các đối tượng có liên quan.

Để làm rõ hành vi phạm tội của đối tượng, lãnh đạo và cán bộ Phòng 4 đã có nhiều đêm trắng, tỉ mỉ nghiên cứu các tài liệu. Một cán bộ thụ lý vụ án cho biết: Muốn chứng minh được hành vi phạm tội, cán bộ Phòng 4 phải xác định được quy trình thực hiện xâm nhập vào thiết bị điện tử và cách thức thu lợi bất chính. Trong khi đó, các đối tượng bị bắt giữ đều am hiểu về công nghệ thông tin, có nhiều phương thức và thủ đoạn tinh vi đối phó với sự phát hiện của cơ quan điều tra.

Đi sâu nghiên cứu, các điều tra viên Phòng 4 xác định đây là thủ đoạn tội phạm mới của tội phạm công nghệ cao. Không giống với một số vụ án khác, trong trường hợp này, các đối tượng đã tự xây dựng một mã độc, xâm nhập vào điện thoại hoặc máy tính có kết nối Internet. Khi người dùng mở các đường link thì mã độc sẽ xâm nhập vào máy. Ngay lúc này, các đối tượng có thể xâm nhập vào các Facebook, viber, zalo… thu thập một phần thông tin cá nhân. Từ việc nghiên cứu, phân tích các tài liệu thu thập được, cán bộ Phòng 4, Cục ANĐT đã bước đầu dựng được vai trò của các đối tượng trong đường dây cũng như phương thức và thủ đoạn tinh vi của đối tượng.

Qua các mối quan hệ xã hội, khoảng năm 2019, Văn Anh quen Tiến. Tháng 2/2023, Tiến trao đổi, bàn bạc với Văn Anh về cách thức sử dụng “mã độc” có tính năng xâm nhập trái phép vào phương tiện điện tử của người khác để lấy cắp thông tin tài khoản Facebook nhằm quảng cáo bán hàng thu lợi bất chính.

Theo đề nghị của Văn Anh, Tiến đã gửi 1 file chứa “mã độc” cho Văn Anh. Do có quan hệ từ trước và biết Hiếu có kiến thức, trình độ về công nghệ thông tin, Văn Anh đã gửi cho Hiếu file chứa “mã độc” đề nghị phân tích, phát triển thành “mã độc” tương tự và tạo ra các file gắn “mã độc” (file “.exe” nhưng ẩn dưới dạng file văn bản như word, excel, pdf…) đưa lên trang mạng dịch vụ trên không gian mạng để khi người dùng kích vào thì sẽ xâm nhập trái phép vào phương tiện điện tử của người khác, lấy cắp thông tin tài khoản Facebook nhằm quảng cáo trên Facebook đó bán hàng thu lợi bất chính. Qua trao đổi, Văn Anh thoả thuận sẽ trả cho Hiếu 30% số tiền thu lợi từ quảng cáo, bán hàng thu được, Hiếu đồng ý.

Đầu tháng 4/2023, Hiếu đã xây dựng, phát triển, hoàn thiện chương trình “mã độc” có các chức năng: Tự động xâm nhập vào máy tính người khác; tự động thu thập thông tin máy tính, thông tin tài khoản lưu trên trình duyệt máy tính, thông tin Cookies (phiên của trình duyệt), thông tin tài khoản Facebook…; tự động mã hóa, giải mã và gửi những thông tin thu thập được về các BOT Telegram được chỉ định.

“Mã độc thường sử dụng được trong khoảng một tháng. Do hệ điều hành Windows thường xuyên thay đổi, cải tiến hệ thống bảo mật và các phần mềm diệt virus nên “mã độc” sẽ giảm tác dụng hoặc bị vô hiệu hóa. Lúc này, các đối tượng sẽ thông báo với bị can Văn Anh để trao đổi với bị can Đức Hiếu nâng cấp “mã độc” thường xuyên cải tiến “mã độc” hoạt động hiệu quả nhất không bị hệ thống bảo mật của hệ điều hành Windows và các phần mềm diệt virus vô hiệu hoá”- một cán bộ điều tra cho biết. Các đối tượng tạo đường link chứa file gắn “mã độc”, Văn Anh chuyển file kịch bản gắn “mã độc” lên nhóm chat Telegram “Về ăn cơm” để các đối tượng có nhiệm vụ tạo Link chứa file gắn “mã độc” nhận, kiểm tra file có gắn “mã độc” có hoạt động không.

Trường hợp file gắn “mã độc” hoạt động bình thường, các đối tượng đăng nhập vào các trang web lưu trữ trên Internet lưu trữ dữ liệu hỗ trợ người dùng sao lưu và lưu trữ tài liệu. Khi muốn đọc tài liệu, người dùng chỉ cần kích vào đường link là được dẫn thẳng đến tài liệu cần đọc và tải file kịch bản tuyển dụng đã gắn “mã độc” lên các trang web trên để các trang web này tự động tạo đường link tải file gắn “mã độc” trực tuyến. Sau khi tạo đường link tải qua tin nhắn đường link tải file tuyển dụng gắn “mã độc” lên.

 Tiếp đó, các đối tượng phát tán đường link tải file tuyển dụng gắn “mã độc” lên mạng xã hội để đăng bài viết giả danh các nhà tuyển dụng cần tìm việc làm thu hút sự quan tâm, chú ý của người dùng mạng xã hội. Khi có người quan tâm, nhấn xem các bài đăng tuyển dụng việc làm, khi ứng viên đã thực sự quan tâm đến công việc, các đối tượng gửi cho họ đường link tải file kịch bản tuyển dụng việc làm gắn “mã độc”, đề nghị họ nhấn vào để xem nội dung công việc bên trong đường link đó. Nếu nạn nhân đã tải file về, mở và đọc file thì máy tính cá nhân của họ sẽ bị nhiễm “mã độc”.

Mã độc này sẽ tự động lấy cắp thông tin Cookies (phiên đăng nhập của trình duyệt web), tự động gửi về BOT Telegram (do Nguyễn Đức Hiếu lập, Nguyễn Văn Anh giữ quyền quản trị). Đối tượng sử dụng “Cookies” lấy cắp đăng nhập, quản trị trái phép và sử dụng Facebook của các nạn nhân để chạy quảng cáo, bán hàng trên các sàn thương mại điện tử (TMĐT) như: AliExpress, Dropify, Onepags; các trang web bán hàng trực tuyến; các trang bán hàng livestream (Page livestream) để thu lợi. Các đối tượng vào BOT Telegram, sử dụng dữ liệu “Cookies” của từng tài khoản Facebook bị “mã độc” đánh cắp để đăng nhập, kiểm tra, tìm kiếm tài khoản Facebook có chứa tài khoản quảng cáo…

Trao đổi với chúng tôi, lãnh đạo Phòng 4, Cục ANĐT cho biết, do các tài khoản Facebook mà các đối tượng chiếm đoạt chủ yếu ở nước ngoài, không hoạt động tại Việt Nam, nếu giữ nguyên địa chỉ IP máy tính tại Việt Nam dễ gây nghi ngờ nên các đối tượng đã phải làm thêm công đoạn thay đổi, làm giả địa chỉ IP (fake IP)…

Tại mục quảng cáo trên tài khoản Facebook của nạn nhân, trong phần chiến dịch quảng cáo, các bị can chọn “pixel” (định hướng sở thích mua sắm cá nhân) đúng ngành hàng cần bán như: đồ gia dụng, thời trang,… sau đó, tạo chiến dịch chuyển đổi lượt mua hàng với “target” (nhắm mục tiêu) như: chọn ngành hàng cần bán, độ tuổi từ 25-55 tuổi, quốc gia Hoa Kỳ, tải video và hình ảnh sản phẩm, tải ảnh giới thiệu sản phẩm, thêm “content” (nội dung giới thiệu sản phẩm), thêm “link” bán hàng (đường dẫn đến mua hàng tại Page livestream, trang web bán hàng, sàn thương mại điện tử (TMĐT), đăng bài quảng cáo.

 Khi thực hiện xong các bước trên, các đối tượng kiểm tra tài khoản quảng cáo có hoạt động không; theo dõi tài khoản này cho đến khi chủ tài khoản Facebook này phát hiện, đổi mật khẩu hoặc phiên đăng nhập hết hạn (tài khoản Facebook tự động thoát ra). Khi người mua nhấn vào link bán hàng gắn trên tài khoản Facebook của nạn nhân, người mua sẽ thông qua Cổng thanh toán trực tuyến để thanh toán tiền mua hàng cho sàn TMĐT, Page livestream, trang web bán hàng đó.

Các mặt hàng do người bán trên sàn TMĐT được các sàn TMĐT nhập về, đóng gói và gửi đến người mua; người mua hàng thanh toán tiền hàng cho các sàn TMĐT (người bán không phải là chủ hàng, chỉ là trung gian cho các sàn TMĐT để nhận số tiền chênh lệch). Giá của từng sản phẩm được các sàn TMĐT định sẵn. Trong giá của từng sản phẩm đã bao gồm chi phí nhập gốc của sản phẩm, chi phí đóng gói sản phẩm, chi phí vận chuyển và lợi nhuận của người bán.

Khi có người mua thanh toán cho các cổng thanh toán, các đối tượng sẽ được một phần lợi nhuận do đã quảng cáo và bán được sản phẩm đó. Các sàn TMĐT cộng dồn lợi nhuận có từ tất cả các sản phẩm do các đối tượng đã quảng cáo, bán được trong tháng và chuyển số tiền đó qua các cổng thanh toán của các sàn TMĐT vào các tài khoản do các đối tượng đã đăng ký trước. Sau đó, các đối tượng rút tiền về thẻ ngân hàng cá nhân để tổng hợp thu, chi, chia tiền hưởng lợi cho các thành viên trong nhóm.

Ngoài ra, với cách thức quảng cáo như trên, các đối tượng còn chạy quảng cáo thuê cho các trang web bán hàng trực tuyến, Page livestream để thu lợi. Khi quảng cáo thuê cho trang web bán hàng trực tuyến, Page livestream theo các “chiến dịch” quảng cáo, các bị can được các trang web bán hàng trả tiền công (bằng tiền mặt hoặc chuyển khoản ngân hàng) sau đó chuyển lại cho thành viên thực hiện việc tổng hợp thu, chi, chia hưởng số tiền thu lợi bất chính cho các thành viên trong nhóm.

Cuối cùng là việc thu, chi, chia hưởng số tiền thu lợi bất chính cho các thành viên trong nhóm. Theo đó, số tiền thu lợi bất chính được các đối tượng nhận về từ các nguồn quảng cáo, bán hàng được chia hưởng cá nhân như sau: Các bị can chuyển 30% cho Hiếu (người viết mã độc) qua Văn Anh. Số tiền còn lại sau khi trừ các chi phí bắt buộc như điện, nước sinh hoạt, ăn, thuê nhà, Internet… Từ khi nhóm bị can trên do Vân Anh cầm đầu xâm nhập trái phép để lấy cắp tài khoản Facebook đến khi bị phát hiện trong vòng 3 tháng, các đối tượng đã thu lợi bất chính số tiền 14 tỷ đồng.