Ở đỉnh cao "sự nghiệp" tội phạm mạng, hacker có biệt danh Hieupc kiếm được 125.000 USD mỗi tháng nhờ cung cấp dịch vụ đánh cắp danh tính người dùng.
Ngô Minh Hiếu, sinh năm 1989 ở Gia Lai và có biệt danh Hieupc, vừa ra tù tại Mỹ sau hơn 7 năm bị bắt giam. Cậu kể lại con đường sa lầy trong thế giới ngầm của ḿnh cho nhà báo chuyên viết về tội phạm mạng Brian Krebs, chủ trang KrebsOnSecurity, với mong muốn cảnh báo những người khác đừng đi theo vết xe đổ của ḿnh.
Trong vài năm, bắt đầu từ 2010, Hiếu điều hành một trong những dịch vụ mang lại lợi nhuận cao nhất trên Internet liên quan đến việc bán "fullz" - hồ sơ chứa hàng trăm ngh́n danh tính bị đánh cắp, như tên người dùng, ngày sinh, số an sinh xă hội, email và địa chỉ nhà riêng. Những thông tin này được tội phạm mạng mua lại để lừa đảo, làm giả thẻ ngân hàng của nạn nhân...
Khi Cơ quan Mật vụ Mỹ bắt giữ Hiếu vào năm 2013, hacker trẻ tuổi này đă kiếm được hơn 3 triệu USD nhờ bán dữ liệu cho nhiều đường dây tội phạm có tổ chức ở Mỹ.
Tháng 2/2013, đặc vụ Matt O’Neill đă lên kế hoạch dụ Hiếu ra khỏi Việt Nam và bay đến Guam, nơi cậu bị bắt và đưa về Mỹ. O’Neill cho biết ông mở cuộc điều tra sau khi đọc bài viết "Danh tính của bạn đáng giá bao nhiêu?" đăng năm 2011 trên trang KrebsOnSecurity, trong đó có nhắc đến website của Hiếu. Hieupc không nổi tiếng, nhưng thông tin mà cậu bán ra đă tiếp tay cho hàng loạt tội phạm mạng khác thực hiện các vụ gian lận tín dụng, đánh cắp tài khoản với giá trị ước tính khoảng một tỷ USD.
"Tôi không rơ có tên tội phạm mạng nào gây ra thiệt hại về tài chính với người Mỹ nhiều hơn Ngô", O’Neill nói. "Cậu ta bán thông tin cá nhân của hơn 200 triệu người Mỹ và cho phép bất cứ ai cũng có thể mua với vài đồng bạc".
Sự khởi đầu
Gia đ́nh Hiếu có một cửa hàng thiết bị điện tử. Năm 12 tuổi, cậu được bố mẹ mua cho một chiếc máy tính. Khi 19 tuổi, cậu theo học tại New Zealand và lúc này đă là admin của một số diễn đàn hacker trên dark web.
Trong quá tŕnh học, Hiếu phát hiện một lỗ hổng trong mạng máy tính của trường, làm lộ thông tin thẻ thanh toán. "Tôi liên hệ với kỹ thuật viên của trường để khắc phục lỗi, nhưng không ai quan tâm, nên tôi hack luôn cả hệ thống. Sau đó, tôi sử dụng lỗ hổng này để hack tiếp những website khác và lấy cắp được rất nhiều thông tin thẻ tín dụng", Hiếu kể.
Cậu quyết định sử dụng dữ liệu có được để mua vé ḥa nhạc, vé dự sự kiện... rồi sau đó bán lại trên trang đấu giá TradeMe ở New Zealand. Trường cuối cùng cũng phát hiện hành vi của Hiếu và báo cảnh sát. Visa của cậu không được gia hạn khi học kỳ đầu tiên kết thúc.
Hiếu trở lại học ở Việt Nam, nhưng phần lớn thời gian vẫn lang thang trên các diễn đàn tội phạm.
"Từ việc coi hack là tṛ vui, tôi chuyển sang hack v́ lợi nhuận khi thấy ḿnh có thể dễ dàng kiếm tiền từ việc đánh cắp dữ liệu khách hàng ra sao. Tôi kết giao với một vài người bạn trong các diễn đàn của thế giới ngầm và lên kế hoạch về một chiến dịch tội phạm mới", Hiếu chia sẻ. "Các bạn tôi nói việc làm thẻ tín dụng và thông tin tài khoản ngân hàng rất nguy hiểm, nên tôi bắt đầu nghĩ về việc bán dữ liệu danh tính. Ban đầu tôi nghĩ, đó chỉ là thông tin thôi mà, có thể nó chẳng xấu v́ không liên quan trực tiếp tới tài khoản ngân hàng. Nhưng tôi đă nhầm và số tiền tôi kiếm được quá nhanh khiến tôi mờ mắt".
MicroBilt
Mục tiêu lớn đầu tiên của Hiếu là công ty báo cáo tín dụng MicroBilt ở New Jersey (Mỹ). "Tôi thâm nhập vào nền tảng của họ, đánh cắp cơ sở dữ liệu người dùng. Tôi hoạt động trong hệ thống đó suốt gần một năm mà không ai biết", Hiếu kể.
Sau khi giành quyền truy cập MicroBilt, cậu lập website Superget, chuyên bán hồ sơ người dùng cá nhân. Khi khách hàng yêu cầu cần thông tin về một bang hay một nhóm người dùng cụ thể, cậu sẽ t́m kiếm dữ liệu một cách thủ công.
"Tôi cố thu thập nhiều hồ sơ một lúc, nhưng tốc độ Internet tại Việt Nam khi đó rất chậm, không thể tải xuống toàn bộ v́ cơ sở dữ liệu quá lớn, nên ai cần ǵ th́ thôi t́m thông tin đó trên hệ thống", Hiếu cho biết.
Sau đó, cậu t́m ra cách sử dụng những máy chủ mạnh hơn ngay tại Mỹ để tự động thu thập lượng dữ liệu lớn từ hệ thống của MicroBilt và những hăng dữ liệu khác.
"Cơ sở dữ liệu của chúng tôi được cập nhật hàng ngày với thông tin về 99% người Mỹ, nhiều hơn bất cứ site nào khác trên Internet", trang web của Hiếu quảng cáo. Mỗi thông tin, như số an sinh xă hội hay ngày sinh, được bán giá 3 USD.
Việc xâm nhập vào MicroBilt cuối cùng cũng bị phát hiện và công ty này đẩy Hiếu ra khỏi hệ thống. Tuy nhiên, cậu sớm quay trở lại nhờ một lỗ hổng khác.
Một trong những website của Hiếu, chuyên cung cấp dịch vụ đánh cắp danh tính. Ảnh:KrebsOnSecu rity.
Court Ventures và Experian
Tṛ chơi mèo vờn chuột với MicroBilt tiếp tục cho đến khi Hiếu t́m thấy nguồn dữ liệu người dùng hấp dẫn hơn: một công ty Mỹ có tên Court Ventures, chuyên lập hồ sơ công cộng từ tài liệu ṭa án. Hiếu không quan tâm đến dữ liệu do Court Ventures thu thập, mà là thỏa thuận chia sẻ dữ liệu của nó với công ty môi giới dữ liệu là US Info Search - bên có khả năng tiếp cận nhiều hồ sơ người dùng nhạy cảm hơn.
Sử dụng tài liệu giả và một vài mánh khóe, Hiếu thuyết phục được Court Ventures tin rằng cậu là một nhà điều tra tư nhân ở Mỹ. "Ban đầu khi tôi đăng kư, họ yêu cầu một số tài liệu để xác thực, nên tôi sử dụng một vài kỹ năng để vượt qua ṿng kiểm tra an ninh", Hiếu cho hay.
Tháng 3/2012, Court Ventures được Experian - một trong những tổ chức tín dụng khách hàng lớn của Mỹ - mua lại. "Cơ sở dữ liệu được Experian kiểm soát và tôi trả cho Experian hàng ngh́n USD mỗi tháng", Hiếu kể.
O’Neill cho biết ông không rơ Experian có xem xét các tài khoản sáp nhập từ Court Ventures không, nhưng không khó nh́n ra điều bất thường ở tài khoản của Hiếu. Cậu ta thường trả tiền cho các yêu cầu dữ liệu khách hàng bằng h́nh thức chuyển khoản từ nhiều tài khoản ngân hàng khác nhau. Tuy nhiên, chúng đều là tài khoản mới lập và đa số ở Trung Quốc, Malaysia và Singapore.
Theo O’Neill, website của Hiếu thực hiện hàng chục ngh́n lệnh truy vấn mỗi tháng. Ví dụ, hóa đơn đầu tiên mà Court Ventures gửi tới Hiếu vào tháng 12/2010 là cho 60.000 lượt truy vấn. Khi Experian mua lại công ty hai năm sau đó, dịch vụ của Hiếu đă thu hút hơn 1.400 khách hàng thường xuyên với 160.000 lệnh truy vấn hàng tháng.
Quan trọng hơn, Hiếu kiếm bộn tiền bởi mỗi lệnh truy vấn, Court Ventures thu của cậu 0,14 USD, nhưng cậu lại thu của khách hàng với giá 1 USD.
O’Neill và Mật vụ Mỹ cũng bắt đầu chú ư tới hoạt động của Hiếu và phát hiện một số email Hiếu gửi cho đồng phạm, hướng dẫn cách thanh toán tiền cho Experian bằng cách chuyển khoản từ các ngân hàng châu Á.
TLO
Làm việc với Cơ quan Mật vụ, Experian nhanh chóng xóa thông tin và đóng các tài khoản của Hiếu. Chớp cơ hội, Mật vụ Mỹ t́m cách liên lạc với Hiếu qua một trung gian ở Anh - một tên tội phạm mạng có tiếng, đă bị kết án và đồng ư hợp tác với cơ quan điều tra. Người này nói với Hiếu rằng chính anh ta đă chặn các tài khoản của Hiếu ở Experian v́ bị cậu cản trở hoạt động kinh doanh dữ liệu của anh ta.
"Cậu đang giẫm chân lên cỏ của tôi nên tôi phải khóa cậu lại. Nhưng nếu chịu trả phần trăm cho tôi, cậu sẽ vẫn c̣n quyền truy cập", người này nói. Dưới sự chỉ đạo của Mật vụ Mỹ và các nhà chức trách ở Anh, tên tội phạm yêu cầu gặp mặt để thỏa thuận trực tiếp. Nhưng Hiếu không cắn câu.
Thay vào đó, cậu chuyển hướng sang một kho dữ liệu khác. Tương tự cách tiếp cận Court Ventures, Hiếu thiết lập được tài khoản ở TLO, công ty môi giới chuyên bán quyền truy cập vào các thông tin nhạy cảm của hầu hết người Mỹ cho các cơ quan thực thi về luật tại Mỹ và một số ít chuyên gia - những người có thể chứng minh họ có lư do hợp pháp để tiếp cận dữ liệu như thế. Chỉ trong thời gian ngắn, Hiếu dùng dữ liệu của TLO để khôi phục lại dịch vụ bán danh tính.
Mờ mắt v́ tiền
Năm 2012, Hiếu kiếm được hơn 3 triệu USD nhờ kinh doanh dữ liệu cũng như thoả thuận với ba cửa hàng tiếng Nga của tội phạm mạng. Cậu nói với cha mẹ rằng cậu kiếm tiền nhờ phát triển website cho các công ty, thậm chí sử dụng một phần tiền để trả nợ cho gia đ́nh. Tuy nhiên, phần lớn được chi cho những chuyến du lịch, mua xe và nhiều thứ phù phiếm khác.
Khi TLO khóa tài khoản của Hiếu, Mật vụ Mỹ lại khai thác cơ hội cũ. Tên tội phạm ở Anh tiếp tục nói với Hiếu rằng anh ta đă đẩy cậu ra khỏi hệ thống của TLO và sẽ làm vậy cho tới khi cậu chịu gặp để thiết lập mối quan hệ hợp tác. Sau vài tháng trao đổi, cuối cùng Hiếu đồng ư hẹn người này ở Guam v́ không nghĩ đây là cái bẫy mà các nhà điều tra Mỹ giăng ra.
"Tôi quá tuyệt vọng, muốn có một cơ sở dữ liệu ổn định, nên bị ḷng tham che mờ mắt và hành động thiếu suy nghĩ. Nhiều người khuyên tôi đừng đi nhưng tôi nói với họ rằng tôi phải thử xem chuyện ǵ đang xảy ra", Hiếu kể.
Ngay khi vừa bước chân ra khỏi máy bay ở Guam, Hiếu bị các đặc vụ Mỹ tiếp cận và bắt giữ. Một tháng sau, cậu mới được phép gọi điện về cho gia đ́nh để giải thích về hoàn cảnh của ḿnh. Cậu bị giam hai tháng ở Guam, sau đó bị đưa về New Jersey, nơi cậu thừa nhận đă thâm nhập vào hệ thống của MicroBilt và các hệ thống khác.
Mật vụ Mỹ gặp khó khăn trong việc xác định chính xác mức độ thiệt hại tài chính, nhưng ước tính dịch vụ của Hiếu giúp tội phạm mạng khai thác danh tính của người Mỹ để lừa đảo được số tiền khoảng 1,1 tỷ USD tại các ngân hàng và chuỗi cửa hàng bán lẻ ở Mỹ.
O’Neill cho biết, ông đă trao đổi với một số khách hàng của Hiếu. Những người này thừa nhận mua dữ liệu danh tính hiệu quả hơn nhiều so với mua thông tin thẻ thanh toán bị đánh cắp. Dữ liệu thẻ chỉ có thể dùng 1-2 lần trước khi bị vô hiệu hóa, trong khi dữ liệu danh tính có thể dùng đi dùng lại nhiều năm.
"Khi tôi điều hành dịch vụ, tôi không thực sự quan tâm đến hậu quả v́ không biết khách hàng của ḿnh là ai, cũng như không biết họ làm ǵ với những dữ liệu đó", Hiếu nói. "Nhưng trong quá tŕnh xét xử, toà án liên bang đă nhận khoảng 13.000 thư khiếu nại từ các nạn nhân, kể họ mất nhà, mất việc và không c̣n khả năng mua nhà hay duy tŕ nguồn tài chính chỉ v́ tôi. Điều đó khiến thôi nhận ra ḿnh là kẻ tồi tệ".
Khi Hiếu ngồi tù ở Texas, một nhân viên ở đây đă kể cho cậu nghe chuyện về một người bạn của bà ấy. Người đó bị đánh cắp danh tính và sau đó mất mọi thứ. "Tôi không rơ người đó có phải một trong những nạn nhân của tôi hay không, nhưng câu chuyện khiến tôi thấy ân hận", Hiếu thừa nhận.
Hieupc hy vọng một ngày nào đó có thể làm việc liên quan tới an ninh mạng, nhưng hiện chưa sẵn sàng và muốn dành thời gian cho gia đ́nh. Về lâu dài, cậu mong có thể giúp những người trẻ tránh xa con đường tội phạm mạng.