Lời tự thú của hacker Việt sau 7 năm ngồi tù ở Mỹ
Ở đỉnh cao “sự nghiệp” tội phạm mạng, hacker có biệt danh Hieupc kiếm được 125.000 USD mỗi tháng nhờ cung cấp dịch vụ đánh cắp danh tính người dùng.
Ngô Minh Hiếu, sinh năm 1989 ở Gia Lai và có biệt danh Hieupc, vừa ra tù tại Mỹ sau hơn 7 năm bị bắt giam. Cậu kể lại con đường sa lầy trong thế giới ngầm của mình cho nhà báo chuyên viết về tội phạm mạng Brian Krebs, chủ trang KrebsOnSecurity, với mong muốn cảnh báo những người khác đừng đi theo vết xe đổ của mình.
Trong vài năm, bắt đầu từ 2010, Hiếu điều hành một trong những dịch vụ mang lại lợi nhuận cao nhất trên Internet liên quan đến việc bán “fullz” – hồ sơ chứa hàng trăm nghìn danh tính bị đánh cắp, như tên người dùng, ngày sinh, số an sinh xã hội, email và địa chỉ nhà riêng. Những thông tin này được tội phạm mạng mua lại để lừa đảo, làm giả thẻ ngân hàng của nạn nhân…
Tháng 2/2013, đặc vụ Matt O’Neill đã lên kế hoạch dụ Hiếu ra khỏi Việt Nam và bay đến Guam, nơi cậu bị bắt và đưa về Mỹ. O’Neill cho biết ông mở cuộc điều tra sau khi đọc bài viết “Danh tính của bạn đáng giá bao nhiêu?” đăng năm 2011 trên trang KrebsOnSecurity, trong đó có nhắc đến website của Hiếu. Hieupc không nổi tiếng, nhưng thông tin mà cậu bán ra đã tiếp tay cho hàng loạt tội phạm mạng khác thực hiện các vụ gian lận tín dụng, đánh cắp tài khoản với giá trị ước tính khoảng một tỷ USD.
“Tôi không rõ có tên tội phạm mạng nào gây ra thiệt hại về tài chính với người Mỹ nhiều hơn Ngô”, O’Neill nói. “Cậu ta bán thông tin cá nhân của hơn 200 triệu người Mỹ và cho phép bất cứ ai cũng có thể mua với vài đồng bạc”.
Sự khởi đầu
Gia đình Hiếu có một cửa hàng thiết bị điện tử. Năm 12 tuổi, cậu được bố mẹ mua cho một chiếc máy tính. Khi 19 tuổi, cậu theo học tại New Zealand và lúc này đã là admin của một số diễn đàn hacker trên dark web.
Trong quá trình học, Hiếu phát hiện một lỗ hổng trong mạng máy tính của trường, làm lộ thông tin thẻ thanh toán. “Tôi liên hệ với kỹ thuật viên của trường để khắc phục lỗi, nhưng không ai quan tâm, nên tôi hack luôn cả hệ thống. Sau đó, tôi sử dụng lỗ hổng này để hack tiếp những website khác và lấy cắp được rất nhiều thông tin thẻ tín dụng”, Hiếu kể.
Cậu quyết định sử dụng dữ liệu có được để mua vé hòa nhạc, vé dự sự kiện… rồi sau đó bán lại trên trang đấu giá TradeMe ở New Zealand. Trường cuối cùng cũng phát hiện hành vi của Hiếu và báo cảnh sát. Visa của cậu không được gia hạn khi học kỳ đầu tiên kết thúc.
Hiếu trở lại học ở Việt Nam, nhưng phần lớn thời gian vẫn lang thang trên các diễn đàn tội phạm.
“Từ việc coi hack là trò vui, tôi chuyển sang hack vì lợi nhuận khi thấy mình có thể dễ dàng kiếm tiền từ việc đánh cắp dữ liệu khách hàng ra sao. Tôi kết giao với một vài người bạn trong các diễn đàn của thế giới ngầm và lên kế hoạch về một chiến dịch tội phạm mới”, Hiếu chia sẻ. “Các bạn tôi nói việc làm thẻ tín dụng và thông tin tài khoản ngân hàng rất nguy hiểm, nên tôi bắt đầu nghĩ về việc bán dữ liệu danh tính. Ban đầu tôi nghĩ, đó chỉ là thông tin thôi mà, có thể nó chẳng xấu vì không liên quan trực tiếp tới tài khoản ngân hàng. Nhưng tôi đã nhầm và số tiền tôi kiếm được quá nhanh khiến tôi mờ mắt”.
MicroBilt
Mục tiêu lớn đầu tiên của Hiếu là công ty báo cáo tín dụng MicroBilt ở New Jersey (Mỹ). “Tôi thâm nhập vào nền tảng của họ, đánh cắp cơ sở dữ liệu người dùng. Tôi hoạt động trong hệ thống đó suốt gần một năm mà không ai biết”, Hiếu kể.
Sau khi giành quyền truy cập MicroBilt, cậu lập website Superget, chuyên bán hồ sơ người dùng cá nhân. Khi khách hàng yêu cầu cần thông tin về một bang hay một nhóm người dùng cụ thể, cậu sẽ tìm kiếm dữ liệu một cách thủ công.
“Tôi cố thu thập nhiều hồ sơ một lúc, nhưng tốc độ Internet tại Việt Nam khi đó rất chậm, không thể tải xuống toàn bộ vì cơ sở dữ liệu quá lớn, nên ai cần gì thì tôi tìm thông tin đó trên hệ thống”, Hiếu cho biết.
Sau đó, cậu tìm ra cách sử dụng những máy chủ mạnh hơn ngay tại Mỹ để tự động thu thập lượng dữ liệu lớn từ hệ thống của MicroBilt và những hãng dữ liệu khác.
“Cơ sở dữ liệu của chúng tôi được cập nhật hàng ngày với thông tin về 99% người Mỹ, nhiều hơn bất cứ site nào khác trên Internet”, trang web của Hiếu quảng cáo. Mỗi thông tin, như số an sinh xã hội hay ngày sinh, được bán giá 3 USD.
Việc xâm nhập vào MicroBilt cuối cùng cũng bị phát hiện và công ty này đẩy Hiếu ra khỏi hệ thống. Tuy nhiên, cậu sớm quay trở lại nhờ một lỗ hổng khác.
Court Ventures và Experian
Trò chơi mèo vờn chuột với MicroBilt tiếp tục cho đến khi Hiếu tìm thấy nguồn dữ liệu người dùng hấp dẫn hơn: một công ty Mỹ có tên Court Ventures, chuyên lập hồ sơ công cộng từ tài liệu tòa án. Hiếu không quan tâm đến dữ liệu do Court Ventures thu thập, mà là thỏa thuận chia sẻ dữ liệu của nó với công ty môi giới dữ liệu là US Info Search – bên có khả năng tiếp cận nhiều hồ sơ người dùng nhạy cảm hơn.
Sử dụng tài liệu giả và một vài mánh khóe, Hiếu thuyết phục được Court Ventures tin rằng cậu là một nhà điều tra tư nhân ở Mỹ. “Ban đầu khi tôi đăng ký, họ yêu cầu một số tài liệu để xác thực, nên tôi sử dụng một vài kỹ năng để vượt qua vòng kiểm tra an ninh”, Hiếu cho hay.
Tháng 3/2012, Court Ventures được Experian – một trong những tổ chức tín dụng khách hàng lớn của Mỹ – mua lại. “Cơ sở dữ liệu được Experian kiểm soát và tôi trả cho Experian hàng nghìn USD mỗi tháng”, Hiếu kể.
O’Neill cho biết ông không rõ Experian có xem xét các tài khoản sáp nhập từ Court Ventures không, nhưng không khó nhìn ra điều bất thường ở tài khoản của Hiếu. Cậu ta thường trả tiền cho các yêu cầu dữ liệu khách hàng bằng hình thức chuyển khoản từ nhiều tài khoản ngân hàng khác nhau. Tuy nhiên, chúng đều là tài khoản mới lập và đa số ở Trung Quốc, Malaysia và Singapore.
Theo O’Neill, website của Hiếu thực hiện hàng chục nghìn lệnh truy vấn mỗi tháng. Ví dụ, hóa đơn đầu tiên mà Court Ventures gửi tới Hiếu vào tháng 12/2010 là cho 60.000 lượt truy vấn. Khi Experian mua lại công ty hai năm sau đó, dịch vụ của Hiếu đã thu hút hơn 1.400 khách hàng thường xuyên với 160.000 lệnh truy vấn hàng tháng.
Quan trọng hơn, Hiếu kiếm bộn tiền bởi mỗi lệnh truy vấn, Court Ventures thu của cậu 0,14 USD, nhưng cậu lại thu của khách hàng với giá 1 USD.
O’Neill và Mật vụ Mỹ cũng bắt đầu chú ý tới hoạt động của Hiếu và phát hiện một số email Hiếu gửi cho đồng phạm, hướng dẫn cách thanh toán tiền cho Experian bằng cách chuyển khoản từ các ngân hàng châu Á.
TLO
Làm việc với Cơ quan Mật vụ, Experian nhanh chóng xóa thông tin và đóng các tài khoản của Hiếu. Chớp cơ hội, Mật vụ Mỹ tìm cách liên lạc với Hiếu qua một trung gian ở Anh – một tên tội phạm mạng có tiếng, đã bị kết án và đồng ý hợp tác với cơ quan điều tra. Người này nói với Hiếu rằng chính anh ta đã chặn các tài khoản của Hiếu ở Experian vì bị cậu cản trở hoạt động kinh doanh dữ liệu của anh ta.
“Cậu đang giẫm chân lên cỏ của tôi nên tôi phải khóa cậu lại. Nhưng nếu chịu trả phần trăm cho tôi, cậu sẽ vẫn còn quyền truy cập”, người này nói. Dưới sự chỉ đạo của Mật vụ Mỹ và các nhà chức trách ở Anh, tên tội phạm yêu cầu gặp mặt để thỏa thuận trực tiếp. Nhưng Hiếu không cắn câu.
Thay vào đó, cậu chuyển hướng sang một kho dữ liệu khác. Tương tự cách tiếp cận Court Ventures, Hiếu thiết lập được tài khoản ở TLO, công ty môi giới chuyên bán quyền truy cập vào các thông tin nhạy cảm của hầu hết người Mỹ cho các cơ quan thực thi về luật tại Mỹ và một số ít chuyên gia – những người có thể chứng minh họ có lý do hợp pháp để tiếp cận dữ liệu như thế. Chỉ trong thời gian ngắn, Hiếu dùng dữ liệu của TLO để khôi phục lại dịch vụ bán danh tính.
Mờ mắt vì tiền
Năm 2012, Hiếu kiếm được hơn 3 triệu USD nhờ kinh doanh dữ liệu cũng như thoả thuận với ba cửa hàng tiếng Nga của tội phạm mạng. Cậu nói với cha mẹ rằng cậu kiếm tiền nhờ phát triển website cho các công ty, thậm chí sử dụng một phần tiền để trả nợ cho gia đình. Tuy nhiên, phần lớn được chi cho những chuyến du lịch, mua xe và nhiều thứ phù phiếm khác.
Khi TLO khóa tài khoản của Hiếu, Mật vụ Mỹ lại khai thác cơ hội cũ. Tên tội phạm ở Anh tiếp tục nói với Hiếu rằng anh ta đã đẩy cậu ra khỏi hệ thống của TLO và sẽ làm vậy cho tới khi cậu chịu gặp để thiết lập mối quan hệ hợp tác. Sau vài tháng trao đổi, cuối cùng Hiếu đồng ý hẹn người này ở Guam vì không nghĩ đây là cái bẫy mà các nhà điều tra Mỹ giăng ra.
“Tôi quá tuyệt vọng, muốn có một cơ sở dữ liệu ổn định, nên bị lòng tham che mờ mắt và hành động thiếu suy nghĩ. Nhiều người khuyên tôi đừng đi nhưng tôi nói với họ rằng tôi phải thử xem chuyện gì đang xảy ra”, Hiếu kể.
Ngay khi vừa bước chân ra khỏi máy bay ở Guam, Hiếu bị các đặc vụ Mỹ tiếp cận và bắt giữ. Một tháng sau, cậu mới được phép gọi điện về cho gia đình để giải thích về hoàn cảnh của mình. Cậu bị giam hai tháng ở Guam, sau đó bị đưa về New Jersey, nơi cậu thừa nhận đã thâm nhập vào hệ thống của MicroBilt và các hệ thống khác.
Mật vụ Mỹ gặp khó khăn trong việc xác định chính xác mức độ thiệt hại tài chính, nhưng ước tính dịch vụ của Hiếu giúp tội phạm mạng khai thác danh tính của người Mỹ để lừa đảo được số tiền khoảng 1,1 tỷ USD tại các ngân hàng và chuỗi cửa hàng bán lẻ ở Mỹ.
O’Neill cho biết, ông đã trao đổi với một số khách hàng của Hiếu. Những người này thừa nhận mua dữ liệu danh tính hiệu quả hơn nhiều so với mua thông tin thẻ thanh toán bị đánh cắp. Dữ liệu thẻ chỉ có thể dùng 1-2 lần trước khi bị vô hiệu hóa, trong khi dữ liệu danh tính có thể dùng đi dùng lại nhiều năm.
“Khi tôi điều hành dịch vụ, tôi không thực sự quan tâm đến hậu quả vì không biết khách hàng của mình là ai, cũng như không biết họ làm gì với những dữ liệu đó”, Hiếu nói. “Nhưng trong quá trình xét xử, toà án liên bang đã nhận khoảng 13.000 thư khiếu nại từ các nạn nhân, kể họ mất nhà, mất việc và không còn khả năng mua nhà hay duy trì nguồn tài chính chỉ vì tôi. Điều đó khiến thôi nhận ra mình là kẻ tồi tệ”.
Khi Hiếu ngồi tù ở Texas, một nhân viên ở đây đã kể cho cậu nghe chuyện về một người bạn của bà ấy. Người đó bị đánh cắp danh tính và sau đó mất mọi thứ. “Tôi không rõ người đó có phải một trong những nạn nhân của tôi hay không, nhưng câu chuyện khiến tôi thấy ân hận”, Hiếu thừa nhận.
Hieupc hy vọng một ngày nào đó có thể làm việc liên quan tới an ninh mạng, nhưng hiện chưa sẵn sàng và muốn dành thời gian cho gia đình. Về lâu dài, cậu mong có thể giúp những người trẻ tránh xa con đường tội phạm mạng.
(Theo KrebsOnSecurity)