Cách đây gần 10 năm, giữa đêm khuya ở Đài Bắc (Đài Loan, Trung Quốc), giữa lúc cơn bão Nepartak dữ dội với gió cấp 17 đổ bộ, các máy ATM đột ngột "phun" ra tiền mặt mà không cần thẻ ngân hàng hay mật khẩu. Đây không phải phim Hollywood mà là câu chuyện có thật đã xảy ra vào năm 2016 với Ngân hàng First Commercial Bank (FCB), khi một băng đảng hacker quốc tế rút ruột hơn 83 triệu Đài tệ (khoảng 2,6 triệu USD) chỉ trong chớp mắt. Cảnh sát phải lao vào một cuộc săn đuổi nghẹt thở, chạy đua với thời gian để ngăn chặn số tiền đó biến mất. Câu chuyện này đến nay vừa mới được tái hiện chi tiết qua loạt phim phóng sự điều tra của đài truyền hình CNA.
Máy ATM "nổi loạn" giữa bão tố
Vụ việc bùng nổ vào tối ngày 10/7/2016, tại chi nhánh Guting của FCB. Một người dân hoảng loạn chứng kiến máy ATM tự động nhả tiền, trong khi hai bóng đen bịt mặt lén lút thu gom. Chúng chỉ mất 22 phút để rút 5,66 triệu Đài tệ, hành động với sự chính xác, dường như nhận lệnh từ "bóng ma" vô hình qua điện thoại.
Sáng hôm sau, nhân viên FCB kiểm tra và kinh hoàng phát hiện 41 máy ATM tại 22 chi nhánh bị tấn công, tiền bị rút sạch không còn tờ nào trong ngăn chứa. Đội trưởng Li Wenzhang, người có biệt danh "Ou", lập tức huy động tổ chuyên án. Họ lao vào phân tích hơn 1.500 camera giám sát, sao chép ổ cứng ATM và lật tung nhật ký hoạt động (log) mạng nội bộ trong những đêm thức trắng. Các điều tra viên phát hiện hacker dùng kỹ thuật tấn công spear phishing, đó là email giả mạo gửi đến nhân viên FCB ở London để xâm nhập, cài malware (phần mềm độc hại) xóa dấu vết. Nhưng may mắn thay, một máy ATM còn giữ lại bằng chứng, giúp tái tạo toàn bộ âm mưu đen tối.
Nhóm hacker và số tiền tang vật bị bắt giữ ở Đài Loan
Từ xô xát đường phố đến đột kích khách sạn sang trọng
Căng thẳng leo thang khi cảnh sát xác định 22 nghi phạm Đông Âu, hành động như những bóng ma. Họ thuê khách sạn, thay đổi chỗ ở, rút tiền rồi biến mất trong chớp mắt. Tình cờ trong số này có một đối tượng tên Belzuk đã xô xát tại Guting và để rơi thẻ tín dụng. Manh mối dẫn đến khách sạn Junyue, nơi hắn để lại 10.000 Đài tệ cho "bạn" Andriy, kẻ xử lý tiền bẩn. Cảnh sát phong tỏa biên giới, kiểm tra X-quang hành lý và nhận ra: Tiền vẫn ở Đài Loan và bọn tội phạm vẫn đang lẩn trốn.
Cuộc săn đuổi trở nên kịch tính như phim hành động. Theo dõi Andriy qua camera xe buýt, đột kích căn hộ ở Minsheng East, nhưng hắn trốn thoát chỉ vài giờ, bỏ lại mì gói ăn dỡ và vali mở tung. Theo Taipei Times, một tài xế taxi chủ động báo án, dẫn đến Yilan - nơi Andriy bị tóm khi đang ăn cá sốt chua ngọt, nhờ cảnh sát nghỉ phép nhận diện. Đối tượng này nhanh chóng khai giấu tiền trong bụi cây để được giảm nhẹ hình phạt. Babiy, kẻ cầm đầu, giấu tiền ở tủ gửi đồ ở ga tàu Đài Bắc. Rồi Pankov và Mihail bị bắt khi đang ăn bít tết tại khách sạn Victoria, với ba vali tiền. Trong một pha đột kích nghẹt thở, cảnh sát lao vào nhà hàng, khống chế chúng ngay tại bàn.
Qua Interpol, xác định nhóm Cobalt, dẫn đến bắt Denis năm 2018. Cảnh sát thu hồi gần hết số tiền, ba nghi phạm bị phạt tù 12 năm vì lừa đảo và "rửa tiền". Như MJIB báo cáo, đây là "cuộc chạy đua với thời gian" khiến thế giới kinh ngạc.
Những vụ hack atm kinh hoàng toàn cầu
Vụ hack ATM ở Đài Loan (Trung Quốc) năm 2016 chỉ là mở đầu cho cơn ác mộng toàn cầu, nơi hacker biến máy rút tiền thành "máy phun tiền", gây hỗn loạn tài chính khôn lường từ Châu Á đến Châu Âu và Mỹ.
Chỉ vài tuần sau Đài Loan (Trung Quốc), Thái Lan chìm trong kinh hoàng khi hacker tấn công ngân hàng GSB, khiến 21 máy ATM "phun" 12 triệu baht (350.000 USD) giữa đêm tối. Theo Fortune, tội phạm Đông Âu dùng malware (phần mềm độc hại) tương tự, rút tiền rồi biến mất như ma quỷ. Một cuộc săn đuổi nghẹt thở diễn ra, nhưng thủ lĩnh trốn thoát vào bóng tối.
Hình ảnh nhóm tin tặc lấy cắp tiền từ ATM tại Mỹ bị camera giám sát ghi lại
Tại Nhật Bản, vụ hack còn điên rồ hơn. Hacker dùng thẻ giả rút 1,4 tỷ yên (13 triệu USD) từ 1.400 máy ATM chỉ trong 3 giờ. Đây là hỗn hợp kỹ thuật skimming (gắn thiết bị đánh cắp dữ liệu thẻ ngân hàng) và jackpotting (tấn công vật lý và phần mềm vào máy ATM), với 100 nghi phạm quốc tế.
Vài năm sau, vào năm 2019 tại Ấn Độ, nhóm hacker Lazarus lừng danh đã tấn công Cosmos Bank, rút 13,5 triệu USD từ ATM 28 nước. Vụ việc gây ra hỗn loạn toàn cầu, với hacker kiểm soát từ xa, biến thành ác mộng tài chính khi hàng nghìn máy ATM "phun" tiền đồng loạt.
Làn sóng đen này lan rộng như dịch bệnh. Ở Châu Âu giai đoạn 2016 - 2017, nhóm Carbanak hack hàng trăm ngân hàng, rút hàng triệu USD ở Nga, Estonia và hàng chục nước khác. Trong khi đó tại Mỹ, vào năm 2013 xảy ra vụ hacker hack thẻ, rút 45 triệu USD từ hàng nghìn ATM ở New York chỉ trong một giờ. Đài CBS News sau đó cho biết, băng đảng quốc tế bị bắt sau cuộc săn đuổi xuyên lục địa, với 8 nghi phạm lãnh án tù.
Thủ phạm sau những vụ phun tiền là ai?
Các đối tượng lén lút trong bóng tối địa ngục, biến máy ATM thành "nô lệ quỷ dữ" phun tiền. Đó là các băng đảng hacker như Cobalt, Carbanak và Lazarus đã gây kinh hoàng hàng tỷ USD với những chiến dịch đen tối.
Trong đó, Cobalt có thể gọi là "Vua quỷ dữ" đến từ Nga, với những chiến dịch kinh hoàng. Nổi lên từ vụ Đài Loan (Trung Quốc) năm 2016, Cobalt dùng kỹ thuật đánh lừa (spear phishing) để xâm nhập, kiểm soát máy ATM từ xa như phù phép. Sau khi thử nghiệm thành công trên ATM các ngân hàng nhỏ, Cobalt tăng quy mô thành tấn công vào các ngân hàng lớn trong ngày nghỉ, gây thiệt hại đến 1 tỷ USD. Sau nhiều năm truy lùng, cuối cùng thủ lĩnh Denis của băng nhóm hacker này cũng bị bắt năm 2018 sau cuộc săn quốc tế nghẹt thở ở Tây Ban Nha.
Băng hacker Carbanak từ 2013 đã khai thác lổ hổng SQL injection và đánh lừa nhân viên ngân hàng cài phần mềm chứa virus để hack 100 ngân hàng với 1,2 tỷ USD thiệt hại. Thủ lĩnh băng này cũng bị bắt năm 2018 sau cuộc đột kích của cơ quan điều tra.
Mới đây, Bộ Tư pháp Mỹ vừa công bố chi tiết chiến dịch trấn áp nhóm tin tặc Tren de Aragua, một tổ chức tội phạm xuyên quốc gia có nguồn gốc từ Venezuela, bị cáo buộc đánh cắp hàng triệu USD từ các máy ATM trên khắp nước Mỹ bằng cách cài đặt mã độc vào ATM để khiến thiết bị tự động nhả hết tiền ra ngoài.
Theo các nhà điều tra liên bang, nhóm này đã sử dụng một loại mã độc tinh vi có tên Ploutus để chiếm quyền điều khiển các máy ATM. Mã độc này cho phép tin tặc ra lệnh cho máy nhả toàn bộ tiền mặt bên trong. Phương thức tấn công bao gồm việc cài đặt Ploutus thông qua kết nối USB hoặc thay thế ổ cứng của máy ATM bằng một ổ cứng đã được cài sẵn phần mềm độc hại. Các tin tặc thường hoạt động theo nhóm, do thám các máy ATM và lợi dụng lúc vắng người để mở nắp hoặc cửa máy, sau đó tiến hành cài đặt mã độc.
Một điểm đáng chú ý là mã độc Ploutus được thiết kế để xóa sạch mọi dấu vết can thiệp sau khi tiền mặt được rút hết, gây khó khăn cho các ngân hàng trong việc phát hiện và điều tra. Tình hình càng trở nên phức tạp khi phần lớn máy ATM tại Mỹ vẫn sử dụng hệ điều hành Windows 10, phiên bản đã không còn được Microsoft hỗ trợ vá lỗi bảo mật, tạo điều kiện thuận lợi cho các cuộc tấn công.
Chiến dịch trấn áp đã dẫn đến việc bắt giữ 54 thành viên của Tren de Aragua. Quyền trợ lý Bộ trưởng Tư pháp Mỹ Matthew Galeotti nhấn mạnh: "Các bị cáo đã sử dụng các kỹ thuật giám sát và đột nhập có hệ thống để cài đặt phần mềm độc hại vào máy ATM, sau đó đánh cắp và rửa tiền từ các máy này". Nếu bị kết án, các bị cáo có thể đối mặt với mức án tù từ 20 đến 335 năm. Tren de Aragua đã bị chính quyền Tổng thống Donald Trump đưa vào danh sách các tổ chức khủng bố nước ngoài vào tháng 2 năm nay. Mỹ cũng đã treo thưởng 5 triệu USD cho thông tin giúp bắt giữ các thủ lĩnh của nhóm này.
Chiến dịch tấn công ATM quy mô lớn bằng mã độc Ploutus vừa được phát hiện tại Mỹ cho thấy sự vươn vòi hoạt động đầy nguy hiểm của các băng nhóm tội phạm xuyên quốc gia.
Tại Việt Nam, cuối năm 2025, đại diện Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã chính thức lên tiếng cảnh báo về sự xuất hiện của thủ đoạn tấn công và điều khiển ATM để máy tự động nhả tiền tại Việt Nam. Cơ quan chức năng nhận định đây là loại tội phạm công nghệ cao nguy hiểm, yêu cầu các ngân hàng thương mại phải lập tức rà soát lỗ hổng bảo mật và quy trình vận hành. Trước đó, Bộ Công an cũng từng nhiều lần cảnh báo về việc các nhóm tội phạm người nước ngoài nhập cảnh vào Việt Nam để thực hiện các hành vi tấn công hệ thống ngân hàng.
(Còn tiếp...)