Hành trình khám phá đường dây xâm nhập trái phép mạng máy tính

Thứ Hai, 05/08/2024 14:08  | Mai Hà

|

(CATP) Cơ quan An ninh điều tra (ANĐT), Bộ Công an cho biết đã hoàn tất kết luận điều tra vụ án "xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác" xảy ra tại Hà Nội và một số tỉnh, thành phố. Cầm đầu là Nguyễn Văn Anh (SN 1994, P.Nhân Chính, Q.Thanh Xuân, Hà Nội). Hầu hết các bị can đều rất trẻ, am hiểu về công nghệ thông tin... Chỉ trong vòng 3 tháng thực hiện, các đối tượng đã thu lời bất chính số tiền lên đến 14 tỷ đồng.

Cảnh báo tình trạng lộ dữ liệu cá nhân

Bằng việc thiết kế phần mềm độc hại có tính năng thực hiện sao chép thông tin, xâm nhập trái phép vào phương tiện điện tử của nhiều cá nhân, nhóm đối tượng gây hoang mang cho nhiều người. Từ vụ án trên, cảnh báo về tình trạng lộ, lọt dữ liệu cá nhân.

Các bị can trong vụ án bị bắt giữ gồm: Nguyễn Văn Anh; Nguyễn Đức Hiếu (SN 1996, ngụ P.Trung Hòa, Q.Cầu Giấy), Nguyễn Văn Tiệp (SN 1993, ngụ xã Tân Triều), Nguyễn Minh Quang (SN 2001, ngụ xã Thanh Liệt, huyện Thanh Trì), Lê Văn Hoàng Sơn (SN 2000, ngụ P.Trúc Bạch, Q.Ba Đình), Đặng Việt Hoàng (SN 2002), Lưu Văn Quang (SN 1998, cùng ngụ Q.Bắc Từ Liêm), Chu Minh Thành (SN 1991), Nguyễn Đình Quân (SN 2001), Chu Văn Lộc (SN 1997, ngụ P.Yên Hòa, Q.Cầu Giấy, Hà Nội), Đỗ Khắc Tiến (SN 1996, ngụ P.Vĩnh Phước, TP.Nha Trang, tỉnh Khánh Hòa), Lã Minh Tuấn (SN 1996, ngụ huyện Tân Yên, tỉnh Bắc Giang) và Lê Nguyễn Hải Nam (SN 1996, ngụ quận Ngũ Hành Sơn, TP.Đà Nẵng) cùng về tội "xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác".

Các đối tượng trong vụ án

Theo Cơ quan ANĐT, cuối năm 2023, Phòng điều tra các loại án khác (Phòng 4), Cục ANĐT, Bộ Công an tiếp nhận nguồn tin do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chuyển đến. Qua nghiên cứu hồ sơ, cán bộ Phòng 4 gặp không ít khó khăn vì những thông tin gửi đến chủ yếu là các sự kiện diễn ra trên không gian mạng, các đối tượng liên lạc với nhau bằng những nhóm kín; dữ liệu thu được chủ yếu là chứng cứ điện tử...

Trong khi đó, thủ đoạn của chúng rất tinh vi, hầu hết đều am hiểu về công nghệ thông tin, có nhiều phương thức và thủ đoạn để đối phó với cơ quan điều tra. Bọn chúng tự xây dựng một "mã độc", xâm nhập vào điện thoại hoặc máy tính có kết nối Internet. Khi người dùng mở các đường link thì "mã độc" sẽ xâm nhập vào máy. Các đối tượng có thể xâm nhập vào Facebook, Viber, Zalo... thu thập một phần thông tin cá nhân...

Mở rộng điều tra vụ án, tổ công tác làm rõ, khoảng năm 2019, qua mạng xã hội, Nguyễn Văn Anh quen Đỗ Khắc Tiến. Tháng 02/2023, Tiến trao đổi, bàn bạc với Văn Anh về cách thức sử dụng "mã độc" có tính năng xâm nhập trái phép vào phương tiện điện tử của người khác để lấy cắp thông tin tài khoản Facebook nhằm quảng cáo bán hàng thu lợi bất chính. Văn Anh đồng ý và đề nghị Tiến gửi một file chứa "mã độc" cho mình.

Do có quan hệ từ trước và biết Nguyễn Đức Hiếu có trình độ về công nghệ thông tin, Văn Anh đã gửi file chứa "mã độc" nhờ phân tích, phát triển thành "mã độc" tương tự và tạo ra các file gắn "mã độc" (file ".exe" nhưng ẩn dưới dạng file văn bản như word, excel, pdf...), sau đó đưa lên trang dịch vụ trên không gian mạng để khi người dùng kích vào sẽ xâm nhập trái phép vào phương tiện điện tử của người khác, lấy cắp thông tin tài khoản Facebook nhằm quảng cáo trên Facebook đó bán hàng thu lợi bất chính. Văn Anh thỏa thuận sẽ trả cho Hiếu 30% số tiền thu lợi từ quảng cáo, Hiếu đồng ý.

Đầu tháng 4/2023, Hiếu xây dựng, phát triển, hoàn thiện chương trình "mã độc" có các chức năng: tự động xâm nhập vào máy tính người khác; tự động thu thập thông tin máy tính, thông tin tài khoản lưu trên trình duyệt máy tính, thông tin Cookies (phiên của trình duyệt), thông tin tài khoản Facebook...; tự động mã hóa, giải mã và gửi những thông tin thu thập được về các BOT Telegram được chỉ định.

"Mã độc" thường sử dụng được trong khoảng một tháng. Do hệ điều hành Windows thường xuyên thay đổi, cải tiến hệ thống bảo mật và các phần mềm diệt virus nên "mã độc" sẽ giảm tác dụng hoặc bị vô hiệu hóa. Lúc này, các đối tượng sẽ thông báo cho Văn Anh để trao đổi với Đức Hiếu nâng cấp "mã độc" sao cho hiệu quả nhất không bị hệ thống bảo mật của hệ điều hành Windows và các phần mềm diệt virus vô hiệu hóa.

Sau đó, Văn Anh chuyển file kịch bản gắn "mã độc" lên nhóm chat Telegram "về ăn cơm" để các đối tượng có nhiệm vụ tạo link chứa file gắn "mã độc" nhận, kiểm tra file gắn "mã độc" có hoạt động không. Trường hợp file gắn "mã độc" hoạt động bình thường, các đối tượng đăng nhập vào các trang web lưu trữ trên Internet lưu trữ dữ liệu hỗ trợ người dùng sao lưu và lưu trữ tài liệu. Khi muốn đọc tài liệu, người dùng chỉ cần kích vào đường link là được dẫn thẳng đến tài liệu cần đọc và tải file kịch bản tuyển dụng đã gắn "mã độc" lên các trang web trên để các trang web này tự động tạo đường link tải file gắn "mã độc" trực tuyến.

Sau khi tạo đường link tải qua tin nhắn đường link tải file tuyển dụng gắn "mã độc" lên, các đối tượng phát tán đường link tải file tuyển dụng gắn "mã độc" lên mạng xã hội để đăng bài viết giả danh các nhà tuyển dụng cần tìm việc làm thu hút sự quan tâm, chú ý của người dùng mạng xã hội. Khi có người quan tâm, nhấn xem các bài đăng tuyển dụng việc làm, khi ứng viên đã thực sự quan tâm đến công việc, các đối tượng gửi cho họ đường link tải file kịch bản tuyển dụng việc làm gắn "mã độc", đề nghị họ nhấn vào để xem nội dung công việc bên trong đường link đó. Nếu nạn nhân tải file về, mở và đọc file thì máy tính cá nhân của họ sẽ bị nhiễm "mã độc".

"Mã độc" này sẽ tự động lấy cắp thông tin Cookies (phiên đăng nhập của trình duyệt web), tự động gửi về BOT Telegram (do Nguyễn Đức Hiếu lập, Nguyễn Văn Anh giữ quyền quản trị). Đối tượng sử dụng "Cookies" lấy cắp đăng nhập, quản trị trái phép và sử dụng Facebook của các nạn nhân để chạy quảng cáo, bán hàng trên các sàn thương mại điện tử (TMĐT) như: AliExpress, Dropify, Onepags; các trang web bán hàng trực tuyến; các trang bán hàng livestream (Page livestream) để thu lợi. Các đối tượng vào BOT Telegram sử dụng dữ liệu "Cookies" của từng tài khoản Facebook bị "mã độc" đánh cắp để đăng nhập, kiểm tra, tìm kiếm tài khoản Facebook có chứa tài khoản quảng cáo...

Thu lợi bất chính số tiền "khủng"

Được biết, các tài khoản Facebook mà các đối tượng chiếm đoạt chủ yếu ở nước ngoài, không hoạt động tại Việt Nam. Nếu giữ nguyên địa chỉ IP máy tính tại Việt Nam dễ gây nghi ngờ nên bọn chúng thay đổi, làm giả địa chỉ IP (fake IP)...

Tại mục quảng cáo trên tài khoản Facebook của nạn nhân, trong phần chiến dịch quảng cáo, các đối tượng chọn "pixel" (định hướng sở thích mua sắm cá nhân) đúng ngành hàng cần bán như: đồ gia dụng, thời trang... Sau đó, chúng tạo chiến dịch chuyển đổi lượt mua hàng với "target" (nhắm mục tiêu) như: chọn ngành hàng cần bán, độ tuổi từ 25-55, quốc gia Hoa Kỳ, tải video và hình ảnh sản phẩm, tải ảnh giới thiệu sản phẩm, thêm "content" (nội dung giới thiệu sản phẩm), rồi "link" bán hàng (đường dẫn đến mua hàng tại Page livestream, trang web bán hàng, sàn TMĐT, đăng bài quảng cáo.

Khi thực hiện xong các bước trên, nhóm lừa đảo kiểm tra tài khoản quảng cáo có hoạt động không; theo dõi tài khoản này cho đến khi chủ tài khoản Facebook phát hiện, đổi mật khẩu hoặc phiên đăng nhập hết hạn (tài khoản Facebook tự động thoát ra). Khi người mua nhấn vào link bán hàng gắn trên tài khoản Facebook của nạn nhân, người mua sẽ thông qua Cổng thanh toán trực tuyến để thanh toán tiền mua hàng cho sàn TMĐT, Page livestream, trang web bán hàng đó.

Các mặt hàng do người bán trên sàn TMĐT được các sàn TMĐT nhập về, đóng gói và gửi đến người mua; người mua hàng thanh toán tiền hàng cho các sàn TMĐT (người bán không phải là chủ hàng, chỉ là trung gian cho các sàn TMĐT để nhận số tiền chênh lệch). Giá của từng sản phẩm được các sàn TMĐT định sẵn. Trong giá của từng sản phẩm đã bao gồm chi phí nhập gốc của sản phẩm, chi phí đóng gói sản phẩm, chi phí vận chuyển và lợi nhuận của người bán.

Khi có người mua thanh toán cho cổng thanh toán, các đối tượng sẽ được một phần lợi nhuận do đã quảng cáo và bán được sản phẩm đó. Các sàn TMĐT cộng dồn lợi nhuận có từ tất cả các sản phẩm do các đối tượng đã quảng cáo, bán được trong tháng và chuyển số tiền đó qua các cổng thanh toán của các sàn TMĐT vào các tài khoản do bọn chúng đã đăng ký trước. Sau đó, chúng rút tiền về thẻ ngân hàng cá nhân để tổng hợp thu, chi, chia tiền hưởng lợi cho các thành viên trong nhóm. Ngoài ra, các đối tượng còn chạy quảng cáo thuê cho các trang web bán hàng trực tuyến, Page livestream để thu lợi...

Cuối cùng là việc thu, chi, chia hưởng số tiền thu lợi bất chính cho các thành viên trong nhóm. Theo đó, số tiền này được các đối tượng nhận về từ những nguồn quảng cáo, bán hàng được chia hưởng cá nhân như sau: các bị can chuyển 30% cho Hiếu (người viết "mã độc") qua Văn Anh; số tiền còn lại sau khi trừ các chi phí bắt buộc như điện, nước sinh hoạt, ăn, thuê nhà, Internet, các đối tượng sẽ chia nhau tiêu xài...

Từ khi nhóm bị can trên do Văn Anh cầm đầu xâm nhập trái phép để lấy cắp tài khoản Facebook đến khi bị phát hiện (trong vòng 3 tháng), các đối tượng đã thu lợi bất chính 14 tỷ đồng.

Bình luận (0)

Lên đầu trang