Truy tận gốc nguồn cung phần mềm nguy hiểm
Ngày 26/6/2026, Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa ra quyết định khởi tố vụ án, khởi tố bị can và ra lệnh tạm giam đối với 8 đối tượng trong một chuyên án về tội phạm sử dụng công nghệ cao chiếm đoạt tài sản. Cầm đầu đường dây là Nguyễn Tiến Đạt (SN 2004, trú tại phường Long Biên, TP Hà Nội).
Theo kết quả điều tra, chỉ trong khoảng chín tháng, từ tháng 9/2025 đến tháng 6/2026, Đạt cùng đồng phạm Hoàng Đức Mạnh đã thu thập, tàng trữ và mua bán trái phép hơn 1.000 tài khoản ngân hàng, thu lợi bất chính hàng tỷ đồng.
Cũng theo Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa, để vượt qua hệ thống bảo mật nhiều lớp của các ngân hàng, các đối tượng đã tìm kiếm và sử dụng một công cụ có những chức năng được đánh giá là rất tinh vi. Công cụ này có khả năng điều hướng, chiếm quyền điều khiển và can thiệp trực tiếp vào camera điện thoại di động của bị hại. Khi hệ thống ngân hàng yêu cầu quét khuôn mặt trực tiếp, tool này sẽ chặn camera thật, thay vào đó truy cập kho ảnh trong điện thoại, lựa chọn ảnh chân dung sẵn có của chủ tài khoản để đưa vào hệ thống xác thực.
Cục An toàn thông tin khuyến cáo người dân cảnh giác trước các tin nhắn, cuộc gọi yêu cầu, hỗ trợ cập nhật sinh trắc học khuôn mặt
Bằng thủ đoạn này, các đối tượng đã vượt qua hàng rào sinh trắc học, biến các tài khoản ngân hàng có thật thành tài khoản "rác", tức những tài khoản được tạo lập hoặc kiểm soát bởi người khác chứ không phải chủ sở hữu thực sự. Theo cơ quan điều tra, các tài khoản này được sử dụng để phục vụ thanh toán cho hàng loạt hoạt động phạm tội khác như đánh bạc, rửa tiền, chạy quảng cáo bẩn.
Điểm quan trọng cần nhìn nhận là chuỗi tội phạm này đã vượt qua giai đoạn hoạt động manh mún. Nguyễn Tiến Đạt và đồng phạm không chỉ trực tiếp sử dụng mà còn bán và cho thuê tài khoản ngân hàng kèm theo tool vượt sinh trắc học cho một mạng lưới chân rết tại nhiều tỉnh, thành phố. Theo Công an TPHCM, mạng lưới này có chân rết tại Hà Nội, TPHCM, Ninh Bình, Sơn La và Bắc Ninh; các đối tượng liên quan đều đã bị khởi tố.
Đây là cấu trúc đặc trưng của một thị trường ngầm với sự phân vai rõ rệt: người phát triển công cụ, người thu gom tài khoản, người phân phối và người sử dụng cuối cùng. Cấu trúc này cho phép tội phạm nhanh chóng mở rộng quy mô theo cấp số nhân, đồng thời gây khó khăn rất lớn cho công tác điều tra, bởi mỗi mắt xích có thể hoạt động ở một địa bàn khác nhau và chỉ nắm được một phần của toàn bộ đường dây.
Ba tháng trước chuyên án tại Thanh Hóa, ngày 27/3/2026, Cơ quan Cảnh sát điều tra Công an TP Hà Nội đã khởi tố vụ án hình sự và khởi tố 5 bị can về tội "Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật". Nhóm này chuyên sản xuất, mua bán, trao đổi các tool độc hại có khả năng vượt hệ thống sinh trắc học của một số tổ chức tín dụng.
Nguồn cơn để cơ quan Công an vào cuộc cũng tương tự như trong chuyên án tại Thanh Hóa. Khách hàng của một số ngân hàng trên địa bàn Hà Nội bất ngờ mất quyền sử dụng dịch vụ viễn thông mà không rõ nguyên nhân, sau đó bị chiếm đoạt tiền trong tài khoản.
Cũng trong tháng 6/2026, Công an tỉnh Lai Châu ghi nhận sự xuất hiện của các thiết bị di động được tùy chỉnh, cài đặt tool hỗ trợ vượt qua lớp xác thực sinh trắc học khuôn mặt trên ứng dụng ngân hàng điện tử. Theo cơ quan chức năng, các thiết bị này có khả năng vượt qua hoặc hỗ trợ vượt qua cơ chế xác thực khuôn mặt trên ứng dụng của nhiều ngân hàng tại Việt Nam.
Việc thủ đoạn này xuất hiện đồng thời tại Hà Nội, Thanh Hóa và Lai Châu trong khoảng thời gian ngắn cho thấy đây không còn là sáng kiến cá biệt của một nhóm đối tượng, mà đã hình thành một thị trường ngầm với người mua, người bán và môi giới hoạt động tại nhiều địa bàn khác nhau.
Xa hơn, vào tháng 5/2025, Công an tỉnh Thái Bình đã triệt phá một băng nhóm gồm 14 đối tượng bị cáo buộc rửa khoảng 1.000 tỷ đồng. Nhóm này sử dụng dữ liệu sinh trắc học khuôn mặt do AI tạo ra để vượt qua hệ thống nhận dạng khuôn mặt của các ngân hàng trong giai đoạn từ cuối năm 2024 đến tháng 4/2025.
Thực tế này cho thấy mô hình tội phạm vượt sinh trắc học không chỉ phục vụ các giao dịch chiếm đoạt tài sản nhỏ lẻ mà còn có thể trở thành công cụ cho các đường dây rửa tiền với quy mô đặc biệt lớn.
Cơ quan An ninh điều tra Công an tỉnh Thanh Hóa đã quyết định khởi tố vụ án, khởi tố bị can và ra lệnh tạm giam đối với 8 đối tượng
Phối hợp chặt để chống tội phạm sử dụng công nghệ cao
Một điểm đáng chú ý trong cả ba chuyên án nói trên là mô hình phối hợp truy vết tội phạm công nghệ cao thế hệ mới. Công tác đấu tranh không chỉ đòi hỏi năng lực kỹ thuật để truy vết các tool độc hại mà còn phải đồng thời lần theo dòng tiền, bóc gỡ mạng lưới chân rết và ngăn chặn các hành vi xâm nhập, tấn công vào hệ thống của các tổ chức tín dụng.
Trên bình diện cảnh báo chiến lược, tại một hội thảo do Ngân hàng Nhà nước (NHNN) tổ chức, Trung tá Triệu Mạnh Tùng, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an), cho biết hệ thống công nghệ của các ngân hàng hiện cơ bản có khả năng xử lý các trường hợp giả mạo bằng ảnh tĩnh. Tuy nhiên, ông cũng cảnh báo các tổ chức tín dụng vẫn phải đối mặt với nhiều rủi ro, đặc biệt là việc các đối tượng sử dụng công nghệ Deepfake để vượt qua các biện pháp xác thực sinh trắc học.
Song song với việc đấu tranh, triệt phá các chuyên án, khung pháp lý cũng đang được hoàn thiện nhằm xử lý các hành vi tiếp tay cho loại tội phạm này. Theo Điều 30 Nghị định số 340/2025/NĐ-CP quy định xử phạt vi phạm hành chính trong lĩnh vực tiền tệ và ngân hàng, có hiệu lực từ tháng 2/2026, hành vi mua, bán, thuê, cho thuê tài khoản ngân hàng bị xử lý nghiêm. Đồng thời, NHNN yêu cầu các tổ chức tín dụng triển khai các giải pháp tăng cường an toàn, bảo mật, phát hiện và ngăn chặn các cuộc tấn công sử dụng Deepfake trong quá trình xác thực sinh trắc học.
Đáng chú ý, các quy định này không chỉ hướng tới việc xử lý những người mua bán tài khoản ngân hàng mà còn đặt ra yêu cầu đối với chính các tổ chức tín dụng phải trang bị khả năng phát hiện, ngăn chặn hành vi giả mạo bằng Deepfake hoặc ảnh tĩnh trong quá trình định danh khách hàng trực tuyến. Đây là sự dịch chuyển quan trọng về trách nhiệm: không thể chỉ đặt gánh nặng bảo vệ lên người dùng cuối, mà chính các nhà cung cấp dịch vụ ngân hàng cũng phải đầu tư công nghệ tương xứng để bảo đảm hiệu quả của lớp xác thực.
Từ các chuyên án vừa được triệt phá, lực lượng Công an cũng đưa ra nhiều khuyến cáo đối với người dân. Theo đó, người dân tuyệt đối không tải, cài đặt các ứng dụng hoặc công cụ không rõ nguồn gốc ngoài các kho ứng dụng chính thống như Google Play và App Store, bởi các tool bẻ khóa hoặc điều hướng camera có thể âm thầm chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu khuôn mặt, mã OTP và chiếm đoạt tài sản.
Đối với các ngân hàng và tổ chức tài chính, lực lượng công an khuyến nghị cần thường xuyên nâng cấp các giải pháp công nghệ, cập nhật các thuật toán nhận diện sinh trắc học tiên tiến nhằm kịp thời phát hiện, vô hiệu hóa các công cụ giả lập camera hoặc sử dụng hình ảnh, video để vượt qua lớp bảo mật.
Nhìn từ các chuyên án vừa được khám phá, có thể thấy sinh trắc học không còn là "tấm khiên tuyệt đối" như kỳ vọng ban đầu. Đây chỉ là một lớp trong hệ thống phòng thủ nhiều lớp; nếu các lớp bảo vệ khác không được triển khai đồng bộ, kẻ tấn công vẫn có thể tìm ra điểm đột nhập. Vì vậy, việc bảo đảm an toàn thông tin cho người dùng, nâng cao năng lực phát hiện giả mạo của các ngân hàng và hoàn thiện khung pháp lý xử lý hành vi mua bán tài khoản cần được thực hiện đồng thời và liên tục.
Trong vụ án xảy ra tại Hà Nội, việc nhiều khách hàng đột ngột mất quyền sử dụng dịch vụ viễn thông là dấu hiệu cho thấy đường tấn công không bắt đầu từ hệ thống ngân hàng mà từ nhà mạng. Điều này cho thấy, nếu các mắt xích trong hệ sinh thái số không được bảo vệ đồng bộ thì lớp xác thực sinh trắc học, dù hiện đại đến đâu, cũng khó có thể phát huy hiệu quả tuyệt đối.
Bài toán đặt ra với Việt Nam cũng là thách thức mà nhiều quốc gia trên thế giới đang phải đối mặt: làm thế nào để các giải pháp xác thực mới luôn phát triển nhanh hơn tốc độ tiến hóa của các công cụ tấn công. Bộ Công an, NHNN và các tổ chức tín dụng đã có những bước đi đầu tiên, từ hoàn thiện khung pháp lý, tăng cường phối hợp liên ngành, ban hành các khuyến cáo đến nâng cao yêu cầu về công nghệ. Tuy nhiên, đây sẽ là cuộc chạy đua không có điểm dừng trong bối cảnh các tool độc hại, từ những công cụ được phát triển trong nước đến các dịch vụ Deepfake được rao bán công khai trên các diễn đàn ngầm, ngày càng trở nên phổ biến và tinh vi.
(Còn tiếp...)