Đường dây 23 tỷ đồng và thủ đoạn chưa từng có tiền lệ
Ngày 13/4, Cơ quan An ninh điều tra Công an tỉnh Quảng Trị cho biết đã triệt phá một đường dây tội phạm công nghệ cao với quy mô và thủ đoạn khiến ngay cả các chuyên gia bảo mật cũng phải giật mình. Bốn đối tượng bị khởi tố, tạm giam gồm: Trần Quang Trọng (26 tuổi, Gia Lai), Nguyễn Minh Thuận (29 tuổi, Gia Lai), Lê Văn Kỷ (31 tuổi, TP.HCM) và Hồ Đức Thế (36 tuổi, Đắk Lắk). Tổng số tiền các đối tượng chiếm đoạt của nhiều nạn nhân trên cả nước là hơn 23 tỷ đồng chỉ trong chưa đầy ba tháng.
Điều khiến vụ án này khác biệt so với các vụ chiếm đoạt SIM trước đây không nằm ở số tiền, mà ở phương thức thực hiện. Lần đầu tiên, cơ quan công an xác nhận một nhóm tội phạm đã vượt qua lớp bảo mật sinh trắc học - cụ thể là xác thực khuôn mặt - vốn được Ngân hàng Nhà nước yêu cầu triển khai từ năm 2024 nhằm ngăn chặn tình trạng chiếm đoạt tài khoản. Theo đánh giá của cơ quan điều tra, nhóm đối tượng đã vượt qua lớp bảo mật này một cách tương đối dễ dàng.
Các bị can trong đường dây chiếm đoạt SIM gây thiệt hại 23 tỷ đồng ở Quảng Trị. Ảnh: Công an Quảng Trị
Điểm đáng chú ý là sự tham gia của một "tay trong" - Hồ Đức Thế, cộng tác viên của một nhà mạng di động. Nhờ có sự tiếp tay này, các đối tượng không cần giả mạo giấy tờ, không cần lừa nạn nhân cung cấp thông tin hay sử dụng các thủ đoạn qua mặt nhân viên giao dịch như trước. Thế có quyền truy cập hệ thống và trực tiếp thực hiện việc chuyển đổi SIM, với giá 15 triệu đồng cho mỗi SIM bị sang tên trái phép.
Trong đường dây, Trọng chịu trách nhiệm thu thập, tìm kiếm danh sách khách hàng có tiền gửi. Kỷ đóng vai trò điều phối, chuyển thông tin cho Thế để thực hiện đổi SIM. Sau khi chiếm quyền kiểm soát số thuê bao, Trọng sử dụng thiết bị và phần mềm chuyên dụng để xâm nhập tài khoản ngân hàng của nạn nhân. Thuận phụ trách "đầu ra", mua tiền điện tử USDT và luân chuyển qua nhiều ví nhằm xóa dấu vết.
Chỉ riêng ngày 20/01/2026, nhóm này đã thu thập thông tin của 15 khách hàng, thực hiện thành công 13 vụ đổi SIM và chiếm đoạt tiền từ 7 - 8 tài khoản ngân hàng, với tổng thiệt hại khoảng 3 tỷ đồng. Trong các tháng 2 và 3, các đối tượng tiếp tục hoạt động với cường độ tương tự, nâng tổng số tiền chiếm đoạt lên hơn 23 tỷ đồng.
Đường dây bị triệt phá sau chiến dịch phối hợp giữa Phòng An ninh mạng Công an tỉnh Quảng Trị và Cục An ninh mạng, Bộ Công an. Với thành tích này, Thứ trưởng Bộ Công an, Thượng tướng Phạm Thế Tùng đã gửi thư khen vào ngày 12/4.
Từ lừa đảo thủ công đến nội gián
Nhìn lại các vụ chiếm đoạt SIM tại Việt Nam trong hơn một thập kỷ qua, có thể thấy rõ quá trình biến đổi: từ thô sơ đến tinh vi, từ tự phát đến có tổ chức, từ tấn công bên ngoài đến thao túng từ bên trong.
Chia sẻ của một nạn nhân mất tiền sau khi bị cướp SIM trên mạng xã hội
Những vụ "cướp SIM" đầu tiên được ghi nhận vào năm 2013. Nạn nhân là anh Đặng Thanh Hải (TP.HCM) và anh Vũ Minh Nhật (Hà Nội). Cả hai đều là khách hàng của Maritime Bank và cùng bị mất tiền qua một thủ đoạn đơn giản: kẻ gian thu thập thông tin cá nhân, sau đó đến cửa hàng nhà mạng tại Thanh Hóa để khai báo mất SIM và xin cấp lại. Dù thiệt hại chỉ ở mức vài chục triệu đồng, đây đã là hồi chuông cảnh báo khi SIM điện thoại, nếu rơi vào tay kẻ xấu, có thể mở ra cánh cửa vào tài khoản ngân hàng.
Giai đoạn 2021 - 2022 chứng kiến bước nhảy vọt cả về quy mô lẫn phương thức. Thay vì trực tiếp đến nhà mạng, kẻ gian chuyển sang gọi điện giả danh nhân viên chăm sóc khách hàng để thao túng nạn nhân tự thực hiện các thao tác. Chiêu phổ biến là thông báo SIM cần nâng cấp từ 3G lên 4G hoặc 5G miễn phí, sau đó hướng dẫn nạn nhân thực hiện các bước xác nhận - thực chất là kích hoạt eSIM trên thiết bị của kẻ gian. Bằng thủ đoạn này, một nạn nhân tại TP.HCM vào tháng 3/2022 đã mất hơn 5 tỷ đồng từ hai tài khoản ngân hàng chỉ sau một cuộc điện thoại. Cùng năm, một đường dây gồm 5 đối tượng tại quận Hà Đông (Hà Nội) chiếm đoạt khoảng 10 tỷ đồng chỉ trong 10 ngày.
Nguy hiểm hơn, cuối năm 2022, một đường dây bị phát hiện từ quá trình điều tra của Công an Quảng Bình đã cho thấy mức độ tấn công có hệ thống. Nhóm này không nhắm vào từng cá nhân riêng lẻ mà khai thác lỗ hổng bảo mật để thu thập dữ liệu quy mô lớn. Từ tháng 8/2021, chúng chiếm đoạt hơn 17 triệu thông tin cá nhân trên phạm vi cả nước. Với "kho dữ liệu" này, các đối tượng có thể lựa chọn nạn nhân bất kỳ, giả mạo danh tính một cách tinh vi để chiếm đoạt SIM. Tổng số tiền bị chuyển qua khoảng 40 tài khoản giả mạo trong đường dây này ước tính vượt 100 tỷ đồng.
Đến năm 2026, tội phạm chiếm đoạt SIM tiếp tục leo thang với hình thức nguy hiểm hơn: mua chuộc, móc nối người trong nội bộ - như vụ án vừa bị triệt phá tại Quảng Trị.
Cần làm gì ngay khi nghi ngờ SIM bị chiếm đoạt?
Để phòng tránh rủi ro, người dùng cần nhận biết sớm và phản ứng kịp thời khi có dấu hiệu trở thành nạn nhân. Như trường hợp anh H.P.K chia sẻ, chỉ 15 phút từ lúc SIM bị chiếm đoạt đến khi kịp khóa số, kẻ gian đã đặt lại mật khẩu ngân hàng và chuyển đi 100 triệu đồng. Trong những tình huống như vậy, tốc độ phản ứng mang tính quyết định.
Dấu hiệu rõ ràng và đáng lo ngại nhất là điện thoại đột ngột mất sóng hoàn toàn trong khi các thiết bị xung quanh vẫn hoạt động bình thường. Tình trạng này khác với việc ở khu vực sóng yếu: nó xảy ra bất ngờ, không báo trước và không tự khôi phục dù đã di chuyển vị trí. Khi SIM gốc bị vô hiệu hóa, thiết bị của chủ thuê bao sẽ mất hoàn toàn kết nối di động: không thể gọi điện, nhắn tin, cũng như không nhận được mã OTP từ ngân hàng.
Bên cạnh đó, các dấu hiệu gián tiếp cũng cần đặc biệt lưu ý. Nếu nhận được email thông báo thay đổi mật khẩu dịch vụ ngân hàng điện tử mà không phải do mình thực hiện; cảnh báo đăng nhập từ thiết bị lạ; hoặc phát hiện biến động số dư bất thường, đó là những tín hiệu cho thấy tài khoản đang bị tấn công.
Nhóm mua bán trái phép 17 triệu dữ liệu thông tin cá nhân để chiếm đoạt tài khoản ngân hàng bị bắt giữ năm 2022. Ảnh: Công an Quảng Bình
Điểm nguy hiểm của thủ đoạn chiếm đoạt SIM là nạn nhân gần như không hay biết. Khi SIM gốc bị vô hiệu hóa, toàn bộ mã OTP sẽ được chuyển về SIM mà kẻ gian kiểm soát. Nạn nhân không nhận được bất kỳ cảnh báo nào trong khi tiền có thể bị rút đi trong thời gian rất ngắn.
Ngay khi nghi ngờ SIM bị chiếm đoạt, cần thực hiện đồng thời các bước sau: Liên hệ nhà mạng ngay lập tức để yêu cầu khóa SIM khẩn cấp, thông qua điện thoại cố định, thiết bị của người thân hoặc đến trực tiếp điểm giao dịch. Gọi hotline ngân hàng để tạm khóa tài khoản, hủy các giao dịch đang chờ xử lý và yêu cầu phong tỏa mọi lệnh chuyển tiền phát sinh. Đến trực tiếp chi nhánh ngân hàng gần nhất, mang theo CCCD để xác minh danh tính và khôi phục quyền kiểm soát tài khoản. Trình báo cơ quan công an địa phương để được hỗ trợ điều tra và xử lý.
Về phòng ngừa lâu dài, các chuyên gia khuyến nghị hạn chế chia sẻ thông tin cá nhân như ngày sinh, số CCCD, số điện thoại trên mạng xã hội - đây là dữ liệu đầu vào quan trọng để kẻ gian thực hiện chiếm đoạt SIM. Không cung cấp mã OTP cho bất kỳ ai qua điện thoại, kể cả người tự xưng là nhân viên ngân hàng hoặc nhà mạng. Đồng thời, không thực hiện các cú pháp nhắn tin lạ hay cài đặt ứng dụng theo hướng dẫn từ nguồn không xác thực.
Ngoài ra, nên kích hoạt thông báo biến động số dư qua email, thay vì chỉ phụ thuộc vào SMS, để vẫn nhận được cảnh báo khi SIM bị vô hiệu hóa. Việc đặt mã PIN cho SIM theo hướng dẫn của nhà mạng cũng là một lớp bảo vệ bổ sung, dù không tuyệt đối.
Từ mức thiệt hại vài chục triệu đồng năm 2013 đến hơn 23 tỷ đồng chỉ trong ba tháng đầu năm 2026, thực tế cho thấy mỗi lớp bảo mật mới đều kéo theo những thủ đoạn tinh vi hơn từ tội phạm. Điều quan trọng nhất với mỗi người dùng vẫn là luôn sẵn sàng: ghi nhớ hotline của nhà mạng và ngân hàng để có thể hành động ngay khi điện thoại đột ngột mất sóng bất thường.
(Cập nhật...)