Thiết kế “mã độc” đánh cắp dữ liệu, thu lời 14 tỷ đồng

Xây dựng “mã độc” xâm nhập trái phép

Thời gian vừa qua, các đối tượng lợi dụng công nghệ và sự phát triển của mạng viễn thông, Internet để hoạt động phạm tội ngày càng diễn biến phức tạp. Đặc biệt loại tội phạm này có chiều hướng gia tăng với tính chất xuyên quốc gia, ngày càng tinh vi, đa dạng, gây thiệt hại lớn về tài sản, ảnh hưởng nghiêm trọng đến trật tự xã hội, gây hoang mang, lo lắng trong Nhân dân.

Mới đây Cơ quan An ninh điều tra (ANĐT), Bộ Công an đã hoàn thành kết luận điều tra vụ án “Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác” xảy ra tại Hà Nội và một số tỉnh, thành phố.

Các bị can trong vụ án gồm: Nguyễn Văn Anh (SN 1994, trú ở quận Thanh Xuân, Hà Nội); Nguyễn Đức Hiếu (SN 1996, trú ở quận Cầu Giấy, Hà Nội); Nguyễn Văn Tiệp (SN 1993, ở huyện Thanh Trì, Hà Nội); Nguyễn Minh Quang (SN 2001, ở huyện Thanh Trì); Lê Văn Hoàng Sơn (SN 2000, ở quận Ba Đình); Đặng Việt Hoàng (SN 2002), Lưu Văn Quang (SN 1998, cùng ở quận Bắc Từ Liêm, Hà Nội); Chu Minh Thành (SN 1991); Nguyễn Đình Quân (SN 2001); Chu Văn Lộc (SN 1997, cùng ở quận Cầu Giấy); Đỗ Khắc Tiến (SN 1996, ở TP Nha Trang, tỉnh Khánh Hòa); Lã Minh Tuấn (SN 1996, ở huyện Tân Yên, tỉnh Bắc Giang) và Lê Nguyễn Hải Nam (SN 1996, ở quận Ngũ Hành Sơn, TP Đà Nẵng).

Các đối tượng trong vụ án thiết kế “mã độc” để chiếm tài khoản mạng

Theo điều tra, khoảng cuối năm 2023, cán bộ Phòng 4 (Cục ANĐT Bộ Công an), tiếp nhận nguồn tin do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chuyển đến. Với một lượng thông tin lớn, các sự kiện chủ yếu diễn ra trên không gian mạng, đối tượng liên lạc với nhau bằng các nhóm kín; dữ liệu thu được chủ yếu là chứng cứ điện tử, ban đầu các điều tra viên và cán bộ Phòng 4 gặp rất nhiều khó khăn trong việc củng cố tài liệu, làm rõ hành vi của các đối tượng có liên quan.

Đi sâu nghiên cứu, các điều tra viên Phòng 4 xác định đây là thủ đoạn mới của tội phạm công nghệ cao. Các đối tượng đã tự xây dựng một mã độc, xâm nhập vào điện thoại hoặc máy tính có kết nối Internet. Khi người dùng mở các đường link thì mã độc sẽ xâm nhập vào máy. Ngay lúc này, các đối tượng có thể xâm nhập vào các Facebook, viber, zalo… thu thập một phần thông tin cá nhân.

Từ việc nghiên cứu, phân tích các tài liệu thu thập được, cán bộ Phòng 4, Cục ANĐT đã bước đầu dựng được vai trò của các đối tượng trong đường dây cũng như phương thức và thủ đoạn tinh vi của đối tượng.

Qua các mối quan hệ xã hội, khoảng năm 2019, Văn Anh quen Tiến. Tháng 2/2023, Tiến trao đổi, bàn bạc với Văn Anh về cách thức sử dụng “mã độc” có tính năng xâm nhập trái phép vào phương tiện điện tử của người khác để lấy cắp thông tin tài khoản Facebook nhằm quảng cáo bán hàng thu lợi bất chính.

Theo đề nghị của Văn Anh, Tiến đã gửi 1 file chứa “mã độc” cho Văn Anh. Do có quan hệ từ trước và biết Hiếu có kiến thức, trình độ về công nghệ thông tin, Văn Anh đã gửi cho Hiếu file chứa “mã độc” đề nghị phân tích, phát triển thành “mã độc” tương tự và tạo ra các file gắn “mã độc” (file “.exe” nhưng ẩn dưới dạng file văn bản như word, excel, pdf…) đưa lên các trang mạng để khi người dùng kích vào thì sẽ xâm nhập trái phép vào phương tiện điện tử của người khác, lấy cắp thông tin tài khoản Facebook nhằm quảng cáo trên Facebook bán hàng thu lợi bất chính. Văn Anh thoả thuận sẽ trả cho Hiếu 30% số tiền thu lợi từ quảng cáo, bán hàng...

Dùng thông tin đánh cắp để hưởng lợi

Đầu tháng 4/2023, Hiếu đã xây dựng, phát triển, hoàn thiện chương trình “mã độc” có các chức năng: Tự động xâm nhập vào máy tính người khác; tự động thu thập thông tin máy tính, thông tin tài khoản lưu trên trình duyệt máy tính, thông tin Cookies (phiên của trình duyệt), thông tin tài khoản Facebook…; tự động mã hóa, giải mã và gửi những thông tin thu thập được về các BOT Telegram được chỉ định.

Trong vòng 3 tháng xâm nhập, lấy cắp tài khoản Facebook, các đối tượng đã thu lợi bất chính số tiền 14 tỷ đồng

Các đối tượng phát tán đường link tải file tuyển dụng gắn “mã độc” lên mạng xã hội để đăng bài viết giả danh các nhà tuyển dụng cần tìm việc làm thu hút sự quan tâm, chú ý của người dùng mạng xã hội. Khi có người quan tâm, nhấn xem các bài đăng tuyển dụng việc làm, các đối tượng gửi cho họ đường link tải file kịch bản tuyển dụng việc làm gắn “mã độc”, đề nghị họ nhấn vào xem nội dung công việc bên trong đường link đó. Nếu nạn nhân đã tải file về, mở và đọc file thì máy tính cá nhân của họ sẽ bị nhiễm “mã độc”.

“Mã độc” này sẽ tự động lấy cắp thông tin, tự động gửi về BOT Telegram (do Nguyễn Đức Hiếu lập, Nguyễn Văn Anh giữ quyền quản trị), và những thông tin này bị sử dụng trái phép trên các sàn thương mại điện tử (TMĐT)…

Chưa hết, do các tài khoản Facebook mà các đối tượng chiếm đoạt chủ yếu ở nước ngoài, không hoạt động tại Việt Nam, nếu giữ nguyên địa chỉ IP máy tính tại Việt Nam dễ gây nghi ngờ nên các đối tượng đã làm thêm công đoạn thay đổi, làm giả địa chỉ IP (fake IP)…

Tại mục quảng cáo trên tài khoản Facebook của nạn nhân, trong phần chiến dịch quảng cáo, các bị can chọn “pixel” (định hướng sở thích mua sắm cá nhân) đúng ngành hàng cần bán như: đồ gia dụng, thời trang,… sau đó, tạo chiến dịch chuyển đổi lượt mua hàng với “target” (nhắm mục tiêu) như: chọn ngành hàng cần bán, độ tuổi từ 25-55 tuổi, quốc gia Hoa Kỳ, tải video và hình ảnh sản phẩm, tải ảnh giới thiệu sản phẩm, thêm “content” (nội dung giới thiệu sản phẩm), thêm “link” bán hàng (đường dẫn đến mua hàng tại Page livestream, trang web bán hàng, sàn TMĐT, đăng bài quảng cáo.

Khi thực hiện xong các bước trên, các đối tượng kiểm tra tài khoản quảng cáo có hoạt động không; theo dõi tài khoản này cho đến khi chủ tài khoản Facebook phát hiện, đổi mật khẩu hoặc phiên đăng nhập hết hạn (tài khoản Facebook tự động thoát ra). Khi người mua nhấn vào link bán hàng gắn trên tài khoản Facebook của nạn nhân, người mua sẽ thông qua Cổng thanh toán trực tuyến để thanh toán tiền mua hàng cho sàn thương mại điện tử (TMĐT) Page livestream, trang web bán hàng đó.

Các mặt hàng do người bán trên sàn TMĐT được các sàn nhập về, đóng gói và gửi đến người mua. Người mua hàng thanh toán tiền hàng cho các sàn TMĐT (người bán không phải là chủ hàng, chỉ là trung gian cho các sàn TMĐT để nhận số tiền chênh lệch). Giá của từng sản phẩm được các sàn TMĐT định sẵn. Trong giá của từng sản phẩm đã bao gồm chi phí nhập gốc của sản phẩm, chi phí đóng gói sản phẩm, chi phí vận chuyển và lợi nhuận của người bán.

Khi có người mua thanh toán cho các cổng thanh toán, các đối tượng sẽ được một phần lợi nhuận do đã quảng cáo và bán được sản phẩm đó. Các sàn TMĐT cộng dồn lợi nhuận có từ tất cả các sản phẩm do các đối tượng đã quảng cáo, bán được trong tháng và chuyển số tiền đó qua các cổng thanh toán của các sàn TMĐT vào các tài khoản do các đối tượng đã đăng ký trước. Sau đó, các đối tượng rút tiền về thẻ ngân hàng cá nhân để tổng hợp thu, chi, chia tiền hưởng lợi cho các thành viên trong nhóm.

Ngoài ra, với cách thức quảng cáo như trên, các đối tượng còn chạy quảng cáo thuê cho các trang web bán hàng trực tuyến, Page livestream để thu lợi. Số tiền thu lợi bất chính được các đối tượng chuyển 30% cho Hiếu (người viết mã độc) qua Văn Anh. Số tiền còn lại các đối tượng hưởng lợi sau khi trừ các chi phí bắt buộc như điện, nước sinh hoạt, ăn, thuê nhà, Internet… Cơ quan điều tra xác định, từ khi nhóm bị can trên xâm nhập trái phép để lấy cắp tài khoản Facebook đến khi bị phát hiện trong vòng 3 tháng, các đối tượng đã thu lợi bất chính số tiền 14 tỷ đồng.