Ngày còn trên “đỉnh cao” với những vụ tấn công mạng đình đám, hacker đình đám Ngô Minh Hiếu (thường được biết đến với tên Hieupc) kiếm được đến 125.000 USD mỗi tháng nhờ bán các dịch vụ đánh cắp danh tính, thu thập dữ liệu người dùng từ một số nhà cung ứng dữ liệu hàng đầu thế giới. Khi các hoạt động bất chính của anh ta bị Cơ quan Mật vụ Mỹ chú ý, đặc vụ Matt O’Neill đã “giăng bẫy” và bắt Hieupc ở đảo Guam (Mỹ).

Sau khi bị truy tố với án tù hơn 7 năm, hiện tại Ngô Minh Hiếu đã trở về Việt Nam và kể lại câu chuyện của mình với mong muốn có thể cảnh báo những hacker khác nên sử dụng năng lực bản thân vào mục đích đúng đắn hơn.

Vào khoảng năm 2010, chàng trai trẻ Ngô Minh Hiếu vận hành một trong những dịch vụ phổ biến và sinh lời nhất trên Internet thời đó để bán “Fullz” – gồm một số lượng lớn hồ sơ nhận dạng cá nhân bị đánh cắp. Trong đó có tên người dùng, ngày sinh, mã số an sinh xã hội, email và cả địa chỉ nhà riêng.

Lời thú tội của Hieupc - hacker người Việt từng chịu 7 năm tù ở Mỹ

Hiếu đã tấn công vào một chuỗi các nhà môi giới dữ liệu lớn để thu về kho dữ liệu khổng lồ của hàng triệu người dùng. Khi bị Cơ quan Mật vụ Mỹ bắt năm 2013, anh ta đã kiếm được hơn 3 triệu USD từ việc bán dữ liệu cho nhiều băng nhóm tội phạm có tổ chức hoạt động trên khắp nước Mỹ.

Tháng 2/2013, đặc vụ Matt O’Neill của Sở Mật vụ Mỹ lên kế hoạch dẫn dụ thành công Hiếu ra khỏi Việt Nam, bay sang đảo Guam (Mỹ). Ngay sao đó anh ta đã bị bắt, đưa về Mỹ và bị truy tố theo pháp luật Mỹ lúc bấy giờ

O’Neill kể lại ông mở cuộc điều tra việc Ngô Minh Hiếu trục lợi từ việc đánh cắp danh tính sau khi đọc bài báo Tài khoản email của bạn đáng giá bao nhiêu? đăng trên KrebsOnSecurity năm 2011. Theo O’Neill, điều đặc biệt là Hieupc không nổi tiếng, tên tuổi của anh ta quá nhạt nhòa so với những tên tội phạm mạng khác bị bắt vì gian lận, đánh cắp và bán buôn một lượng lớn thẻ tín dụng của người dùng Mỹ.

Tuy nhiên trên thực tế, Hiếu đã đứng sau tiếp tay cho rất nhiều đường dây phạm tội với giá trị ước tính khoảng 1 tỷ USD. Rõ ràng đây là một con số không hề nhỏ, O’Neill nhận định thậm chí cả những tên tội phạm mạng khét tiếng ở Mỹ cũng chưa chắc đã gây ra nhiều thiệt hại về mặt tài chính như Hieupc.

“Hắn ta đã bán thông tin cá nhân của hơn 200 triệu người Mỹ và bất cứ ai cũng có thể mua với giá rẻ mạt”, O’Neill nói.

Sau khi ra tù và bị trục xuất về Việt Nam, Hiếu đã kể lại câu chuyện của mình.

Bắt đầu

Lời thú tội của Hieupc - hacker người Việt từng chịu 7 năm tù ở Mỹ

Ngô Minh Hiếu xuất thân từ một gia đình bình thường, mở cửa hàng kinh doanh thiết bị điện tử. Mười năm trước khi chỉ mới 19 tuổi anh, đã là cái tên xuất hiện khá thường xuyên trên các diễn đàn hack máy tính của Việt Nam. Hiếu kể được bố mẹ mua cho chiếc máy tính đầu tiên năm 12 tuổi và đã rất say mê tìm tòi về nó.

Trong thời gian du học tại New Zealand, Hiếu đã là admin của nhiều diễn đàn hacker trên dark web. Có một lần anh phát hiện ra một lỗ hổng trong mạng máy tính của trường làm lộ thông tin thẻ thanh toán.

“Tôi đã liên hệ với nhân viên kỹ thuật của trường để khắc phục lỗi nhưng không ai quan tâm. Sau đó tôi hack luôn cả hệ thống rồi sử dụng lỗ hổng này để hack tiếp những trang web khác và lấy cắp rất nhiều thông tin thẻ tín dụng”, Hiếu thuật lại.

Anh ta đã sử dụng thông tin trong những thẻ tín dụng hack được để mua vé hòa nhạc, vé tham gia các sự kiện nổi tiếng… sau đó bán lại trên trang đấu giá TradeMe ở New Zealand. Sau khi ngôi trường Hiếu theo học phát hiện hành vi gian lận của anh ta và báo cảnh sát, anh đã không được gia hạn Visa sau khi kết thúc học kỳ đầu tiên. Quá phẫn nộ, Hiếu đã tấn công trang web của trường đại học, khiến nó ngừng hoạt động trong vài ngày.

Sau đó Hiếu quay về học tại Việt Nam nhưng chủ yếu dành nhiều thời gian hoạt đọng trên các diễn đàn tội phạm mạng.

“Ban đầu tôi chỉ hack để giải trí, nhưng sau đó đã chuyển sang hack vì lợi nhuận vì thấy việc đánh cắp thông tin khách hàng quá dễ dàng. Tôi đã kết giao với nhiều bạn bè trên các diễn đàn hoạt động ngầm và cùng nhau lên kế hoạch cho các chiến dịch phạm tội mới. Bạn bè tôi nói mở thẻ tín dụng và việc lộ thông tin tài khoản ngân hàng rất nguy hiểm nên tôi bắt đầu nghĩ đến việc bán các dữ liệu danh tính.

Lúc đầu tôi nghĩ đó chỉ là thông tin thôi, không đến nỗi quá xấu vì đâu có liên quan trực tiếp đến tài khoản ngân hàng. Nhưng tôi đã lầm, tiền kiếm được quá nhanh chóng và dễ dàng đã làm tôi mờ mắt”, Hiếu kể.

Vụ MicroBilt

Lời thú tội của Hieupc - hacker người Việt từng chịu 7 năm tù ở Mỹ

Mục tiêu lớn đầu tiên của Hieupc là công ty báo cáo tín dụng MicroBilt ở New Jersey (Mỹ).

“Tôi thâm nhập vào nền tảng của họ và đánh cắp cơ sở dữ liệu khách hàng, rồi sử dụng những thông tin đó để truy cập vào cơ sở dữ liệu người dùng của công ty đó. Tôi đã hoạt động trong hệ thống này gần một năm ròng mà không một ai phát hiện”, Hiếu cho biết.

Sau khi giành quyền truy cập MicroBilt, anh ta lập nên Superget[.]info – trang web quảng cáo chuyên bán thông tin cá nhân của người dùng. Ban đầu dịch vụ của anh hoạt động khá thủ công, khi khách hàng cần thông tin về một tiểu bang hoặc nhóm người dùng cụ thể, Hiếu sẽ tự mình tra cứu dữ liệu.

“Tôi đã cố thu thập nhiều hồ sơ cùng một lúc, nhưng tốc độ Internet tại Việt Nam khi đó rất chậm. Tôi không thể tải về toàn bộ vì lượng cơ sở dữ liệu quá lớn. Vì vậy, khi khách hàng cần gì thì tôi tìm thông tin đó trên hệ thống theo cách thủ công”, Hiếu thuật lại.

Một thời gian sau, Hieupc đã tìm ra cách sử dụng những máy chủ mạnh hơn tại Mỹ để tự động thu thập một lượng lớn dữ liệu người dùng trên hệ thống của MicroBilt và của nhiều công ty chuyên môi giới dữ liệu khác.

Superget cho phép người dùng tìm kiếm thông tin cá nhân cụ thể theo tên, thành phố và tiểu bang. Mỗi “tín dụng” có giá 1 USD và mỗi lượt truy cập thành công vào số An sinh xã hội hoặc ngày sinh sẽ tốn 3 “tín dụng”. Mua càng nhiều khoản tín dụng càng rẻ: 6 tín dụng có giá 4,99 USD; 35 tín dụng có giá 20,99 USD và 100,99 USD mua được 230 tín dụng. Khách hàng có nhu cầu đặc biệt có thể mua gói “reseller” – 1.500 tín dụng với giá 500,99 USD và 3.500 tín dụng với giá 1000,99 USD.

“Cơ sở dữ liệu của chúng tôi cập nhật hàng ngày với đầy đủ thông tin về 99% người Mỹ, nhiều hơn bất cứ trang web nào khác trên Internet”, Superget quảng cáo.

Một thời gian sau, việc Hiếu xâm nhập vào MicroBilt cuối cùng cũng bị phát hiện và công ty này đã chặn Hiếu truy cập lại vào hệ thống. Nhưng Hiếu kể lại rằng không lâu sau đó anh lại tiếp tục quay trở lại nhờ khai thác một lỗ hổng khác.

Court (Ad)Ventures và Experian

Trò chơi mèo vờn chuột với MicroBilt tiếp tục cho đến khi Hiếu tìm thấy nguồn dữ liệu người dùng hấp dẫn và đáng tin cậy hơn: một công ty Mỹ khác có tên Court Ventures, chuyên tổng hợp hồ sơ công cộng từ các tài liệu tòa án. Hiếu không quan tâm đến dữ liệu do Court Ventures thu thập, mà chỉ chú trọng vào thỏa thuận chia sẻ dữ liệu của nó với công ty môi giới dữ liệu bên thứ ba có tên US Info Search – bên có quyền truy cập vào những dữ liệu người dùng nhạy cảm hơn nhiều.

Bằng cách sử dụng một số tài liệu giả cùng vài mánh khóe tinh vi, Hiếu lừa Court Ventures tin anh là một điều tra viên tư nhân ở Mỹ.

“Lúc đầu khi tôi đăng ký, họ yêu cầu một số tài liệu để xác minh, tôi đã sử dụng một vài kỹ xảo để vượt qua vòng kiểm tra an ninh”, Hiếu kể lại.

Đến tháng 3/2012, Court Ventures được mua lại bởi Experian – một trong ba tổ chức tín dụng lớn nhất nước Mỹ. Và trong 9 tháng sau đó, Hiếu vẫn có thể duy trì quyền truy cập của mình.

“Sau đó cơ sở dữ liệu được Experian quản lý. Tôi phải trả cho Experian một khoản tiền lên tới hàng nghìn USD mỗi tháng”, Hiếu nói.

Vẫn chưa rõ có ai tại Experian chịu trách nhiệm kiểm soát các tài khoản được tổng hợp từ Court Ventures không. Nhưng rõ ràng tài khoản của Hiếu có đầy những điểm bất thường. Anh ta đã thanh toán các yêu cầu dữ liệu khách hàng bằng hình thức chuyển khoản từ nhiều tài khoản ngân hàng khác nhau. Hầu hết đều là tài khoản mới lập tại các tổ chức tài chính ở Trung Quốc, Malaysia và Singapore.

Theo O’Neill, trang web của Hieupc thực hiện hàng chục nghìn lệnh truy vấn mỗi tháng. Ví dụ, hóa đơn đầu tiên mà Court Ventures gửi tới Hiếu vào tháng 12/2010 là cho 60.000 lượt truy vấn. Vào thời điểm Experian mua lại Court Ventures hai năm sau đó, dịch vụ của Hiếu thu hút hơn 1.400 khách hàng thường xuyên với trung bình 160.000 lệnh truy vấn mỗi tháng.

Và quan trọng là anh ta đã thu về một khoản lợi nhuận vô cùng lớn nhờ dịch vụ của mình. Court Ventures chỉ tính phí Superget 14 cent cho mỗi lần tra cứu, nhưng trang web này lại thu khách hàng đến 1 USD cho mỗi lượt truy vấn.

Từ đó, O’Neill cùng một số đặc vụ Mỹ khác bắt đầu gửi hàng chục trát hầu tòa cho Hiếu, có liên quan đến dịch vụ đánh cắp danh tính cá nhân của người dùng. Trong đó có 1 trát yêu cầu Hiếu giao quyền truy cập vào tài khoản email được sử dụng để liên lạc với khách hàng và quản lý trang web.

Các đặc vụ Mỹ đã phát hiện ra một số email Hiếu hướng dẫn đồng phạm cách thanh toán cho Experian thông qua hình thức chuyển khoản từ nhiều ngân hàng châu Á khác nhau.

TLO

Sau khi làm việc với Cơ quan Mật vụ Mỹ, Experian nhanh chóng xóa thông tin và đóng các tài khoản của Hiếu. Bắt lấy cơ hội này, các đặc vụ Mỹ tìm cách liên lạc với Hiếu thông qua một tên tội phạm mạng có tiếng ở Anh, đã bị kết án và đồng ý hợp tác. Phạm nhân này nói với Hiếu rằng chính anh ta đã chặn quyền truy cập vào các tài khoản của Hiếu ở Experian vì Hiếu cản trở công việc kinh doanh của anh ta. Đồng thời yêu cầu Hiếu trả phần trăm để lấy lại quyền truy cập.

Tên tội phạm, dưới sự chỉ đạo của Mật vụ Mỹ cùng các nhà chức trách Anh, đã yêu cầu gặp Hiếu thỏa thuận trực tiếp nếu không muốn mất quyền truy cập. Nhưng Hiếu không chấp nhận.

Thay vào đó, Hiếu chuyển sang một kho dữ liệu khác. Cũng giống như cách tiếp cận Court Ventures trước đó, Hiếu lập tài khoản ở TLO, công ty môi giới dữ liệu chuyên bán quyền truy cập vào các thông tin quan trọng của hầu hết người Mỹ. Dịch vụ của TLO hỗ trợ đắc lực cho các cơ quan thực thi về luật tại Mỹ và một số chuyên gia – người có thể chứng minh họ có lý do hợp pháp để truy cập vào kho dữ liệu này. Năm 2014, TLO đã được mua lại bởi Trans Union, một công ty báo cáo tín dụng tiêu dùng lớn khác của Mỹ.

Chỉ trong một thời gian ngắn, Hiếu dùng dữ liệu của TLO để tiếp tục “sự nghiệp kinh doanh” của mình. Dịch vụ được đổi tên thành usearching[.]info, chuyên lấy dữ liệu người dùng từ một công ty cho vay ngắn hạn mà Hiếu đã xâm nhập. Hiếu cho biết trang web cho vay ngắn hạn mà anh tấn công cho phép truy cập ngay lập tức vào khoảng 1.000 bản ghi fullz mới mỗi ngày.

Lòng tham làm mờ mắt

Lời thú tội của Hieupc - hacker người Việt từng chịu 7 năm tù ở Mỹ

Năm 2012, Hieupc đã trở thành triệu phú: các trang web cùng những thỏa thuận với cửa hàng trực tuyến tiếng Nga của tội phạm mạng đã mang về cho anh ta hơn 3 triệu USD. Anh nói với bố mẹ rằng số tiền kiếm được là nhờ phát triển website cho các công ty. Hiếu nói anh dùng số tiền kiếm được để trả nợ cho gia đình, tiêu xài trong các kỳ nghỉ, mua xe hơi và nhiều thứ xa hoa khác.

Khi TLO khóa tài khoản của Hiếu, mật vụ Mỹ tiếp tục sử dụng lại chiêu thức cũ: Tên tội phạm người Anh nói với Hiếu rằng hắn đã xóa Hiếu khỏi hệ thống của TLO và sẽ làm còn tiếp tục làm như thế cho tới khi Hiếu đồng ý gặp và cùng thiết lập quan hệ hợp tác an toàn.

Sau vài tháng thương lượng, Hiếu đã đồng ý hẹn người đàn ông Anh ở đảo Guam (Mỹ) để hoàn tất thỏa thuận. Vào thời điểm đó, Hiếu nghĩ rằng Guam là lãnh thổ chưa hợp nhất của Mỹ, và hoàn toàn không ngờ có thể thực thi pháp luật Mỹ ở nơi này.

“Tôi quá khao khát có một cơ sở dữ liệu ổn định. Vì bị lòng tham che mờ lý trí nên tôi đã có những hành động điên rồ mà không suy tính kỹ càng. Nhiều người đã khuyên tôi đừng đi, nhưng tôi cho rằng mình cần xem thử chuyện gì đang xảy ra”, Hiếu kể lại.

Ngay khi vừa bước chân xuống sân bay ở Guam, Hieupc lập tức bị các đặc vụ Mỹ bắt giữ. Anh đã ở tù khoảng hai tháng ở Guam trước khi bị dẫn độ về Mỹ. Một tháng sau khi bị bắt Hiếu mới được phép gọi điện thoại cho gia đình, anh chỉ có 10 phút để giải thích hoàn cảnh hiện tại.

Sau khi Hiếu bị đưa về New Jersey, anh đã thừa nhận việc xâm nhập vào hệ thống MicroBilt. Tiếp theo, anh bị chuyển đến New Hampshire, tại đây anh bị buộc phải làm nhân chứng trong ba phiên tòa khác nhau chống lại những kẻ trộm danh tính từng sử dụng dịch vụ của anh trong nhiều năm.

Với sự hợp tác của Hiếu, chính phủ Mỹ đã thực hiện đến 20 vụ bắt giữ. Hàng chục bị cáo trong số đó bị O’Neill và các nhân viên Sở Mật vụ giả danh Hiếu để dẫn dụ.

Cơ quan Mật vụ Mỹ gặp khó khăn trong việc xác định chính xác mức độ thiệt hại tài chính do Hieupc gây ra trong những năm đó, bởi vì dịch vụ của anh ta chỉ lưu trữ những hồ sơ khách hàng kiếm, không có thông tin về những dữ liệu được bán. Tuy nhiên theo ước tính, dịch vụ của Hiếu đã mang về cho tội phạm mạng tổng cộng khoảng hơn 1,1 tỷ USD từ việc khai thác hồ sơ tài khoản tại các ngân hàng và chuỗi cửa hàng bán lẻ trên khắp nước Mỹ cùng 64 triệu USD gian lận hoàn thuế ở các tiểu bang.

O’Neill đã hỏi một số khách hàng của Hiếu về những nguyên nhân sử dụng dịch vụ của Hieupc. Đa số trả lời rằng mua dữ liệu danh tính hiệu quả hơn việc mua thông tin thẻ thanh toán bị đánh cắp. Trong khi dữ liệu thẻ chỉ dùng được 1 hoặc 2 lần thì dữ liệu danh tính có thể sử dụng được trong nhiều năm.

Một điều lạ là tên của Ngô Minh Hiếu lại rất ít được biết đến so với những tội phạm thẻ tín dụng khét tiếng khác trên thế giới, trong khi những người này gây tổn thất tài chính và kinh tế ít hơn nhiều so với Hiếu.

Về phía Hiếu, anh nói rằng mình không ngạc nhiên khi các dịch vụ của anh gây ra nhiều thiệt hại tài chính như vậy, nhưng lại bị sốc khi nghe về những người bị ảnh hưởng. Trong suốt quá trình diễn ra phiên tòa, Hiếu thực sự kinh hoàng khi biết những điều mình làm đã phá hủy cuộc sống của các nạn nhân đến mức nào.

“Khi điều hành dịch vụ, tôi chẳng quan tâm đến hậu quả vì không biết khách hàng của mình là ai và họ làm gì với những dữ liệu đó. Nhưng trong vụ án của tôi, toà án liên bang nhận khoảng 13.000 thư khiếu nại từ các nạn nhân, kể họ mất nhà cửa, mất việc làm và không còn khả năng mua nhà hay duy trì nguồn tài chính bởi vì tôi. Điều đó khiến tôi cảm thấy rất ân hận, và tôi nhận ra mình là một người quá tồi tệ”.

Khi được chuyển qua lại giữa các cơ quan giam giữ liên bang, Hiếu gần như luôn gặp phải các nạn nhân của anh ở mọi nơi, có cả lính canh, nhân viên y tế và tư vấn viên.

“Khi bị giam ở Beaumont, Texas, tôi từng nói chuyện với một nhân viên cải huấn ở đó. Người này đã chia sẻ với tôi câu chuyện về bạn của cô – người bị đánh cắp thông tin danh tính và sau đó mất tất cả. Rồi cả cuộc đời cô ấy tan nát. Tôi không biết người phụ nữ đó có phải là một trong những nạn nhân của tôi không, nhưng câu chuyện đó khiến tôi cảm thấy buồn nôn. Lúc đó tôi đã nhận ra những gì tôi làm vô cùng xấu xa”, Hiếu nhớ lại.

Trong những tháng cuối cùng ở trong tù, Hiếu bắt đầu đọc nhiều sách về bảo mật máy tính và Internet. Anh còn viết một hướng dẫn dài cho người dùng Internet về cách phòng tránh bị tấn công hoặc trở thành nạn nhân của trộm cắp danh tính.

Sau khi trở về Việt Nam, Ngô Minh Hiếu cho biết trong tương lai anh mong muốn được làm việc có liên quan đến an ninh mạng nhưng hiện tại vẫn chưa sẵn sàng. Anh hiện chỉ muốn dành nhiều thời gian cho gia đình. Về lâu dài Hiếu mong muốn được định hướng cho những tin tặc trẻ tuổi đi đúng hướng, tránh xa con đường trở thành tội phạm mạng.

“Tôi hy vọng công việc của mình có thể giúp thay đổi suy nghĩ của ai đó. Chỉ cần có một người chịu thay đổi và chuyển sang làm những công việc tốt hơn đã đủ làm tôi vui rồi. Đã đến lúc tôi phải làm điều gì đó đúng đắn để trả lại cho thế giới sau những điều tồi tệ đã qua”, Hiếu chia sẻ chân thành.

Góc quảng cáo