Ngô Minh Hiếu - nickname "Hieupc" - là một hacker Việt Nam đã từng tạo dựng một trong những hệ thống bán danh tính lớn nhất từng tồn tại. Những thông tin về anh ta đã từng tràn ngập trên khắp các trang báo sau khi Hieupc bị Cơ quan Mật vụ Hoa Kì bắt tại đảo Guam năm 2013. Bị trục xuất về Việt Nam khi mãn hạn tù, Ngô Minh Hiếu đã chia sẻ câu chuyện của mình với nhà báo chuyên về an ninh mạng Brian Krebs từ nơi anh ta đang được cách ly bắt buộc do dịch Covid-19. Chúng tôi xin gửi đến bạn đọc phần lược dịch 2 bài viết về câu chuyện của Hiếu trên trang KrebsonSecurity.
Ở giai đoạn đỉnh cao trong “sự nghiệp” tội phạm mạng của mình, hacker được biết đến với nickname “Hieupc” kiếm được khoảng 125.000 USD một tháng thông qua một dịch vụ bán thông tin cá nhân chi tiết. Những thông tin này được Hieupc lấy từ những công ty môi giới dữ liệu hàng đầu trên thế giới. Mọi chuyện vẫn cứ như vậy, cho đến khi lòng tham khiến anh này rơi vào một cái bẫy được dàn dựng công phu bởi Cơ quan Mật vụ Hoa Kì. Giờ đây, sau hơn 7 năm trong tù, Hieupc đã được trở về quê nhà, và anh ta hi vọng có thể thuyết phục những người khác sử dụng kĩ năng máy tính của mình vào việc tốt.
Trong vòng vài năm, bắt đầu từ khoảng năm 2010, Ngô Minh Hiếu là kẻ duy nhất đứng đằng sau một trong những dịch vụ phổ biến và đem lại nhiều lợi nhuận nhất trên Internet về bán “fullz” - những bộ dữ liệu nhận dạng bị đánh cắp bao gồm tên, ngày sinh, số an sinh xã hội (SSN), địa chỉ email và địa chỉ vật lí của một khách hàng.
Ngô Minh Hiếu có được “kho báu” dữ liệu khách hàng này bằng cách hack kết hợp với kỹ thuật social engineering (kỹ thuật tấn công qua các biện pháp giao tiếp) vào một chuỗi các công ty môi giới dữ liệu hàng đầu. Trước khi bị Cơ quan Mật vụ Hoa Kì bắt hồi năm 2013, anh ta đã kiếm được hơn 3 triệu USD chỉ bằng việc bán dữ liệu cho những tên trộm danh tính và các đường dây tội phạm có tổ chức trên khắp nước Mỹ.
Matt O’Neill là một đặc vụ thuộc Cơ quan Mật vụ Hoa Kì, người đã thành công tạo ra một mồi nhử dụ Hieupc ra khỏi Việt Nam để đến đảo Guam hồi tháng Hai năm 2013. Ở đây, hacker trẻ tuổi lập tức bị bắt và áp giải về nước Mỹ và bị truy tố. Hiện tại, ông O’Neill đứng đầu Trung tâm Nhiệm vụ Điều tra Toàn cầu (GIOC), một đơn vị trực thuộc Cơ quan Mật vụ với nhiệm vụ hỗ trợ điều tra những nhóm tội phạm xuyên quốc gia có tổ chức.
O’Neill cho biết, ông bắt đầu quan tâm và mở cuộc điều tra việc kinh doanh dữ liệu danh tính của Hieupc sau khi đọc bài “Danh tính của bạn đáng giá bao nhiêu?” (How Much is Your Identity Worth?) bởi Brian Krebs, trong đó có nhắc đến một website của Hiếu. Theo ông O’Neill, điều lạ lùng nhất về Hieupc đó là cái tên của anh này gần như không được biết tới trong “ngôi đền” của những tên tội phạm mạng bị kết án, mà phần lớn trong số này là những kẻ buôn lậu thông tin thẻ tín dụng bị đánh cắp. Những thông tin mà Hieupc bán ra đã tạo điều kiện cho nhiều tội phạm mạng khác thực hiện những phi vụ gian lận tín dụng bằng cách tạo tài khoản mới với giá trị ước tính lên tới 1 tỉ USD, và thông qua đó cũng làm xấu đi lịch sử tín dụng của vô số người Mỹ trong quá trình ấy.
Trả lời trang KrebsonSecurity, ông O’Neil cho rằng: “Tôi không biết một tên tội phạm mạng nào gây ra tổn hại tài chính thực tế tới nhiều người Mỹ hơn Hiếu. Anh ta đã bán thông tin cá nhân của hơn 200 triệu người Mỹ và cho phép bất cứ ai có thể mua chúng với giá chỉ vài xu lẻ cho một bộ.”
Mới được thả từ hệ thống nhà tù ở Mỹ và được trục xuất trở lại Việt Nam, Ngô Minh Hiếu hiện tại đang hoàn thành quá trình cách ly bắt buộc do dịch Covid-19. Trong cơ sở cách ly, Hiếu đã liên hệ với trang KrebsonSecurity với mục đích kể câu chuyện ít người biết tới của mình, đồng thời để cảnh báo những người khác không đi theo bước chân anh.
Khởi đầu
Mười năm trước, hacker 19 tuổi Hieupc thường xuyên truy cập các diễn đàn hacking tiếng Việt. Hiếu cho biết, anh ta đến từ một gia đình trung lưu, sở hữu một cửa hàng đồ điện tử. Anh ta được cha mẹ mua cho chiếc máy tính khi khoảng 12 tuổi. Ngay lập tức, chiếc máy tính đã thu hút sự chú ý của Hiếu.
Vào những năm cuối của tuổi thiếu niên, Hiếu đã sang New Zealand để học Tiếng Anh. Trong thời gian này, anh đã là admin của một vài diễn đàn hacker trên dark web, và giữa thời gian học, Hiếu đã phát hiện ra một lỗ hổng trong hệ thống của nhà trường mà sẽ làm lộ ra thông tin thẻ thanh toán. Như Hiếu nhớ lại thì: “Tôi đã liên lạc với kỹ thuật viên IT ở đó để sửa nó, nhưng chẳng có ai quan tâm nên tôi đã hack cả hệ thống luôn. Sau đó tôi dùng lỗ hổng tương tự để hack những website khác. Tôi đã lấy được rất nhiều thẻ tín dụng.”
Hiếu kể anh ta đã quyết định sử dụng dữ liệu thẻ lấy được để mua vé sự kiện và concert từ trang Ticketmaster, và rồi bán lại vé ở một trang đấu giá New Zealand tên là TradeMe. Trường Đại học sau đó phát hiện ra vụ xâm nhập và vai trò của Hiếu, và thế là cảnh sát Auckland bắt đầu điều tra. Visa du lịch của Hiếu sau đó không được gia hạn khi học kì đầu tiên kết thúc, và để trả đũa, anh này đã tấn công website của trường này, khiến nó bị sập trong ít nhất là 2 ngày.
Theo Hiếu, sau đó anh ta bắt đầu đi học lại ở Việt Nam, nhưng rồi cũng sớm nhận ra rằng mình đang dành phần lớn thời gian trên các diễn đàn tội phạm mạng. Hiếu kể: “Tôi chuyển từ hack cho vui sang hack để kiếm tiền khi thấy việc kiếm tiền bằng cách đánh cắp dữ liệu khách hàng là quá dễ dàng. Khi ấy tôi nói chuyện với vài người bạn quen trên các diễn đàn ngầm, chúng tôi đã nói về việc lên một kế hoạch phạm tội mới.”
“Các bạn tôi nói làm thẻ tín dụng và thông tin tài khoản ngân hàng thì rất nguy hiểm, nên tôi bắt đầu nghĩ về việc bán những bộ danh tính.” Hiểu kể tiếp: “Đầu tiên tôi chỉ cho rằng đó chỉ là thông tin thôi mà, có lẽ cũng không tệ lắm đâu vì có liên quan trực tiếp gì tới tài khoản ngân hàng đâu. Nhưng tôi đã sai, và số tiền tôi bắt đầu nhanh chóng kiếm được đã làm mờ mắt tôi trong rất nhiều vấn đề.”
MicroBilt: Mục tiêu lớn trong giai đoạn đầu sự nghiệp
Mục tiêu lớn đầu tiên của Hiếu là một công ty báo cáo tín dụng người tiêu dùng ở New Jersey tên gọi là MicroBilt. Hiếu kể: “Tôi đã hack vào nền tảng của họ và đánh cắp cơ sở dữ liệu khách hàng, từ đó tôi có thể đăng nhập như khách hàng của họ và truy cập các cơ sở dữ liệu về người tiêu dùng. Tôi đã ở trong các hệ thống của họ gần như cả năm trời mà họ không hề biết.”
Rất nhanh sau khi truy cập được vào hệ thống của MicroBilt, theo lời Hiếu, anh ta đã dựng trang Superget.info, một website được quảng cáo có bán bản ghi thông tin người tiêu dùng cá nhân. Theo Hiếu, ban đầu hệ thống của anh ta khá thủ công, người mua cần phải yêu cầu những trạng thái hay một tập thông tin cụ thể mà họ cần, để rồi anh ta sẽ thực hiện tìm kiếm bằng tay.
Hiếu nhớ lại: “Tôi đã cố để có nhiều bản ghi cùng lúc hơn, nhưng tốc độ internet của tôi ở Việt Nam khi đó rất chậm. Tôi không thể tải toàn bộ về bởi cơ sở dữ liệu này là quá khổng lồ. Thế nên tôi chỉ tìm kiếm một cách thủ công cho bất cứ ai cần mua danh tính.”
Nhưng sau đó, anh ta đã sớm tìm ra cách sử dụng những máy chủ mạnh mẽ hơn ở Mỹ để tự động hóa quá trình thu thập lượng thông tin người tiêu dùng lớn hơn từ hệ thống của MicroBilt, cũng như từ các công ty môi giới dữ liệu khác. Trong bài viết từ năm 2011 của KrebsonSecurity về trang web của Hiếu có đề cập:
“Superget cho phép người dùng của nó tìm những cá nhân cụ thể theo tên, thành phố và bang. Mỗi “tín dụng” trên trang web này có giá 1 USD, và một lần tìm thành công số an sinh xã hội (SSN) hay ngày sinh của ai đó sẽ có giá 3 điểm tín dụng. Bạn càng mua nhiều điểm tín dụng thì chi phí tìm kiếm sẽ càng rẻ hơn: 6 tín dụng giá 4,99 USD; 35 tín dụng giá 20,99 USD; và 100,99 USD sẽ đem về cho bạn 230 tín dụng. Những khách hàng với nhu cầu đặc biệt có thể sử dụng gói “đại lí”, với giá 500,99 USD cho 1.500 tín dụng và 1000,99 USD cho 3.500 tín dụng.
“Các cơ sở dữ liệu của chúng tôi được cập nhật HÀNG NGÀY”, chủ sở hữu của website này quảng cáo. “Khoảng 99%, gần như 100% người Mỹ có thể được tìm thấy, nhiều hơn bất cứ trang web nào trên internet hiện tại.”
Việc xâm nhập của Hiếu vào hệ thống của MicroBilt cuối cùng thì cũng bị phát hiện, và công ty này lập tức đẩy anh ta ra khỏi các hệ thống của mình. Nhưng theo hacker này thì anh ta sau đó lại xâm nhập vào thông qua một lỗ hổng khác. “Tôi đã hack vào hệ thống của họ và tình thế trở nên giằng co trong nhiều tháng”, Hiếu nói, “Họ có thể phát hiện ra (các tài khoản của tôi) và sửa chữa, nhưng tôi sẽ lại tìm ra một lỗ hổng mới và lại hack họ.”
Court Ventures và Experian
Trò chơi mèo đuổi chuột đó vẫn tiếp diễn cho tới khi Hiếu tìm được một nguồn dữ liệu người tiêu dùng ổn định và đáng tin cậy hơn: một công ty Mỹ có tên gọi Court Ventures, với khả năng tổng hợp các bản ghi công từ tài liệu của tòa án. Hiếu thì không quan tâm tới những dữ liệu kiểu này, thứ anh ta để ý về Court Ventures là thỏa thuận chia sẻ dữ liệu với công ty môi giới dữ liệu U.S. Info Search, với khả năng tiếp cận những bản ghi về người tiêu dùng còn nhạy cảm hơn nữa.
Sử dụng những tài liệu giả và những lời ngon ngọt, Hiếu đã có thể thuyết phục Court Ventures rằng anh ta là một điều tra viên tư nhân sống ở Mỹ. Anh ta kể: “Lúc đầu, khi tôi đăng ký họ đã yêu cầu một số giấy tờ để xác minh. Thế là tôi đơn giản là sử dụng một số kĩ năng social engineering và vượt qua kiểm tra an ninh một cách trót lọt.”. Sau đó, vào tháng Ba năm 2012, một điều “tuyệt vời” hơn đã xảy ra: Court Ventures được mua lại bởi Experian - một trong ba tổ chức tín dụng khách hàng lớn nhất ở Mỹ. Và sau chín tháng kể từ vụ thâu tóm này, Hiếu đã có thể duy trì truy cập vào cơ sở dữ liệu. Anh ta nói: “Sau đó, cơ sở dữ liệu được đặt dưới quyền kiểm soát của Experian. Tôi đã trả Experian kha khá tiền, hàng nghìn USD mỗi tháng.”.
Dù không thể biết được liệu có ai đó ở Experian đã từng có sự quan tâm cần thiết tới những tài khoản sáp nhập từ phía Court Ventures, nhưng có lẽ không khó khăn mấy để xác định ra điều bất hợp lý ở tài khoản như của Hiếu. Đầu tiên, phải kể đến việc anh ta thường trả hóa đơn hàng tháng cho những yêu cầu dữ liệu khách hàng qua hình thức chuyển khoản từ vô số tài khoản ngân hàng trên khắp thế giới, nhưng chủ yếu là từ những tài khoản mới lập ở các tổ chức tài chính tại Trung Quốc, Malaysia và Singapore.
Ông O’Neill cho biết, trang web bán thông tin danh tính của Hiếu đã tạo ra hàng chục nghìn truy vấn mỗi tháng. Có thể lấy ví dụ, hóa đơn đầu tiên mà Court Ventures gửi đến cho anh ta vào tháng Mười Hai năm 2010 là cho 60.000 lượt truy vấn. Tính đến trước thời điểm Experian mua lại công ty này, dịch vụ của Hiếu đã thu hút được khoảng hơn 1.400 khách hàng thường xuyên với trung bình 160.000 lượt truy vấn mỗi tháng.
Nhưng quan trọng hơn, biên lợi nhuận của Hiếu là rất lớn. Ông O’Neill nói: “Dịch vụ của anh ta kiếm bộn. Phía Court Ventures thu của anh ta 14 cent mỗi lần tìm kiếm, nhưng anh ta thu của khách hàng khoảng 1 USD cho mỗi truy vấn.”.
Tới thời điểm đó, ông O’Neill và các đồng nghiệp tại Cơ quan Mật vụ đã có được hàng tá trát của tòa có liên quan tới dịch vụ đánh cắp danh tính của Hiếu, bao gồm một cái cho phép họ quyền truy cập vào tài khoản email anh ta sử dụng để giao tiếp với khách hàng cũng như quản trị trang web của mình. Các đặc vụ khi đó đã khám phá vài email Hiếu gửi cho một đồng phạm, trong đó có hướng dẫn cách trả tiền cho Experian qua chuyển khoản từ các ngân hàng châu Á khác nhau.
TLO
Làm việc với Cơ quan Mật vụ, phía Experian đã nhanh chóng xóa sổ các tài khoản của Hiếu. Nhận thấy cơ hội, các đặc vụ đã liên hệ được với Hiếu thông qua một người trung gian ở Vương quốc Anh - một tội phạm mạng có tiếng đã bị kết án, người đã đồng ý làm theo lệnh của cơ quan này. Người này sau đó nói với Hiếu rằng chính anh ta đã ngưng quyền truy cập tới Experian của Hiếu bởi anh ta đã làm dịch vụ tương tự từ trước, và việc kinh doanh của Hiếu đã làm ảnh hưởng tới anh ta.
Ông O’Neill nhớ lại: “Gã ở Anh nói với Hiếu, ‘Này, cậu đang giẫm chân lên bãi cỏ nhà tôi, nên tôi quyết định là phải khóa cậu ở ngoài. Nhưng nếu cậu chịu trả một khoản phần trăm cho tôi, cậu sẽ không mất đi quyền truy cập nữa.’” Tên tội phạm mạng ở Anh, diễn xuất theo chỉ thị của Cơ quan Mật vụ Mỹ và nhà chức trách Anh, nói với Hiếu rằng, nếu anh ta muốn giữ quyền truy cập thì phải đồng ý gặp mặt trực tiếp. Nhưng Hiếu cũng đủ khôn ngoan để không lập tức mắc câu.
Thay vào đó, anh ta lại tìm cách truy cập vào một cơ sở dữ liệu khổng lồ khác. Với cách thức gần như tương tự lúc tìm cách truy cập vào Court Ventures, Hiếu đã có tài khoản ở một công ty tên là TLO - một công ty môi giới dữ liệu khác, kinh doanh quyền truy cập vào những thông tin chi tiết và nhạy cảm đặc biệt về hầu hết người Mỹ.
Dịch vụ của TLO thường được cung cấp cho các cơ quan thực thi pháp luật tại Mỹ và một số giới hạn các chuyên gia đã được xem xét, những người có thể trình bày một lí do hợp pháp để truy cập vào những thông tin như vậy. TLO đã bị thâu tóm bởi Trans Union, một trong ba tổ chức báo cáo tín dụng khách hàng lớn nhất của Mỹ vào năm 2014.
Trong một khoảng thời gian ngắn, Hiếu đã sử dụng quyền truy cập tại TLO để lần nữa tạo ra một dịch vụ bán thông tin danh tính như cũ, với tên gọi là usearching.info. Trang web này cũng lấy thông tin khách hàng từ một công ty cho vay ngày lĩnh lương (payday loan - một hình thức vay ngắn hạn) mà Hiếu đã hack được. Hiếu cho biết, trang web này đã lập tức cung cấp cho anh ta khoảng gần 1.000 bộ bản ghi đầy đủ fullz mỗi ngày.
Ma lực của đồng tiền che mờ lý trí Hieupc
Tới thời điểm đó, Hiếu đã là một triệu phú đô la: những trang web tự vận hành và những thỏa thuận bán lại với ba cửa hàng tiếng Nga cho tội phạm mạng đã giúp anh ta kiếm được hơn 3 triệu USD. Hiếu nói với cha mẹ rằng tiền của mình tới từ việc giúp các công ty phát triển trang web, và đã dùng những đồng tiền phạm tội kiếm được để trả khoản nợ của gia đình (cửa hàng đồ điện tử đã phá sản, và một thành viên gia đình đã mượn một khoản tiền đáng kể nhưng sau đó không trả lại). Nhưng chủ yếu, theo Hiếu, anh ta đã tiêu tiền vào nhiều thứ phù phiếm, dù anh cũng nói mình không hề dùng tiền vào rượu hay ma túy. “Tôi tiêu tiền vào những chuyến du lịch và xe cộ và nhiều thứ ngu ngốc khác.” - Hiếu nói.
Đến khi cả TLO cũng đã chặn quyền truy cập tài khoản với Hiếu, Cơ quan Mật vụ lại lần nữa tận dụng cơ hội để tay chân người Anh của họ tìm cách đưa Hiếu vào tròng. Ông O’Neill kể: “Gã đó nói với Hiếu rằng lại chính gã đã chặn tài khoản của anh ta, và gã có thể làm thế mãi. Nên nếu anh ta thực sự muốn kéo dài việc truy cập tới mọi nơi mà anh ta từng truy cập, anh ta phải đồng ý gặp mặt và thiết lập mối quan hệ đối tác vững chắc hơn.”
Sau vài tháng trao đổi, cuối cùng Hiếu đã đồng ý gặp gã người Anh tại đảo Guam để hoàn thành thỏa thuận. Hiếu kể, khi đó anh ta hiểu rằng Guam là một phần lãnh thổ thuộc Mỹ, nhưng anh ta đã không để ý tới khả năng tất cả sự việc chỉ là một cái bẫy công phu của cơ quan hành pháp. Hiếu nói: “Tôi đã quá tuyệt vọng trong việc có một cơ sở dữ liệu ổn định, và tôi đã mờ mắt bởi lòng tham, để rồi hành động điên rồ mà không suy nghĩ. Nhiều người đã bảo tôi ‘Đừng đi!’, nhưng tôi nói với họ rằng mình phải thử để xem điều gì sẽ xảy ra.”
Nhưng, ngay sau khi bước chân ra khỏi máy bay ở Guam, Hiếu lập tức bị bắt bởi các mật vụ Mỹ. Ông O’Neill nói đùa: “Một trong các dịch vụ bán danh tính của anh ta là findget.me (find get me - tìm bắt tôi đi). Chúng tôi đã làm nghiêm túc theo điều anh ta yêu cầu đấy thôi.”
Theo Đỗ Tú (Tổ Quốc)