Ngô Minh Hiếu - nickname "Hieupc" - là một hacker Việt Nam đã từng tạo dựng một trong những hệ thống bán danh tính lớn nhất từng tồn tại. Những thông tin về anh ta đã từng tràn ngập trên khắp các trang báo sau khi Hieupc bị Cơ quan Mật vụ Hoa Kì bắt tại đảo Guam năm 2013. Bị trục xuất về Việt Nam khi mãn hạn tù, Ngô Minh Hiếu đã chia sẻ câu chuyện của mình với nhà báo chuyên về an ninh mạng Brian Krebs từ nơi anh ta đang được cách ly bắt buộc do dịch Covid-19. Chúng tôi xin gửi đến bạn đọc phần lược dịch phần sau bài viết về câu chuyện của Hiếu trên trang KrebsonSecurity.
Trong bài viết trước , chúng ta đã được biết về Ngô Minh Hiếu, một hacker được Cơ quan Mật vụ Hoa Kỳ mô tả là người gây ra nhiều tổn hại tài chính thực tế cho nhiều người dân nước này hơn bất cứ tội phạm mạng nào từng bị kết án. Gần đây, Hiếu đã bị trục xuất về Việt Nam sau khi phải ngồi tù hơn 7 năm vì đứng đằng sau nhiều dịch vụ bán danh tính. Giờ đây, anh ta cho biết mình muốn dùng trải nghiệm của mình để thuyết phục những tội phạm mạng khác sử dụng kĩ năng của họ cho mục đích tốt. Sau đây là những gì đã xảy ra sau khi Hiếu bị bắt.
Phần đầu của viết này đã kết thúc với việc Hiếu xỏ tay vào còng số tám ngay sau khi rời chuyến bay đáp xuống đảo Guam, nơi anh ta tin rằng mình sắp gặp một tội phạm mạng khác, kẻ đã hứa hẹn sẽ kết nối anh ta với ngọn nguồn của mọi bộ dữ liệu khách hàng.
Hiếu trước đó đã kiếm được khoảng 125.000 USD mỗi tháng bằng cách bán lại dữ liệu chiếm đoạt phi nghĩa từ một số công ty môi giới dữ liệu lớn nhất nhì hành tinh. Nhưng Cơ quan Mật vụ Mỹ vẫn phát hiện ra nhiều tài khoản ở các công ty này của anh ta và xóa sổ chúng từng cái một. Sau biến cố, Hiếu bị ám ảnh về việc tái lập lại việc kinh doanh của mình và giữ mức thu nhập như trước. Tính đến thời điểm đó, dịch vụ bán thông tin ăn cắp của anh ta đã đem lại khoảng 3 triệu USD.
Khi nhận thấy những phản ứng của Hiếu, các mật vụ Mỹ đã sử dụng một người trung gian để lừa Hiếu nghĩ rằng anh ta đang xâm phạm vào lĩnh vực của một tội phạm mạng khác. Dưới đây là trích dẫn từ phần 1 của bài viết:
Nhận thấy cơ hội, các đặc vụ đã liên hệ được với Hiếu thông qua một người trung gian ở Vương quốc Anh - một tội phạm mạng có tiếng đã bị kết án, người đã đồng ý làm theo lệnh của cơ quan này. Người này sau đó nói với Hiếu rằng chính anh ta đã ngưng quyền truy cập tới Experian của Hiếu bởi anh ta đã làm dịch vụ tương tự từ trước, và việc kinh doanh của Hiếu đã làm ảnh hưởng tới anh ta.
Ông O’Neill nhớ lại: "Gã ở Anh nói với Hiếu, ‘Này, cậu đang giẫm chân lên bãi cỏ nhà tôi, nên tôi quyết định là phải khóa cậu ở ngoài. Nhưng nếu cậu chịu trả một khoản phần trăm cho tôi, cậu sẽ không mất đi quyền truy cập nữa.’" Tên tội phạm mạng ở Anh, diễn xuất theo chỉ thị của Cơ quan Mật vụ Mỹ và nhà chức trách Anh, nói với Hiếu rằng, nếu anh ta muốn giữ quyền truy cập thì phải đồng ý gặp mặt trực tiếp.
Sau vài tháng trao đổi, cuối cùng Hiếu đã đồng ý gặp gã người Anh tại đảo Guam để hoàn thành thỏa thuận. Hiếu kể, khi đó anh ta hiểu rằng Guam là một phần lãnh thổ thuộc Mỹ, nhưng anh ta đã không để ý tới khả năng tất cả sự việc chỉ là một cái bẫy công phu của cơ quan hành pháp. Hiếu nói: "Tôi đã quá tuyệt vọng trong việc có một cơ sở dữ liệu ổn định, và tôi đã mờ mắt bởi lòng tham, để rồi hành động điên rồ mà không suy nghĩ. Nhiều người đã bảo tôi ‘Đừng đi!’, nhưng tôi nói với họ rằng mình phải thử để xem điều gì sẽ xảy ra."
Nhưng, ngay sau khi bước chân ra khỏi máy bay ở Guam, Hiếu lập tức bị bắt bởi các mật vụ Mỹ. Ông O’Neill nói đùa: "Một trong các dịch vụ bán danh tính của anh ta là findget.me (find get me - tìm bắt tôi đi). Chúng tôi đã làm nghiêm túc theo điều anh ta yêu cầu đấy thôi."
Trong một cuộc phỏng vấn với trang KrebsOnSecurity, Hiếu cho biết anh ta đã bị giam giữ ở một nhà tù ở Guam trong khi chờ được chuyển tới nội địa Mỹ. Sau một tháng, anh ta được phép gọi về nhà trong vòng 10 phút và giải thích về những gì mình đang gặp phải.
“Đó là một quãng thời gian rất khó khăn”, Hiếu nói. “Họ đã rất buồn và khóc rất nhiều.”.
Điểm dừng đầu tiên trong “hành trình truy tố” của anh ta là ở New Jersey, nơi cuối cùng anh ta nhận tội đã hack vào hệ thống của MicroBilt, công ty môi giới dữ liệu đầu tiên trong số các công ty Hiếu sử dụng để lấy dữ liệu khách hàng nhằm phục vụ cho nhiều biến tướng của dịch vụ bán danh tính ăn cắp của mình trong nhiều năm.
Tiếp theo là New Hampshire, nơi mà việc nhận tội cũng đã buộc anh ta phải làm chứng ở ba phiên tòa khác nhau chống lại những tên trộm danh tính, những kẻ đã từng sử dụng các dịch vụ của Hiếu. Trong số đó có Lance Ealy, một tên trộm danh tính hàng loạt từ Dayton, Ohio, người đã mua hơn 350 “fullz” - một bộ bao gồm mọi thứ tội phạm sẽ cần để trộm danh tính của ai đó, bao gồm số an sinh xã hội (SSN), tên thời con gái của mẹ, ngày sinh, địa chỉ, số điện thoại, địa chỉ email, thông tin tài khoản ngân hàng và các loại mật khẩu.
Ealy sử dụng dịch vụ của Hiếu để thực hiện lừa đảo thông qua cơ chế hoàn thuế tại Sở Thuế vụ Liên bang Mỹ (IRS), nhận về những khoản hoàn thuế khổng lồ bằng danh tính của các nạn nhân - những người chỉ nhận ra sự việc khi thực hiện khai thuế, để rồi phát hiện ra có ai đó đã làm việc đó trước rồi.
Sự phối hợp của Hiếu với chính quyền đã dẫn tới 20 vụ bắt giữ, trong số đó có khoảng một tá bị can bị đem ra ánh sáng bởi đặc vụ O’Neill và các đồng nghiệp bằng cách đóng giả là Hiếu. Dù vậy, ngay cả Cơ quan Mật vụ cũng gặp khó khăn trong việc xác định chính xác về mức độ ảnh hưởng về tài chính mà các dịch vụ bán danh tính của Hiếu gây ra trong suốt nhiều năm, chủ yếu bởi các dịch vụ này chỉ lưu lại bản ghi những gì khách hàng tìm kiếm, chứ không lưu lại việc họ đã mua bản ghi nào.
Nhưng, dựa trên những thông tin có được, giới chức Mỹ ước tính rằng dịch vụ của Hiếu đã tạo điều kiện cho các vụ lừa đảo bằng tài khoản mới tại các ngân hàng và các nhà bán lẻ với thiệt hại lên tới 1,1 tỉ USD. Thêm vào đó, họ cũng ước tính các dịch vụ anh ta cung cấp đã gián tiếp tạo điều kiện cho các vụ gian lận hoàn thuế với con số lên tới 64 triệu USD.
“Chúng tôi đã thẩm vấn một số khách hàng của Hiếu, những người khá cởi mở về lí do họ sử dụng dịch vụ của anh ta.”, ông O’Neill cho biết, “Nhiều người trong số họ cùng nói về một thứ: mua thông tin định danh thì tốt cho họ hơn hẳn là thông tin thẻ tín dụng bị đánh cắp, bởi dữ liệu thẻ có thể được sử dụng một hay hai lần sẽ trở nên vô dụng, còn những bộ danh tính thì có thể được sử dụng lại nhiều lần trong nhiều năm.”.
Ông O’Neill chia sẻ, ông vẫn rất ngạc nhiên trước sự thật rằng cái tên của Hiếu về cơ bản là không được biết đến, khi so sánh với những kẻ ăn cắp thẻ tín dụng trên thế giới. Vài người trong số đó chịu trách nhiệm cho việc đánh cắp hàng trăm triệu thẻ tín dụng từ các nhà bán lẻ lớn. “Tôi không biết bất cứ ai có thể gây nguy hại trực tiếp (về tài chính) tới người Mỹ nhiều như Hiếu. Nhưng hầu hết mọi người đều chưa từng nghe đến tên anh ta.”, ông nói.
Hiếu cho biết, anh ta không ngạc nhiên về việc các dịch vụ của mình gây ra nhiều tác hại về tài chính. Nhưng anh ta đã hoàn toàn không chuẩn bị trước cho việc những tác hại về đời sống. Trong suốt quá trình tòa xử án, Hiếu đã ngồi nghe qua từng câu chuyện về cách dịch vụ của anh ta đã hủy hoại đời sống kinh tế từ nhiều người bị hại.
Hiếu kể: “Khi tôi vận hành dịch vụ đó, tôi đã không quan tâm mấy bởi tôi không biết khách hàng của mình và cũng không biết nhiều về những việc họ làm với chúng (thứ anh ta bán). Nhưng trong suốt vụ kiện, tòa án liên bang đã nhận được 13.000 lá thư từ những nạn nhân, những người than phiền rằng họ đã mất nhà cửa, việc làm, hoặc là không còn khả năng mua nhà hay giữ ổn định tài chính chỉ vì tôi. Điều này khiến tôi cảm thấy thực sự tồi tệ, và tôi nhận ra tôi đã là một kẻ khủng khiếp đến như thế nào.”
Dù được điều chuyển từ cở sở giam giữ liên bang này đến cơ sở khác nhiều lần, Hiếu dường như luôn luôn gặp phải những nạn nhân của việc ăn trộm danh tính ở bất cứ đâu anh ta tới, ví như những quản ngục, nhân viên chăm sóc sức khỏe hay cả các luật sư. Hiếu nhớ lại: “Khi tôi ngồi tù ở Beaumont, Texas, tôi đã nói chuyện với một trong những sĩ quan cải tạo ở đó. Cô ấy đã chia sẻ với tôi câu chuyện về người bạn của cô ấy, người đã mất thông tin danh tính và sau đó đánh mất mọi thứ. Cả cuộc sống của cô ấy sụp đổ. Tôi không thể biết rằng liệu người phụ nữ đó có phải một trong những nạn nhân của mình không, nhưng câu chuyện đó làm tôi thấy khó chịu. Giờ đây tôi biết rằng những gì mình đã làm là xấu xa.”
Hacker người Việt Nam được thả khỏi nhà tù vài tháng trước, và giờ đây anh ta đang kết thúc quá trình cách ly bắt buộc do Covid-19 kéo dài 3 tuần tại một cơ sở của nhà nước gần thành phố Hồ Chí Minh. Ở những tháng cuối cùng trong tù, Hiếu bắt đầu đọc mọi thứ anh ta có thể tiếp cận về máy tính và an ninh mạng, và thậm chí còn viết một bài hướng dẫn khá dài dành cho người dùng internet thông thường với những lời khuyên về cách tránh bị hack hay trở thành nạn nhân của trộm cắp danh tính.
Hiếu chia sẻ rằng anh ta mong một ngày nào đó sẽ có công việc trong ngành an ninh mạng, dù anh ta không gấp gáp trong chuyện đó. Anh ta đã có ít nhất một lời đề nghị làm việc ở Việt Nam, nhưng đã từ chối. Hiếu nói hiện tại anh ta chưa sẵn sàng để làm việc, mà sẽ dành thời gian với gia đình mình - đặc biệt là với người cha, người gần đây được chẩn đoán mắc ung thư giai đoạn 4.
Xa hơn, Hiếu nói anh ta muốn làm cố vấn cho những người trẻ và giúp hướng dẫn họ đi đúng đường, tránh xa việc trở thành tội phạm công nghệ cao. Anh ta cũng tỏ ra trung thực về những tội lỗi của mình và những tổn hại mình đã gây ra, khi Hiếu đề cập rõ ràng việc là tội phạm mạng từng bị bắt trên trang LinkedIn của mình.
Hiếu cho biết: “Tôi hi vọng những gì mình làm có thể giúp thay đổi suy nghĩ của một số người, và nếu ít nhất một người có thể thay đổi và chuyển sang làm việc tốt là tôi vui rồi. Đã đến lúc để tôi làm điều gì đó đúng đắn, để trả lại [những gì đã gây ra] cho thế giới, bởi tôi biết tôi có thể làm việc gì đó như thế.”
Du vậy, tỉ lệ tái phạm trong số tội phạm mạng là đặc biệt cao, và sẽ rất dễ để cho Hiếu “ngựa quen đường cũ”. Sau cùng thì, ít có ai biết nhiều về anh ta cách thâm nhập vào các cơ sở dữ liệu danh tính.
Ông O’Neill thì cho rằng ông tin Hiếu sẽ không phạm tội lần nữa. Nhưng ông cũng bổ sung rằng, nếu dịch vụ của Hiếu tồn tại ở thời điểm hiện tại thì sẽ còn thành công hơn cũng như mang lại nhiều lợi nhuận hơn. Lí do là bởi trong năm 2020 đã có rất nhiều kẻ lừa gạt sử dụng dữ liệu danh tính bị đánh cắp để đánh lừa các bang cũng như chính quyền liên bang tại Mỹ để nhận lấy những khoản vay hỗ trợ do Covid-19 cũng như bảo hiểm thất nghiệp.
Ông O’Neill nói: “Không có vẻ gì là anh ta lại tìm cách trở về con đường phạm tội. Nhưng tôi tin chắc những kẻ lừa đảo đang lợi dụng các khoản vay doanh nghiệp nhỏ và trợ cấp thất nghiệp đã biết về những thông tin danh tính trên trang web của Hiếu. Anh ta chắc chắn đã làm được một điều mới mẻ khi đó.”
Hiếu thì giữ quan điểm anh ta không có chút quan tâm nào tới việc làm bất cứ điều gì có thể khiến anh ta ngồi tù. Anh ta nói: “Nhà tù là một nơi rất khó khăn, nhưng nó đã cho tôi thời gian để suy nghĩ về cuộc đời và những lựa chọn của mình. Giờ đây tôi dành tâm sức của bản thân để làm việc tốt và trở nên tốt hơn mỗi ngày. Giờ tôi cũng biết rằng tiền chỉ là một phần của cuộc sống. Nó không phải là mọi thứ cũng như không thể mang đến hạnh phúc thực sự. Tôi hi vọng những tội phạm mạng ngoài kia có thể học được gì đó từ trải nghiệm của mình. Tôi mong họ sẽ dừng việc mình đang làm lại và thay vào đó sử dụng những kĩ năng của mình để làm thế giới tốt đẹp hơn.”
Theo Đỗ Tú (Tổ Quốc)