Vừa ra tù ở Mỹ và bị trục xuất về Việt Nam, hacker đình đám một thời, Ngô Minh Hiếu hiện đang hoàn thành đợt cách ly COVID-19 bắt buộc. Anh ta đã liên lạc với Krebs On Security, một blog của Brian Krebs, phóng viên kỳ cựu của tờ The Washington Post, với mục đích là kể lại toàn bộ câu chuyện ít được biết đến của mình và để cảnh báo những người khác tránh đi theo “vết xe đổ”.

Hacker gây thiệt hại nhiều nhất cho Mỹ

Vào thời kỳ đỉnh cao của "sự nghiệp" tội phạm mạng, hacker được biết đến với cái tên “ Hieupc ” đã kiếm được 125.000 USD mỗi tháng khi điều hành một dịch vụ đánh cắp danh tính đầy nhộn nhịp. Người này chuyên lấy cắp hồ sơ của người tiêu dùng từ một số nhà môi giới dữ liệu hàng đầu thế giới. Cho đến khi lòng tham và tham vọng của anh ta lọt thẳng vào một cạm bẫy phức tạp do Cơ quan Mật vụ Mỹ đặt ra.

Trong vài năm, bắt đầu từ khoảng năm 2010, một thiếu niên đơn độc ở Việt Nam tên là Ngô Minh Hiếu đã điều hành một trong những dịch vụ phổ biến và sinh lời nhất trên Internet để bán “fullz”, hồ sơ nhận dạng bị đánh cắp bao gồm tên, ngày sinh, số an sinh xã hội và email và địa chỉ thực của người tiêu dùng.

Hiếu có được kho tàng dữ liệu người tiêu dùng của mình bằng cách hack và thiết kế mạng xã hội theo cách của mình vào một chuỗi các nhà môi giới dữ liệu lớn. Vào thời điểm Sở Mật vụ bắt được anh vào năm 2013, anh ta đã kiếm được hơn 3 triệu USD từ việc bán dữ liệu fullz cho những tên trộm danh tính và các ổ nhóm tội phạm có tổ chức hoạt động trên khắp nước Mỹ.

Hacker Hieupc từng kiếm được 125.000 USD mỗi tháng. Ảnh minh hoạ: Kompasiana

Matt O'Neill là nhân viên Sở Mật vụ, vào tháng 2/2013 đã thực hiện thành công một kế hoạch dụ Hiếu ra khỏi Việt Nam và đến đảo Guam, nơi anh chàng hacker trẻ tuổi bị bắt và bị đưa sang Mỹ để đối mặt với việc truy tố. O'Neill hiện đứng đầu Trung tâm Hoạt động Điều tra Toàn cầu của cơ quan này, nó nơi hỗ trợ các cuộc điều tra về các nhóm tội phạm có tổ chức xuyên quốc gia.

O'Neill cho biết anh đã mở cuộc điều tra về việc kinh doanh trộm cắp danh tính của Minh Hiếu sau khi đọc về nó trong một câu chuyện của Krebs On Security năm 2011. Theo O'Neill, điều đáng chú ý về Hieupc là cho đến ngày nay, tên của anh ta hầu như không được biết đến trong số các tội phạm mạng khét tiếng bị kết án.

Các doanh nghiệp của Ngô Minh Hiếu đã tạo điều kiện cho cả một thế hệ tội phạm mạng thực hiện hành vi gian lận tài khoản mới trị giá khoảng 1 tỷ USD và lấy cắp được đầy rẫy lịch sử tín dụng của vô số người Mỹ trong quá trình này.

O'Neill nói với Krebs On Security: “Tôi chưa từng biết có tội phạm mạng nào khác đã gây ra thiệt hại về tài chính cho nhiều người Mỹ hơn Ngô Minh Hiếu. Anh ta đã bán thông tin cá nhân của hơn 200 triệu người Mỹ và cho phép bất kỳ ai mua thông tin đó với giá từng xu”.

Hack để giải trí

Mười năm trước, hacker Ngô Minh Hiếu khi đó 19 tuổi, là một người thường xuyên xuất hiện trên các diễn đàn hack máy tính tiếng Việt. Hiếu cho biết anh xuất thân từ một gia đình trung lưu sở hữu một cửa hàng điện tử và được bố mẹ mua cho một chiếc máy tính khi anh mới 12 tuổi. Từ đó trở đi, anh như bị cuốn vào thế giới mạng.

Ở tuổi thiếu niên, anh đã đến New Zealand để học tiếng Anh tại một trường đại học. Vào thời điểm đó, anh ấy đã là quản trị viên của một số diễn đàn về hacker dark web, và trong quá trình học tập, Hiếu phát hiện ra một lỗ hổng trong mạng của trường làm lộ dữ liệu thẻ thanh toán.

"Tôi đã liên hệ với kỹ thuật viên công nghệ ở đó để sửa nó, nhưng không ai quan tâm nên tôi đã hack toàn bộ hệ thống. Sau đó, tôi đã sử dụng cùng một lỗ hổng để hack các trang web khác. Tôi đã ăn cắp rất nhiều thẻ tín dụng”, Hiếu kể lại.

Hieupc cho biết, anh quyết định sử dụng dữ liệu thẻ để mua vé xem buổi hòa nhạc và sự kiện từ Ticketmaster, sau đó bán vé tại một trang đấu giá của New Zealand có tên TradeMe. Trường đại học sau đó biết được vụ đột nhập và vai trò của Hiếu trong đó, và cảnh sát Auckland đã vào cuộc. Thị thực du lịch của Minh Hiếu đã không được gia hạn sau khi học kỳ đầu tiên của anh kết thúc, và để đáp trả, Hieupc đã tấn công trang web của trường đại học và cho đóng cửa nó trong ít nhất hai ngày.

Ngô Minh Hiếu thời còn trẻ. Ảnh: NVCC

Hieupc cho biết anh bắt đầu tham gia các lớp học sau khi trở lại Việt Nam, nhưng ngay sau đó anh dành phần lớn thời gian trên các diễn đàn tội phạm mạng. “Tôi đã đi từ hack để giải trí sang hack vì lợi nhuận, khi tôi thấy việc đánh cắp cơ sở dữ liệu khách hàng dễ dàng như thế nào. Tôi chơi với một số bạn bè của mình từ các diễn đàn ngầm và chúng tôi đã bàn về việc lên kế hoạch cho một hoạt động tội phạm mới”, hacker này kể lại.

“Bạn bè của tôi nói làm thẻ tín dụng và thông tin ngân hàng rất nguy hiểm, vì vậy tôi bắt đầu nghĩ đến việc bán danh tính. Lúc đầu tôi cũng nghĩ, đây chỉ là thông tin thôi, có lẽ cũng không đến nỗi vì không liên quan trực tiếp đến tài khoản ngân hàng. Nhưng tôi đã sai, và số tiền tôi kiếm được rất nhanh chỉ làm tôi bị mù quáng”, anh tiếp tục.

Mục tiêu đầu tiên: MicroBilt

Mục tiêu lớn đầu tiên của anh là một công ty báo cáo tín dụng tiêu dùng ở New Jersey có tên là MicroBilt.

“Tôi đã xâm nhập vào nền tảng của họ và đánh cắp cơ sở dữ liệu khách hàng để tôi có thể sử dụng thông tin đăng nhập khách hàng và truy cập cơ sở dữ liệu người tiêu dùng của chính họ. Tôi đã ở trong hệ thống của họ gần một năm mà họ không biết gì”, Minh Hiếu kể lại.

Hacker Hieupc cho biết, rất nhanh sau khi có quyền truy cập vào MicroBilt, anh đã thành lập trang Superget, một trang web quảng cáo việc bán hồ sơ cá nhân của người tiêu dùng. Hiếu cho biết, ban đầu dịch vụ của anh khá thủ công, yêu cầu khách hàng ghi rõ các tiểu bang hoặc người tiêu dùng cụ thể mà họ muốn có thông tin và anh sẽ tiến hành tra cứu bằng tay.

“Tôi đã cố gắng đạt được nhiều kỷ lục hơn cùng một lúc, nhưng tốc độ Internet của chúng tôi ở Việt Nam lúc đó rất chậm. Tôi không thể tải nó xuống vì cơ sở dữ liệu quá lớn. Vì vậy, tôi chỉ tìm kiếm thủ công những ai cần danh tính”, Hieupc tường thuật.

Nhưng Minh Hiếu sớm tìm ra cách sử dụng các máy chủ mạnh hơn ở Mỹ để tự động hóa việc thu thập lượng lớn dữ liệu người tiêu dùng từ hệ thống của MicroBilt và từ các nhà môi giới dữ liệu khác. Superget cho phép người dùng tìm kiếm các cá nhân cụ thể theo tên, thành phố và tiểu bang. 

Mỗi “khoản tín dụng” có giá 1 USD và một lần truy cập thành công vào số an sinh xã hội hoặc ngày sinh sẽ tốn 3 khoản tín dụng cho mỗi thao tác. Bạn mua càng nhiều khoản tín dụng, thì lượt tìm kiếm trên mỗi khoản tín dụng càng rẻ: Sáu khoản tín dụng có giá 4,99 USD; 35 khoản tín dụng có giá 20,99 USD và 100,99 USD mua cho bạn 230 khoản tín dụng. Khách hàng có nhu cầu đặc biệt có thể tận dụng “gói người bán lại”, hứa hẹn 1.500 tín dụng với giá 500,99 USD và 3.500 tín dụng với giá 1000,99 USD.

Phí dịch vụ của supergethome. Ảnh chụp màn hình

“Cơ sở dữ liệu của chúng tôi được cập nhật mỗi ngày. Có thể tìm thấy khoảng 99% người Mỹ, nhiều hơn bất kỳ trang web nào trên internet hiện nay”, Hieupc khẳng định điều này trực tiếp trên giao diện trang web.

Sự xâm nhập của Hiếu vào MicroBilt cuối cùng đã bị phát hiện và công ty đã đuổi anh ta khỏi hệ thống. Nhưng hacker này nói rằng, anh ấy đã thâm nhập trở lại nhờ sử dụng một lỗ hổng khác.

"Tôi đã hack chúng và nó đã hoạt động trở lại trong nhiều tháng. Họ sẽ phát hiện ra tài khoản của tôi và sửa nó, còn tôi sẽ phát hiện ra lỗ hổng mới và tấn công chúng một lần nữa”, Hieupc kể lại.

Bị lộ danh tính ở Court Ventures và Experian

Trò “mèo vờn chuột” này tiếp tục cho đến khi Hieupc tìm thấy nguồn dữ liệu người tiêu dùng ổn định và đáng tin cậy hơn nhiều: Một công ty có trụ sở tại Mỹ có tên là Court Ventures, chuyên tổng hợp hồ sơ công khai từ các tài liệu của tòa án. Minh Hiếu không quan tâm đến dữ liệu do Court Ventures thu thập mà thay vào đó là thỏa thuận chia sẻ dữ liệu với nhà môi giới dữ liệu bên thứ ba có tên US Info Search, công ty có quyền truy cập vào hồ sơ  nhạy cảm hơn nhiều của người tiêu dùng.

Sử dụng các tài liệu giả mạo và một vài lời nói dối, Hieupc đã có thể thuyết phục Court Ventures rằng anh là một điều tra viên tư nhân có trụ sở tại Mỹ. “Lúc đầu khi tôi đăng ký, họ yêu cầu một số tài liệu để xác minh. Vì vậy, tôi chỉ sử dụng một số kỹ năng về kỹ thuật xã hội và vượt qua kiểm tra an ninh”, anh kể.

Tháng 3/2012, Court Ventures đã được mua lại bởi Experian, một trong ba văn phòng tín dụng tiêu dùng lớn ở Mỹ. Và trong 9 tháng sau khi mua lại, Hiếu đã có thể duy trì quyền truy cập của mình vào hệ thống.

Hacker nói: “Sau đó, cơ sở dữ liệu nằm trong tầm kiểm soát của Experian. Tôi đã trả cho Experian một khoản tiền hậu hĩnh, hàng nghìn USD một tháng”. Liệu có ai tại Experian từng thực hiện thẩm định đối với các tài khoản được tổng hợp từ Court Ventures hay không vẫn chưa rõ ràng. Nhưng việc phát hiện ra một khách hàng đáng ngờ như Hieupc là điều quá dễ với họ.

Thứ nhất, Minh Hiếu đã thanh toán hóa đơn hàng tháng cho các yêu cầu dữ liệu của khách hàng bằng chuyển khoản từ vô số ngân hàng trên thế giới, nhưng chủ yếu là từ các tài khoản mới tại các tổ chức tài chính ở Trung Quốc, Malaysia và Singapore.

O'Neill cho biết trang web đánh cắp danh tính của Hiếu đã tạo ra hàng chục nghìn truy vấn mỗi tháng. Hóa đơn đầu tiên mà Court Ventures gửi cho Hiếu vào tháng 12/2010 là cho 60.000 lượt truy vấn. Vào thời điểm Experian mua lại công ty, dịch vụ của Hiếu đã thu hút hơn 1.400 khách hàng thường xuyên và trung bình 160.000 lượt truy vấn hàng tháng.

ussearch mua dữ liệu thô chỉ 14 xu nhưng bán lại 1 USD/lượt truy vấn. Ảnh chụp màn hình

Quan trọng hơn, tỷ suất lợi nhuận của Hieupc là rất lớn. “Dịch vụ của anh ấy khá tốt. Court Ventures tính phí cho anh ta 14 xu cho mỗi lần tra cứu, nhưng anh ta tính phí khách hàng của mình khoảng 1 USD cho mỗi truy vấn”, O’Neill đánh giá.

Vào thời điểm này, O'Neill và các nhân viên mật vụ của anh ta đã tống đạt hàng chục trát đòi hầu tòa liên quan đến dịch vụ đánh cắp danh tính của Ngô Minh Hiếu, trong đó có một trát đòi cấp cho họ quyền truy cập vào tài khoản email mà anh ta sử dụng để liên lạc với khách hàng và quản lý trang web của mình. Các đặc vụ đã phát hiện ra một số email từ Hiếu hướng dẫn một đồng phạm thanh toán cho Experian bằng cách chuyển khoản từ các ngân hàng châu Á khác nhau.

Lòng tham làm cho mờ mắt

Làm việc với Sở Mật vụ, Experian nhanh chóng truy cập vào tài khoản của Hiếu và đóng toàn bộ. Nhận thức được cơ hội ở đây, Sở Mật vụ đã liên hệ với Hiếu thông qua một người trung gian ở Anh. Cộng tác viên có trụ sở tại Anh nói với Hiếu rằng anh đã tự mình chặn quyền truy cập của Hiếu vào Experian vì anh ta đã đến đó trước và Hiếu đang can thiệp vào công việc kinh doanh của anh ta.

“Anh chàng người Anh nói với Hiếu rằng: Này, anh bạn đang giẫm chân lên sân của tôi, và tôi quyết định nhốt anh lại. Nhưng miễn là anh bạn trả phí thông qua tôi, quyền truy cập của anh bạn sẽ không biến mất!", O'Neill nhớ lại.

Tên tội phạm mạng ở Anh, hành động theo lệnh của Sở Mật vụ và chính quyền Anh, nhắn với Minh Hiếu rằng đôi bên cần gặp trực tiếp. Nhưng Hiếu không chấp nhận lời đề nghị. Thay vào đó, anh ta hack một kho dữ liệu khổng lồ khác. Cũng giống như cách anh chàng đã có được quyền truy cập vào Court Ventures, Hieupc đã có một tài khoản tại TLO, một nhà môi giới dữ liệu khác bán quyền truy cập vào thông tin cực kỳ chi tiết và nhạy cảm của hầu hết người Mỹ.

Dịch vụ của TLO có thể truy cập được đối với các cơ quan thực thi pháp luật và một số các chuyên gia. Vào năm 2014, TLO đã được mua lại bởi Trans Union, một trong ba văn phòng báo cáo tín dụng tiêu dùng lớn khác của Mỹ.

Trong một thời gian ngắn, Hiếu đã sử dụng quyền truy cập vào TLO để duy trì hoạt động kinh doanh của mình. Anh đổi tên dịch vụ sang usearching. Trang web này cũng lấy dữ liệu người tiêu dùng từ một công ty cho vay ngắn hạn khác mà Hiếu đã xâm nhập. Hacker cho biết, trang web cho vay ngắn hạn bị tấn công đã cho phép anh truy cập ngay lập tức vào khoảng 1.000 bản ghi fullz mới mỗi ngày.

Ngô Minh Hiếu trở thành triệu phú USD khi đánh cắp dữ liệu người dùng. Ảnh minh hoạ: VIC News

Vào thời điểm này, Hieupc đã là một triệu phú USD. Các trang web khác nhau và các thỏa thuận bán lại với ba cửa hàng trực tuyến của tội phạm mạng bằng tiếng Nga đã mang về cho anh ta hơn 3 triệu USD. Hiếu nói với cha mẹ rằng, tiền của anh ấy đến từ việc giúp các công ty phát triển trang web, và thậm chí sử dụng một số khoản lợi bất chính của mình để trả các khoản nợ của gia đình.

Nhưng phần lớn, Hieupc tiêu tiền vào những thứ phù phiếm, nhưng chưa bao giờ đụng đến ma túy hay rượu. “Tôi đã dành nó cho các kỳ nghỉ, xe hơi và nhiều thứ ngớ ngẩn khác”, anh nói.

Khi TLO “đá” Hiếu ra khỏi hệ thống, Cơ quan Mật vụ đã sử dụng nó như một cơ hội khác để khiến anh ló mặt. O’Neill nói: “Tên tội phạm ở Anh lại liên lạc với Hiếu và cảnh báo, nếu anh ấy thực sự muốn có quyền truy cập lâu dài vào tất cả những nơi anh ấy từng có quyền truy cập, Hiếu sẽ đồng ý gặp gỡ và hình thành mối quan hệ đối tác an toàn hơn”.

Sau vài tháng trò chuyện, Hieupc đã đồng ý gặp tên tội phạm ở Guam để hoàn tất thỏa thuận. Lúc đó, Hieupc thừa hiểu rằng Guam là một lãnh thổ chưa hợp nhất của Mỹ, nhưng anh không ngờ đến, đây là một hoạt động thực thi pháp luật.

“Tôi đã rất khao khát có được một cơ sở dữ liệu ổn định, và tôi đã bị lòng tham làm cho mờ mắt và bắt đầu hành động điên rồ mà không cần suy nghĩ. Nhiều người nói với tôi 'Đừng đi!’. Nhưng tôi nói với họ rằng tôi phải thử xem chuyện gì đang xảy ra”, Hiếu chia sẻ.

Ngay sau khi bước xuống máy bay ở Guam, anh đã bị mật vụ bắt giữ.