Lời thú tội của Hieupc – hacker người Việt từng chịu 7 năm tù ở Mỹ

Ngày còn trên “đỉnh cao” với những vụ tấn công mạng đình đám, hacker đình đám Ngô Minh Hiếu (thường được biết đến với tên Hieupc) kiếm được đến 125.000 USD mỗi tháng nhờ bán các dịch vụ đánh cắp danh tính, thu thập dữ liệu người dùng từ một số nhà cung ứng dữ liệu hàng đầu thế giới. Khi các hoạt động bất chính của anh ta bị Cơ quan Mật vụ Mỹ chú ý, đặc vụ Matt O’Neill đã “giăng bẫy” và bắt Hieupc ở đảo Guam (Mỹ).

Sau khi bị truy tố với án tù hơn 7 năm, hiện tại Ngô Minh Hiếu đã trở về Việt Nam và kể lại câu chuyện của mình với mong muốn có thể cảnh báo những hacker khác nên sử dụng năng lực bản thân vào mục đích đúng đắn hơn.

Vào khoảng năm 2010, chàng trai trẻ Ngô Minh Hiếu vận hành một trong những dịch vụ phổ biến và sinh lời nhất trên Internet thời đó để bán “Fullz” – gồm một số lượng lớn hồ sơ nhận dạng cá nhân bị đánh cắp. Trong đó có tên người dùng, ngày sinh, mã số an sinh xã hội, email và cả địa chỉ nhà riêng.

Hiếu đã tấn công vào một chuỗi các nhà môi giới dữ liệu lớn để thu về kho dữ liệu khổng lồ của hàng triệu người dùng. Khi bị Cơ quan Mật vụ Mỹ bắt năm 2013, anh ta đã kiếm được hơn 3 triệu USD từ việc bán dữ liệu cho nhiều băng nhóm tội phạm có tổ chức hoạt động trên khắp nước Mỹ.

Tháng 2/2013, đặc vụ Matt O’Neill của Sở Mật vụ Mỹ lên kế hoạch dẫn dụ thành công Hiếu ra khỏi Việt Nam, bay sang đảo Guam (Mỹ). Ngay sao đó anh ta đã bị bắt, đưa về Mỹ và bị truy tố theo pháp luật Mỹ lúc bấy giờ

O’Neill kể lại ông mở cuộc điều tra việc Ngô Minh Hiếu trục lợi từ việc đánh cắp danh tính sau khi đọc bài báo Tài khoản email của bạn đáng giá bao nhiêu? đăng trên KrebsOnSecurity năm 2011. Theo O’Neill, điều đặc biệt là Hieupc không nổi tiếng, tên tuổi của anh ta quá nhạt nhòa so với những tên tội phạm mạng khác bị bắt vì gian lận, đánh cắp và bán buôn một lượng lớn thẻ tín dụng của người dùng Mỹ.

Tuy nhiên trên thực tế, Hiếu đã đứng sau tiếp tay cho rất nhiều đường dây phạm tội với giá trị ước tính khoảng 1 tỷ USD. Rõ ràng đây là một con số không hề nhỏ, O’Neill nhận định thậm chí cả những tên tội phạm mạng khét tiếng ở Mỹ cũng chưa chắc đã gây ra nhiều thiệt hại về mặt tài chính như Hieupc.

Sau khi ra tù và bị trục xuất về Việt Nam, Hiếu đã kể lại câu chuyện của mình.

Bắt đầu

Ngô Minh Hiếu xuất thân từ một gia đình bình thường, mở cửa hàng kinh doanh thiết bị điện tử. Mười năm trước khi chỉ mới 19 tuổi anh, đã là cái tên xuất hiện khá thường xuyên trên các diễn đàn hack máy tính của Việt Nam. Hiếu kể được bố mẹ mua cho chiếc máy tính đầu tiên năm 12 tuổi và đã rất say mê tìm tòi về nó.

Trong thời gian du học tại New Zealand, Hiếu đã là admin của nhiều diễn đàn hacker trên dark web. Có một lần anh phát hiện ra một lỗ hổng trong mạng máy tính của trường làm lộ thông tin thẻ thanh toán.

Anh ta đã sử dụng thông tin trong những thẻ tín dụng hack được để mua vé hòa nhạc, vé tham gia các sự kiện nổi tiếng… sau đó bán lại trên trang đấu giá TradeMe ở New Zealand. Sau khi ngôi trường Hiếu theo học phát hiện hành vi gian lận của anh ta và báo cảnh sát, anh đã không được gia hạn Visa sau khi kết thúc học kỳ đầu tiên. Quá phẫn nộ, Hiếu đã tấn công trang web của trường đại học, khiến nó ngừng hoạt động trong vài ngày.

Sau đó Hiếu quay về học tại Việt Nam nhưng chủ yếu dành nhiều thời gian hoạt đọng trên các diễn đàn tội phạm mạng.

Vụ MicroBilt

Mục tiêu lớn đầu tiên của Hieupc là công ty báo cáo tín dụng MicroBilt ở New Jersey (Mỹ).

Sau khi giành quyền truy cập MicroBilt, anh ta lập nên Superget[.]info – trang web quảng cáo chuyên bán thông tin cá nhân của người dùng. Ban đầu dịch vụ của anh hoạt động khá thủ công, khi khách hàng cần thông tin về một tiểu bang hoặc nhóm người dùng cụ thể, Hiếu sẽ tự mình tra cứu dữ liệu.

Một thời gian sau, Hieupc đã tìm ra cách sử dụng những máy chủ mạnh hơn tại Mỹ để tự động thu thập một lượng lớn dữ liệu người dùng trên hệ thống của MicroBilt và của nhiều công ty chuyên môi giới dữ liệu khác.

Superget cho phép người dùng tìm kiếm thông tin cá nhân cụ thể theo tên, thành phố và tiểu bang. Mỗi “tín dụng” có giá 1 USD và mỗi lượt truy cập thành công vào số An sinh xã hội hoặc ngày sinh sẽ tốn 3 “tín dụng”. Mua càng nhiều khoản tín dụng càng rẻ: 6 tín dụng có giá 4,99 USD; 35 tín dụng có giá 20,99 USD và 100,99 USD mua được 230 tín dụng. Khách hàng có nhu cầu đặc biệt có thể mua gói “reseller” – 1.500 tín dụng với giá 500,99 USD và 3.500 tín dụng với giá 1000,99 USD.

Một thời gian sau, việc Hiếu xâm nhập vào MicroBilt cuối cùng cũng bị phát hiện và công ty này đã chặn Hiếu truy cập lại vào hệ thống. Nhưng Hiếu kể lại rằng không lâu sau đó anh lại tiếp tục quay trở lại nhờ khai thác một lỗ hổng khác.

Court (Ad)Ventures và Experian

Trò chơi mèo vờn chuột với MicroBilt tiếp tục cho đến khi Hiếu tìm thấy nguồn dữ liệu người dùng hấp dẫn và đáng tin cậy hơn: một công ty Mỹ khác có tên Court Ventures, chuyên tổng hợp hồ sơ công cộng từ các tài liệu tòa án. Hiếu không quan tâm đến dữ liệu do Court Ventures thu thập, mà chỉ chú trọng vào thỏa thuận chia sẻ dữ liệu của nó với công ty môi giới dữ liệu bên thứ ba có tên US Info Search – bên có quyền truy cập vào những dữ liệu người dùng nhạy cảm hơn nhiều.

Bằng cách sử dụng một số tài liệu giả cùng vài mánh khóe tinh vi, Hiếu lừa Court Ventures tin anh là một điều tra viên tư nhân ở Mỹ.

Đến tháng 3/2012, Court Ventures được mua lại bởi Experian – một trong ba tổ chức tín dụng lớn nhất nước Mỹ. Và trong 9 tháng sau đó, Hiếu vẫn có thể duy trì quyền truy cập của mình.

Vẫn chưa rõ có ai tại Experian chịu trách nhiệm kiểm soát các tài khoản được tổng hợp từ Court Ventures không. Nhưng rõ ràng tài khoản của Hiếu có đầy những điểm bất thường. Anh ta đã thanh toán các yêu cầu dữ liệu khách hàng bằng hình thức chuyển khoản từ nhiều tài khoản ngân hàng khác nhau. Hầu hết đều là tài khoản mới lập tại các tổ chức tài chính ở Trung Quốc, Malaysia và Singapore.

Theo O’Neill, trang web của Hieupc thực hiện hàng chục nghìn lệnh truy vấn mỗi tháng. Ví dụ, hóa đơn đầu tiên mà Court Ventures gửi tới Hiếu vào tháng 12/2010 là cho 60.000 lượt truy vấn. Vào thời điểm Experian mua lại Court Ventures hai năm sau đó, dịch vụ của Hiếu thu hút hơn 1.400 khách hàng thường xuyên với trung bình 160.000 lệnh truy vấn mỗi tháng.

Và quan trọng là anh ta đã thu về một khoản lợi nhuận vô cùng lớn nhờ dịch vụ của mình. Court Ventures chỉ tính phí Superget 14 cent cho mỗi lần tra cứu, nhưng trang web này lại thu khách hàng đến 1 USD cho mỗi lượt truy vấn.

Từ đó, O’Neill cùng một số đặc vụ Mỹ khác bắt đầu gửi hàng chục trát hầu tòa cho Hiếu, có liên quan đến dịch vụ đánh cắp danh tính cá nhân của người dùng. Trong đó có 1 trát yêu cầu Hiếu giao quyền truy cập vào tài khoản email được sử dụng để liên lạc với khách hàng và quản lý trang web.

Các đặc vụ Mỹ đã phát hiện ra một số email Hiếu hướng dẫn đồng phạm cách thanh toán cho Experian thông qua hình thức chuyển khoản từ nhiều ngân hàng châu Á khác nhau.

TLO

Sau khi làm việc với Cơ quan Mật vụ Mỹ, Experian nhanh chóng xóa thông tin và đóng các tài khoản của Hiếu. Bắt lấy cơ hội này, các đặc vụ Mỹ tìm cách liên lạc với Hiếu thông qua một tên tội phạm mạng có tiếng ở Anh, đã bị kết án và đồng ý hợp tác. Phạm nhân này nói với Hiếu rằng chính anh ta đã chặn quyền truy cập vào các tài khoản của Hiếu ở Experian vì Hiếu cản trở công việc kinh doanh của anh ta. Đồng thời yêu cầu Hiếu trả phần trăm để lấy lại quyền truy cập.

Tên tội phạm, dưới sự chỉ đạo của Mật vụ Mỹ cùng các nhà chức trách Anh, đã yêu cầu gặp Hiếu thỏa thuận trực tiếp nếu không muốn mất quyền truy cập. Nhưng Hiếu không chấp nhận.

Thay vào đó, Hiếu chuyển sang một kho dữ liệu khác. Cũng giống như cách tiếp cận Court Ventures trước đó, Hiếu lập tài khoản ở TLO, công ty môi giới dữ liệu chuyên bán quyền truy cập vào các thông tin quan trọng của hầu hết người Mỹ. Dịch vụ của TLO hỗ trợ đắc lực cho các cơ quan thực thi về luật tại Mỹ và một số chuyên gia – người có thể chứng minh họ có lý do hợp pháp để truy cập vào kho dữ liệu này. Năm 2014, TLO đã được mua lại bởi Trans Union, một công ty báo cáo tín dụng tiêu dùng lớn khác của Mỹ.

Chỉ trong một thời gian ngắn, Hiếu dùng dữ liệu của TLO để tiếp tục “sự nghiệp kinh doanh” của mình. Dịch vụ được đổi tên thành usearching[.]info, chuyên lấy dữ liệu người dùng từ một công ty cho vay ngắn hạn mà Hiếu đã xâm nhập. Hiếu cho biết trang web cho vay ngắn hạn mà anh tấn công cho phép truy cập ngay lập tức vào khoảng 1.000 bản ghi fullz mới mỗi ngày.

Lòng tham làm mờ mắt

Năm 2012, Hieupc đã trở thành triệu phú: các trang web cùng những thỏa thuận với cửa hàng trực tuyến tiếng Nga của tội phạm mạng đã mang về cho anh ta hơn 3 triệu USD. Anh nói với bố mẹ rằng số tiền kiếm được là nhờ phát triển website cho các công ty. Hiếu nói anh dùng số tiền kiếm được để trả nợ cho gia đình, tiêu xài trong các kỳ nghỉ, mua xe hơi và nhiều thứ xa hoa khác.

Khi TLO khóa tài khoản của Hiếu, mật vụ Mỹ tiếp tục sử dụng lại chiêu thức cũ: Tên tội phạm người Anh nói với Hiếu rằng hắn đã xóa Hiếu khỏi hệ thống của TLO và sẽ làm còn tiếp tục làm như thế cho tới khi Hiếu đồng ý gặp và cùng thiết lập quan hệ hợp tác an toàn.

Sau vài tháng thương lượng, Hiếu đã đồng ý hẹn người đàn ông Anh ở đảo Guam (Mỹ) để hoàn tất thỏa thuận. Vào thời điểm đó, Hiếu nghĩ rằng Guam là lãnh thổ chưa hợp nhất của Mỹ, và hoàn toàn không ngờ có thể thực thi pháp luật Mỹ ở nơi này.

Ngay khi vừa bước chân xuống sân bay ở Guam, Hieupc lập tức bị các đặc vụ Mỹ bắt giữ. Anh đã ở tù khoảng hai tháng ở Guam trước khi bị dẫn độ về Mỹ. Một tháng sau khi bị bắt Hiếu mới được phép gọi điện thoại cho gia đình, anh chỉ có 10 phút để giải thích hoàn cảnh hiện tại.

Sau khi Hiếu bị đưa về New Jersey, anh đã thừa nhận việc xâm nhập vào hệ thống MicroBilt. Tiếp theo, anh bị chuyển đến New Hampshire, tại đây anh bị buộc phải làm nhân chứng trong ba phiên tòa khác nhau chống lại những kẻ trộm danh tính từng sử dụng dịch vụ của anh trong nhiều năm.

Với sự hợp tác của Hiếu, chính phủ Mỹ đã thực hiện đến 20 vụ bắt giữ. Hàng chục bị cáo trong số đó bị O’Neill và các nhân viên Sở Mật vụ giả danh Hiếu để dẫn dụ.

Cơ quan Mật vụ Mỹ gặp khó khăn trong việc xác định chính xác mức độ thiệt hại tài chính do Hieupc gây ra trong những năm đó, bởi vì dịch vụ của anh ta chỉ lưu trữ những hồ sơ khách hàng kiếm, không có thông tin về những dữ liệu được bán. Tuy nhiên theo ước tính, dịch vụ của Hiếu đã mang về cho tội phạm mạng tổng cộng khoảng hơn 1,1 tỷ USD từ việc khai thác hồ sơ tài khoản tại các ngân hàng và chuỗi cửa hàng bán lẻ trên khắp nước Mỹ cùng 64 triệu USD gian lận hoàn thuế ở các tiểu bang.

O’Neill đã hỏi một số khách hàng của Hiếu về những nguyên nhân sử dụng dịch vụ của Hieupc. Đa số trả lời rằng mua dữ liệu danh tính hiệu quả hơn việc mua thông tin thẻ thanh toán bị đánh cắp. Trong khi dữ liệu thẻ chỉ dùng được 1 hoặc 2 lần thì dữ liệu danh tính có thể sử dụng được trong nhiều năm.

Một điều lạ là tên của Ngô Minh Hiếu lại rất ít được biết đến so với những tội phạm thẻ tín dụng khét tiếng khác trên thế giới, trong khi những người này gây tổn thất tài chính và kinh tế ít hơn nhiều so với Hiếu.

Về phía Hiếu, anh nói rằng mình không ngạc nhiên khi các dịch vụ của anh gây ra nhiều thiệt hại tài chính như vậy, nhưng lại bị sốc khi nghe về những người bị ảnh hưởng. Trong suốt quá trình diễn ra phiên tòa, Hiếu thực sự kinh hoàng khi biết những điều mình làm đã phá hủy cuộc sống của các nạn nhân đến mức nào.

Khi được chuyển qua lại giữa các cơ quan giam giữ liên bang, Hiếu gần như luôn gặp phải các nạn nhân của anh ở mọi nơi, có cả lính canh, nhân viên y tế và tư vấn viên.

Trong những tháng cuối cùng ở trong tù, Hiếu bắt đầu đọc nhiều sách về bảo mật máy tính và Internet. Anh còn viết một hướng dẫn dài cho người dùng Internet về cách phòng tránh bị tấn công hoặc trở thành nạn nhân của trộm cắp danh tính.

Sau khi trở về Việt Nam, Ngô Minh Hiếu cho biết trong tương lai anh mong muốn được làm việc có liên quan đến an ninh mạng nhưng hiện tại vẫn chưa sẵn sàng. Anh hiện chỉ muốn dành nhiều thời gian cho gia đình. Về lâu dài Hiếu mong muốn được định hướng cho những tin tặc trẻ tuổi đi đúng hướng, tránh xa con đường trở thành tội phạm mạng.