Năm 2015, một hacker người Việt có tên Ngô Minh Hiếu (Hieupc) đã bị kết án 13 năm tù tại Mỹ. Theo Sở Tư pháp Mỹ, Hiếu phải chịu án tù vì tội thâm nhập hệ thống máy tính doanh nghiệp, lừa đảo và đánh cắp thông tin của gần 200 triệu người dùng.

Từ khoảng những năm 2010, Hieupc đã kiếm được 125.000 USD mỗi tháng nhờ việc điều hành một đường dây đánh cắp dữ liệu danh tính. Các thông tin bị thu thập bao gồm tên, ngày sinh, địa chỉ, số an sinh xã hội và email của người dùng. 

Ở thời điểm bị bắt năm 2013, Ngô Minh Hiếu đã kiếm được hơn 3 triệu USD nhờ việc bán dữ liệu cho các ổ nhóm tội phạm có tổ chức hoạt động trên khắp nước Mỹ.

Mới đây, sau khi ngồi tù 7 năm và được mãn hạn, Hieupc đã liên hệ với trang Krebsonsecurities để kể lại câu chuyện về những góc khuất của cuộc đời mình.

VietNamNet xin lược dịch lại bài viết về lời thú tội của Hieupc, giờ đã trở thành một trong những hacker khét tiếng nhất trong lịch sử về an toàn thông tin của nước Mỹ.

Tuổi trẻ của hacker Hieupc

Hiếu cho biết anh sinh ra trong một gia đình trung lưu ở Gia Lai. Bố mẹ anh sở hữu một cửa hàng game online. Nhờ vậy, anh được làm quen với chiếc máy tính đầu tiên từ rất sớm, năm 12 tuổi. Ở tuổi 19, tên tuổi của Ngô Minh Hiếu đã bắt đầu xuất hiện trên các diễn đàn hacker tại Việt Nam. 

{keywords}
Tên tuổi của Hieupc được biết tới bởi giới hacker Việt Nam từ rất sớm. 

Lớn hơn một chút, Hiếu sang New Zealand để theo học tiếng Anh tại một trường đại học. Ở thời điểm này, anh đã là quản trị viên của một số diễn đàn hacker trên các web đen. Cũng vì thế, trong quá trình học tập, Hiếu dễ dàng nhận ra một lỗ hổng làm lộ dữ liệu thẻ thanh toán trên website của trường. 

"Tôi liên hệ với bộ phận CNTT của trường nhưng không ai quan tâm, vì thế tôi đã hack toàn bộ hệ thống. Sau đó, tôi sử dụng chính lỗ hổng này để hack các trang web khác và ăn cắp nhiều thông tin thẻ tín dụng.", Hiếu nhớ lại. 

Trường đại học sau đó biết được vụ đột nhập, cảnh sát đã vào cuộc và lần ra vai trò của Hiếu. Thị thực của anh vì thế đã không được gia hạn sau khi học kỳ đầu tiên kết thúc. Hiếu đã phản ứng lại quyết định đó bằng cách tấn công website của trường và đóng cửa nó trong 2 ngày. 

Sau vụ việc, Hiếu đã quay trở lại và theo học tại Việt Nam. Tuy nhiên anh thừa nhận rằng ở thời điểm đó, phần lớn thời gian của anh được dành cho các diễn đàn tội phạm mạng. 

"Mục tiêu của tôi đã chuyển từ hack để giải trí sang kiếm tiền khi thấy việc đánh cắp dữ liệu quá dễ dàng. Tôi bắt đầu đi chơi với một vài người bạn trên diễn đàn hacker và lên kế hoạch cho các hoạt động phạm pháp”. 

“Họ nói rằng việc động vào thẻ tín dụng và dữ liệu ngân hàng rất nguy hiểm, vì vậy tôi bắt đầu nghĩ đến việc bán dữ liệu danh tính. Lúc đầu tôi nghĩ các dữ liệu này chỉ là thông tin thôi, không liên quan trực tiếp đến tài khoản của người khác, thế nhưng tôi đã sai. Số tiền kiếm được một cách nhanh chóng đã làm tôi bị mờ mắt bởi mọi thứ.", Hiếu chia sẻ. 

Đồng USD đầu tiên từ Microbit

Mục tiêu đầu tiên mà Ngô Minh Hiếu nhắm tới là Microbit - một công ty báo cáo tín dụng tiêu dùng có trụ sở tại New Jersey (Mỹ). 

Hiếu đã xâm nhập vào nền tảng của Microbit để đánh cắp dữ liệu khách hàng, từ đó sử dụng thông tin đăng nhập của họ và truy nhập vào các cơ sở dữ liệu. Việc này diễn ra suốt một năm nhưng công ty của Mỹ không hề hay biết, anh nói. 

Sau khi có cơ sở dữ liệu của Microbit, Hiếu lập website Superget, nơi chuyên bán dữ liệu cá nhân của người dùng. Ban đầu dịch vụ này được cung cấp khá thủ công. Người mua cần nhập thông tin về địa điểm hoặc người dùng cụ thể, sau đó Hiếu tra cứu bằng tay để trả kết quả về cho khách hàng. Một thời gian sau, Hiếu nhanh chóng tìm ra một cách khác nhanh hơn khi tự động hóa quy trình bằng các máy chủ đặt tại Mỹ. 

{keywords}
Superget - website được Ngô Minh Hiếu lập ra để bán các dữ liệu người dùng. 

Thông tin của người dùng trên Superget được bán theo đơn vị là các "khoản tín dụng". Mỗi "khoản tín dụng" trị giá 1 USD. Người dùng sẽ phải trả 3 "khoản tín dụng" cho một lần truy cập vào số an sinh xã hội hoặc ngày sinh của người khác. 

Các "khoản tín dụng" này còn được bán theo gói với các mức giá từ 4.99 USD, 20.99 USD, 100.99 USD, 500.99 USD đến 1000.99 USD. Càng mua nhiều "khoản tín dụng", việc truy cập thông tin lại có giá càng rẻ.  

"Người dùng có thể tìm kiếm dữ liệu của hơn 99% người dân Mỹ, nhiều hơn bất kỳ website nào khác. Các cơ sở dữ liệu này được cập nhật liên tục mỗi ngày.", Hiếu chia sẻ. 

Sau khi nhận ra sự xuất hiện của Hieupc, Microbit đã chặn việc truy cập. Hiếu ngay lập tức quay trở lại nhờ sử dụng một lỗ hổng khác. Website bán dữ liệu Superget vì thế đã hoạt động thêm được nhiều tháng. 

Giả điều tra viên, đánh lừa công ty Mỹ

Việc kinh doanh dữ liệu của Hiếu tiếp tục được duy trì khi anh tìm thấy một nguồn dữ liệu người dùng ổn định và tin cậy hơn. Lần này, mục tiếu nhắm đến là Court Venture - một công ty chuyên tổng hợp hồ sơ tòa án có trụ sở tại Mỹ. 

Tuy vậy, Hiếu không quan tâm đến dữ liệu do Court Venture thu thập, thay vào đó là một thỏa thuận chia sẻ dữ liệu của công ty này với bên thứ 3 là US Info Search. So với Court Venture, US Info Search nắm trong tay rất nhiều dữ liệu người dùng nhạy cảm.

Ở lần hành động này, Ngô Minh Hiếu táo bạo hơn khi đóng giả một điều tra viên tư nhân để vượt qua việc kiểm tra an ninh và được cấp quyền truy cập vào cơ sở dữ liệu. Court Venture tính phí 14 cent cho mỗi lần tra cứu cơ sở dữ liệu, còn Hiếu bán lại dữ liệu này trên Superget với giá 1 USD. 

Không may cho Hiếu khi công ty Court Venture sau đó được mua lại bởi Experian - một trong ba văn phòng tín dụng tiêu dùng lớn của Mỹ. 

Một thời gian sau khi tiếp quản Court Venture, đơn vị này đã phát hiện ra những biểu hiện bất thường từ tài khoản của Hiếu. Dịch vụ của Hiếu đã thu hút tới 1.400 khách hàng và 160.000 lượt truy vấn mỗi tháng với các hóa đơn từ khắp nơi trên thế giới, chủ yếu là ở Trung Quốc, Malaysia, Singapore.

{keywords}
USearching - một trang web bán dữ liệu khác được Hiếu lập ra để thay thế cho Superget. 

Mật vụ Matt O'neill - người đứng đầu Trung tâm Điều tra Toàn cầu (Global Investigative Operations Center) của Sở Mật vụ Mỹ (USSS) đã tống đạt hàng chục trát hầu tòa liên quan đến dịch vụ đánh cắp danh tính của Hiếu. Trong số này, có yêu cầu được cấp quyền truy cập vào tài khoản mail mà Hiếu sử dụng để liên lạc với khách hàng và quản trị website của mình. 

USSS đã phát hiện các email Hiếu hướng dẫn cho một người khác thực hiện thanh toán cho Experian bằng cách chuyển khoản từ các ngân hàng Châu Á khác nhau. Sau khi làm việc với Sở Mật vụ, Experian đã vô hiệu hóa tài khoản của Hiếu. 

Sở Mật vụ đã giăng bẫy Hiếu bằng việc bắt tay với một tên tội phạm mạng người Anh. Người này liên hệ với Hiếu và nói rằng tài khoản của anh bị chặn do đã can dự vào việc kinh doanh mà họ đã làm trước đó. 

Hacker này ra điều kiện Hiếu phải gặp trực tiếp anh ta nếu muốn duy trì quyền truy cập vào cơ sở dữ liệu. Tuy nhiên, Hiếu đã từ chối và nhờ thế thoát khỏi cái bẫy được giăng sẵn.

Bằng cách đóng giả điều tra viên một lần nữa, Hiếu đã thâm nhập được vào cơ sở dữ liệu của TLO - một công ty môi giới dữ liệu khác. Công ty này cũng nắm trong tay rất nhiều dữ liệu nhạy cảm của người Mỹ. Nhờ vậy, vòng lặp phạm tội của Hiếu cứ thế tiếp tục. 

Điều này chỉ dừng lại khi Sở Mật vụ Mỹ lần ra dấu vết của Hieupc. Họ quyết định giăng bẫy một lần nữa bằng chính tay hacker người Anh, và lần này, Ngô Minh Hiếu đã dính bẫy. 

Dù biết rõ những nguy cơ có thể xảy ra, Hiếu vẫn quyết định tìm đến đảo Guam để hoàn tất thỏa thuận hợp tác với người đàn ông trên mạng. Tuy nhiên, vừa bước chân xuống máy bay, anh đã ngay lập tức bị bắt giữ. 

Những ngày trên đất Mỹ

Chia sẻ với Krebsonsecurity, Hiếu cho biết anh bị giam 2 tháng trên đảo Guam trước khi bị đưa tới Mỹ. Khoảng một tháng sau khi bị bắt, Hiếu được phép gọi về cho gia đình để giải thích những gì đã mắc phải. 

“Đó là một khoảng thời gian khó khăn. Gia đình tôi đã buồn và khóc rất nhiều.”, anh chia sẻ.

Tại Mỹ, Ngô Minh Hiếu đã thừa nhận hành vi ăn cắp dữ liệu người dùng của Microbit. Anh cũng đã đứng ra làm chứng trong phiên tòa xét tội những kẻ đã sử dụng dịch vụ cung cấp dữ liệu của mình để thực hiện các hành vi phạm tội. Sự hợp tác của Hiếu với chính phủ Mỹ đã dẫn tới khoảng 20 vụ bắt giữ, hàng chục người sau đó đã bị xét xử. 

Theo cơ quan Mật vụ Mỹ, họ gặp khó khăn trong việc xác định chính xác thiệt hại mà Hiếu đã gây ra. Lý do là bởi hệ thống của Hiếu chỉ lưu trữ thông tin về những vị khách hàng đã mua cơ sở dữ liệu chứ không ghi lại những dữ liệu mà họ đã lấy. 

Tuy vậy, dựa trên những thông tin USSS thu thập được, dịch vụ mà Ngô Minh Hiếu cung cấp đã kích hoạt nhiều vụ gian lận tại các ngân hàng và nhà bán lẻ trên khắp nước Mỹ. Tổng số tiền gian lận ước tính lên tới hơn 1,1 tỷ USD.  

Theo chia sẻ từ các khách hàng của Hiếu khi bị bắt, việc mua dữ liệu người dùng tốt hơn nhiều thông tin thẻ tín dụng. Các thông tin liên quan đến thẻ tín dụng chỉ dùng được 1 hoặc 2 lần, còn với thông tin danh tính, nó có thể sử dụng trong suốt nhiều năm. 

{keywords}
Hieupc sau khi mãn hạn tù tại Mỹ và trở về Việt Nam. 

Với Ngô Minh Hiếu, anh không ngạc nhiên khi dịch vụ của mình lại gây ra nhiều thiệt hại tài chính đến vậy. Tuy nhiên, khi biết được có tới 13.000 đơn thư từ các nạn nhân phàn nàn về việc bị mất nhà cửa, việc làm và không có khả năng duy trì tài chính, anh cảm thấy mình thực sự là một người tồi tệ. 

Điều này đã trở thành một nỗi ám ảnh khi Hiếu liên tục phải đối mặt với các nạn nhân của mình. Đó chính là các quản ngục, nhân viên y tế, tư vấn viên, ngay cả khi anh được chuyển từ bang này sang bang khác trên đất Mỹ.

“Khi bị giam ở Beaumont (Texas, Mỹ), nhân viên cải huấn ở đó đã chia sẻ với tôi câu chuyện về một người bạn của cô ấy, người đã mất danh tính và sau đó mất đi tất cả. Cuộc sống của cô ấy đã sụp đổ sau vụ việc đó. Tôi không biết người phụ nữ đó có phải nạn nhân của mình hay không, tuy nhiên câu chuyện đó khiến cho tôi cảm thấy ghê tởm. Tôi hiểu rằng những gì mình đã làm chỉ toàn điều xấu xa", anh chia sẻ. 

Với 3 triệu USD từng kiếm được, Hiếu cho biết anh đã sử dụng một phần số tiền đó để trả các món nợ gia đình. Giải thích về nguồn tiền, Hiếu bịa ra câu chuyện kiếm được tiền nhờ việc phát triển các trang web.

Nói về số tiền còn lại, "Tôi đã tiêu số tiền đó vào các kỳ nghỉ, xe hơi và nhiều thứ ngớ ngẩn khác. Mặc dù vậy, tôi chưa bao giờ đụng đến rượu và ma tuý", anh chia sẻ. 

Hành trình làm lại cuộc đời

Sau khi mãn hạn tù, Hiếu đã quay trở lại Việt Nam và hoàn tất việc cách ly phòng dịch. Trong khoảng thời gian này, anh đọc mọi thứ về bảo mật và Internet. Đồng thời, anh cũng viết một cẩm nang dài nêu ra những lời khuyên về cách phòng tránh trở thành nạn nhân của việc đánh cắp danh tính.

Chia sẻ về tương lai, Hiếu cho biết anh muốn làm việc trong ngành an ninh mạng và hiện cũng đã có một lời mời làm việc ở Việt Nam. Tuy nhiên, anh không vội vì muốn dành thời gian nhiều hơn cho gia đình. 

{keywords}
Mong muốn của Ngô Minh Hiếu (người đứng bên phải) khi trở về Việt Nam là muốn làm việc trong lĩnh vực an ninh mạng. Anh cũng muốn định hướng cho những người trẻ để họ không mắc phải sai lầm của mình. 

Về lâu dài, Hiếu cho biết anh muốn trở thành người cố vấn cho thế hệ trẻ để giúp họ đi đúng hướng và tránh xa con đường trở thành tội phạm mạng. 

“Tôi hy vọng công việc mình làm sẽ giúp thay đổi suy nghĩ của mọi người. Đây là lúc tôi phải làm điều gì đúng đắn cho thế giới này.”, anh chia sẻ. 

Theo Ngô Minh Hiếu, việc phải chịu án tù đã cho anh thời gian để suy nghĩ về cuộc sống và lựa chọn của mình. 

“Tôi cam kết bản thân sẽ làm điều tốt hơn mỗi ngày. Tiền chỉ là một phần của cuộc sống, nó không phải là tất cả và không mang lại hạnh phúc thực sự. Hy vọng những hacker ngoài kia có thể học hỏi được điều gì đó từ kinh nghiệm của tôi. Hy vọng họ sẽ dừng những việc đã làm và sử dụng kỹ năng của mình để giúp thế giới tốt đẹp hơn.”, anh nói. 

Tuấn Nghĩa (Theo Krebsonsecurity)