Cảnh giác
Cảnh giác phát tán phần mềm gián điệp để trộm cắp tiền tài khoản
15:03, 06/03/2017 (GMT+7)
Tội phạm phát tán các phần mềm gián điệp tự động thu thập thông tin trên máy tính để sử dụng vào các mục đích bất hợp pháp, chiếm đoạt tài sản đang là mối đe dọa đối với người dùng Internet hiện nay. Chỉ cần click chuột vào các trang web có nội dung xấu hoặc tải các phần mềm không rõ nguồn gốc, ngay lập tức phần mềm gián điệp xâm nhập mà người dùng không biết...
Từ lớp dạy bảo mật máy tính đến tội phạm công nghệ
Trong thế giới mạng cũng đầy rẫy cạm bẫy khó lường. Đứng trước những cám dỗ vật chất, không ít hacker "mũ trắng" với những ý tưởng, mục đích tốt đẹp làm sạch môi trường mạng ban đầu đã chuyển hướng, trở thành hacker "mũ đen" sử dụng kiến thức công nghệ cao của bản thân vào mục đích phạm tội.
Đó là trường hợp của Nguyễn Quang Tuấn (33 tuổi, ở tổ 18 Phúc La, Hà Đông, Hà Nội) và Nguyễn Tuấn Anh (21 tuổi, ở Tam Đảo, Vĩnh Phúc).
Ngày 3-3, Phòng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (PC50) Công an TP Hà Nội cho biết vừa phối hợp Cơ quan CSĐT Công an quận Hà Đông khởi tố vụ án, khởi tố bị can đối với 2 đối tượng trên về tội sử dụng mạng máy tính, mạng viễn thông, mạng Internet hoặc thiết bị số thực hiện hành vi chiếm đoạt tài sản, theo Điều 226b Bộ luật Hình sự.
Do có kiến thức về máy tính nên Nguyễn Quang Tuấn mở lớp đào tạo bảo mật máy tính ngay tại nhà mình, đăng thông tin tuyển sinh trên mạng Internet. Từ thông tin trên, tháng 6-2016, Nguyễn Tuấn Anh, đang là sinh viên một trường đại học trên địa bàn Hà Nội, do yêu thích công nghệ thông tin đã liên hệ với Tuấn để xin học.
Các đối tượng Nguyễn Quang Tuấn, Nguyễn Tuấn Anh, Lê Thiên Tứ đã sử dụng các phần mềm gián điệp để chiếm đoạt tài sản. |
Quá trình đào tạo, Tuấn đã hướng dẫn cho Tuấn Anh cách thức sử dụng phần mềm gián điệp Keylogger (phần mềm tự động thu thập thông tin trên máy tính như thông tin bàn phím, bật webcam, đánh cắp thông tin dữ liệu trong máy). Thế nhưng "chưa thành tài đã thành tật", vừa học "thày", Tuấn Anh vừa lên các diễn đàn, hội nhóm của hacker tìm hiểu cách thức phát tán mã độc này dưới dạng phần mềm học tiếng Anh, nghe nhạc... lên mạng Internet để thu thập thông tin của những người tải về.
Sau khi xâm nhập và thu thập thông tin từ hàng trăm máy tính dính phần mềm gián điệp Keylogger, Tuấn Anh sàng lọc và tìm ra máy tính của anh Ngô Đình Cương ở Hà Nội cài đặt chế độ bảo mật rất sơ sài trong khi có rất nhiều thông tin cá nhân quan trọng.
Qua khai thác, Tuấn Anh biết anh Cương có tài khoản ngân hàng sử dụng dịch vụ Internet Banking, nhận mã xác nhận giao dịch OTP qua email. Tuy nhiên do chưa đủ "trình" để bẻ khóa mật khẩu email nên Tuấn Anh phải mang máy tính cá nhân đến nhà "thầy” Tuấn nhờ dò mật khẩu. Từ các thông tin cá nhân của anh Cương mà Tuấn Anh đã thu thập được như mật khẩu Facebook, mật khẩu Internet Banking..., Nguyễn Quang Tuấn đã tìm ra mật khẩu email.
Để chiếm đoạt tiền của anh Cương, các đối tượng quyết định dùng tài khoản ngân hàng của khổ chủ để mua bitcoin (một loại tiền điện tử), từ đó quy đổi ra tiền mặt. Quá trình "rửa tiền" này nhằm mục đích đối phó với việc điều tra, truy tìm dấu vết của cơ quan chức năng. Nguyễn Quang Tuấn yêu cầu Tuấn Anh lập 2 tài khoản trên trang bitcoinvietnam.com.vn (một trang giao dịch trung gian).
Đến 2h sáng ngày 16-9-2016 (chọn thời điểm anh Cương đã ngủ say, không theo dõi email), Nguyễn Quang Tuấn truy cập vào 2 tài khoản trên, đặt 2 lệnh mua 6.3 bitcoin với tổng giá trị 90 triệu đồng.
Đặt lệnh sau, Tuấn truy cập vào tài khoản Internet Banking của anh cương để thực hiện lệnh chuyển số tiền 90 triệu đồng đến tài khoản ngân hàng của công ty Bitcoin trả cho 6,3 bitcoin mua trên trang bitcoinvietnam.com.vn. Sáng dậy, anh Cương mở email mới phát hiện việc tài khoản bị kẻ xấu đột nhập và giao dịch đã thực hiện thành công.
Đến chiều ngày 16-9, tài khoản của Tuấn Anh trên trang btc-e.com nhận được 6,3 bitcoin đã đặt mua. Lo sợ có người sẽ lấy mất số tiền này, Tuấn Anh đổi mật khẩu của tài khoản dẫn đến việc 6,3 bitcoin bị "đóng băng" trong vòng 48h (theo quy định của trang btc-e.com để đảm bảo an toàn cho khách hàng). Đến chiều 18-9, sau khi hết thời gian "đóng băng", Nguyễn Quang Tuấn dùng phần mềm truy cập từ xa vào máy tính cá nhân của Tuấn Anh để thực hiện việc bán 6,3 bitcoin, thu về số tiền trên 82 triệu đồng vào tài khoản ngân hàng. Sau đó, Tuấn rút tiền tại cây ATM, chia cho Tuấn Anh 42 triệu đồng.
Theo Trung úy Vũ Bá Toàn, cán bộ Đội 6 PC50 Công an TP Hà Nội, sau khi tiếp nhận thông tin trình báo của anh Ngô Đình Cương, quá trình điều tra, xác minh gặp nhiều khó khăn do bản thân Nguyễn Quang Tuấn là người am hiểu công nghệ thông tin nên sau khi chiếm đoạt tiền của bị hại đã xóa mọi dấu vết.
Ngay cả phần mềm gián điệp Keylogger trên máy tính của người tải về, các đối tượng cũng hủy sau khi đã thu thập đầy đủ thông tin. Đặc biệt khi thực hiện hành vi chiếm đoạt tiền của bị hại để mua tiền ảo, các đối tượng cố tình sử dụng nhiều địa chỉ IP ảo có nguồn gốc từ nước ngoài để xóa dấu vết và đánh lừa cơ quan điều tra.
Tuy nhiên, bằng các biện pháp nghiệp vụ, Cảnh sát công nghệ cao Hà Nội đã làm rõ hành vi xóa dấu vết này, truy ra địa chỉ IP của đường truyền Internet mà Nguyễn Quang Tuấn sử dụng thực hiện hành vi phạm tội, tạm giữ các phương tiện như máy tính xách tay, điện thoại di động của các đối tượng.
Cảnh giác trước "bẫy" phần mềm gián điệp
Theo Đại úy Nguyễn Minh Hoàn, Đội trưởng Đội 6 Phòng Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (PC50) Công an TP Hà Nội, phần mềm gián điệp là một ứng dụng được thiết kế để theo dõi hoạt động Internet của người dùng máy tính, các trang web người dùng truy cập và thu thập các thông tin khác như tên tài khoản, mật khẩu, các giao dịch ngân hàng... sau gửi trở lại cho hacker. Phần mềm gián điệp thường chạy ngầm, không làm hỏng thiết bị người dùng như virus nên rất khó phát hiện.
Cách đầu tiên để phần mềm gián điệp xâm nhập vào thiết bị là qua việc download phần mềm. Khi tải các ứng dụng từ Internet hay truy cập web, phần mềm ứng dụng sẽ gợi ý được cài đặt. Nếu máy tính thiết lập bảo mật ở mức thấp thì sẽ không có cảnh báo nguy hiểm nào.
Ngoài ra, khi cài đặt phần mềm, người dùng được gợi ý cài thêm các phần mềm khác và đó lại chính là phần mềm gián điệp. Nếu không đọc kỹ thông tin, vô tình người dùng sẽ chấp nhận cho các phần mềm này thu thập thông tin cá nhân hay tự ý quảng cáo. Phần mềm gián điệp cũng có thể được cài đặt sẵn trên máy tính, điện thoại di động từ khi xuất xưởng.
Tinh vi nhất là phần mềm gián điệp được thiết kế giả mạo như một phần mềm diệt virus, diệt phần mềm gián điệp thông qua các thông báo giả mạo có nội dung máy tính có virus, cần khắc phục. Ngay khi bấm đồng ý, người dùng đã cho phép phần mềm gián điệp được cài đặt trên thiết bị của mình.
Trước đó, đầu năm 2016, Đội 6 PC50 Công an Hà Nội cũng đã từng điều tra, bắt giữ Lê Thiên Tứ (SN 1999, ở Triệu Phong, Quảng Trị), đối tượng đã sử dụng phần mềm gián điệp XtremeRAT để thực hiện hành vi chiếm đoạt tài sản. Phần mềm gián điệp XtremeRAT cũng có chức năng theo dõi thao tác màn hình và thu thập thao tác bàn phím của người sử dụng để đánh cắp các thông tin cần thiết và đối tượng chiếm quyền điều khiển truy cập trái phép từ xa.
Theo đó, để đặt bẫy người dùng tải phần mềm gián điệp về, Tứ lập tài khoản Facebook, vào các diễn đàn mạng xã hội đăng tin có phần mềm chạy quảng cáo, auto spam để mọi người tải về, là bản dùng thử miễn phí. Thực chất, đây là một phần mềm giả mạo do Tứ tạo ra có đính kèm thêm 1 file do phần mềm gián điệp tạo ra. Khi người dùng tải phần mềm do Tứ gửi, máy tính sẽ bị phần mềm gián điệp trong đó xâm nhập vào máy tính mà không hề biết.
Một trong những nạn nhân là anh Đào Văn Hậu (ở Hà Đông, Hà Nội) đã sập bẫy khi tải phần mềm của Tứ cung cấp về sử dụng. Biết anh Hậu làm công việc khai thác, kiếm tiền từ dịch vụ quảng cáo do Google Adsense trả nên Tứ đã khai thác thông tin trong máy tính của anh Hậu, trộm cắp các tài khoản, mật khẩu email có liên hệ với Google Adsense.
Qua khai thác thông tin, biết anh chuẩn bị được Google thanh toán số tiền hơn 1.400 USD qua Western Union, Tứ đã đổi mật khẩu email của anh Hậu, dùng hộp thư điện tử chiếm đoạt được liên hệ với Google đổi thông tin người thụ hưởng sang tên mẹ đẻ, sau đó dùng chứng minh nhân dân của mẹ để làm thủ tục nhận tiền tại ngân hàng.
Ngoài thu thập thông tin cá nhân thực hiện hành vi chiếm đoạt tài sản, do phần mềm gián điệp còn có chức năng tự bật webcam nên đối tượng còn theo dõi, thu thập hình ảnh sinh hoạt hàng ngày của người sử dụng. Đã xảy ra các vụ việc đối tượng thông qua webcam thu và sử dụng những hình ảnh "nhạy cảm" của người bị hại để đe dọa, tống tiền...
Cảnh báo của Cảnh sát phòng chống tội phạm sử dụng công nghệ cao
Sự chủ quan của người dùng máy tính kết nối mạng Internet chính là điều kiện thuận lợi để các đối tượng xấu đặt "bẫy" phát tán virus hoặc các phần mềm gián điệp độc hại. Tại Việt Nam, người dùng Internet thường mất cảnh giác với những tập tin chia sẻ trên mạng trước khi click để tải về.
Quan niệm sai lầm lâu nay của người lướt web là nếu không truy cập vào các trang khiêu dâm, đánh bạc hay hacker (là những trang thường chứa mã độc hại) thì sẽ được an toàn và các phần mềm lọc web sẽ ngăn cản người dùng viếng thăm các trang có rủi ro. Trong khi đó, sự phát triển ồ ạt của mạng xã hội tại Việt Nam thời gian qua nhưng không được chú ý nhiều về bảo mật đang trở thành nguy cơ lớn cho hacker lợi dụng cộng đồng mạng tấn công hàng loạt máy tính bằng mã độc, thực hiện các hành vi phạm tội.
Cảnh sát công nghệ cao khuyến cáo, để phòng ngừa tội phạm sử dụng phần mềm gián điệp, người dùng cần thận trọng khi tải các phần mềm trên mạng, nhất là các phần mềm không rõ nguồn gốc. Nếu máy tính có cài phần mềm diệt virus thông báo có mã độc xâm nhập cần dừng ngay việc tải phần mềm. Máy tính cần cài đặt phần mềm diệt virus có bản quyền. Phần mềm chống gián điệp, diệt virus càng thông minh thì hacker lại nghiên cứu, sản xuất ra các loại virus, phần mềm gián điệp mới có khả năng phá hoại cao hơn.
Do đó, bất kể máy tính bị nhiễm virus hay chưa thì cần thực hiện quét virus hàng ngày hoặc định kỳ để bổ sung thêm lớp tường lửa bảo vệ, loại các nguy cơ lây nhiễm ngay từ đầu. Không nên truy cập vào các trang web có nội dung xấu; không bấm vào liên kết email hoặc tập tin đính kèm từ những địa chỉ không quen biết, hoặc nếu biết người gửi là bạn bè, người thân thì cần liên lạc để hỏi xem có đúng họ gửi hay không? Trường hợp phát hiện máy tính nhiễm mã độc, cần quét virus toàn bộ máy hoặc sao lưu dữ liệu quan trọng, sau đó cài đặt lại hệ điều hành để xóa mã độc.
Trong cài đặt mật khẩu cho các tài khoản cá nhân, không dùng chung 1 mật khẩu cho tất cả các tài khoản. Cần đặt chế độ bảo mật xác minh 2 bước cho các tài khoản quan trọng như tài khoản ngân hàng, email...
Cũng theo cơ quan công an, thông qua việc khám phá các vụ án sử dụng phần mềm gián điệp để chiếm đoạt tài sản cho thấy sự lỏng lẻo trong công tác quản lý tiền ảo hiện nay đang bị tội phạm mạng lợi dụng để thực hiện hoạt động "rửa tiền", chuyển tiền từ tài khoản của người bị hại để mua tiền ảo, sau đó chuyển sang tiền mặt chiếm đoạt.
Tại Việt Nam, tiền ảo không được công nhận, tuy nhiên cũng không cấm nên thời gian qua xuất hiện tràn lan các trang giao dịch tiền ảo. Một khi tiền ảo không được kiểm soát thì đây là phương tiện hữu hiệu cho tội phạm sử dụng vào các giao dịch bất hợp pháp.
Hương Vũ
Nguồn: Hương Vũ/Báo CAND