Các băng nhóm tội phạm mạng đang qua mặt bảo mật ngân hàng bằng công cụ trái phép trên Telegram

by thuc

Cuộc điều tra của MIT Technology Review cho thấy hàng chục nhóm trên Telegram đang rao bán các công cụ chuyên vượt rào bảo mật của các ngân hàng và sàn tiền điện tử lớn.

Tại một trung tâm rửa tiền ở Campuchia, một nhân viên mở ứng dụng ngân hàng trên điện thoại. Khi ứng dụng yêu cầu ảnh đại diện, hắn chọn một tấm hình đàn ông châu Á 30 tuổi.

Tiếp đó, khi ứng dụng yêu cầu mở camera để xác thực khuôn mặt trực tiếp, kẻ này giơ ra một bức ảnh tĩnh của một người phụ nữ hoàn toàn không liên quan đến chủ tài khoản. Sau khoảng 90 giây loay hoay điều chỉnh khuôn mặt vào khung hình theo yêu cầu của ứng dụng, hắn đã truy cập thành công vào tài khoản.

Kỹ thuật này được chia sẻ bởi Ngô Minh Hiếu (chuyên gia an ninh mạng), cho thấy một vấn đề nhức nhối: các công cụ “bẻ khóa” quy trình định danh khách hàng (eKYC) đang được bày bán công khai trên Telegram.

Các lớp bảo mật của ngân hàng vốn được thiết kế để xác nhận người dùng là “người thật” và khuôn mặt phải khớp với giấy tờ tùy thân. Thế nhưng, tội phạm đang lách luật bằng công cụ gọi là Camera ảo (Virtual Camera – VCam). Thay vì dùng luồng dữ liệu thực từ camera điện thoại, công cụ này cho phép kẻ gian “bơm” các tệp video, hình ảnh, hoặc thậm chí là deepfake vào ứng dụng, qua mắt hệ thống kiểm soát.

Khi các tổ chức tài chính tung ra các chốt chặn bảo mật mới, đây chính là vòng xoáy “đuổi bắt” không hồi kết giữa tội phạm và ngành tài chính.

Trong hai tháng điều tra đầu năm nay, MIT Technology Review đã xác định được 22 kênh và nhóm công khai trên Telegram (tiếng Trung, Việt và Anh) chuyên quảng cáo các bộ công cụ vượt rào và dữ liệu sinh trắc học đánh cắp. Các phần mềm này xâm nhập vào hệ điều hành điện thoại hoặc ứng dụng ngân hàng, giúp người dùng lách luật từ các sàn tiền điện tử lớn như Binance cho đến các ngân hàng tên tuổi như BBVA (Tây Ban Nha).

“Chuyên dịch vụ ngân hàng – xử lý tiền bẩn,” nội dung trên tiểu sử của một nhóm Telegram (nay đã bị xóa) ghi rõ, kèm biểu tượng biểu tượng ngón tay cái. “Bảo mật. Chuyên nghiệp. Chất lượng cao.” Nhiều kênh với hàng nghìn thành viên thường xuyên quảng cáo: “Nhận xác minh KYC mọi loại”, “Cam kết trơn tru, không lỗi”.

Telegram cho biết sau khi rà soát, họ đã gỡ bỏ các tài khoản này do vi phạm điều khoản dịch vụ. Tuy nhiên, các chợ đen trực tuyến này vẫn dễ dàng quay trở lại, và nhiều kênh khác quảng cáo công cụ tương tự vẫn đang hoạt động.

Ngân hàng và những “gã đồ tể”

Sự bùng nổ của các thủ thuật vượt rào KYC diễn ra song song với sự mở rộng của  các đường dây lừa đảo trên toàn cầu. Các ngân hàng và sàn tiền điện tử đang chịu áp lực cực lớn về dòng tiền bất hợp pháp. Các quốc gia như Việt Nam hay Thái Lan buộc thắt chặt quy định ngân hàng, tăng cường yêu cầu xác minh khách hàng, giám sát gian lận và đẩy mạnh các biện pháp phòng chống rửa tiền trong ngành tiền điện tử.

Chainalysis, một công ty phân tích blockchain của Mỹ, ước tính có khoảng 17 tỷ USD đã bị đánh cắp trong các vụ lừa đảo tiền điện tử vào năm 2025, tăng từ 13 tỷ USD trong năm 2024. Trong khi đó, Văn phòng Liên Hợp Quốc về Chống Ma túy và Tội phạm cảnh báo trong một báo cáo gần đây rằng sự mở rộng của các tổ chức tội phạm châu Á tại châu Phi và Thái Bình Dương đã giúp ngành công nghiệp này “gia tăng lợi nhuận một cách đáng kể.”

Áp lực từ phía quản lý và doanh thu khổng lồ đã đưa dịch vụ vượt rào KYC trở thành tâm điểm trên thị trường đen. Dù các số liệu ước tính có sự chênh lệch, giới chuyên gia an ninh mạng đều chung nhận định về đà gia tăng của các vụ tấn công này. Cụ thể, theo báo cáo từ công ty xác thực sinh trắc học iProov, các cuộc tấn công bằng camera ảo trên toàn cầu năm 2024 cao gấp hơn 25 lần so với năm 2023. Song song đó, Sumsub – đơn vị chuyên cung cấp dịch vụ eKYC – cũng ghi nhận các nỗ lực gian lận đa bước (bao gồm cả kỹ thuật dùng camera ảo) đã tăng gần gấp ba lần trong tệp khách hàng của họ trong năm ngoái.

Ba tổ chức tài chính bị nêu tên làm mục tiêu trên Telegram – sàn giao dịch tiền điện tử lớn nhất thế giới Binance, cùng với BBVA và Revolut (Anh) – đều khẳng định họ nắm rõ những phương thức này và coi đây là thách thức chung của toàn ngành. Người phát ngôn của Binance cho biết họ “đã quan sát thấy những nỗ lực tương tự nhằm phá vỡ các chốt chặn kiểm soát,” đồng thời nhấn mạnh: “Chúng tôi đã ngăn chặn thành công các cuộc tấn công này và tự tin vào hệ thống của mình.” Về phần BBVA và Revolut, họ từ chối bình luận về việc liệu hệ thống bảo mật của mình có từng bị xâm phạm hay không.

Rất khó để biết chính xác tỷ lệ thành công của bọn tội phạm, vì các công ty thường chỉ phát hiện ra mình bị qua mặt khi mọi chuyện đã rồi, hoặc họ chọn cách không báo cáo. Artem Popov, chuyên gia hàng đầu về phòng chống gian lận tại Sumsub, thẳng thắn chia sẻ: “Đáng sợ nhất chính là những gì chúng ta không nhìn thấy được. Luôn có những “khoảng tối” trong các cuộc tấn công mà cả hệ thống lẫn nhà cung cấp dịch vụ xác thực đều không hề hay biết”. 

Cách tội phạm vượt mặt các quy định tuân thủ

Dù các quảng cáo về lỗ hổng nghe có vẻ đơn giản, nhưng để thực hiện thành công một vụ vượt rào lại cực kỳ phức tạp và thường kết hợp nhiều phương pháp. Một số kênh cung cấp dịch vụ “bẻ khóa” điện thoại để tội phạm có thể ép máy chạy camera ảo (VCam) thay cho camera mặc định. Các phương thức khác thì “tiêm” mã (code) vào ứng dụng ngân hàng để điều hướng ứng dụng đó phải lấy dữ liệu từ VCam. Dù bằng cách nào, VCam cũng được dùng để qua mắt các lớp kiểm tra eKYC bằng những hình ảnh hoặc video giả mạo.

Sergiy Yakymchuk, CEO của Talsec (công ty chuyên về an ninh mạng cho các tổ chức tài chính), đã xem xét dữ liệu từ các kênh Telegram này và xác nhận chúng hoàn toàn phù hợp với các thủ đoạn thực tế từng được dùng để tấn công khách hàng của ông. Đội ngũ của ông đã nhận được yêu cầu hỗ trợ xử lý khoảng 30 vụ tấn công dựa trên VCam trong năm qua, tăng mạnh so với con số dưới 10 vụ vào năm 2023.

Yakymchuk cho biết tội phạm ngày càng tinh vi khi xâm nhập đồng thời vào cả điện thoại lẫn mã nguồn của ứng dụng tài chính. Trước khi truyền dữ liệu vào camera ảo, chúng còn kết hợp cả dữ liệu sinh trắc học bị đánh cắp lẫn deepfake.

“Trước đây, chỉ cần dịch ngược (decompile) ứng dụng ngân hàng và chia sẻ trên Telegram là đủ,” ông nói. “Giờ đây thì không còn đơn giản như vậy nữa, vì đã có các lớp bảo mật eKYC, buộc chúng phải sử dụng nhiều thủ đoạn tinh vi hơn.”

Đối với những kẻ rửa tiền, việc vượt qua eKYC đã “trở nên thiết yếu, vì các ổ nhóm lừa đảo cần phải luân chuyển tiền đi,” anh Hiếu, nhà nghiên cứu đã chia sẻ video minh họa trên, cho biết. Là một cựu hacker đã hoàn lương và hiện là cố vấn an ninh mạng cho Chính phủ Việt Nam, anh Hiếu hiện điều hành một tổ chức phi lợi nhuận chuyên chống lừa đảo và hỗ trợ cơ quan thực thi pháp luật điều tra các vụ rửa tiền.

Anh mô tả cách thức hoạt động trong các vụ lừa đảo: Tiền của nạn nhân được chuyển vào các tài khoản ngân hàng do mạng lưới rửa tiền kiểm soát hoặc thuê, thường được gọi dân dã là các “nhà nước” (water houses). Kẻ rửa tiền sử dụng các công cụ vượt rào eKYC để truy cập vào tài khoản và nhanh chóng luân chuyển lợi nhuận trước khi chuyển đổi chúng thành tài sản kỹ thuật số, thường là đồng stablecoin Tether.

Các giao dịch này thường diễn ra chỉ trong vài giây dưới sự dàn dựng chặt chẽ. “Chúng nắm rất rõ quy trình xác minh hoặc xác thực tài khoản của các ngân hàng,” anh Hiếu nhận định.

Đây là phần nội dung đã được biên tập lại cho gãy gọn, sát nghĩa nhưng vẫn đảm bảo tính báo chí và dễ hiểu:

Cuộc đuổi bắt không hồi kết

Sự bùng nổ của hoạt động rửa tiền từ các vụ lừa đảo mạng đã khiến các tổ chức tài chính bị giám sát chặt chẽ hơn bao giờ hết. Năm 2023, Binance đã nhận tội trước tòa án liên bang Mỹ vì thiếu sót các biện pháp phòng chống rửa tiền. Sau đó, vào tháng 10 năm ngoái, cựu CEO của sàn này là Changpeng Zhao đã được cựu Tổng thống Donald Trump ân xá.

Dù vậy, phân tích gần đây từ Hiệp hội các nhà báo điều tra quốc tế (ICIJ) cho thấy sau khi ông Zhao nhận tội, hơn 400 triệu USD vẫn tiếp tục chảy vào Binance từ Huione Group – một công ty tại Campuchia đã bị Mỹ trừng phạt do được coi là “nút thắt” quan trọng cho hoạt động rửa tiền từ các đường dây lừa đảo tình cảm dẫn dụ đầu tư.

Về phía mình, Binance khẳng định họ sở hữu “hệ thống bảo mật hiện đại” giúp ngăn chặn hàng tỷ USD gian lận, đồng thời đã xử lý hơn 71.000 yêu cầu từ cơ quan thực thi pháp luật trong năm 2025.

Tuy nhiên, John Griffin, chuyên gia tài chính và blockchain tại Đại học Texas (Austin), vẫn hoài nghi về độ an toàn của các sàn giao dịch. “Họ quảng bá rầm rộ về các thay đổi, nhưng thực tế là tội phạm vẫn đang sử dụng sàn giao dịch của họ,” Griffin nhận định. “Điều đó cho thấy các lỗ hổng vẫn còn tồn tại.” (Đáp lại, Binance “phản đối các kết luận mơ hồ” từ công trình của Griffin khi theo dõi dòng tiền bất hợp pháp qua các sàn như Binance, Huobi, OKX và Tokenlon, gọi đây là những thông tin “gây hiểu lầm, thậm chí là hoàn toàn không chính xác.”)

Binance cũng lưu ý rằng một số dịch vụ “vượt rào” được rao bán trên Telegram thực chất chính là những cú lừa đảo khác, đặt ra nghi vấn về quy mô thành công của các vụ tấn công này. Người phát ngôn của sàn nhấn mạnh việc tiếp cận các dịch vụ này “khiến cá nhân gặp rủi ro bảo mật nghiêm trọng”, đồng thời cho biết ngay cả khi quyền truy cập có vẻ được cấp, tài khoản thường vẫn bị hệ thống kiểm soát nội bộ khóa, khiến tội phạm không thể thực hiện giao dịch hay rút tiền.

Các cơ quan quản lý trên thế giới cũng đang nỗ lực bắt kịp tình hình. Tại Thái Lan, nơi tài khoản ngân hàng của người dân thường xuyên bị lợi dụng làm trung gian cho các đường dây lừa đảo từ Myanmar và Campuchia, luật pháp mới đã thắt chặt giám sát eKYC, hạn chế hạn mức giao dịch hàng ngày và trao thêm quyền cho cơ quan chức năng trong việc đình chỉ tài khoản. Mạng lưới Thực thi Tội phạm Tài chính Mỹ (FinCEN) cũng đã phát đi cảnh báo về nguy cơ từ deepfake eKYC và camera ảo từ cuối năm 2024, đồng thời khuyến khích các nền tảng theo dõi các mô hình giao dịch bất thường để nhận diện hoạt động rửa tiền.

Đối với tội phạm, các quy định mới chỉ khiến việc “vượt rào” trở nên khó khăn hơn chứ không thể chặn đứng hoàn toàn. Anh Hiếu nhận định: “Biện pháp mới chỉ khiến chúng tốn thời gian hơn thôi, chứ không thể ngăn cản được. Chỉ là vấn đề thời gian mà thôi.”

Theo Fiona Kelliherarchive, MIT Technology Review – 04/2026 


Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *