Từ bên trong một trung tâm rửa tiền tại Campuchia, một nhân viên mở ứng dụng ngân hàng phổ biến ở Việt Nam trên điện thoại. Ứng dụng yêu cầu tải lên ảnh liên quan đến tài khoản, anh ta chọn ảnh một người đàn ông châu Á khoảng 30 tuổi. Tiếp theo, ứng dụng yêu cầu mở camera để kiểm tra tính xác thực của video. Kẻ lừa đảo giơ lên một hình ảnh tĩnh của một người phụ nữ hoàn toàn khác với chủ tài khoản. Sau 90 giây chờ đợi, trong khi ứng dụng yêu cầu điều chỉnh khuôn mặt cho vừa khung hình, anh ta đã đăng nhập thành công. Các đối tượng lừa đảo có thể bẻ gãy sinh trắc học để đánh cắp tiền từ ngân hàng.
Lỗ hổng bảo mật và dịch vụ hack trên Telegram
Theo ông Ngô Minh Hiếu (Hiếu PC), chuyên gia an ninh mạng, lỗ hổng này được thực hiện nhờ các dịch vụ hack bất hợp pháp ngày càng nhiều, dễ dàng mua trên Telegram, được thiết kế để phá vỡ quy trình xác minh danh tính khách hàng (KYC). Ông Hiếu hiện là cố vấn an ninh mạng cho chính phủ Việt Nam, điều hành tổ chức phi lợi nhuận chống lừa đảo và hỗ trợ cơ quan thực thi pháp luật điều tra rửa tiền. Các biện pháp bảo vệ ngân hàng và tiền điện tử này nhằm xác nhận tài khoản thuộc về người thật và khuôn mặt khớp với giấy tờ tùy thân. Nhưng kẻ lừa đảo vượt qua chúng để mở tài khoản trung gian và rửa tiền. Thay vì dùng nguồn cấp dữ liệu camera trực tiếp, các vụ tấn công thường sử dụng công cụ gọi là camera ảo, cho phép thay thế luồng video bằng các video hoặc ảnh khác, mô tả người thật, người giả mạo hoặc thậm chí vật thể.
Trong bối cảnh các tổ chức tài chính triển khai biện pháp bảo mật nâng cao nhằm ngăn chặn tội phạm mạng, những thủ đoạn lách luật này là vòng đấu mới nhất trong cuộc rượt đuổi giữa tội phạm và ngành dịch vụ tài chính.
Cuộc rao bán sinh trắc học
Trong cuộc điều tra kéo dài hai tháng hồi đầu năm nay, MIT Technology Review đã xác định được 22 kênh và nhóm Telegram công khai bằng tiếng Trung, tiếng Việt và tiếng Anh quảng cáo các bộ công cụ vượt bảo mật và dữ liệu sinh trắc học bị đánh cắp. Các bộ phần mềm này sử dụng nhiều phương pháp để xâm nhập hệ điều hành điện thoại và ứng dụng ngân hàng, tuyên bố cho phép người dùng vượt qua kiểm tra tuân thủ của các tổ chức tài chính, từ sàn giao dịch tiền điện tử lớn như Binance đến ngân hàng nổi tiếng như BBVA của Tây Ban Nha.
“Chuyên về dịch vụ ngân hàng – xử lý tiền bẩn,” dòng giới thiệu trên Telegram của chương trình được kẻ rửa tiền người Campuchia sử dụng (đã bị xóa) viết, kèm biểu tượng ngón tay cái giơ lên. “An toàn - Chuyên nghiệp - Chất lượng cao”. Một số kênh và nhóm có hàng nghìn người đăng ký hoặc thành viên, đăng các gạch đầu dòng liệt kê dịch vụ (“Tất cả các loại dịch vụ xác minh KYC”; “Mọi thứ đều suôn sẻ và liền mạch”) cùng với video thể hiện các vụ hack thành công. Telegram cho biết, sau khi xem xét, họ đã xóa các tài khoản vi phạm điều khoản dịch vụ. Nhưng các chợ trực tuyến này mọc lên dễ dàng, và nhiều kênh, nhóm quảng cáo công cụ tương tự vẫn hoạt động.
Chainalysis, công ty phân tích blockchain của Mỹ, ước tính khoảng 17 tỷ đô la bị đánh cắp trong các vụ lừa đảo và gian lận tiền điện tử vào năm 2025, tăng từ 13 tỷ đô la năm 2024. Trong khi đó, Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm cảnh báo sự mở rộng của các băng nhóm lừa đảo châu Á sang châu Phi và Thái Bình Dương đã giúp ngành công nghiệp này “tăng lợi nhuận một cách đáng kể”.
Mặc dù các ước tính khác nhau, các nhà nghiên cứu an ninh mạng cho biết các loại tấn công này đang gia tăng: Công ty xác minh sinh trắc học iProov ước tính các cuộc tấn công bằng camera ảo phổ biến hơn 25 lần trên toàn thế giới vào năm 2024 so với năm 2023, trong khi Sumsub, công ty cung cấp dịch vụ KYC, báo cáo các nỗ lực gian lận “tinh vi” hoặc nhiều bước, bao gồm vượt qua xác minh bằng camera ảo, tăng gần gấp ba lần vào năm ngoái trong số khách hàng của họ. Ba tổ chức tài chính Binance, BBVA và Revolut cho biết họ nhận thức được các vụ vượt rào bảo mật này và nhấn mạnh đây là thách thức chung của toàn ngành.
Tội phạm mạng vượt qua hàng rào bảo mật thế nào?
Các quảng cáo về lỗ hổng bảo mật trông có vẻ đơn giản, nhưng thực tế, xây dựng hệ thống vượt qua bảo mật thành công lại phức tạp và thường liên quan đến nhiều phương pháp. Không chỉ dừng lại ở lừa đảo đơn thuần, hacker hiện nay còn chèn mã độc vào hệ điều hành điện thoại hoặc sửa đổi mã nguồn ứng dụng ngân hàng để kích hoạt camera ảo (VCam). Kết hợp với công nghệ Deepfake (video giả mạo), chúng tạo ra những danh tính giả mạo tinh vi, khó phân biệt với người thật.
Ông Sergiy Yakymchuk, CEO công ty an ninh mạng Talsec, nhận định: “Trước đây chỉ cần bẻ khóa ứng dụng là đủ, nhưng nay tội phạm phải can thiệp sâu vào hạ tầng của hệ điều hành để đối phó với các lớp bảo mật sinh trắc học ngày càng dày đặc”. Nhóm của ông đã nhận được yêu cầu trợ giúp từ các ngân hàng và sàn giao dịch cho khoảng 30 vụ tấn công dựa trên VCam trong năm qua, tăng từ con số dưới 10 vụ vào năm 2023.
Theo ông Ngô Minh Hiếu, đối với các mạng lưới rửa tiền, việc vượt qua KYC là mắt xích sống còn. Tiền chiếm đoạt từ nạn nhân được luân chuyển qua các tài khoản ngân hàng “rác” (tài khoản thuê hoặc bị đánh cắp danh tính), sau đó nhanh chóng quy đổi sang đồng tiền ổn định (stablecoin - loại tiền điện tử neo giá với đồng đô la Mỹ) để tẩu tán. Những giao dịch này thường diễn ra trong vài giây, dưới sự quản lý chặt chẽ. “Họ hiểu rất rõ quy trình xác minh hoặc xác thực tài khoản của các ngân hàng”, ông Hiếu nói.
Cuộc chơi mèo vờn chuột
Sự gia tăng của hoạt động rửa tiền thông qua các vụ lừa đảo trực tuyến đã dẫn đến việc các tổ chức tài chính bị giám sát chặt chẽ hơn. Năm 2023, Binance đã nhận tội tại tòa án liên bang Hoa Kỳ vì hoạt động mà không có các biện pháp bảo vệ chống rửa tiền. Tổng thống Donald Trump đã ân xá cho cựu CEO của Binance, Chaopeng Zhao, vào tháng 10 năm ngoái.
Phân tích gần đây từ Liên minh các nhà báo điều tra quốc tế cho thấy, sau khi Zhao nhận tội, hơn 400 triệu đô la vẫn tiếp tục được chuyển đến Binance từ Huione Group, một công ty có trụ sở tại Campuchia mà Mỹ đã trừng phạt sau khi Bộ Tài chính coi đây là “điểm nút quan trọng” cho hoạt động rửa tiền. Binance tuyên bố sở hữu “hệ thống bảo mật hiện đại” giúp ngăn chặn thiệt hại hàng tỷ đô la do gian lận và công ty đã xử lý hơn 71.000 yêu cầu từ cơ quan thực thi pháp luật trong năm 2025.
Tuy nhiên, John Griffin, chuyên gia về tài chính và blockchain tại Đại học Texas ở Austin, không nghĩ rằng các sàn giao dịch này đủ an toàn. “Mặc dù họ liên tục quảng bá rầm rộ về việc ‘Chúng tôi đã thay đổi điều này điều kia’—nhưng thực tế lại chứng minh tất cả. Tội phạm vẫn đang sử dụng sàn giao dịch của bạn,” Griffin nói.
Các cơ quan quản lý toàn cầu đang nỗ lực bám đuổi để ngăn chặn tình trạng này. Cuối năm 2024, Mạng lưới Thực thi Tội phạm Tài chính Mỹ (FinCEN) cũng đã phát đi cảnh báo về vấn nạn giả mạo KYC. Tuy nhiên, chuyên gia Ngô Minh Hiếu nhận định: “Bất kỳ rào cản bảo mật mới nào cũng chỉ khiến tội phạm mất thêm chút thời gian. Đây là một cuộc chơi mèo vờn chuột không hồi kết”.
