ChúngTa.com

Màn đêm buông xuống Đài Bắc, thành phố vừa ra khỏi cơn bão, mưa vẫn còn nặng hạt. Nhưng hai gã người Nga, Sergey Berezovsky và Vladimir Berkman, vẫn rảo bước tới cây ATM gần Ngân hàng Thương mại Đệ nhất. Đầu đội nón sụp xuống, mặt đeo khẩu trang chống bụi, họ loay hoay cạnh chiếc máy rút tiền một hồi và sau đó trước sự kinh ngạc của một cặp xếp hàng sau họ, tiền từ trong máy ATM nhả ra liên tục mà hai người này chưa hề đụng tới máy. Hai người vội vàng nhét từng xấp tiền vào một chiếc túi rồi nhanh chóng biến mất vào màn đêm trên một chiếc xe hơi màu đen. Sau này cặp nhân chứng kể với cảnh sát họ phát hiện hai gã kia đánh rơi chiếc thẻ ngân hàng...

.

Đó là ngày 10-7-2016. Đến hôm sau, nhờ chiếc thẻ ngân hàng, khi cảnh sát lần theo dấu vết của Berezovsky và Berkman đến khách sạn Grand Hyatt cạnh đó thì hai tay người Nga này đã bay về Moscow theo ngả Hồng Kông. Đây chỉ là hai trong số 15 kẻ được thuê để “thu gom” tiền từ 41 chiếc ATM tại 22 chi nhánh của Ngân hàng Thương mại Đệ nhất vào hai ngày cuối tuần mưa bão đó, lấy đi 83 triệu Đài tệ, tức chừng 2,6 triệu đô la Mỹ. Theo một bài điều tra của Bloomberg, đây là “chiến công” gần đây nhất của băng cướp Carbanak chuyên đột nhập hệ thống máy tính của hơn 100 ngân hàng ở 40 nước và vùng lãnh thổ, kể cả Đức, Nga, Ukraine và Mỹ. Tổng cộng, chúng đã đánh cắp chừng 1,2 tỉ đô la, theo Europol, tức lực lượng cảnh sát châu Âu.

Ngoài chiêu bắt ATM nhả tiền, bọn cướp chuyển tiền của người khác vào tài khoản của chúng và dịch chuyển tiền đi khắp thế giới để xóa dấu vết. Chúng đánh cắp danh tính của những người điều hành và quản trị mạng các ngân hàng rồi vào sục sạo truy tìm thông tin về bảo mật để tìm cách điều khiển hệ thống. Một khi đã nắm quyền điều hành, ra lệnh cho máy ATM nhả tiền vào đúng một thời điểm nào đó là “chuyện nhỏ”.

Vụ cướp ngân hàng theo kiểu “kỹ thuật số” đầu tiên diễn ra tại Kiev. Một ngân hàng Ukraine phát hiện mất tiền và hình ảnh camera an ninh cho thấy máy ATM nhả tiền ngay cả khi người rút không hề đụng vào máy, thường là vào lúc nửa đêm về sáng. Ngân hàng này bèn thuê hãng an ninh mạng Kaspersky Lab điều tra. Thoạt tiên ai cũng nghĩ bọn tin tặc dùng máy cầm tay kết nối với ATM rồi dùng mã độc để đánh lừa máy nhả tiền. Nhưng điều tra sâu hơn, Kaspersky Lab phát hiện ra cả một chiến dịch quy mô rộng lớn hơn nhiều.

Một ai đó giả danh là người từ hãng cung cấp máy ATM gửi e-mail cho nhân viên ngân hàng, nội dung hoàn toàn vô hại nhưng kèm theo là một file Microsoft Word. Khi mở file, một đoạn mã độc cho virus loại Trojan tên là Carberp sẽ tạo một cửa hậu cho tin tặc xâm nhập vào mạng máy tính của ngân hàng. Từ đó các thông tin bảo mật nhạy cảm của ngân hàng dễ dàng bị chuyển về cho một máy chủ do tin tặc kiểm soát. Sâu hơn nữa, các tay đột nhập còn chiếm quyền kiểm soát camera gắn trên máy tính để ghi lại mọi thông tin do nhân viên gõ vào, kể cả mật khẩu.

Tin tặc trong vụ này rất kiên nhẫn, chúng chỉ quan sát, tìm hiểu và thu thập thông tin trong nhiều tháng liền mà không gây ra vụ cướp nào để tránh lôi kéo sự chú ý. Chỉ khi thời điểm chín muồi chúng mới bắt tay đánh cắp mã xác nhận để bắt đầu tạo ra các vụ chuyển tiền về túi bọn cướp.

Đến đây Europol vào cuộc, phối hợp nỗ lực của cảnh sát nhiều nước, chia sẻ thông tin và mối liên quan giữa các vụ cướp qua mạng. Đóng vai trò quan trọng nhất là một phòng thí nghiệm chuyên trách việc mổ xẻ các mã độc đã được phát hiện từ các vụ cướp do băng Carbanak thực hiện. Bằng cách đó, họ phát hiện các dấu vết dẫn tới nhân vật Denis Katana, sau này được cho là kẻ cầm đầu băng cướp kỹ thuật số này. Dấu vết đó xuất phát từ căn hộ của Katana gần Madrid. Katana năm đó 34 tuổi, nhìn bề ngoài chỉ như một người Ukraine nhập cư đang tìm cách xây dựng cuộc sống mới tại Tây Ban Nha. Dần dà nhà chức trách Tây Ban Nha bắt đầu hiểu được cách thức “hành nghề” của băng cướp trên không gian ảo. Họ cho rằng Katana bắt tay với thêm ba người nữa ở Ukraine và Nga; một người chuyên gửi e-mail có chứa mã độc, một người chuyên sâu về cơ sở dữ liệu và người thứ ba có nhiệm vụ dọn dẹp dấu vết của băng cướp. Vai trò của Katana, theo các nhà điều tra, phức tạp hơn: anh ta được cho là đảm nhiệm chuyện thám sát hệ thống mạng ngân hàng rồi sau đó chuyển tiền đi tới đi lui như một nhân viên không lưu điều hành máy bay.

Nhóm Carbanak có một điểm yếu cố hữu: sơ hở của con người. Ngày 16-7-2016, sáu ngày sau khi hai gã người Nga Berezovsky và Berkman bắt máy ATM nhả tiền rồi trốn thoát, hai tay khác, tên là Mihail Colibaba và Nicolae Pencov, hạ cánh xuống Đài Bắc. Ra khỏi sân bay, họ nhảy lên taxi đến ngay nhà ga trung tâm. Đến khu hành lý ký gửi dài hạn, họ nhận mã mở khóa trên điện thoại di động và nhanh chóng mở ba ngăn tủ lấy ra ba chiếc túi lớn. Tổng cộng ba chiếc túi chứa 60 triệu Đài tệ, toàn tiền giấy 1.000 Đài tệ mới cứng. Sau đó hai gã này mới nhận phòng ở khách sạn Grand Victoria và lên phòng ở biệt trong đó suốt 24 tiếng. Mãi đến 8 giờ tối ngày hôm sau, hai gã mới xuất hiện ở nhà hàng của khách sạn để ăn tối, có lẽ cũng để ăn mừng phi vụ gần kết thúc thành công. Đợi cho hai gã ăn uống xong, cảnh sát mới chận lại, bắt vào tù. Họ đã theo dõi kỹ hai gã ngay từ khi rời khỏi nhà ga với ba túi xách đầy tiền ngày hôm trước.

Hóa ra, Berezovsky và Berkman thoát thân nhưng nhờ chiếc thẻ ngân hàng họ đánh rơi, cảnh sát Đài Loan lùng sục hết mọi camera tại các ATM rồi phát hiện các vụ đánh cắp tương tự. Rồi từ đó họ mới phát hiện các tay được thuê “thu gom” tiền ATM không vận chuyển tiền về nước ngay; chúng đưa về giấu ở các ngăn tủ thuê ở nhà ga trung tâm. Thế là cảnh sát cử người ngày đêm theo dõi, xem ai đến lấy tiền từ các ngăn tủ này. Colibaba và Pencov hiện đang thi hành bản án bốn năm rưỡi tù giam. Chiếc điện thoại iPhone của Colibaba còn chứa nhiều hình ảnh các túi tiền ở các nơi khác và cả e-mail trao đổi với nhân vật chính - Katana.

Thế nhưng Katana không hề nao núng. Đầu năm 2017, các tay được thuê đã “thu gom” 4 triệu đô la từ các máy ATM ở Madrid. Nhờ đó cảnh sát Tây Ban Nha xin được lệnh nghe lén điện thoại của Katana. Họ phát hiện thật ra Katana không cần tiền - anh chàng này rửa tiền qua một đường dây mua bán Bitcoin và đã chuyển hầu hết tiền của anh ta qua Bitcoin. Đầu năm 2018, cảnh sát biết Katana và đồng bọn sắp sửa phát hành một phiên bản mã độc mới, nguy hiểm hơn. Thế là vào sáng ngày 6-3-2018, cảnh sát gõ cửa nhà Katana, đọc lệnh bắt giữ. Anh ta không hề chống cự, nét mặt dường như biết trước kết thúc này. Ngoài nữ trang và hai chiếc BMW đứng tên anh ta, cảnh sát còn tìm thấy 15.000 Bitcoin, lúc đó trị giá chừng 162 triệu đô la.

Tuy Katana bị bắt, các phiên bản mã độc khác bắt chước băng Carbanak vẫn đang sinh sôi trên không gian mạng, chờ một nhân viên ngân hàng nào bất cẩn, mất cảnh giác sẽ lại tấn công, bắt máy ATM nhả tiền. Cuộc chiến chống cướp ngân hàng “kỹ thuật số” vẫn đang còn tiếp diễn với nhiều chiêu thức ngày càng phức tạp và tinh vi hơn.