Tội phạm mạng dùng công cụ trái phép trên Telegram để qua mặt bảo mật ngân hàng

Tại một trung tâm rửa tiền ở Campuchia, một nhân viên mở ứng dụng ngân hàng phổ biến của Việt Nam trên điện thoại của mình. Ứng dụng yêu cầu anh ta tải lên ảnh liên quan đến tài khoản, vì vậy anh ta nhấp vào bức ảnh của một người đàn ông châu Á độ 30.

Tiếp theo, ứng dụng yêu cầu mở camera để kiểm tra "sự sống động" (liveness check). Kẻ lừa đảo giơ lên một hình ảnh tĩnh của một người phụ nữ hoàn toàn không giống với chủ tài khoản. Sau khi chờ đợi 90 giây—khi ứng dụng yêu cầu anh ta điều chỉnh khuôn mặt vào khung hình—anh ta đã đăng nhập thành công.

Cuộc khai thác mà anh ta đang trình diễn, trong một video được chia sẻ bởi nhà nghiên cứu về tội phạm mạng Hieu Minh Ngo, là có thể nhờ một trong số các dịch vụ hack bất hợp pháp ngày càng nhiều, có sẵn để mua trên Telegram. Các dịch vụ này được thiết kế để phá vỡ các quy trình quét khuôn mặt "Nhận biết khách hàng" (KYC).

Các biện pháp bảo mật ngân hàng và tiền điện tử này nhằm xác nhận rằng tài khoản thuộc về một người thật và khuôn mặt của người dùng khớp với giấy tờ tùy thân đã cung cấp để mở tài khoản. Tuy nhiên, những kẻ lừa đảo đang lách luật để mở các tài khoản "la" (mule accounts) và rửa tiền. Thay vì sử dụng nguồn cấp dữ liệu camera trực tiếp của điện thoại để kiểm tra sự sống động, các công cụ hack thường triển khai một công cụ được gọi là camera ảo (virtual camera). Người dùng có thể thay thế luồng video bằng các video hoặc ảnh khác—mô tả một người thật, người deepfake hoặc thậm chí là một vật thể.

Khi các tổ chức tài chính áp dụng các biện pháp bảo mật tăng cường nhằm ngăn chặn tội phạm mạng, các phương pháp này là vòng mới nhất trong trò chơi mèo đuổi chuột giữa các nhóm tội phạm và ngành dịch vụ tài chính.

Trong quá trình điều tra kéo dài hai tháng vào đầu năm nay, MIT Technology Review đã xác định được 22 kênh và nhóm Telegram công khai bằng tiếng Trung, tiếng Việt và tiếng Anh quảng cáo các bộ công cụ bẻ khóa và dữ liệu sinh trắc học bị đánh cắp. Các bộ phần mềm này sử dụng nhiều phương pháp khác nhau để xâm nhập vào hệ điều hành điện thoại và ứng dụng ngân hàng, tuyên bố cho phép người dùng vượt qua các kiểm tra tuân thủ do các tổ chức tài chính áp đặt, từ các sàn giao dịch tiền điện tử lớn như Binance đến các ngân hàng thương hiệu như BBVA của Tây Ban Nha.

"Chuyên về dịch vụ ngân hàng—xử lý tiền bẩn," tiểu sử Telegram (đã bị xóa) của chương trình được kẻ rửa tiền ở Campuchia sử dụng ghi như vậy, kèm theo biểu tượng cái ng cái like. "An toàn. Chuyên nghiệp. Chất lượng cao." Một số kênh và nhóm có hàng ngàn người đăng ký hoặc thành viên, và nhiều người đăng các gạch đầu dòng liệt kê dịch vụ của họ ("Mọi loại dịch vụ xác minh KYC"; "Mọi thứ đều diễn ra suôn sẻ và liền mạch") cùng với các video được cho là cho thấy các cuộc tấn công thành công.

Telegram cho biết sau khi xem xét các tài khoản, họ đã xóa chúng vì vi phạm điều khoản dịch vụ. Tuy nhiên, các chợ trực tuyến như vậy dễ dàng tăng trưởng và nhiều kênh và nhóm quảng cáo các công cụ tương tự vẫn hoạt động.

Sự trỗi dậy của lừa đảo "giết mổ lợn"

Sự gia tăng các hành vi bẻ khóa KYC diễn ra song song với sự mở rộng của một ngành công nghiệp toàn cầu về các vụ lừa đảo mạng "giết mổ lợn" (pig-butchering). Các nền tảng tiền điện tử và ngân hàng trên toàn thế giới đang phải đối mặt với sự giám sát ngày càng tăng về dòng tiền bất hợp pháp, bao gồm cả lợi nhuận từ các vụ lừa đảo như vậy, chảy qua nền tảng của họ. Điều này đã thúc đẩy các quy định ngân hàng chặt chẽ hơn ở các quốc gia như Việt Nam và Thái Lan, nơi chính phủ đã tăng cường yêu cầu xác minh khách hàng và giám sát gian lận, cũng như thúc đẩy các biện pháp chống rửa tiền mạnh mẽ hơn trong ngành công nghiệp tiền điện tử.

Chainalysis, một công ty phân tích blockchain của Mỹ, ước tính rằng khoảng 17 tỷ USD đã bị đánh cắp vào năm 2025 trong các vụ lừa đảo và gian lận tiền điện tử, tăng so với 13 tỷ USD vào năm 2024. Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm, trong khi đó, đã cảnh báo trong một báo cáo gần đây rằng sự mở rộng của các băng nhóm lừa đảo châu Á tại Châu Phi và Thái Bình Dương đã giúp ngành này "tăng quy mô lợi nhuận một cách ngoạn mục."

Sự kết hợp của các yếu tố đó—sự giám sát nhiều hơn, nhưng cũng có nhiều doanh thu hơn—đã đưa các hành vi bẻ khóa KYC lên vị trí trung tâm của thị trường trực tuyến cho những kẻ rửa tiền lừa đảo mạng và sòng bạc. Mặc dù các ước tính khác nhau, các nhà nghiên cứu an ninh mạng cho biết các loại tấn công này đang gia tăng: Công ty xác minh sinh trắc học iProov ước tính rằng các cuộc tấn công bằng camera ảo phổ biến hơn 25 lần trên toàn cầu vào năm 2024 so với năm 2023, trong khi Sumsub, một công ty cung cấp dịch vụ KYC, báo cáo rằng các nỗ lực gian lận "phức tạp" hoặc nhiều bước, bao gồm cả bẻ khóa camera ảo, đã tăng gần gấp ba lần trong năm ngoái đối với khách hàng của họ.

Ba tổ chức tài chính được nêu tên là mục tiêu trên các kênh Telegram đó—sàn giao dịch tiền điện tử lớn nhất thế giới Binance, cũng như BBVA và Revolut có trụ sở tại Anh—cho biết họ biết về các hành vi bẻ khóa này và nhấn mạnh rằng đây là thách thức của toàn ngành. Một phát ngôn viên của Binance cho biết họ đã "quan sát thấy các nỗ lực có tính chất này nhằm lách qua các biện pháp kiểm soát của chúng tôi", đồng thời thêm rằng "chúng tôi đã ngăn chặn thành công các cuộc tấn công như vậy và vẫn tự tin vào hệ thống của mình."

Cả BBVA và Revolut đều từ chối bình luận xem liệu các biện pháp bảo mật của họ có bị xâm phạm hay không.

Cách tội phạm điều hướng mê cung tuân thủ

Các quảng cáo cho các công cụ khai thác này có vẻ đủ đơn giản, nhưng ở phần phụ trợ, việc xây dựng một bản bẻ khóa thành công rất phức tạp và thường liên quan đến nhiều phương pháp. Một số kênh cung cấp dịch vụ bẻ khóa (jailbreak) một chiếc điện thoại vật lý để những kẻ lừa đảo có thể kích hoạt việc sử dụng camera ảo (VCam) thay vì camera tích hợp bất cứ khi nào chúng muốn. Các cuộc hack khác chèn mã được gọi là "hooking framework" vào ứng dụng của tổ chức tài chính để kích hoạt VCam mở ra. Dù bằng cách nào, VCams đều có thể được sử dụng để đánh lừa các biện pháp bảo mật KYC bằng hình ảnh hoặc video thay thế video trực tiếp thực sự của chủ tài khoản.

Sergiy Yakymchuk, CEO của Talsec, một công ty an ninh mạng chủ yếu phục vụ các tổ chức tài chính, đã xem xét các chi tiết từ các kênh Telegram được xác định bởi MIT Technology Review và cho biết chúng nhất quán với các chiến thuật thành công được sử dụng chống lại các khách hàng ngân hàng và tiền điện tử của ông. Đội ngũ của ông đã nhận được yêu cầu trợ giúp từ các ngân hàng và sàn giao dịch cho khoảng 30 cuộc hack dựa trên VCam trong năm qua, tăng so với mức dưới 10 vào năm 2023.

Ngày càng có nhiều tin tặc xâm phạm cả chính điện thoại và mã của các ứng dụng tài chính trước khi cung cấp cho camera ảo một hỗn hợp dữ liệu sinh trắc học bị đánh cắp và deepfake, Yakymchuk nói.

"Đôi khi trước đây, việc bẻ khóa ứng dụng của ngân hàng và phân phối nó trên Telegram là tất cả những gì bạn cần," ông nói. "Bây giờ thì không đủ, vì bạn có KYC—và ngày càng nhiều thứ khác cần thiết."

Đối với những kẻ rửa tiền, các hành vi bẻ khóa KYC đã "trở nên thiết yếu cho mọi thứ lúc này—vì các tổ chức lừa đảo cần di chuyển tiền," Ngo, nhà nghiên cứu đã chia sẻ video demo, cho biết. Một cựu hacker bị kết án hiện là cố vấn an ninh mạng cho chính phủ Việt Nam, Ngo hiện điều hành một tổ chức phi lợi nhuận chống lừa đảo và giúp cơ quan thực thi pháp luật điều tra rửa tiền.

Ông mô tả quy trình này hoạt động như thế nào trong các vụ lừa đảo giết mổ lợn: Tiền bắt nguồn từ nạn nhân được nhận vào các tài khoản ngân hàng được kiểm soát hoặc thuê bởi một mạng lưới rửa tiền, được gọi thông tục là "nhà nước" (water houses). Những kẻ rửa tiền sử dụng các công cụ bẻ khóa KYC để truy cập tài khoản và nhanh chóng phân phối lại lợi nhuận trước khi chuyển đổi chúng thành tài sản kỹ thuật số—thường dưới dạng stablecoin Tether, một loại tiền điện tử được neo giá đồng đô la Mỹ.

Các giao dịch này thường diễn ra trong vài giây, dưới sự quản lý chặt chẽ. "Chúng biết rất rõ dòng chảy của cách các ngân hàng xác minh hoặc xác thực tài khoản," Ngo nói.

Trò chơi mèo đuổi chuột

Sự gia tăng của rửa tiền lừa đảo mạng đã dẫn đến sự giám sát tăng cường đối với các tổ chức tài chính. Năm 2023, Binance đã nhận tội tại tòa án liên bang Hoa Kỳ vì hoạt động không có biện pháp chống rửa tiền. Cựu CEO Binance Changpeng Zhao đã được Donald Trump ân xá vào tháng 10 năm ngoái.

Phân tích gần đây từ Hiệp hội các Nhà báo Điều tra Quốc tế (ICIJ) phát hiện ra rằng sau khi nhận tội của Zhao, hơn 400 triệu USD tiếp tục chảy sang Binance từ Huione Group, một công ty có trụ sở tại Campuchia mà Hoa Kỳ trừng phạt sau khi Bộ Tài chính coi đây là "nút thắt quan trọng" cho việc rửa tiền trong các vụ lừa đảo giết mổ lợn.

Binance cho biết họ có "hệ thống bảo mật hiện đại" đã ngăn chặn hàng tỷ USD thiệt hại do gian lận và công ty đã xử lý hơn 71.000 yêu cầu từ cơ quan thực thi pháp luật vào năm 2025. Nhưng John Griffin, chuyên gia tài chính và blockchain tại Đại học Texas tại Austin, không nghĩ rằng các sàn giao dịch đủ an toàn. "Mặc dù họ có tất cả những bài báo này về 'Ôi vâng, chúng tôi đã thay đổi cái này và cái kia'—nhưng bằng chứng nằm trong việc ăn bánh. Tội phạm vẫn đang sử dụng sàn giao dịch của bạn," Griffin nói về ngành nói chung. "Vì vậy chắc chắn phải có lỗ hổng." (Binance cho biết họ "phản đối các phát hiện đáng ngờ" trong công việc của Griffin theo dõi dòng tiền lợi nhuận tội phạm trên các sàn giao dịch như Binance, Huobi, OKX và Tokenlon, gọi đó là "đáng gây hiểu lầm ở mức tốt nhất và, trong trường hợp xấu nhất, hoàn toàn sai lệch.")

Binance cũng chỉ ra rằng một số dịch vụ bẻ khóa được cho là thực chất là lừa đảo, gây nghi ngờ về việc liệu các hành vi bẻ khóa thành công có phổ biến như thị trường Telegram gợi ý hay không. Việc tương tác với các dịch vụ này "tiếp xúc cá nhân với rủi ro bảo mật đáng kể," một phát ngôn viên nói. "Ngay cả khi quyền truy cập dường như được cấp, tài khoản thường đã bị hạn chế bởi các kiểm soát phát hiện và tuân thủ nội bộ, khiến chúng không thể hoạt động để giao dịch hoặc rút tiền."

Các cơ quan quản lý trên toàn thế giới đang cố gắng bắt kịp. Tại Thái Lan, nơi tài khoản ngân hàng của công dân thường xuyên đóng vai trò là "con la" tiền cho các vụ lừa đảo mạng có trụ sở tại nước láng giềng Myanmar và Campuchia, luật pháp mới đã tăng cường giám sát KYC, giới hạn giao dịch hàng ngày và tăng cường khả năng của các cơ quan giám sát trong việc đình chỉ tài khoản. Cơ quan quản lý chống rửa tiền của Hoa Kỳ, Mạng lưới Thực thi Tội phạm Tài chính (FinCEN), đã đưa ra cảnh báo về deepfake KYC và việc sử dụng VCams vào cuối năm 2024, khuyến khích các nền tảng theo dõi các mô hình giao dịch rộng hơn để xác định rửa tiền.

Đối với những kẻ lừa đảo, bất kỳ yêu cầu bảo mật hoặc báo cáo mới nào sẽ khiến việc bẻ khóa khó khăn hơn, nhưng "nó sẽ không ngăn cản họ," Ngo nói. "Chỉ là vấn đề thời gian."