Đứng sau một trong những hệ thống bán danh tính khách hàng lớn nhất từng tồn tại, hacker Hieupc đã kiếm được hơn 3 triệu USD trước khi bị bắt. Câu chuyện được nhân vật chính chia sẻ sau khi ra tù sẽ cho chúng ta một góc nhìn toàn cảnh về những gì đã xảy ra.

O’Neill cho biết, ông bắt đầu quan tâm và mở cuộc điều tra việc kinh doanh dữ liệu danh tính của Hieupc sau khi đọc bài “Danh tính của bạn đáng giá bao nhiêu?” (How Much is Your Identity Worth?) bởi Brian Krebs, trong đó có nhắc đến một website của Hiếu. Theo ông O’Neill, điều lạ lùng nhất về Hieupc đó là cái tên của anh này gần như không được biết tới trong “ngôi đền” của những tên tội phạm mạng bị kết án, mà phần lớn trong số này là những kẻ buôn lậu thông tin thẻ tín dụng bị đánh cắp. Những thông tin mà Hieupc bán ra đã tạo điều kiện cho nhiều tội phạm mạng khác thực hiện những phi vụ gian lận tín dụng bằng cách tạo tài khoản mới với giá trị ước tính lên tới 1 tỉ USD, và thông qua đó cũng làm xấu đi lịch sử tín dụng của vô số người Mỹ trong quá trình ấy.
Mục tiêu lớn đầu tiên của Hiếu là một công ty báo cáo tín dụng người tiêu dùng ở New Jersey tên gọi là MicroBilt. Hiếu kể: “Tôi đã hack vào nền tảng của họ và đánh cắp cơ sở dữ liệu khách hàng, từ đó tôi có thể đăng nhập như khách hàng của họ và truy cập các cơ sở dữ liệu về người tiêu dùng. Tôi đã ở trong các hệ thống của họ gần như cả năm trời mà họ không hề biết.”
Rất nhanh sau khi truy cập được vào hệ thống của MicroBilt, theo lời Hiếu, anh ta đã dựng trang Superget.info, một website được quảng cáo có bán bản ghi thông tin người tiêu dùng cá nhân. Theo Hiếu, ban đầu hệ thống của anh ta khá thủ công, người mua cần phải yêu cầu những trạng thái hay một tập thông tin cụ thể mà họ cần, để rồi anh ta sẽ thực hiện tìm kiếm bằng tay.

Trò chơi mèo đuổi chuột đó vẫn tiếp diễn cho tới khi Hiếu tìm được một nguồn dữ liệu người tiêu dùng ổn định và đáng tin cậy hơn: một công ty Mỹ có tên gọi Court Ventures, với khả năng tổng hợp các bản ghi công từ tài liệu của tòa án. Hiếu thì không quan tâm tới những dữ liệu kiểu này, thứ anh ta để ý về Court Ventures là thỏa thuận chia sẻ dữ liệu với công ty môi giới dữ liệu U.S. Info Search, với khả năng tiếp cận những bản ghi về người tiêu dùng còn nhạy cảm hơn nữa.
Sử dụng những tài liệu giả và những lời ngon ngọt, Hiếu đã có thể thuyết phục Court Ventures rằng anh ta là một điều tra viên tư nhân sống ở Mỹ. Anh ta kể: “Lúc đầu, khi tôi đăng ký họ đã yêu cầu một số giấy tờ để xác minh. Thế là tôi đơn giản là sử dụng một số kĩ năng social engineering và vượt qua kiểm tra an ninh một cách trót lọt.”. Sau đó, vào tháng Ba năm 2012, một điều “tuyệt vời” hơn đã xảy ra: Court Ventures được mua lại bởi Experian – một trong ba tổ chức tín dụng khách hàng lớn nhất ở Mỹ. Và sau chín tháng kể từ vụ thâu tóm này, Hiếu đã có thể duy trì truy cập vào cơ sở dữ liệu. Anh ta nói: “Sau đó, cơ sở dữ liệu được đặt dưới quyền kiểm soát của Experian. Tôi đã trả Experian kha khá tiền, hàng nghìn USD mỗi tháng.”.

Dù không thể biết được liệu có ai đó ở Experian đã từng có sự quan tâm cần thiết tới những tài khoản sáp nhập từ phía Court Ventures, nhưng có lẽ không khó khăn mấy để xác định ra điều bất hợp lý ở tài khoản như của Hiếu. Đầu tiên, phải kể đến việc anh ta thường trả hóa đơn hàng tháng cho những yêu cầu dữ liệu khách hàng qua hình thức chuyển khoản từ vô số tài khoản ngân hàng trên khắp thế giới, nhưng chủ yếu là từ những tài khoản mới lập ở các tổ chức tài chính tại Trung Quốc, Malaysia và Singapore.
Ông O’Neill cho biết, trang web bán thông tin danh tính của Hiếu đã tạo ra hàng chục nghìn truy vấn mỗi tháng. Có thể lấy ví dụ, hóa đơn đầu tiên mà Court Ventures gửi đến cho anh ta vào tháng Mười Hai năm 2010 là cho 60.000 lượt truy vấn. Tính đến trước thời điểm Experian mua lại công ty này, dịch vụ của Hiếu đã thu hút được khoảng hơn 1.400 khách hàng thường xuyên với trung bình 160.000 lượt truy vấn mỗi tháng.
Nhưng quan trọng hơn, biên lợi nhuận của Hiếu là rất lớn. Ông O’Neill nói: “Dịch vụ của anh ta kiếm bộn. Phía Court Ventures thu của anh ta 14 cent mỗi lần tìm kiếm, nhưng anh ta thu của khách hàng khoảng 1 USD cho mỗi truy vấn.”.
Tới thời điểm đó, ông O’Neill và các đồng nghiệp tại Cơ quan Mật vụ đã có được hàng tá trát của tòa có liên quan tới dịch vụ đánh cắp danh tính của Hiếu, bao gồm một cái cho phép họ quyền truy cập vào tài khoản email anh ta sử dụng để giao tiếp với khách hàng cũng như quản trị trang web của mình. Các đặc vụ khi đó đã khám phá vài email Hiếu gửi cho một đồng phạm, trong đó có hướng dẫn cách trả tiền cho Experian qua chuyển khoản từ các ngân hàng châu Á khác nhau.
Làm việc với Cơ quan Mật vụ, phía Experian đã nhanh chóng xóa sổ các tài khoản của Hiếu. Nhận thấy cơ hội, các đặc vụ đã liên hệ được với Hiếu thông qua một người trung gian ở Vương quốc Anh – một tội phạm mạng có tiếng đã bị kết án, người đã đồng ý làm theo lệnh của cơ quan này. Người này sau đó nói với Hiếu rằng chính anh ta đã ngưng quyền truy cập tới Experian của Hiếu bởi anh ta đã làm dịch vụ tương tự từ trước, và việc kinh doanh của Hiếu đã làm ảnh hưởng tới anh ta.
Ông O’Neill nhớ lại: “Gã ở Anh nói với Hiếu, ‘Này, cậu đang giẫm chân lên bãi cỏ nhà tôi, nên tôi quyết định là phải khóa cậu ở ngoài. Nhưng nếu cậu chịu trả một khoản phần trăm cho tôi, cậu sẽ không mất đi quyền truy cập nữa.’” Tên tội phạm mạng ở Anh, diễn xuất theo chỉ thị của Cơ quan Mật vụ Mỹ và nhà chức trách Anh, nói với Hiếu rằng, nếu anh ta muốn giữ quyền truy cập thì phải đồng ý gặp mặt trực tiếp. Nhưng Hiếu cũng đủ khôn ngoan để không lập tức mắc câu.
Thay vào đó, anh ta lại tìm cách truy cập vào một cơ sở dữ liệu khổng lồ khác. Với cách thức gần như tương tự lúc tìm cách truy cập vào Court Ventures, Hiếu đã có tài khoản ở một công ty tên là TLO – một công ty môi giới dữ liệu khác, kinh doanh quyền truy cập vào những thông tin chi tiết và nhạy cảm đặc biệt về hầu hết người Mỹ.
Dịch vụ của TLO thường được cung cấp cho các cơ quan thực thi pháp luật tại Mỹ và một số giới hạn các chuyên gia đã được xem xét, những người có thể trình bày một lí do hợp pháp để truy cập vào những thông tin như vậy. TLO đã bị thâu tóm bởi Trans Union, một trong ba tổ chức báo cáo tín dụng khách hàng lớn nhất của Mỹ vào năm 2014.
Trong một khoảng thời gian ngắn, Hiếu đã sử dụng quyền truy cập tại TLO để lần nữa tạo ra một dịch vụ bán thông tin danh tính như cũ, với tên gọi là usearching.info. Trang web này cũng lấy thông tin khách hàng từ một công ty cho vay ngày lĩnh lương (payday loan – một hình thức vay ngắn hạn) mà Hiếu đã hack được. Hiếu cho biết, trang web này đã lập tức cung cấp cho anh ta khoảng gần 1.000 bộ bản ghi đầy đủ fullz mỗi ngày.

Một trang web khác của Hiếu – usearching.info
Tới thời điểm đó, Hiếu đã là một triệu phú đô la: những trang web tự vận hành và những thỏa thuận bán lại với ba cửa hàng tiếng Nga cho tội phạm mạng đã giúp anh ta kiếm được hơn 3 triệu USD. Hiếu nói với cha mẹ rằng tiền của mình tới từ việc giúp các công ty phát triển trang web, và đã dùng những đồng tiền phạm tội kiếm được để trả khoản nợ của gia đình (cửa hàng đồ điện tử đã phá sản, và một thành viên gia đình đã mượn một khoản tiền đáng kể nhưng sau đó không trả lại). Nhưng chủ yếu, theo Hiếu, anh ta đã tiêu tiền vào nhiều thứ phù phiếm, dù anh cũng nói mình không hề dùng tiền vào rượu hay ma túy. “Tôi tiêu tiền vào những chuyến du lịch và xe cộ và nhiều thứ ngu ngốc khác.” – Hiếu nói.
Đến khi cả TLO cũng đã chặn quyền truy cập tài khoản với Hiếu, Cơ quan Mật vụ lại lần nữa tận dụng cơ hội để tay chân người Anh của họ tìm cách đưa Hiếu vào tròng. Ông O’Neill kể: “Gã đó nói với Hiếu rằng lại chính gã đã chặn tài khoản của anh ta, và gã có thể làm thế mãi. Nên nếu anh ta thực sự muốn kéo dài việc truy cập tới mọi nơi mà anh ta từng truy cập, anh ta phải đồng ý gặp mặt và thiết lập mối quan hệ đối tác vững chắc hơn.”
Sau vài tháng trao đổi, cuối cùng Hiếu đã đồng ý gặp gã người Anh tại đảo Guam để hoàn thành thỏa thuận. Hiếu kể, khi đó anh ta hiểu rằng Guam là một phần lãnh thổ thuộc Mỹ, nhưng anh ta đã không để ý tới khả năng tất cả sự việc chỉ là một cái bẫy công phu của cơ quan hành pháp. Hiếu nói: “Tôi đã quá tuyệt vọng trong việc có một cơ sở dữ liệu ổn định, và tôi đã mờ mắt bởi lòng tham, để rồi hành động điên rồ mà không suy nghĩ. Nhiều người đã bảo tôi ‘Đừng đi!’, nhưng tôi nói với họ rằng mình phải thử để xem điều gì sẽ xảy ra.”
Nhưng, ngay sau khi bước chân ra khỏi máy bay ở Guam, Hiếu lập tức bị bắt bởi các mật vụ Mỹ. Ông O’Neill nói đùa: “Một trong các dịch vụ bán danh tính của anh ta là findget.me (find get me – tìm bắt tôi đi). Chúng tôi đã làm nghiêm túc theo điều anh ta yêu cầu đấy thôi.”