Quy mô kinh ngạc của một “trang trại SIM”
Tháng 10 năm ngoái, lực lượng thực thi pháp luật tại nhiều quốc gia châu Âu đồng loạt tiến hành các cuộc đột kích nhằm vào một mạng lưới tội phạm mạng chuyên vận hành “trang trại SIM”. Chiến dịch do Cơ quan Cảnh sát châu Âu (Europol) và Cơ quan Hợp tác Tư pháp hình sự châu Âu (Eurojust) điều phối, với sự tham gia của cơ quan điều tra các nước Áo, Estonia, Latvia và Phần Lan. Chỉ trong một ngày hành động, nhà chức trách đã tiến hành 26 cuộc khám xét, bắt giữ 7 nghi phạm và thu giữ một lượng lớn thiết bị hạ tầng phục vụ tội phạm mạng, qua đó bóc gỡ một mạng lưới “trang trại SIM” khổng lồ.
Những con số mà các nhà điều tra cung cấp tới báo giới sau đó cho thấy quy mô đáng kinh ngạc của đường dây này. Lực lượng chức năng thu giữ khoảng 1.200 thiết bị SIM-box, loại thiết bị có khả năng vận hành hàng chục nghìn thẻ SIM cùng lúc, cùng khoảng 40.000 SIM đang hoạt động. Ngoài ra, hàng trăm nghìn thẻ SIM dự trữ cũng bị phát hiện trong quá trình điều tra. Năm máy chủ lưu trữ dữ liệu của hệ thống bị tịch thu, hai trang web cung cấp dịch vụ viễn thông ẩn danh bị tiếp quản và hiển thị thông báo thu giữ của cơ quan chức năng.
 |
| Europol và Eurojust cùng cảnh sát nhiều quốc gia châu Âu đã phối hợp phá “trang trại SIM” lớn và bắt giữ nhiều nghi phạm. Ảnh: Cybernews |
Những con số trên cho thấy, đây là một hệ sinh thái tội phạm mạng vận hành với mức độ chuyên nghiệp cực cao. Theo các điều tra viên, hạ tầng này cho phép khách hàng trên toàn thế giới thuê các số điện thoại tạm thời để tạo tài khoản trực tuyến hoặc thực hiện các hoạt động liên lạc mà không để lộ danh tính thật. Các số điện thoại được đăng ký tại hơn 80 quốc gia, giúp kẻ sử dụng dễ dàng giả mạo vị trí địa lý và vượt qua nhiều lớp xác thực bảo mật của các nền tảng trực tuyến.
Đáng chú ý, dịch vụ này được tổ chức gần như một nền tảng thương mại điện tử. Hai trang web - gogetsms.com và apisim.com - được thiết kế với giao diện chuyên nghiệp, cung cấp cổng thanh toán và bảng điều khiển cho người dùng. Tại đây, các đối tượng có thể lựa chọn quốc gia, thuê số điện thoại trong thời gian ngắn và nhận mã xác thực SMS để đăng ký tài khoản trên mạng xã hội, ứng dụng nhắn tin hay các nền tảng tài chính.
Nhờ cơ chế đó, chỉ trong một thời gian tương đối ngắn, hệ thống này đã hỗ trợ việc tạo ra hơn 49 triệu tài khoản trực tuyến giả mạo. Những tài khoản này sau đó trở thành công cụ phục vụ hàng loạt hoạt động tội phạm mạng, từ lừa đảo tài chính đến phát tán thông tin giả mạo.
“Đại án” bắt đầu những manh mối nhỏ nhặt
Cuộc điều tra dẫn tới chiến dịch SIMCARTEL bắt đầu từ những dấu hiệu bất thường tưởng như nhỏ nhặt. Các nhà mạng viễn thông tại Áo, Estonia và Latvia phát hiện những mô hình cuộc gọi và tin nhắn SMS bất thường, cho thấy có một lượng lớn lưu lượng viễn thông được chuyển hướng qua những thiết bị trung gian. Những dữ liệu này nhanh chóng được chia sẻ với cơ quan điều tra, mở ra một cuộc truy vết xuyên biên giới.
Từ các dữ liệu viễn thông ban đầu, các điều tra viên dần dựng lại cấu trúc của mạng lưới. Họ phát hiện những thiết bị SIM-box được lắp đặt tại nhiều địa điểm, cho phép chuyển tiếp hàng loạt tin nhắn xác thực và cuộc gọi qua nhiều số điện thoại khác nhau. Điều này giúp người sử dụng dịch vụ dễ dàng che giấu vị trí và danh tính thật của mình, đồng thời vượt qua các cơ chế bảo mật dựa trên số điện thoại.
 |
| Hệ thống máy móc tại trang trại SIM ở Latvia. Ản: Euronews |
Theo các nhà điều tra, hạ tầng này đóng vai trò trung gian cho nhiều loại hình tội phạm mạng khác nhau. Phổ biến nhất là các vụ lừa đảo thông qua email và tin nhắn - thường được gọi là phishing và smishing. Trong các kịch bản này, kẻ tấn công giả mạo tổ chức hoặc cá nhân đáng tin cậy để dụ nạn nhân cung cấp thông tin nhạy cảm như mật khẩu, dữ liệu ngân hàng hoặc mã xác thực.
Một dạng lừa đảo khác cũng được ghi nhận là chiêu trò “con trai - con gái gặp nạn”. Đối tượng lừa đảo nhắn tin cho nạn nhân qua các ứng dụng như WhatsApp, tự xưng là con cái của họ và thông báo đã đổi số điện thoại mới. Sau đó, chúng viện dẫn những tình huống khẩn cấp như tai nạn hoặc sự cố tài chính để yêu cầu chuyển tiền gấp.
Ngoài ra, hệ thống này còn được sử dụng trong các vụ lừa đảo đầu tư trực tuyến. Kẻ gian liên hệ với nạn nhân qua điện thoại, giới thiệu những cơ hội đầu tư sinh lời cao và thuyết phục họ chuyển tiền vào các tài khoản giả mạo. Trong một số trường hợp, chúng còn cài đặt phần mềm truy cập từ xa trên thiết bị của nạn nhân để kiểm soát tài khoản ngân hàng.
Các nhà điều tra cũng phát hiện số điện thoại thuê từ hệ thống được sử dụng trong các cửa hàng trực tuyến giả mạo và các trang web ngân hàng giả. Việc hiển thị một số điện thoại hợp pháp trong phần thông tin liên hệ khiến nhiều nạn nhân tin tưởng và dễ dàng bị lừa hơn.
Nghiêm trọng hơn, theo thông tin từ Europol, dịch vụ này còn tạo điều kiện cho một số hoạt động tội phạm nghiêm trọng khác, bao gồm tống tiền, buôn lậu người di cư và phát tán tài liệu xâm hại trẻ em. Đây là yếu tố khiến Europol đánh giá mạng lưới SIMCARTEL là một trong những nền tảng “dịch vụ tội phạm” nguy hiểm nhất từng bị phát hiện tại châu Âu.
Thiệt hại tài chính được ghi nhận trực tiếp từ các vụ lừa đảo liên quan đến mạng lưới này không quá lớn, chỉ vài triệu euro (chẳng hạn tại Áo bước đầu xác định hơn 1.700 vụ lừa đảo với tổng thiệt hại khoảng 4,5 triệu euro). Tuy vậy, các chuyên gia nhận định con số thực tế có thể lớn hơn nhiều. Phần lớn các vụ lừa đảo trực tuyến không được báo cáo hoặc rất khó truy vết đến nguồn gốc ban đầu. Do đó, những thiệt hại được thống kê hiện nay chỉ phản ánh một phần rất nhỏ tác động của hệ thống này.
Bước đi tiên phong cho một chặng đường dài
Một trong những yếu tố khiến mạng lưới SIMCARTEL trở nên nguy hiểm là cách nó “hạ thấp ngưỡng gia nhập” đối với tội phạm mạng. Trước đây, việc giả mạo số điện thoại hoặc vượt qua các lớp xác thực SMS đòi hỏi kỹ năng kỹ thuật nhất định. Nhưng với dịch vụ này, bất kỳ ai cũng có thể thuê số điện thoại đã được kích hoạt sẵn chỉ với một khoản phí nhỏ. Nói cách khác, những công cụ từng chỉ nằm trong tay các nhóm hacker chuyên nghiệp giờ đây được “đóng gói” thành dịch vụ dễ sử dụng, giúp các hoạt động lừa đảo trực tuyến lan rộng nhanh chóng và khó kiểm soát hơn.
Để triệt phá mạng lưới này, sự phối hợp quốc tế đóng vai trò quyết định. Các cơ quan chức năng từ nhiều quốc gia đã thành lập nhóm điều tra chung, chia sẻ dữ liệu và tổ chức các cuộc họp định kỳ nhằm đồng bộ hóa chiến lược hành động. Trong ngày truy quét, các chuyên gia kỹ thuật của Europol cũng được triển khai trực tiếp tại Riga, thủ đô Latvia, để hỗ trợ thu giữ và phân tích các thiết bị số.
Bên cạnh đó, tổ chức phi lợi nhuận Shadowserver Foundation cũng tham gia hỗ trợ việc tiếp quản và vô hiệu hóa các tên miền liên quan đến dịch vụ này. Khi truy cập vào các trang web từng cung cấp dịch vụ, người dùng chỉ còn thấy thông báo rằng hạ tầng đã bị cơ quan thực thi pháp luật tiếp quản.
Sau khi chiến dịch kết thúc, công việc của các nhà điều tra vẫn chưa dừng lại. Hàng terabyte dữ liệu thu giữ từ các máy chủ và thiết bị SIM-box đang được đội ngũ pháp y kỹ thuật số phân tích. Các bản ghi giao dịch, lịch sử thuê SIM và dữ liệu liên lạc có thể giúp xác định danh tính của nhiều đối tượng đã sử dụng dịch vụ này.
Quá trình này cũng đặt ra nhiều thách thức pháp lý. Bằng chứng điện tử được thu thập từ nhiều quốc gia khác nhau phải tuân thủ các quy định pháp luật riêng biệt trước khi được sử dụng trong các phiên tòa. Việc bảo đảm tính toàn vẹn của dữ liệu và chuỗi lưu giữ bằng chứng vì thế trở thành nhiệm vụ đặc biệt quan trọng.
 |
| Các nhà điều tra đang xem xét hiện trường và thu giữ tang vật. Ảnh: Europol |
Theo các nhà điều tra, kết quả của chiến dịch SIMCARTEL phản ánh một xu hướng mới trong thế giới tội phạm số, khi các mạng lưới tội phạm ngày càng hoạt động theo mô hình dịch vụ, cung cấp hạ tầng và công cụ cho nhiều nhóm tội phạm khác nhau. Trong bối cảnh đó, các cơ quan thực thi pháp luật cũng buộc phải thích nghi với những phương thức điều tra mới, dựa nhiều hơn vào hợp tác quốc tế và phân tích dữ liệu quy mô lớn. Sự phối hợp giữa cơ quan nhà nước, doanh nghiệp viễn thông và các tổ chức an ninh mạng ngày càng trở nên cần thiết.
Dù có được kết quả ấn tượng song dưới góc nhìn của Europol, việc triệt phá SIMCARTEL chưa thể coi là dấu chấm hết cho các “trang trại SIM”. Những mô hình tương tự có thể vẫn tồn tại ở nhiều nơi khác trên thế giới, đặc biệt trong bối cảnh nhu cầu về các dịch vụ ẩn danh trực tuyến ngày càng gia tăng.
Việc bóc gỡ mạng lưới này có thể xem như lời cảnh báo về cách tội phạm mạng đang tận dụng những lỗ hổng của hệ sinh thái số hiện đại. Và trong cuộc chạy đua giữa công nghệ giám sát - thực thi pháp luật và tội phạm mạng, những chiến dịch như SIMCARTEL chỉ là bước đi tiên phong cho một chặng đường hứa hẹn rất dài phía trước.
Nguyễn Khánh
Bình luận