Cơ quan Cảnh sát điều tra Công an TP.HCM vừa hoàn tất kết luận điều tra, đề nghị truy tố 15 bị can về các tội danh liên quan đến xâm nhập trái phép mạng máy tính và sản xuất mã độc, chiếm đoạt tiền người dùng mạng xã hội.
Đường dây này do Lê Ngọc Sơn và “phù thủy công nghệ” Lê Đức Tài vận hành một hệ thống chiếm đoạt tài khoản quảng cáo Facebook vô cùng tinh vi. Bằng cách nhúng mã độc vào các tệp tin tuyển dụng giả mạo trên LinkedIn (mạng xã hội kết nối việc làm, tuyển dụng) và Facebook, các đối tượng đã chiếm toàn quyền điều khiển máy tính của hàng loạt nạn nhân tại nhiều quốc gia.
Đáng chú ý, nhóm này không chỉ thu lợi từ việc bán tài khoản mà còn trực tiếp chạy quảng cáo bán hàng tại Mỹ để hưởng tiền chênh lệch, với tổng số tiền trục lợi lên đến hàng chục tỉ đồng.
Theo kết luận điều tra, khởi nguồn của đường dây này bắt đầu từ mối quan hệ giữa Lê Ngọc Sơn (32 tuổi) và Lê Đức Tài (32 tuổi) – một cử nhân công nghệ thông tin. Cuối năm 2022, nhận thấy kẽ hở trong việc quản lý tài khoản quảng cáo của Facebook (Meta), Sơn đã đặt vấn đề với Tài về việc thiết kế một loại mã độc chuyên biệt để đánh cắp các “tài nguyên” này.
Tài đã sử dụng kiến thức IT để tạo ra mã độc, sau đó nhúng vào các tập tin hợp pháp dưới định dạng Word hoặc PDF. Để đưa người dùng “vào tròng”, Sơn chỉ đạo đồng bọn xây dựng các kịch bản tuyển dụng chuyên nghiệp hoặc các chương trình quảng cáo hấp dẫn trên nền tảng mạng xã hội LinkedIn.
Khi nạn nhân tải các tệp tin này về máy tính để xem nội dung, mã độc sẽ tự động thực thi. Mọi thông tin đăng nhập, quyền quản lý tài khoản quảng cáo sẽ bị đánh cắp và đẩy về một hệ thống lưu trữ trực tuyến qua Google Sheet do nhóm này quản lý.
Trong quá trình hoạt động, nhóm này liên tục gặp khó khăn khi các phần mềm diệt virus cập nhật tính năng nhận diện. Tuy nhiên, thay vì dừng lại, Lê Đức Tài đã liên tục nâng cấp mã nguồn.
Đỉnh điểm vào giữa năm 2023, khi các phương thức cũ không còn hiệu quả, Sơn đã không ngần ngại chi ra 40.000 USD (khoảng 1 tỉ đồng) để Tài mua mã nguồn điều khiển từ xa (RDP) từ một đối tượng ẩn danh trên Telegram.
Với công cụ mới này, nhóm của Sơn có thể chiếm toàn quyền điều khiển máy tính của nạn nhân như thể đang ngồi trước màn hình của họ. Từ đây, các đối tượng như Lương Đình Việt, Trần Hồng Khiêm, Võ Hữu Hải… đã thay nhau theo dõi, quản lý máy tính nạn nhân để khai thác triệt để các tài khoản quảng cáo có hạn mức tín dụng cao.
Sau khi chiếm được tài khoản, Sơn cấu kết với Dương Việt Dũng để thực hiện hành vi trục lợi. Dũng dùng các tài khoản đánh cắp được để chạy quảng cáo bán hàng cho các đối tác ở nước ngoài. Điều tinh quái là số tiền chi trả cho quảng cáo sẽ bị trừ trực tiếp vào thẻ ngân hàng của nạn nhân hoặc nợ tín dụng của Meta, trong khi Dũng và Sơn thu về toàn bộ tiền doanh thu bán hàng.
Bên cạnh đó, với những tài khoản có “tín dụng” thấp, nhóm này tổ chức bán lại cho các đối thủ khác với giá chỉ bằng 20 – 30% giá trị thực tế. Mọi giao dịch ăn chia lợi nhuận giữa các thành viên đều được thực hiện qua đồng tiền điện tử USDT nhằm che giấu vết tích dòng tiền và đối phó với cơ quan chức năng.
Kết quả điều tra xác định, chỉ tính riêng Lê Ngọc Sơn đã hưởng lợi bất chính khoảng 12 tỉ đồng. Trong đó, 5 tỉ đồng đến từ việc hợp tác với Dương Việt Dũng, phần còn lại đến từ việc ăn chia với các nhóm của Nguyễn Xuân Mạnh, Nguyễn Hoàng Khiêm và nhóm Nguyễn Văn Quyết – Nguyễn Trí Minh Thông (trong đó Thông là cựu cán bộ công an).
Hiện, Công an TP.HCM đã chuyển toàn bộ hồ sơ sang Viện KSND TP.HCM, đề nghị truy tố 15 bị can về các tội: Sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật; Xâm nhập trái phép vào mạng máy tính, mạng viễn thông hoặc phương tiện điện tử của người khác.