Thực trạng tội phạm thẻ thanh toán ở Việt Nam

1.2. Thực trạng tội phạm thẻ thanh toán ở Việt Nam

Năm 1993, Ngân hàng Ngoại thương Việt Nam (Vietcombank) phát hành thí điểm thẻ thanh toán điện tử đầu tiên, mở đầu cho sự phát triển của thẻ thanh toán điện tử tại Việt Nam. Hành lang pháp lý cho hoạt động thẻ lúc ấy chỉ là quyết định số 74 do Thống đốc ngân hàng Nhà nước ký ban hành ngày 10/4/1993, qui định “thể lệ tạm thời về phát hành và sử dụng thẻ thanh toán”. Việc ứng dụng thẻ thanh toán điện tử ở Việt Nam thời điểm đó còn gặp rất nhiều hạn chế do giới hạn về cơ sở pháp lý, điều kiện kinh tế, hạ tầng kỹ thuật… Tuy nhiên, trong hơn 10 năm qua, dịch vụ thẻ và thẻ thanh toán điện tử đã có những bước phát triển mạnh mẽ. Thẻ thanh toán điện tử không chỉ được sử dụng trong giới thương nhân mà đã trở thành một phương tiện thanh toán rộng rãi, thông dụng.

Năm 1996, toàn thị trường Việt Nam chỉ có khoảng 400.000 chủ thẻ. Tính đến cuối năm 2006, cả nước có 17 ngân hàng phát hành thẻ thanh toán điện tử, với khoảng hơn 4 triệu thẻ (trong đó có 3,6 triệu thẻ nội địa). Trong đó, số lượng thẻ ATM phát triển mạnh trong vòng 3 năm trở lại đây, số lượng thẻ năm sau gấp 3 lần năm trước. Số lượng máy rút tiền tự động (ATM) và số thiết bị chấp nhận thẻ thanh toán cũng tăng nhanh. Đến cuối năm 2005, cả nước có khoảng 2500 máy ATM thì tính đến cuối tháng 6/2007 là khoảng 3820 máy ATM, số thiết bị chấp nhận thẻ thanh toán là 21875, và 80% các điểm chấp nhận thẻ thanh toán sử dụng máy kiểm tra thẻ bằng điện tử thay chiếc máy cà thẻ bằng tay [13, tr.3].

Bên cạnh đó việc chi tiêu bằng thẻ cũng đã tăng mạnh trong vòng 4 năm trở lại đây. Từ năm 2002 đến 2006 thì giá trị giao dịch bằng thẻ thanh toán điện tử đã tăng vọt lên đến 200 triệu USD. Số tiền khách nước ngoài chi tiêu tại Việt Nam bằng thẻ tín dụng cũng tăng 323%, đạt 407 triệu USD. Tính đến cuối năm 2007 trong cả nước có khoảng trên 6,5 triệu tài khoản thẻ các loại do 20 ngân hàng thương mại phát hành và thanh toán, được sử dụng tại trên 4000 máy rút tiền tự động đã lắp đặt trong cả nước. Trong đó thẻ thanh toán nội địa chiếm 92,5% do 17 ngân hàng thương mại phát hành và thanh toán. Còn lại là 7,5% thẻ tín dụng quốc tế (khoảng 500.000 tài khoản thẻ) [19, tr.2]. Trong số các loại thẻ tín dụng quốc tế thì chủ yếu là Master Card, VISA, Amex, JCB, Diners Club do một số ngân hàng thương mại Việt Nam đủ điều kiện được làm đại lý phát hành và thanh toán.

Ở Việt Nam, tội phạm thẻ thanh toán là loại tội phạm mới. Chỉ trong những năm gần đây mới xảy ra tình trạng làm và sử dụng thẻ thanh toán giả để rút tiền của người khác bất hợp pháp. Nhưng nó đã xâm hại đến tài sản của công dân và ảnh hưởng đến sự hình thành và phát triển lành mạnh của thị trường thẻ thanh toán vốn đang còn non trẻ ở Việt Nam, nơi mà chi tiêu tiền mặt đang chiếm đến 99% trong thanh toán hằng ngày (theo thống kê của tổ chức thẻ Visa International) [16, tr.42]. Cùng với sự phát triển mạnh mẽ của thị trường thương mại điện tử cũng như thị trường thẻ thanh toán điện tử ở Việt Nam là sự phát triển cũng mạnh mẽ không kém của loại tội phạm sử dụng công nghệ cao để phạm tội trong lĩnh vực tài chính ngân hàng, mà đặc biệt trong đó là loại tội phạm chiếm đoạt tài khoản thẻ tín dụng, thẻ ATM. Nếu như trong thời gian đầu thẻ thanh toán điện tử được đưa vào sử dụng ở nước ta, loại tội phạm này chưa phổ biến, thậm chí là rất ít, thì trong vòng 4 năm trở lại đây, loại tội phạm này đang có xu hướng phát triển rất mạnh cả về số lượng cũng như mức độ tinh vi trong phạm tội. Cụ thể là: Năm 2001 lực lượng Công an đã phát hiện 12 trường hợp sử dụng thẻ tín dụng giả để rút tiền; năm 2002 và năm 2003 cũng đã phát hiện một số vụ khác; năm 2004 phát hiện 2 vụ, năm 2005 phát hiện 1 vụ với thiệt hại hàng trăm tỉ đồng, bắt giữ nhiều đối tượng… Từ năm 2004 đến nay, đã có hơn 100 vụ bị phát hiện và xử lý hình sự cũng như xử lý hành chính, chỉ riêng trong năm 2006 và quý I năm 2007 đã có 50 vụ [16, tr.42].

Việc sử dụng công nghệ cao vào việc thực hiện hành vi phạm tội làm cho thủ đoạn phạm tội ngày càng tinh vi, xảo quyệt hơn, nhưng việc thực hiện hành vi lại đơn giản hơn. Ngày nay, chỉ trong một thời gian ngắn, bọn tội phạm có thể ăn cắp tiền từ hàng loạt các tài khoản chỉ thông qua một vài công đoạn đơn giản. Đồng thời, thành phần phạm tội cũng đa dạng hơn, từ bọn tội phạm chuyên nghiệp, các hacker “mũ đen” cho đến những sinh viên khoa công nghệ thông tin, thậm chí những người bình thường, chỉ cần có hiểu biết nhất định về công nghệ thông tin cũng như cách thức thực hiện việc trộm tiền trong tài khoản thẻ thanh toán điện tử cũng đều có thể trở thành kẻ phạm tội.

Trong thời gian qua, cơ quan chức năng đã bắt và xử lý nhiều vụ, bắt nhiều đối tượng có hoạt động phạm tội liên quan đến thẻ thanh toán. Qua nghiên cứu thấy rằng các đối tượng này thường lợi dụng chủ trương hiện đại hóa và tăng cường công tác giao dịch một cửa, một số cán bộ đã lợi dụng việc quản lý lỏng lẻo của ngành ngân hàng để lập chứng từ giả. Nguy hiểm hơn, chúng còn sử dụng phần mềm máy tính quản lý quá trình giao dịch, thanh toán… chiếm đoạt hàng tỉ đồng của Nhà nước. Điển hình là vụ Hoàng Văn Mạnh, lãnh đạo Phòng Kế toán tin học chi nhánh Ngân hàng Đầu tư – Phát triển tỉnh Hưng Yên tự ý sửa phần mềm máy tính của hệ thống kế toán, chuyển tiền vào tài khoản cá nhân của y để tham nhũng 1,08 tỉ đồng. Bên cạnh đó, lợi dụng sơ hở trong việc triển khai hệ thống máy rút tiền tự động ATM, một số cán bộ kế toán ngân hàng truy cập vào mạng máy tính và thao tác trực tiếp trên máy tính, sau đó chuyển tiền từ tài khoản của khách hàng sang tài khoản của mình rồi thông qua máy ATM rút tiền tham ô. Điển hình là vụ Võ Sỹ Phượng, cán bộ Ngân hàng Nông nghiệp và Phát triển nông thôn chi nhánh quận Thanh Xuân – Hà Nội, ngày 18/3/2004 đã lợi dụng sơ hở của chương trình Korebank tự ý chuyển hai tài khoản gửi của hai khách hàng sang tài khoản của mình và vợ với tổng số tiền là 176.738.000 đồng để sử dụng vào mục đích cá nhân như chơi lô đề, cá cược bóng đá… Ngoài ra, còn có việc giả mạo chữ kí của chủ tài khoản vào tài khoản “ma” rồi dùng thẻ ATM rút tiền tham ô, như vụ Trần Thị Bé Hạnh, giao dịch viên thuộc Phòng Kinh doanh dịch vụ Ngân hàng Vietcombank chi nhánh Cần Thơ, bằng thủ đoạn trên đã rút trên 100 triệu đồng. Hoặc do công tác kiểm tra, kiểm soát không chặt chẽ, một số nhân viên ngân hàng đã thông qua máy ATM hạch toán nhầm trong tài khoản khách hàng bằng cách thêm những số “0” như vụ nhân viên ngân hàng Ngoại thương Hà Nội đã tự sửa 700.000 đồng thành 7.000.000 đồng.

Năm 2005 cũng đã phát hiện được 7 vụ đối tượng lợi dụng công nghệ thông tin và việc triển khai áp dụng công nghệ thông tin hỗ trợ hoạt động nghiệp vụ của các ngân hàng để lừa đảo chiếm đoạt tài sản như vụ Đỗ Giang Nam, giám đốc công ty tin học Phương Nam bằng thủ đoạn đột nhập vào hệ thống tin học của Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam phát ra lệnh gửi tiền “ảo” từ chi nhánh Ngân hàng Nông nghiệp và Phát triển nông thôn Hải Phòng đến chi nhánh tại các tỉnh Ninh Bình, Thái Bình, Thanh Hóa để chiếm đoạt 1 tỉ 432 triệu đồng [24, tr.56].

Tháng 12/2005, cơ quan Cảnh sát điều tra Bộ Công an đã bắt và xử lý Nguyễn Anh Tuấn (nguyên là sinh viên Đại học Bách Khoa Thành phố Hồ Chí Minh) và 9 đối tượng khác (phần lớn là các sinh viên công nghệ thông tin) đánh cắp thông tin tài khoản và làm giả thẻ tín dụng và thẻ ATM, rút trộm tiền từ các máy ATM khoảng 1,6 tỷ đồng. Và một loạt cá vụ phạm tội liên quan đến thẻ thanh toán đã được phát hiện như: vụ vợ chồng Nguyễn Lê Việt và Nguyễn Lê Thuý Mai tại Hà Nội, đánh cắp thông tin thẻ ATM của khách hàng để làm 57 thẻ ATM giả, rút trộm gần 3 tỷ đồng. Thủ phạm đã bị bắt tháng 8/2006; vụ Nguyễn Ngọc Lâm (ngụ thành phố Thái Nguyên) thu lợi hơn 72.000 USD từ việc trộm thông tin thẻ tín dụng của người nước ngoài, bán cho bọn tội phạm quốc tế, với hơn 18.000 tài khoản bị đánh cắp thông tin; vụ Nguyễn Ngọc Thành (ngụ tại quận 10, Thành phố Hồ Chí Minh) bán thông tin của 76.000 thẻ tín dụng, thu lợi bất chính khoảng 190.000 USD [21, tr.3].

Trên đây chỉ là một số vụ đã được cơ quan công an xử lý, làm rõ. Nhưng con số những vụ phạm pháp và số người phạm tội bị phát hiện chỉ là một con số rất nhỏ so với thực tế tội phạm sử dụng công nghệ cao để trộm tiền trong tài khoản thẻ thanh toán điện tử hiện nay. So với thiệt hại mà loại tội phạm này gây ra ở Việt Nam vẫn còn khá nhỏ so với thiệt hại trên thế giới, vì ước tính hàng năm thiệt hại do tội phạm thẻ thanh toán gây ra trên thế giới lên đến hàng tỉ USD. Nhưng không phải vì vậy mà chúng ta không nhận thấy tính nguy hiểm của loại tội phạm mới này đối với vấn đề đảm bảo an ninh tài chính ngân hàng ở nước ta.

Ở Việt Nam tội phạm thẻ thanh toán cũng đã sử dụng một số phương thức, thủ đoạn phạm tội tương tự như ở các nước khác trên thế giới. Tuy nhiên vẫn xuất hiện những thủ đoạn “đặc trưng” do hoạt động giao dịch bằng thẻ thanh toán còn khá mới mẻ tạo nên. Qua nghiên cứu, khảo sát có thể thấy rằng tội phạm thẻ thanh toán ở Việt Nam khi tiến hành hoạt động phạm tội của mình thường sử dụng một số phương thức, thủ đoạn chính sau đây:

Để đánh cắp được mã PIN và thẻ, đối tượng có thể sử dụng các thủ đoạn sau:

Thứ nhất, dùng thiết bị bẫy thẻ lắp đặt tại các máy ATM kết hợp với việc ghi nhận mã PIN được nhập bởi chủ thẻ.

Hiện nay trên thế giới và ở nước ta, thủ đoạn này được sử dụng khá rộng rãi vì tính đơn giản của nó. Thủ đoạn này được gọi là “bẫy thẻ” (card trapping). Các đối tượng sẽ lắp đặt vào bên trong khe đọc thẻ một thiết bị để bẫy thẻ. Thiết bị này được gọi là Lebanese loop, dạng đơn giản nhất của nó có thể là một miếng kim loại hoặc nhựa plastic (hoặc thậm chí chỉ là một dải băng từ trong băng cassette). Khi chủ thẻ đưa thẻ vào khe máy rút tiền thì thẻ sẽ bị giữ lại trong máy. Do miếng nhựa plastic này mà máy rút tiền không thể đọc được thẻ, không nuốt thẻ cũng không thể đẩy thẻ ra. Lúc này chủ thẻ sẽ nghĩ rằng thẻ của mình đã bị máy “nuốt” mất. Cùng với việc cài thiết bị giữ thẻ của chủ thẻ, thủ phạm sẽ đóng vai “người tốt” để đề nghị giúp đỡ, yêu cầu chủ thẻ nhập lại mã PIN, có thể thẻ sẽ được nhả ra. Đây chỉ là cách thức để thủ phạm biết được mã PIN của chủ thẻ. Ngoài ra, để biết được mã PIN của chủ thẻ, đối tượng cũng có thể đứng sau lưng chủ thẻ nhìn qua vai chủ thẻ để đọc mã PIN từ trước; hoặc đối tượng cũng có thể lắp đặt sẵn camera để thu lại hình ảnh khi chủ thẻ nhập mã PIN, việc này sẽ giúp cho đối tượng tránh phải gặp trực tiếp chủ thẻ, sẽ đảm bảo “an toàn” hơn. Sau khi đã “bẫy” được thẻ và biết được mã PIN thì phần việc còn lại với đối tượng là vô cùng đơn giản. Chỉ cần chủ thẻ không cảnh giác, bỏ đi thì đối tượng sẽ tháo thiết bị bẫy thẻ ra và dùng thẻ này để rút tiền trực tiếp từ máy ATM. Thường thì các đối tượng sẽ rút tiền còn lại cho đến khi chiếc thẻ đó hoặc tài khoản bị khoá. Các đối tượng cũng có thể cải tiến thiết bị bẫy để bẫy được nhiều thẻ hơn cùng một lúc thay vì chỉ bẫy được một chiếc thẻ. Như vậy các đối tượng sẽ có thể tiết kiệm được công sức hơn và quan trọng là rút ngắn được khoảng thời gian phải có mặt ở hiện trường, đảm bảo an toàn hơn.

Thứ hai, lợi dụng sơ hở của chủ thẻ để trộm thẻ thật để rút tiền.

Thường đối tượng là người có quan hệ thân quen với chủ thẻ, lợi dụng mối quan hệ gần gũi để ăn cắp thẻ, như trường hợp chị Vân (một giáo viên ở quận Tân Phú) đi công tác để thẻ ATM ở nhà, bị con trai lấy thẻ đi rút 2 triệu đồng; trường hợp khác một công nhân tên L. H. Thi ở khu công nghiệp Sóng Thần cũng đã bị bạn trai lấy thẻ đi rút tiền [27, tr.1].

Hoặc cũng có thể các đối tượng lợi dụng sơ hở của chủ thẻ lấy cắp thẻ để rút tiền, như trường hợp chị Thanh (là một nhân viên văn phòng nước ngoài tại Tháp Hà Nội, 49 Hai Bà Trưng, Hà Nội) để quên ví tại bàn làm việc trong đó có thẻ ATM, sau đó bị mất cắp thẻ và bị rút 14 triệu đồng trong tài khoản [36, tr.2]. Một vụ điển hình khác đã xảy ra ở Hà Nội ngày 1/9/2006, chị Vũ Thị Thu Hà (trú tại phố Lê Trọng Tấn, quận Thanh Xuân) đang thực hiện giao dịch rút tiền thì có điện thoại. Sau khi nghe điện thì đi ngay để quên thẻ đã được nhập mã PIN. Tên Nguyễn Đức Thắng (trú huyện Yên Phong, tỉnh Bắc Ninh) đã lấy thẻ chị Hà và rút 5 triệu đồng [22, tr.3].

Ngoài ra, các chủ thẻ cũng có thể bị mất thẻ trong quy trình phát hành: thẻ do ngân hàng phát hành gửi bằng đường bưu điện bị đánh cắp trên đường đi không đến được chủ thẻ, đặc biệt trong trường hợp thẻ và số PIN được đựng trong cùng một phong bì, khi đó kẻ gian hoàn toàn làm chủ tài khoản của thẻ ATM đó. Kẻ gian còn có thể lấy trộm thông tin ở ngay nhà của chủ thẻ, với thẻ tín dụng thì thường các thông tin về thẻ được chuyển đến chủ thẻ qua bưu điện, kẻ gian đã lục thùng thư để lấy trộm trước khi các thông tin này đến được tay chủ thẻ.

Có thể thấy đây là những thủ đoạn đơn giản, dễ thực hiện và chi phí cực thấp, vì thế nó khá phổ biến, đặc biệt được ưa thích bởi các đối tượng trình độ không cao. Tuy nhiên, thủ đoạn này vẫn còn một số khuyết điểm, sơ hở có thể khiến các đối tượng bị phát hiện bởi vì đối tượng phạm tội phải có mặt ngay tại điểm giao dịch thẻ, điều này có thể gây nghi ngờ cho các chủ thẻ cũng như mọi người xung quanh. Và thủ đoạn này cũng chỉ có thể giúp các đối tượng đánh cắp được một lượng tiền nhất định trong tài khoản, đối với bọn tội phạm có tổ chức và chuyên nghiệp hơn thì lượng tiền này so với nhu cầu của chúng có thể là quá ít. Chính vì vậy, các đối tượng thường sử dụng các thủ đoạn khác tinh vi hơn, khó phát hiện hơn, và trộm được nhiều tiền hơn.

Đánh cắp thông tin tài khoản cá nhân và làm thẻ giả để trộm tiền hoặc sử dụng thông tin đó thực hiện các giao dịch điện tử.

Một trong những phương thức mà các đối tượng sử dụng để trộm tiền trong tài khoản thẻ thanh toán điện tử là đánh cắp thông tin tài khoản cá nhân của chủ tài khoản, sau đó chúng sử dụng những thông tin đó để thực hiện những giao dịch trực tuyến, hoặc chúng sẽ làm ra thẻ giả để rút tiền từ các máy rút tiền tự động. Với phương thức này, các đối tượng sẽ khó bị phát hiện hơn, đồng thời chủ tài khoản cũng sẽ khó nhận biết được rằng tài khoản của mình đang bị trộm. Đây là phương thức phạm tội chuyên nghiệp hơn so với việc “cài thiết bị bẫy thẻ”, đồng thời số tiền mà các đối tượng trộm được cũng sẽ nhiều hơn. Chính vì đối tượng chỉ đánh cắp thông tin của thẻ chứ không đánh cắp chiếc thẻ nên chủ thẻ khó phát hiện, không có ý thức phong tỏa tài khoản. Với phương thức này, các đối tượng có thể sử dụng một số thủ đoạn sau:

Thứ nhất, đánh cắp thông tin thẻ bằng cách lắp đặt thiết bị đọc trộm tại các máy rút tiền tự động (Skimming).

Đây là thủ đoạn đánh cắp thông tin thẻ đơn giản nhất mà bọn tội phạm có thể thực hiện được. Đơn giản vì sử dụng cách này thì bọn tội phạm không cần phải có kiến thức về xâm nhập mạng máy tính mà vẫn có thể đánh cắp được thông tin trong thẻ. Thủ đoạn này gọi là Skimming, là thủ đoạn trong đó các đối tượng sử dụng các thiết bị kỹ thuật cao như thiết bị đọc trộm dữ liệu và camera để ghi lại thông tin cá nhân tài khoản thẻ thanh toán điện tử và số PIN của chủ thẻ.

Thủ đoạn này được thực hiện như sau: Trước tiên, các đối tượng trang bị một thiết bị đọc trộm thông tin thẻ (gọi là skimmer). Thiết bị đọc trộm này có cơ chế hoạt động để đọc các dữ liệu trong thẻ tương tự như cơ chế đọc thông tin thẻ của máy rút tiền tự động, và nó có khả năng sao lưu (copy) những thông tin thu được lại, thậm chí có thể truyền trực tiếp đến đối tượng thông qua một thiết bị vô tuyến gắn kèm. Thiết bị đọc trộm này có thể được mua trực tiếp qua mạng với giá khá rẻ, chỉ dưới 50 USD (hình 12, phụ lục 6). Tiếp theo, các đối tượng tiến hành lắp đặt thiết bị đọc trộm này vào khe đọc thẻ của các máy rút tiền tự động. Sau khi lắp đặt thiết bị đọc trộm này vào khe đọc thẻ của máy rút tiền tự động thì các đối tượng chỉ việc chờ để thu thông tin thẻ của chủ thẻ. Khi chủ thẻ đưa thẻ vào máy ATM để rút tiền, thiết bị đọc trộm sẽ ghi lại toàn bộ những thông tin của chủ thẻ trên dải băng từ của thẻ và lưu lại trên thiết bị hoặc trên một máy tính nhỏ gắn kèm. Chủ thẻ sẽ rất khó để nhận ra thiết bị này vì nó được thiết kế tương đối giống như khe đọc thẻ của máy ATM và khi lắp vào máy, nó trông rất “thật”. Thiết bị này khi đọc thông tin trên thẻ không ngăn cản hoạt động bình thường của máy ATM, chính vì vậy mà chủ thẻ sẽ không nhận ra được sự thật rằng thông tin trên chiếc thẻ của mình đang bị đọc trộm. Song song với quá trình đó là quá trình mà camera (được gắn trong khay chứa tờ rơi hoặc bất cứ nơi nào khác kín đáo nhưng bao quát được bàn phím máy ATM) ghi lại số PIN mà chủ thẻ nhập vào máy ATM (hình 7, phụ lục 5). Những hình ảnh này cũng sẽ được lưu hoặc truyền về cho đối tượng qua thiết bị không dây. Bên cạnh việc lắp đặt camera quay lén thì các đối tượng cũng có thể lợi dụng tại một số máy ATM có bàn phím có thể tháo rời để lắp đặt vào phía trên bàn phím một thiết bị ghi lại quá trình thao tác trên bàn phím của chủ thẻ (hình 8, phụ lục 5). Thủ đoạn trộm số PIN này khó thực hiện hơn so với việc lắp đặt camera quay lén, nhưng nó lại tinh vi hơn, khó bị phát hiện hơn. Sau khi đánh cắp được những thông tin tài khoản và số PIN, các đối tượng sẽ sử dụng những thông tin này để sử dụng cho nhiều mục đích khác nhau như bán lại thông tin cho các đối tượng khác, tiến hành giao dịch trực tuyến hoặc dùng để làm thẻ giả.

Thời gian qua ở nước ta đã có một số nạn nhân của thủ đoạn này nhưng vẫn chưa tìm ra thủ phạm. Một số nạn nhân tiêu biểu như: chị Trần Thị Thủy (nhân viên xí nghiệp thương mại mặt đất Hà Nội, Tổng công ty hàng không Việt Nam) bị mất hợn 30 triệu đồng vào tháng 1/2006; tháng 7/2007 chị Nguyễn Thảo Anh (ngụ tại đường Trần Hưng Đạo, quận 1, Thành phố Hồ Chí Minh) bị rút 3 triệu đồng; chị Huỳnh Thu Vân (ngụ tại Phú Mỹ Hưng, quận 7, Thành phố Hồ Chí Minh) cũng bị mất hai triệu đồng [27, tr.4].

Trên thế giới đã có loại tội phạm lắp đặt máy ATM giả để ăn cắp dữ liệu, ở Việt Nam hiện chưa có loại tội phạm này nhưng những người sử dụng thẻ cũng nên cẩn thận vì nó có thể xuất hiện tại Việt Nam trong thời gian tới. Ngoài ra, ở Việt Nam đã có những đối tượng mua thẻ giả được làm giả ở nước ngoài bằng thủ đoạn skimming rồi đem về Việt Nam rút tiền như trường hợp của hai đối tượng Việt kiều quốc tịch Mỹ là Nguyễn Công Hiền và Phan Mạch Long mua những chiếc thẻ tín dụng giả từ Mỹ để rút tiền và mua hàng hóa tại Việt Nam [6, tr.2].

Thứ hai, đánh cắp thông tin bằng thủ đoạn Fishing (lừa đảo để đánh cắp các thông tin thẻ).

Fishing là thuật ngữ dùng để chỉ việc lừa đảo để đánh cắp các thông tin bí mật như tên người sử dụng, mật khẩu, thông tin tài khoản thẻ thanh toán điện tử bằng việc gửi email ẩn dưới danh nghĩa các trang web ngân hàng hoặc cửa hàng trực tuyến… Để tiến hành thủ đoạn này các đối tượng sẽ tạo nên một thư điện tử (email), dưới nhiều nội dung khác nhau: có thể đó là email giả dạng thông báo của ngân hàng mà chủ tài khoản có tài khoản ở đó, hoặc là thông báo của các cửa hàng, trang web thương mại điện tử nơi mà chủ tài khoản vừa mới thực hiện giao dịch; có thể là email chứa đường dẫn (link) tới một trang web giả nào đó; có thể đó là email thông báo rằng vừa mới trúng thưởng xổ số hoặc sản phẩm nào đó… và yêu cầu chủ tài khoản điền vào các thông tin cần thiết như tên họ, số chứng minh nhân, số tài khoản ngân hàng, mật khẩu…

Nếu người nhận nhận được email có chứa đường link và click (bấm chuột) vào đó, có thể trang web mà trình duyệt Internet hiển thị là một trang có địa chỉ giống như trang web thật của ngân hàng, tổ chức tài chính hoặc cửa hàng thương mại trực tuyến. Thủ thuật này rất đơn giản, đối tượng gửi cho nạn nhân đường link ghi địa chỉ bên ngoài là đúng, nhưng thật ra link thật sự của nó là trang web giả. Ví dụ: đối tượng gửi đường link là www.vietcombank.com, nhưng hyperlink thật sự của nó có thể là bất kì trang web nào mà đối tượng muốn. Cách này bất cứ ai có kiến thức cơ bản về thiết kế trang web đều có thể làm được một cách tương đối đơn giản. Việc tạo một trang web giả có thể mất từ 1 - 2 giờ, và tạo một đường link như vậy chỉ mất khoảng vài ba giây. Không những vậy, một số đối tượng còn lợi dụng một số lỗ hổng trong trình duyệt Internet Explorer để tạo ra một trang web giả mạo trang web thật trên Internet, làm cho người sử dụng lầm tưởng là đang truy cập vào trang web thật mà không biết là mình đang truy cập vào trang web giả mạo. Tại những trang web này, người truy cập cũng được yêu cầu điền vào những thông tin cần thiết để đăng nhập (login), hoặc để kiểm tra an ninh, và những thông tin này sẽ được các đối tượng lưu lại để trộm tiền.

Với thủ đoạn đơn giản như vậy, các đối tượng có thể lấy được những thông tin cần thiết, nếu như chủ tài khoản không cảnh giác. Hoặc trong nhiều trường hợp, các đối tượng có thể cài vào email một trojan. Khi người nhận click vào đường link đi kèm theo email, chương trình trojan đó sẽ tự động kích hoạt và “chui” vào máy tính của người nhận, “nằm chờ” tại một vị trí bí mật. Khi chủ tài khoản sử dụng máy tính để thực hiện các giao dịch trực tuyến, các trojan này sẽ tự động ghi lại những thông tin có liên quan mà chủ tài khoản sử dụng và gửi về cho chủ nhân của nó.

Trong vụ các đối tượng làm thẻ giả do Nguyễn Anh Tuấn cầm đầu, bằng thủ đoạn lập trang web giả của các công ty bán hàng qua mạng và mạo danh nhà cung cấp dịch vụ của các ngân hàng, Nguyễn Đình Cường đã lấy cắp thông số trên thẻ của những người thường xuyên mua hàng hóa qua mạng Internet, sau đó làm thẻ giả để rút tiền [18, tr.2].

Thứ ba, đánh cắp thông tin bằng cách tấn công vào máy tính (Hacking).

Thông thường khi sử dụng thủ đoạn này, các đối tượng thường tấn công thẳng vào cơ sở dữ liệu ở máy chủ hoặc các trang web của các ngân hàng, các công ty bán hàng qua mạng lớn để lấy cơ sở dữ liệu tài khoản. Để tấn công vào một máy tính hoặc một hệ thống máy tính, các đối tượng thường trải qua các bước sau:

Bước 1: Xác định mục tiêu (footprinting): đây là bước tương đối đơn giản, nhưng cũng rất cần thiết đối với hacker khi xâm nhập. Hacker sẽ thu thập càng nhiều thông tin liên quan đến mục tiêu càng tốt. Ví dụ: muốn xâm nhập một trang web của một ngân hàng, thì điều trước tiên là các hacker phải xác định host, domain; và sử dụng các công cụ như WhoIS, Ping… để tìm hiểu các thông tin liên quan đến host, domain như vị trí, các domain được lưu, IP cụ thể là gì… Sau đó, các đối tượng sẽ “dạo quanh” trang web để tìm hiểu cấu trúc trang web, tìm cách download các mã nguồn bằng các chương trình như Teleport Pro; từ đó, các đối tượng có thể biết được một số thông tin mà chủ máy vô tình để hở như tên liên lạc, email, số điện thoại, thông tin liên quan đến bảo mật (cơ chế an toàn, ngôn ngữ lập trình…). Việc dạo quanh các trang web giúp cho các đối tượng có cái nhìn tổng quan về bảo mật của trang web đó, và để tìm ra lỗi trong lập trình trang web.

Bước 2: Thu thập thông tin về mục tiêu (scanning, enumeration): bước này về bản chất cũng giống như bước footprinting nhưng được tiến hành chi tiết hơn và nâng cao hơn. Nội dung của bước này gồm có: tìm hiểu các dịch vụ (services) được dùng trên hệ thống đối phương, dò/quét các cổng (port) để tìm kiếm cổng hở, xác định dịch vụ dùng cho cổng này. Một số công cụ thường được sử dụng là: Nmap, Netcat, Strobe… Quá trình duyệt cổng này sẽ giúp cho đối tượng biết được dịch vụ web nào được sử dụng ở mục tiêu. Ví dụ: cổng TCP (139), NetBios (135), POP3 (110), HTTP (80)… Và đối tượng tìm cách phát hiện các lỗi, lổ hổng bảo mật mà mục tiêu có thể mắc phải.

Bước 3: Tiến hành tấn công vào máy tính dựa trên cơ sở các thông tin thu được trong hai bước trên. Trong bước này, đối tượng sẽ lợi dụng những lỗ hổng khác nhau của hệ thống để đánh cắp những thông tin cần thiết về tài khoản cá nhân được lưu trong máy chủ. Các đối tượng thường lợi dụng các lỗi cơ bản sau để xâm nhập: SQL injection, datasource, shopdisplaycategories, cart32 v3.5a…

Bước 4: Xóa dấu vết (Covering track): đây là bước quan trọng đối với một hacker khi xâm nhập. Nếu quên bước này, 99% các hacker sẽ bị tìm ra. Để xóa dấu vết, các đối tượng sẽ dùng Zap, Rootkits để clear log (xóa nhật ký truy cập trong bộ nhớ máy tính).

Và một bước phụ nhưng không kém phần quan trọng là tạo cửa sau (Creating backdoor): trước khi thoát khỏi hệ thống, các đối tượng thường tạo ra backdoor để có thể xâm nhập dễ dàng hơn vào lần sau bằng các chương trình như Netcat, remote.exe, keystroke logger...

Sau khi đánh cắp được các thông tin cần thiết của các tài khoản, việc tiếp theo của các đối tượng có thể gọi là “hoạt động rửa tiền”. Với các thông tin đánh cắp được, các đối tượng có thể sử dụng vào các mục đích khác nhau, nhưng thường là làm thẻ giả để rút tiền hoặc dùng thông tin tài khoản đó để giao dịch trực tuyến.

Thủ đoạn này cũng đã được các đối tượng tội phạm thẻ ở Việt Nam sử dụng từ khá lâu. Cách đây hơn 5 năm, vào tháng 6/2002 website www.vietcombank.com.vn của ngân hàng Vietcombank bị tấn công và kẻ tấn công đã đánh cắp thông tin thẻ tín dụng của hơn 30 khách hàng. Cũng năm 2002, các hacker đã tấn công vào máy chủ của công ty FPT và đưa ra danh sách email của hơn 28.000 khách hàng đăng ký sử dụng dịch vụ Internet của nhà cung cấp dịch vụ Internet (ISP) này [30, tr.3]. Bên cạnh đó, các đối tượng tội phạm thẻ ở Việt Nam còn tấn công máy tính ở nước ngoài để đánh cắp thông tin thẻ như đối tượng Vũ Ngọc Hà ở Hải Phòng đã phá khóa bảo mật của các thẻ tín dụng ở Úc để chiếm đoạt gần 500 triệu đồng, bị các lực lượng chức năng Việt Nam phối hợp với Cảnh sát Úc bắt giữ vào tháng 10/2006. Một vụ khác là vào cuối tháng 12/2005, Công an Hà Nội đã phát hiện 3 đối tượng ăn cắp dữ liệu của thẻ đã được phát hành tại Mỹ, làm và sử dụng hàng chục chiếc thẻ ATM giả và rút trót lọt gần 950 triệu đồng từ các máy rút tiền tự động trong vòng 3 tháng [23, tr.5].

Ngoài ra, các đối tượng cũng có thể tấn công vào các máy tính cá nhân của khách hàng rồi dụ dỗ họ vào các trang web có hệ thống đánh cắp thông tin tài khoản. Đối tượng Nguyễn Anh Tuấn đã sử dụng cách này để đánh cắp mã thẻ tín dụng của khách hàng để lấy dữ liệu làm thẻ giả bằng cách lập ra một trang web giả danh là tổ chức trung gian của một số tổ chức ngân hàng quốc tế có nhiệm vụ “bảo mật các thông tin trên thẻ tín dụng cho khách hàng”, rồi gửi thông báo đến một số chủ thẻ tín dụng người nước ngoài yêu cầu họ gửi các thông tin về thẻ tín dụng của họ tới trang web trên. Sau khi có được thông tin thẻ của một số khách hàng, Tuấn dùng thông tin thẻ có được với những chiếc thẻ tín dụng trắng và thiết bị ghi thẻ từ mua được qua mạng để làm thẻ giả rút hàng tỉ đồng. Đây là vụ việc tiêu biểu nhất của loại thủ đoạn này xảy ra trong thời gian gần đây [28, tr.2].

Sau khi chiếm đoạt được thông tin về thẻ của các chủ thẻ, các đối tượng phạm tội có thể dùng thông tin có được thực hiện một trong hai hoạt động sau:

- Tiến hành hoạt động làm thẻ giả: hiện nay hoạt động làm thẻ giả đã trở nên khá phổ biến trong giới tội phạm thẻ thanh toán. Hoạt động làm giả đã mang quy mô lớn hơn, lượng thẻ bị làm giả cũng tăng rất đáng kể. Theo thống kê thì số thẻ làm giả trên thế giới hàng năm tăng trên 80%, và hiện vẫn đang có xu hướng tăng lên. Việc làm thẻ giả trở nên đơn giản hơn so với trước kia, chỉ cần mua một chiếc máy ghi thẻ từ MSR106 (hình 17, phụ lục 7) trên Internet với giá tương đối rẻ và tốn chưa đầy 5 phút là có thể cho ra một chiếc thẻ giả “như thật”. Tất nhiên là bề ngoài những chiếc thẻ này không giống thật, nhưng thông tin bên trong thẻ là thật hoàn toàn, chính vì vậy nó có thể được dùng để rút tiền tại các máy rút tiền tự động. Máy MSR106 bao gồm một bộ phận đọc, ghi thẻ từ được nối với máy tính qua cổng COM. Thông tin các tài khoản đánh cắp được sẽ thông qua một phần mềm đi kèm xử lý rồi truyền sang bộ phận ghi thẻ. Chỉ cần đưa phôi thẻ trắng qua bộ phận ghi thẻ này, thông tin sẽ được ghi vào thẻ trắng, tạo ra một thẻ từ với thông tin đầy đủ như một chiếc thẻ thật. Đối tượng chỉ cần dùng thẻ này để trực tiếp rút tiền mặt tại các máy ATM.

- Sử dụng thông tin tài khoản để thực hiện các giao dịch trực tuyến: đây là hình thức mà các đối tượng sử dụng các thông tin đánh cắp được để vào các trang web thương mại điện tử để mua sắm. Đối với các đối tượng này, một nguyên tắc được đưa ra đó chính là mua các mặt hàng càng mang tính “ảo” cao thì càng tốt. Ví dụ như thay vì mua một máy vi tính xách tay, các đối tượng sẽ mua các phần mềm tin học. Sở dĩ như vậy, chính là nếu mua các mặt hàng mang tính ảo sẽ đảm bảo được bí mật, thay vì mua các mặt hàng vật chất thật thì sẽ phải có địa chỉ người nhận, nguy cơ bị phát hiện sẽ khá cao. Tuy nhiên, các đối tượng vẫn có nhu cầu mua những mặt hàng thật, chính vì vậy một loại hình mới xuất hiện, đó chính là shipping. Có nghĩa các đối tượng sẽ thông qua các đối tượng khác ở nước ngoài làm trung gian để nhận những món hàng mua được, sau đó các đối tượng này sẽ gửi món hàng đó về cho các đối tượng trong nước. Sử dụng cách này sẽ tương đối an toàn hơn cho các đối tượng trong nước khi nhận hàng.

Lừa đảo chiếm đoạt thẻ thật để rút tiền.

Đây là phương thức phạm tội mới xuất hiện lần đầu tiên ở Việt Nam, bằng thủ đoạn gian dối đối tượng phạm tội đã lừa dối khách hàng lập hồ sơ cấp thẻ, sau đó chiếm đoạt thẻ (mà các khách hàng không hề hay biết) để rút tiền hoặc thanh toán khi mua hàng. Ở Việt Nam chỉ mới có một vụ sử dụng thủ đoạn này được phát hiện. Đó là vụ Nguyễn Lê Việt (là nhân viên ngân hàng) đã lợi dụng việc được giao nhiệm vụ làm thẻ cho các bác sĩ Quân y viện 103 ở thị xã Hà Đông để lập hồ sơ đề nghị ngân hàng cấp hai loại thẻ là thẻ ATM và thẻ tín dụng quốc tế cho 60 bác sĩ. Sau đó Việt chỉ đưa cho các bác sĩ thẻ ATM và giữ lại thẻ tín dụng quốc tế của họ, chiếm 60 thẻ này để rút tiền của ngân hàng và thanh toán khi mua hàng. Tổng số tiền mà hai vợ chồng Việt chiếm đoạt được của các ngân hàng lên đến 2,6 tỉ đồng [25, tr.3].

Trên đây chỉ là những phương thức, thủ đoạn cơ bản mà các đối tượng tội phạm thẻ thanh toán đã sử dụng ở nước ta trong thời gian vừa qua. Và chắc chắn rằng các phương thức, thủ đoạn sẽ ngày càng được các đối tượng hoàn thiện hơn, ngày càng tinh vi và khó phát hiện hơn để tiếp tục thực hiện hoạt động phạm tội và đối phó với công tác đấu tranh của các cơ quan chức năng.