Thứ Hai, 10 tháng 11, 2008

Thị trường đen béo bở trên internet

Bất chấp mọi nỗ lực cải thiện an ninh trong nhiều năm qua, bọn tội phạm vẫn tiếp tục tung các số (number) tài khoản (account) ngân hàng và số thẻ tín dụng đánh cắp được cùng hằng hà thông tin khác về người tiêu dùng lên mạng.

Thị trường đen số thẻ tín dụng, số tài khoản ngân hàng và các thông tin thô khác về người tiêu dùng được cấu trúc rất tinh vi. Thị trường có cả người mua, người bán, kẻ trung gian và hệ thống dịch vụ đi kèm. Người tham gia đến từ khắp nơi trên thế giới nhưng đa phần là các trang web phương Tây, nơi việc buôn bán được thực hiện qua các server máy tính tại các nước thuộc Liên Xô cũ nên rất khó dò tìm. Bọn con buôn được phân loại số má và đẳng cấp dựa vào phẩm chất thông tin, dữ liệu và giá cả chúng bán.

Các trang web đen còn chỉ cho khách hàng cách xóa các bill thanh toán, chuyển bill cho địa chỉ khác và thời điểm thích hợp nhất để xâm nhập một tài khoản bằng thông tin mua được. Ủy ban Mậu dịch Liên bang Mỹ (FTC) ước tính các thông tin, dữ liệu cá nhân của khoảng 10 triệu người Mỹ đang bị sử dụng bất hợp pháp bằng cách này hay cách khác. Hệ quả là người tiêu dùng bị mất 5 tỉ USD một năm, còn các doanh nghiệp mất 48 tỉ USD.

Nạn nhân của bọn đạo tặc rất nhiều. Kỹ nghệ tài chính Mỹ nên xem đây là một nguy cơ lớn như khối u ung thư. Nó không giết bạn ngay nhưng giết lần mòn theo thời gian - Jim Melnick, cựu chuyên viên phân tích Nga vụ của Cơ quan Tình báo quốc phòng (DIA), hiện là giám đốc bộ phận nghiên cứu và dự báo nguy cơ của Công ty iDefense trụ sở tại Reston, Virginia chuyên về loại tội phạm trên không gian điều khiển, nói.

Không ai biết có bao nhiêu số thẻ tín dụng và số tài khoản ngân hàng đã và đang được bán đấu giá trên thị trường đen nhưng các cơ quan pháp luật tin rằng đây là thị trường khổng lồ. Mỗi ngày, tại các địa chỉ như carderportal.org, bọn con buôn với tên giả làm ăn cấp tập. Cob, tiếng lóng chỉ việc hoán đổi bill thanh toán từ địa chỉ này sang địa chỉ khác, là mặt hàng được tranh mua nhiều nhất. Đây là hình thức gian lận ta xài nhưng người khác trả tiền. Ví dụ, một con phe cob vừa rao bán các số thẻ tín dụng và tài khoản ngân hàng, vừa sẵn sàng trợ giúp người mua đổi địa chỉ bill thanh toán thông qua số danh tính cá nhân (pilfered PIN).

 

Trong một vụ khác, con phe bán cob kiêm luôn dịch vụ đổi địa chỉ bill. Để an toàn hơn tránh hậu quả, đôi khi địa chỉ gửi bill được đổi thành địa chỉ một căn hộ vô chủ trong một tòa nhà địa phương. Thông tin về các địa chỉ trống  vắng này cũng được bán. Những khóa học về cob mở thường xuyên trên mạng cho thấy nghệ thuật gian lận này đang phát triển ở mức cao. Kẻ tráo địa chỉ thường kiên nhẫn chờ đến ngày nạn nhân nhận được bill, tức chờ dưới 30 ngày mới ra tay tiếp. Một cuốn chỉ nam về cob mà FBI thu được đã lưu ý khách hàng như thế.

Cob nào liên quan đến thẻ tín dụng American Express có thể hét giá 85 USD vì số tiền trong thẻ thường lớn. Cộng tác với các chuyên viên thư rác (spammer), các phisher (những tay chuyên soạn mật khẩu ma quỉ để bán cho bọn đánh lừa) gửi hàng triệu e-mail giả như thật dụ người nhận tiết lộ thông tin tài khoản của họ. Một phi vụ phishing thành công có thể mang về hàng ngàn số tài khoản mới cùng các chi tiết danh tính khác như tên, địa chỉ, số điện thoại, mật khẩu, số PIN. Càng nhiều chi tiết tài khoản càng xộp, giá bán càng cao hơn.

Một người sử dụng bí danh Sirota đang chào bán thông tin tài khoản chi tiết đến nỗi nó giống như một báo cáo thẻ tín dụng của ngân hàng. Ìng ta đòi 200 USD cho một dump 10.000 USD (dump là tiếng lóng chỉ số thẻ tín dụng bán trên thị trường đen Internet, một thị trường phát triển rất mạnh trong thời gian gần đây). Giá mỗi dump thường bằng 5% giá trị tài khoản. Nếu bán càng chậm, giá trị thẻ tín dụng sẽ giảm đi (do chủ nhân trang trải bớt), giá bán sẽ hạ.

Những tay trộm có nghề tìm mua cả các công cụ gài mã, thẻ tín dụng trắng (plastic) và thuật số (algos, công cụ gài mã sọc từ tính để biến tấm thẻ vô dụng thành hữu dụng). Bọn buôn lậu thông tin (buôn plastic, algo hoặc cob) xây dựng tên tuổi trước hết bằng quảng cáo và qua phiên bản thị trường chợ đen của trang web mua bán eBay. Mọi trưng bày hàng hóa rao bán trên trang web đều phải qua sự kiểm duyệt của những người quản lý trang hoặc những chuyên viên thẩm tra đang tin cậy.

Ví dụ, tại iaaca.com (tên viết tắt của International Association for the Advancement of Criminal Activity), ai muốn bán cob hay dịch vụ cob buộc phải cung cấp 10 địa chỉ đổi bill cho hai chuyên viên thẩm tra để họ trắc nghiệm tính xác thực bằng điện thoại hoặc Internet. Những con buôn số thẻ tín dụng phải cung cấp 20 số thẻ còn giá trị gồm năm thẻ classic, năm thẻ doanh nghiệp, năm thẻ platium, năm thẻ công ty, trong đó 50% là thẻ visa, 50% là thẻ mastercard. Điều này sẽ xác định chất lượng và phần trăm số thẻ còn hiệu lực – thông báo của trang web iaaca.com ghi. Sau khi đã được chấp nhận, người bán sẽ phải trả lệ phí để rao bán hàng của mình trên message board của trang web. Ngoài ra họ còn có thể quảng cáo trên banner.

 

Những cuộc tiếp xúc giữa bên bán và bên mua luôn diễn ra ngoài board và trên trang web ICQ, nơi chương trình instant-messaging thường được bọn trộm trên không gian điều khiển chọn lựa vì tính nặc danh của nó (không cần tên, không cần đăng ký, không cần e-mail nên không lưu lại dấu vết gì).

Các chi trả thường được làm trong môi trường nặc danh tương đối bằng e-gold, một loại tiền điện tử được bảo đảm bằng vàng do Công ty e-gold Ltd., đăng ký tại đảo Nevis ở Caribbea phát hành (Các nhân viên Sở Mật vụ Mỹ hoài nghi về sự bảo đảm bằng vàng như quảng cáo). Các giao dịch cũng có thể được làm bằng WMZ’s, đơn vị tiền điện tử tương đương với USD do Công ty WebMoney Transfer ở Moscow, Nga phát hành. Cả hai công ty trên đều làm ăn hợp pháp với những khách hàng chân chính. Sở Mật vụ Mỹ đã có những cuộc thảo luận với hai công ty trên để lưu ý họ về vấn đề.

Người ta vẫn chưa rõ rằng có dữ liệu nào trong hơn 40 triệu tài khoản vừa bị đánh cắp từ công ty xử lý thanh toán CardSystems Solutions đã được tung vào thị trường đen chưa, nhưng các viên chức pháp luật và chuyên viên an ninh cho biết họ đánh cược là chắc chắn các thông tin sẽ được rao bán tại những trang web như iaaca.com. 

Không có nhận xét nào: