Trộm tiền ATM

127

Hàng thập kỷ qua, các máy rút tiền tự động (ATM) đã trở nên rất quen thuộc với người dân trên toàn thế giới. Tuy nhiên, những vụ lừa đảo với ATM cũng ngày càng gia tăng với thủ đoạn rất tinh vi, từ phá máy, cài đầu đọc thẻ giả cho đến đột nhập cơ sở dữ liệu của ngân hàng. Theo Ken Pickering, chuyên gia bảo mật ở hãng an ninh CORE, trước 2008, Mỹ còn mất tới 1 tỷ USD hàng năm do nạn trộm cắp qua thẻ ATM.

Ngân hàng Hoàng gia Thụy Sĩ (RBS) cũng từng là nạn nhân của lừa đảo ATM. Cuối năm 2008, RBS WorldPay – dịch vụ thanh toán điện tử của RBS thông báo máy chủ của họ bị tấn công. Thông tin tài khoản thẻ trả lương (payroll) và thẻ quà tặng (gift card) của khoảng 1,5 triệu khách hàng đã bị đánh cắp.Nhóm tội phạm đã tìm cách nâng giới hạn rút tiền trong ngày của một số thẻ. Sau đó, chỉ trong vòng 12 giờ, chúng rút được 9,4 triệu USD từ hơn 2.100 máy ATM. Phạm vi hoạt động của chúng trải khắp 280 thành phố tại Mỹ, Nga, Ukraine, Estonia, Italy, Hong Kong (Trung Quốc), Nhật Bản và Canada.

 

 

RBS từng là nạn nhân của vụ lừa đảo ATM lên tới 9,4 triệu USD

Đến tháng 5/2009, 4 người đàn ông sống tại Florida (Mỹ) lại bị bắt giữ vì gắn các thiết bị đọc thẻ giả vào máy ATM để lấy thông tin tài khoản và mật khẩu. Các ATM bị gắn nằm rải rác tại Cicero, Rochester và thành phố New York. Tổng cộng, chúng đã lấy đi hơn 1,8 triệu USD.

Mới đây nhất là vụ đánh cắp thế kỷ – 45 triệu USD vừa bị Mỹ phanh phui. Theo AP, nhóm tội phạm này không dùng dao, súng và mặt nạ. Chúng đột nhập vào cơ sở dữ liệu ngân hàng, loại bỏ các giới hạn tín dụng của các thẻ và lấy mã PIN. Sau đó, chúng chuyển dữ liệu vào một chiếc thẻ nhựa bất kỳ, thậm chí có thể là thẻ chìa khóa phòng khách sạn hoặc thẻ rút tiền đã hết hạn.Các đồng phạm mang số thẻ này nhanh chóng tỏa ra rút tiền ở nhiều thành phố và thực hiện việc rửa tiền. Nhóm đã thực hiện ba đợt rút tiền như vậy, gồm hai phi vụ trong tháng 12 và một trong tháng 2.

Vụ đầu tiên vào ngày 22/12/2012 khi các hacker tấn công nhắm mục tiêu một bộ xử lý thẻ tín dụng ở Ấn Độ xử lý giao dịch thẻ ghi nợ MasterCard trả trước cấp cho khách hàng của Ngân hàng Quốc gia Ras Al-Khaimah PSC, RAKBANK trong Vương Quốc Ả Rập. Họ đưa ra các dữ liệu bị đánh cắp cho năm tài khoản để cashers trong 20 quốc gia và đã rút 5 triệu USD tiền mặt tại hơn 4.500 máy ATM.

Vụ thứ 2 vào ngày 19/02/2013, bắt đầu từ khoảng 3 giờ chiều và tiếp tục cho đến 1:30 sáng hôm sau. Các tin tặc nhắm mục tiêu một bộ xử lý khác thẻ ngân hàng có trụ sở tại Hoa Kỳ, xử lý giao dịch tại các Ngân hàng Muscat ở Oman. Họ chỉ bàn giao dữ liệu 12 thẻ tài khoản, thẻ trả trước để cashers trong 24 quốc gia trong vòng 10 giờ phối hợp rút tiền tại 36.000 điểm ATM và rút thành công khoàng 40 triệu.

Các hình ảnh đưa ra khi công bố vụ cướp cho thấy camera giám sát đã ghi lại được hình ảnh của một trong những nghi phạm. Hắn đeo chiếc ba lô đựng đầy tiền mặt và đi ra từ một cây ATM. Một số bức ảnh khác cho thấy những tên trộm chụp ảnh cùng xấp tiền mà chúng đánh cắp được.

atm

Tổng cộng có hơn chục quốc gia tham gia vào cuộc điều tra. Các máy ATM bị rút tiền nằm ở Nhật Bản, Nga, Romania, Ai Cập, Colombia, Anh, Sri Lanka, Canada và một số nước khác.

Ngoài cách thức ăn trộm thông tin khách hàng để rút tiền những kẻ phạm tội còn lợi dụng lỗ hổng trong việc thanh toán điện tử để tiến hành rút tiền “khống” tại các cây ATM. Tiêu biểu trong số này có thể kể đến như vụ tin tặc đã khai thác lỗ thông trong thanh toán của Citygroup để lấy đi 1 triệu USD vào năm 2012. Để có thể thực hiện thành công việc trộm tiền, kẻ cầm đầu Ara Keshishyan đã khai thác một lỗ hổng trong giao thức bảo mật tài khoản của Citigroup khiên hệ thống xử lý của Citigroup xử lý nhiều hành động rút tiền trên cùng một tài khoản trong cùng một khoảng thời gian như chỉ một hành động rút tiền thông thường.

Sau đó Ara Keshishyan đã tiến hành tuyển dụng ít nhất 13 người để thực hiện hành động rút tiền gần như là đồng thời (trong khoảng thời gian 60s) tại các cây ATM khác nhau để có thể gian lận rút được số tiền nhiều hơn số tiền có thực trong mỗi tài khoản. Ngoài ra để che giấu việc gian lận lừa đảo của mình, Ara Keshishyan và đồng bọn đã khôn khéo rút mỗi lần tiền chỉ từ 10.000$ trở xuống nhằm tránh phải thực hiện những báo cáo giao dịch liên bang đối với các số tiền lớn. Từ lúc thực hiện đến lúc bị bắt, Ara Keshishyan đã thực hiện thành công và thu lợi bất chính hơn 1 triệu USD từ các tài khoản của Citigroup.

Để rửa tiền những kẻ phạm tội đã thực hiện rút tiền tại các ATM được điều hành bởi Global Cash Access, đây là một công ty dịch vụ tài chính có trụ sở tại LasVegas. Công ty này cho phép khách hàng của mình rút tiền mặt từ các tài khoản ngân hàng cá nhân. Những kẻ phạm tội bị cáo buộc sử dụng các khoản tiền bị đánh cắp để đánh bạc tại sòng bạc, sử dụng khách sạn  miễn phí,…. Ara Keshishyan và 13 người khác bị buộc tội âm mưu gian lận ngân hàng và sử dụng cấu trúc bất hợp pháp trong giao dịch tài chính. Hình phạt tối đa tại Mỹ cho tội danh này là từ 5 năm tù giam và phạt tiền 250.000$. Riêng cả kẻ cầm đầu Ara Keshishyan bị buộc tội với 14 tội danh gian lận ngân hàng khác với tổng hình phạt lên đến 30 năm tù giam và 1 triệu USD tiền phạt.

Tại Việt Nam, do vẫn chủ yếu sử dụng thẻ từ có mức độ an ninh thấp nên cũng đã xảy ra rất nhiều vụ ăn trộm tiền từ ATM mà thủ đoạn chính là ăn trộm thông tin cá nhân rồi làm giả thẻ đi rút tiền tại các cây ATM khác nhau. Tiêu biểu trong số này phải kể đến trường hợp làm giả ATM quy mô lớn của Nguyễn Anh Tuấn (Chủ tịch Hội đồng quản trị Công ty RC) vừa bị công an triệt phá. Để thực hiện hành vi phạm tội của mình, Tuấn và đồng bọn đã xây dựng các trang web bán hàng trực tuyến, gửi thư điện tử đi mời chào khách hàng để lừa đảo các chủ thẻ tín dụng cung cấp các thông tin về thẻ tín dụng của họ, sau đó công việc của Tuấn là làm thẻ giả đi rút tiền tại ATM. Tương tự còn có trường hợp của Nguyễn Đình Cường đã mua một máy in thẻ ATM từ Mỹ với giá 500$ kèm thẻ trắng. Giống như Tuấn sau khi ăn cắp được thông tin của chủ thẻ, Cường làm thẻ giả để đi rút tiền, thời gian làm thẻ giả theo Cường thú nhận chỉ mất khoảng một phút.

Ngoài cách lừa đảo khách hàng truy cập vào các trang web mua bán trực tuyến để ăn cắp thông tin tài khoản tín dụng, những kẻ tội phạm còn có rất nhiều hình thức để ăn trộm thông tin khách hàng có thể kể đến như: gắn đầu đọc thẻ giả (skimmer), lắp bàn phím giả
vào cột ATM

a1a
Bàn phím nhái tội phạm sử dụng để gắn vào ATM

a2a

Mặt sau của một tấm PIN Pad

Tấm PIN Pad (bàn phím dùng để nhập mật khẩu) giả này được lắp vào ATM được trang bị kết nối Bluetooth hoặc kết nối di động để lập tức truyền tải dữ liệu của khách hàng tới điện thoại hoặc laptop của tội phạm.

Ngoài những cách lừa đảo phổ biến như trên, theo các nhà an ninh thuộc đại học California (Mỹ) trong tương lai tội phạm còn có thể dùng thiết bị hồng ngoại để phát hiện lượng nhiệt hấp thụ còn lưu lại mỗi khi người sử dụng nhấn lên bàn phím để nhập mật khẩu tại các cây ATM. Sau đó bằng việc kết hợp với phần mềm tùy biến bọn tội phạm có thể “phục chế” và đọc các số chính xác đến 80% nếu thực hiện ngay sau mỗi giao dịch. Thậm chí bằng thực nghiệm những nhà an ninh còn thấy rằng kể cả chờ thêm 1 phút sau mỗi giao dịch thì họ vẫn nhận diện được khoảng 50% các số.

a3a

Camera hồng ngoại có thể làm lộ mã PIN

Mặc dù hiện tại tỉ lệ nhận diện còn thấp nhưng những nhà an ninh tin rằng trong tương lai không xa với các phần mềm tùy biên tiên tiến hơn bọn tội phạm sẽ nâng cao được khả năng nhận diện qua hồng ngoại với số thời gian tăng lên.