Năm 2009, cơ quan phòng chống tội phạm nguy hiểm có tổ chức của Vương quốc Anh (SOCA) thiết lập Chuyên án WEST, điều tra đường dây trộm cắp thông tin thẻ tín dụng liên quan đến hàng triệu khách hàng bị mất tiền từ việc mua hàng trên mạng trong khi những khách hàng đó không có giao dịch. Cùng thời điểm này Cục điều tra liên bang Mỹ (FBI) cũng tiến hành điều tra một đường dây hoạt động của nhóm tội phạm Mattfeuter, nghi ngờ về việc mua bán thông tin thẻ tín dụng để chiếm đoạt khoảng 200 triệu USD. Cảnh sát Anh và Mỹ xác định, điều tra việc sử dụng trái phép thông tin thẻ tín dụng (CC) ở quốc gia sở tại đã cho thấy nguồn thông tin thẻ trên diễn đàn này có địa chỉ cụ thể đưa về một số địa chỉ tại Việt Nam.
Manh mối bắt đầu từ website Mattfeuter
Mattfeuter là tên của một trang web chuyên mua bán thẻ tín dụng, giống như một diễn đàn trong thế giới ngầm để các đối tượng tin tặc trên toàn thế giới có thể vào trao đổi, mua bán thông tin thẻ tín dụng mà chúng trộm cắp được. Nguồn CC được các đối tượng chủ yếu mua ở Nga, Ukraine, Mỹ, Anh, Pháp, Bỉ và Việt Nam… Sau khi thoả thuận mua được các CC, nhóm tội phạm chuyển cho nhóm bán và chiếm hưởng tiền chênh lệch.
Thủ đoạn của nhóm này là qua các hacker trao đổi lấy thẻ tín dụng ăn cắp được để mua hàng trên mạng, nhưng tinh vi hơn là gửi qua rất nhiều khâu, nhiều người nhận khác nhau, dùng cả những chứng minh thư giả, lấy hàng rồi chuyển tiền. Số đối tượng hoạt động trên mạng lấy tên theo kiểu biệt danh nên công tác điều tra gặp nhiều khó khăn.
Theo điều tra của FBI và SOCA, ông trùm của Mattfeuter đã phân chia đường dây này thành 2 nhóm chuyên biệt, gồm nhóm mua CC và nhóm bán CC. Đại uý Lê Anh Tuấn - Phó trưởng Phòng 2, Cục Cảnh sát PCTPCNC (C50), Bộ Công an - cho biết nhóm mua thông tin thẻ tín dụng đã có sẵn 1 ngân hàng các địa chỉ email của các hacker người nước ngoài. Đối tượng đã trao đổi với các hacker để thoả thuận mua thông tin thẻ tín dụng, sau khi thoả thuận được giá, các hacker sẽ chuyển các CC đã được nén.
Tháng 10/2012, Bộ Công an Việt Nam tiếp nhận đề nghị của SOCA và FBI cùng phối hợp điều tra, vì thông tin kẻ cầm đầu nhóm đối tượng này có thể là Trương Hải Duy, quốc tịch Việt Nam.
"Nhiệm vụ của nhóm Trương Hải Duy ở tại Việt Nam là mua thông tin thẻ tín dụng, kiểm tra thông tin thẻ đó hoạt động như thế nào, phân ra từng gói thông tin thẻ và bán cho các tổ chức khác trên các diễn đàn mạng ở tất cả các nước trên thế giới. Khi mua thì có thể mua vài trăm USD với những gói dữ liệu hàng nghìn thông tin thẻ tín dụng và bán vài chục USD cho một thông tin thẻ tín dụng…", Thượng tá Lê Xuân Minh, Phó Cục trưởng Cục Cảnh sát PCTPCNC (C50), Bộ Công an kể lại.
Trương Hải Duy - Kẻ FBI điểm tên là ai?
Để đi tìm kẻ tình nghi số 1, tháng 3/2013 Bộ Công an xác lập chuyên án mang bí số 226T, bắt đầu điều tra từ cái tên Trương Hải Duy.
Ngay từ đầu, ban chuyên án đã xác định đây là một nhiệm vụ cực kỳ khó khăn. Địa bàn thực hiện hành vi lừa đảo, sử dụng thẻ tín dụng trộm cắp đều hoạt động ở nước ngoài. Còn Trương Hải Duy, đối tượng tình nghi chính mà SOCA theo dõi thông qua biện pháp kỹ thuật nghiệp vụ trong gần 2 năm lại có khá nhiều địa chỉ IP hoạt động khắp nơi ở Việt Nam. Từ nhiều địa chỉ IP phía SOCA và FBI cung cấp, đây đều là những địa chỉ không có thực, hoặc là các quán cafe Internet, hoặc nhà trọ sinh viên...
Trước những ma trận địa chỉ IP, lãnh đạo phòng 2 của C50 đã chỉ đạo các trinh sát phải điều tra lại từ đầu, bắt đầu lại cuộc sàng lọc thông tin về nhóm tội phạm Mattfeuter.
Theo Đại uý Lê Anh Tuấn, năm 2011 trên diễn đàn thế giới, tội phạm ngầm hoạt động rất mạnh trong việc mua bán trái phép thông tin thẻ tín dụng. Từ những năm đó, các đối tượng trong nhóm Matfeuter cũng đã thu thập một khối lượng dữ liệu khổng lồ, các email của hacker và một kho dữ liệu lớn về thông tin thẻ tín dụng. Các đối tượng có vai trò quan hệ chặt chẽ với nhóm tội phạm là hacker, trực tiếp mua bán thông tin thẻ tín dụng trái phép ở trên mạng và có vai trò nổi bật tại các diễn đàn trong thế giới ngầm.
Quá trình điều tra, các trinh sát phải thiết lập xây dựng sơ đồ, mô hình tổ chức của nhóm đối tượng Mattfeuter về cách thức chúng đã mua và bán CC trên mạng. Họ phải thâm nhập vào chính diễn đàn UG (diễn đàn hacker ngầm) của các hacker đen để tìm hiểu phương thức, cách thức thực hiện giao dịch mua bán CC từ giới tin tặc, mục đích để đi tìm Trương Hải Duy hoặc người điều hành của nhóm này.
Các trinh sát khoanh vùng nhóm các đối tượng trong đường dây thường có độ tuổi từ 19 đến 30. Từ mạng ảo suy ra đời thực, các trinh sát phải chia ra nhiều nhóm để đi tìm những thanh niên trẻ đam mê CNTT hoặc đang học CNTT tại các trường đại học mà sở hữu được nhiều tài sản có giá trị, có mối liên hệ với người nước ngoài…
Sau nhiều tháng liên tục tìm kiếm thông tin về Trương Hải Duy, khoanh vùng các đối tượng, các trinh sát phát hiện một nhân vật có đặc điểm trùng khớp với những thông tin phía SOCA cung cấp, vị trí đối tượng đang ở thuộc khu 1 khu chung cư Kỷ Nguyên tại đường 15B nối dài Nguyễn Lương Bằng, quận 7, TP.HCM.
Nhưng không giống như suy đoán ban đầu, khi truy tìm được Trương Hải Duy ngoài đời thực, các trinh sát phát hiện đối tượng lại là 1 người khuyết tật có gia cảnh rất nghèo. Bằng con mắt nghiệp vụ sắc sảo, trinh sát đã phán đoán Duy chỉ là bức bình phong. Ông trùm đường dây này chắc chắn là một người khác.
Cơ quan công an họp tác chiến
Lần theo dấu vết ông trùm thực sự...
Lúc này, mọi biến động của Trương Hải Duy đều được giám sát 24/24h. Thế nhưng, gần 2 tháng trời theo dõi, đối tượng không để lại bất kỳ dấu vết nào liên quan đến việc mua bán thông tin thẻ tín dụng. Đối tượng rất ít ra khỏi nhà, 1 tuần chỉ ra ngoài 1 lần để đi lễ nhà thờ. Và rồi, may mắn đã đến với các trinh sát. Đối tượng đã đi đến 1 địa chỉ khác trên đường Nguyễn Trọng Lội, quận Tân Bình. Đây là trụ sở của Công ty cổ phần ô tô Toàn Cầu.
Thâm nhập vào hệ thống mạng internet của căn nhà này, điều bất ngờ là các trinh sát phát hiện có dấu hiệu truy cập và giao dịch trên các diễn đàn UG.
"Có nhiều biểu hiện bất minh, đối tượng thường hoạt động vào các buổi tối từ 8h đến 5h, 6h sáng, chủ yếu vào ban đêm, ban ngày các đối tượng không ra ngoài… Chúng sử dụng các tài sản có giá trị cao, đi xe ô tô hạng sang, Pocher hoặc Mecedez, đó là những dấu hiệu ban đầu để chúng tôi khẳng định rằng ở 29 Nguyễn Trọng Lội có dấu hiệu hoạt động mua bán CC của nhóm Mattfeuter…, xác định được 1 đối tượng thình thoảng lui tới để điều hành hoạt động là người hay đi xe ô tô hạng sang, đó chính là Văn Tiến Tú", Đại uý Lê Anh Tuấn kể lại.
Phác họa chân dung ông trùm đằng sau nhóm hacker Mattfeuter
Từ năm 2009, Văn Tiến Tú đã thành lập Công ty CP ô tô Toàn Cầu và làm chủ tịch HĐQT. Đến năm 2012, Văn Tiến Tú là cái tên nổi tiếng trong giới "dân chơi" TP.HCM. Có nhiều tiền, đối tượng sắm một dàn xe ô tô hạng sang, thường xuyên đến các resort cao cấp với nhiều người đẹp, tới nhiều quán bar nổi tiếng để ăn chơi…
Với vỏ bọc là 1 doanh nhân, đối tượng lên mạng tuyển dụng các nhân viên làm việc cho công ty ô tô Toàn Cầu. Công ty này có 8 người được trả từ 10 đến 20 triệu đồng/tháng. Đó chính là Trương Hải Duy, Lê Văn Kiều, Mạc Thị Trương Tiên, Trần Thị Diệu Hiền, Nguyễn Văn Quý, Nguyễn Minh Khánh, Lê Thị Tư, Nguyễn Thị Kim Dung.
Trừ Trương Hải Duy, những người còn lại đều ở trong công ty Toàn Cầu từ sáng đến đêm. Điều kỳ lạ, tất cả nhân viên công ty đều là người khuyết tật. Việc ăn uống hàng ngày của nhóm nhân viên này là do 1 người giúp việc phụ trách.
Dàn siêu xe của Văn Tiến Tú bị công an thu giữ
Trong đăng ký kinh doanh của công ty CP ô tô Toàn Cầu là chuyên cho thuê, bảo dưỡng và sửa chữa ô tô. Nhưng trong căn nhà trên phố Nguyễn Trọng Lội không có hoạt động của việc kinh doanh cho thuê ô tô. Nó được lập ra với một mục đích duy nhất để nhận tiền và chuyển tiền từ nước ngoài. Chỉ trong một thời gian rất ngắn, ban chuyên án xác định được số tiền mà công ty này giao dịch tại các ngân hàng lên tới hơn 80 tỉ đồng.
Trong công ty CP ô tô Toàn Cầu, Tú có đóng góp 1 tỉ, trong đó vốn công ty chỉ có 2 tỉ. Tú gần như không tham gia điều hành công ty này. Tú sử dụng ngôi nhà đó làm trụ sở của công ty nhằm che mắt dân xung quanh. Đồng thời, công ty này đứng ra để làm chức năng nhận trung chuyển tiền từ công ty Trần Chánh và công ty Hà Yến……
Bản thân các công ty Trần Chánh (447, đường Trần Phú), công ty Hà Yến (84, Lê Thị Hồng Gấm) chỉ biết đối tượng nhận và chuyển tiền từ nước ngoài qua dịch vụ Western Union là tiền công quảng cáo và thiết kế website cho các công ty nước ngoài, không liên quan đến việc mua bán CC.
Theo quy định của Trung tâm chuyển tiền nhanh Western Union thuộc Ngân hàng ACB, khách hàng đến nhận không bắt buộc phải kê khai nguồn gốc các khoản tiền, do vậy đại lý như công ty Trần Chánh và Hà Yến chỉ chịu trách nhiệm về tính xác thực thông tin người nhận. Đối tượng đã lợi dụng việc này để nhận tiền từ nước ngoài một cách dễ dàng.
"Tú đã sử dụng pháp nhân công ty Toàn Cầu để lấy tài khoản vay và nhận chuyển tiền từ nước ngoài. Đặc biệt là công ty Trần Chánh đã chuyển khối lượng tiền khoảng 90 tỉ, Tú sử dụng nhân viên của mình và thuê một số đối tượng sử dụng CMT giả để nhận tiền nhằm che mắt cơ quan điều tra…", Đại tá Bế Quốc Hưng cho biết.
Giải mã ẩn số Mattfeuter và Văn Tiến Tú...
Cho đến thời điểm này, ban chuyên án đã xác định được Văn Tiến Tú chính là ông trùm của Mattfeuter tại Việt Nam. Còn Trương Hải Duy chỉ là một người làm thuê, được tin cậy và cũng bị lợi dụng, đẩy lên làm bình phong với vai trò kẻ cầm đầu tổ chức. Đối tượng sử dụng tài khoản ngân hàng, hộp thư của Duy để trao đổi, mua bán, giao nhận tiền từ nước ngoài.
Ông trùm không chiếm đoạt tiền từ việc ăn cắp thông tin thẻ để mua hàng trên mạng, hoặc làm thẻ giả mà chỉ ẩn danh điều hành, chỉ đạo nhóm nhân viên người khuyết tật đi mua và bán CC để hưởng chênh lệch.
"Văn Tiến Tú là 1 người rất thông minh nên quá trình xâm nhập vào tổ chức Mattfeuter chúng tôi gặp nhiều khó khăn. Chúng tôi trực tiếp thâm nhập và chat hàng tháng trời với thành viên của nhóm Mattfeuter. Chúng tôi cũng trực tiếp mua bán CC để nắm bắt về giá cả, phương thức tổ chức và cách chuyển tiền của các đối tượng như thế nào. Tú rất thông minh", Đại uý Lê Anh Tuấn kể lại.
Phương thức thủ đoạn và hành vi phạm tội của nhóm Mattfeuter tinh vi hơn rất nhiều các nhóm tội phạm trộm cắp thông tin thẻ tín dụng mà C50 đã từng phá án trước đó. Tú đã tạo lập và giao cho Lê Văn Kiều sử dụng nick contimxaodong để mua CC. Trương Hải Duy, Trần Thị Diệu Hiền, Mạc Thị Trương Tiên, Nguyễn Minh Khánh sử dụng nhiều nick như matffeuter, feutermatt, mattfeuter2008, mattfeuter123… để bán CC. Tú hưởng chênh lệch từ 0,6 đến 6USD/1CC. Việc thanh toán tiền mua CC được Lê Văn Kiều thực hiện qua giao dịch tiền ảo LR trên website libertyreserver.com.
Sau nhiều nỗ lực điều tra, "ẩn số Mattfeuter" đã được giải mã. Ngoài việc chứng minh những nguồn tiền bất hợp pháp qua hệ thống Western Union, cơ quan điều tra đã phải mất gần 2 năm củng cố thêm các chứng cứ điện tử, phương thức mua bán CC của nhóm tội phạm để tiến hành kế hoạch phá án.
Cuộc truy đuổi ông trùm Văn Tiến Tú và đồng bọn...
Cơ quan điều tra đã có đầy đủ bằng chứng Tú thu lợi bất chính hàng trăm tỉ đồng từ việc mua bán CC, giúp sức cho các đối tượng nước ngoài đánh cắp thông tin thẻ tín dụng của hơn 2 triệu tài khoản ngân hàng trên toàn thế giới, chiếm đoạt số tiền khoảng 200 triệu USD. Không chỉ điều hành nhóm Mattfeuter, Tú còn móc nối với một số đối tượng tại TP.HCM xây dựng 2 trang mạng cờ bạc trực tuyến ibetvn.com và lode365.com.
Lúc này, kế hoạch phá án của ban chuyên án càng trở nên gấp rút và áp lực hơn khi SOCA và FBI đánh giá đây là nhóm tội phạm cực kỳ nguy hiểm. Tại Hà Nội, luôn có 1 tổ công tác đặc biệt của SOCA và FBI túc trực để chờ tin của các trinh sát báo về.
Thượng tá Lê Xuân Minh - Phó Cục trưởng Cục Cảnh sát PCTPCNC (C50), Bộ Công an cho biết: "Yêu cầu chung của Bộ Công an là làm sao phá án để cảnh sát Anh và Mỹ cũng phá được án mà không bị lộ, phải đảm bảo các yêu cầu, các quy định pháp luật Việt Nam cũng như phù hợp với quy định pháp luật của các nước bạn, đảm bảo cho chuyên án thành công ở Việt Nam và cả ở Mỹ, Anh, một số nước châu Âu".
Chờ đến giờ G, ban chuyên án của tất cả các nước sẽ cùng một lúc tổng tấn công truy quét tất cả các đối tượng trong đường dây Matffeuter trên toàn thế giới. Tại Việt Nam, 5 tổ công tác do C50 kết hợp với C44 chia làm nhiều mũi thực hiện kế hoạch truy đuổi ông trùm Văn Tiến Tú trên mọi nẻo đường, từ TP.HCM ra Vũng Tàu tới Đà Nẵng.
Gần 1 tuần bám sát, theo dõi và định vị đường đi của Văn Tiến Tú, vào ngày 29/5/2013 ông trùm Mattfeuter đã bị sa lưới pháp luật trên đường đến 1 resort ở Bình Thuận. Sau khi bắt được Văn Tiến Tú, Trương Hải Duy và đồng bọn, ngay lập tức 10 địa điểm khám xét liên quan đến hoạt động phạm tội của nhóm Mattfeuter đã được ban chuyên án tiến hành đồng thời. Quá trình điều tra, 31 đối tượng trong nhóm Mattfeuter, nhóm "Tổ chức đánh bạc" và nhóm "Đánh bạc" trên trang lode365 và ibetvn.com lần lượt bị bắt giữ thành công, đảm bảo bí mật đến phút cuối cùng, hỗ trợ cho cảnh sát Anh và Mỹ thực hiện cuộc tổng tấn công truy quét mạng lưới Mattffeuter tại các nước này.
Chỉ chưa đầy 1 tuần, đến ngày 5/6/2013 11 đối tượng là người nước ngoài trong đường dây của Matffeuter đã bị bắt tại Anh và Mỹ.
Quá trình thực hiện chuyên án 226T, C44 và C50 đã mở rộng điều tra chứng minh được Văn Tiến Tú tổ chức hoạt động đánh bạc trên mạng. Từ tháng 6/2012 đến khi bị triệt phá, trang website www.lode365.com đã có 10.296 tài khoản đánh bạc với tổng số tiền gần 95 tỉ đồng. Tính đến 31/5/2013, trên website www.ibetvn.com có 2.123 tài khoản đánh bạc với tổng số tiền lên tới hơn 150 tỉ đồng.
Phim tài liệu: Lần theo dấu vết - Tập 2
Là loạt phim tài liệu do Trung tâm Phim Tài liệu và Phóng sự, Đài THVN sản xuất, Lần theo dấu vết sẽ mang tới cho khán giả 30 chuyên án đặc biệt chấn động dư luận một thời. Phim sẽ nhắc tới các loại tội phạm nguy hiểm về ma tuý, bắt cóc, tội phạm công nghệ cao, với những cái tên như Tàng Keangnam, Vũ Xuân Trường... Tất cả sẽ được ê-kíp đạo diễn, phóng viên, biên tập viên tái hiện công phu, thể hiện cuộc đấu trí quyết liệt giữa các trinh sát, điều tra viên với các băng nhóm tội phạm cộm cán trong loạt phim này.