Lời tự thú của "hieupc": hacker VN vừa mới ra tù sau 7 năm ngồi nhà giam Hoa Kỳ

Đứng sau một trong những hệ thống bán danh tính khách hàng lớn nhất từng tồn tại, hacker Hieupc đã kiếm được hơn 3 triệu USD trước khi bị bắt. Câu chuyện được nhân vật chính chia sẻ sau khi ra tù sẽ cho chúng ta một góc nhìn toàn cảnh về những gì đã xảy ra.

Ngô Minh Hiếu, nickname "Hieupc", là một hacker Việt Nam đã từng tạo dựng một trong những hệ thống bán danh tính lớn nhất chưa từng tồn tại. Những thông tin về anh ta đã từng tràn ngập trên khắp các trang báo sau khi Hieupc bị Cơ quan Mật vụ Hoa Kỳ bắt tại đảo Guam năm 2013. Bị trục xuất về Việt Nam khi mãn hạn tù, Ngô Minh Hiếu đã chia sẻ câu chuyện của mình với nhà báo chuyên về an ninh mạng Brian Krebs từ nơi anh ta đang được cách ly bắt buộc do dịch Covid-19. Chúng tôi xin gửi đến bạn đọc phần lược dịch 2 bài viết về câu chuyện của Hiếu trên trang KrebsonSecurity.

Ở giai đoạn đỉnh cao trong "sự nghiệp" tội phạm mạng của mình, hacker được biết đến với nickname "Hieupc" đã kiếm được khoảng 125.000 USD một tháng thông qua một dịch vụ bán thông tin cá nhân chi tiết. Những thông tin này được Hieupc lấy từ những công ty môi giới dữ liệu hàng đầu trên thế giới. Mọi chuyện vẫn cứ như vậy, cho đến khi lòng tham khiến cho anh này rơi vào một cái bẫy được dàn dựng công phu bởi Cơ quan Mật vụ Hoa Kỳ. Giờ đây, sau hơn 7 năm trong tù, Hieupc đã được trở về quê nhà, và anh ta hi vọng có thể thuyết phục những người khác sử dụng kỹ năng máy tính của mình vào việc tốt.

Trong vòng vài năm, bắt đầu từ khoảng năm 2010, Ngô Minh Hiếu là kẻ duy nhất đứng đằng sau một trong những dịch vụ phổ biến và đem lại nhiều lợi nhuận nhất trên Internet về bán "fullz", những bộ dữ liệu nhận dạng bị đánh cắp bao gồm tên, ngày sinh, số an sinh xã hội (SSN), địa chỉ email và địa chỉ vật lý của một khách hàng.

Ngô Minh Hiếu có được "kho báu" dữ liệu khách hàng này bằng cách hack kết hợp với kỹ thuật social engineering (kỹ thuật tấn công qua các biện pháp giao tiếp) vào một chuỗi các công ty môi giới dữ liệu hàng đầu. Trước khi bị Cơ quan Mật vụ Hoa Kỳ bắt hồi năm 2013, anh ta đã kiếm được hơn 3 triệu USD chỉ bằng việc bán dữ liệu cho những tên trộm danh tính và các đường dây tội phạm có tổ chức trên khắp nước Mỹ.


CMND của Ngô Minh Hiếu

Matt O’Neill là một nhân viên mật vụ thuộc Cơ quan FBI, người đã thành công tạo ra một mồi nhử dụ Hieupc ra khỏi Việt Nam để đến đảo Guam hồi tháng Hai năm 2013. Ở đây, hacker trẻ tuổi lập tức bị bắt và áp giải về nước Mỹ và bị truy tố. Hiện tại, ông O’Neill đứng đầu Trung tâm Nhiệm vụ Điều tra Toàn cầu (GIOC), một đơn vị trực thuộc FBI với nhiệm vụ hỗ trợ điều tra những nhóm tội phạm xuyên quốc gia có tổ chức.

O’Neill cho biết, ông bắt đầu quan tâm và mở cuộc điều tra việc kinh doanh dữ liệu danh tính của Hieupc sau khi đọc bài "Danh tính của bạn đáng giá bao nhiêu?" (How Much is Your Identity Worth?) bởi Brian Krebs, trong đó có nhắc đến một website của Hiếu. Theo ông O’Neill, điều lạ lùng nhất về Hieupc đó là cái tên của anh này gần như không được biết tới trong "ngôi đền" của những tên tội phạm mạng bị kết án, mà phần lớn trong số này là những kẻ buôn lậu thông tin thẻ tín dụng bị đánh cắp. Những thông tin mà Hieupc bán ra đã tạo điều kiện cho nhiều tội phạm mạng khác thực hiện những phi vụ gian lận tín dụng bằng cách tạo tài khoản mới với giá trị ước tính lên tới 1 tỷ USD, và thông qua đó cũng làm xấu đi lịch sử tín dụng của vô số người Mỹ trong quá trình ấy.

Trả lời trang KrebsonSecurity, ông O’Neil cho rằng: "Tôi không biết một tên tội phạm mạng nào gây ra tổn hại tài chính thực tế tới nhiều người Mỹ hơn Hiếu. Anh ta đã bán thông tin cá nhân của hơn 200 triệu người Mỹ và cho phép bất cứ ai có thể mua chúng với giá chỉ vài xu lẻ cho một bộ thông tin".

Mới được thả từ hệ thống nhà tù ở Mỹ và được trục xuất trở lại Việt Nam, Ngô Minh Hiếu hiện tại đang hoàn thành quá trình cách ly bắt buộc do dịch Covid-19. Trong cơ sở cách ly, Hiếu đã liên hệ với trang KrebsonSecurity với mục đích kể câu chuyện ít người biết đến về mình, đồng thời để cảnh báo những người khác không đi theo bước chân anh.

Khởi đầu

Mười năm trước, hacker 19 tuổi Hieupc thường xuyên truy cập các diễn đàn hacking tiếng Việt. Hiếu cho biết, anh ta đến từ một gia đình trung lưu, có sở hữu một cửa hàng đồ điện tử. Anh ta được cha mẹ mua cho chiếc máy tính khi khoảng 12 tuổi. Ngay lập tức, chiếc máy tính đã thu hút sự chú ý của Hiếu.

Vào những năm cuối của tuổi thiếu niên, Hiếu đã sang New Zealand để học tiếng Anh. Trong thời gian này, anh đã là admin của một vài diễn đàn hacker trên dark web, và giữa thời gian học, Hiếu đã phát hiện ra một lỗ hổng trong hệ thống của nhà trường mà sẽ làm lộ ra thông tin thẻ thanh toán. Như Hiếu nhớ lại thì: "Tôi đã liên lạc với kỹ thuật viên IT ở đó để sửa nó, nhưng chẳng có ai quan tâm nên tôi đã hack cả hệ thống luôn. Sau đó tôi dùng lỗ hổng tương tự để hack những website khác. Tôi đã lấy được rất nhiều thông tin về thẻ tín dụng".

Hiếu kể anh ta đã quyết định sử dụng dữ liệu thẻ lấy được để mua vé sự kiện và concert từ trang Ticketmaster, và rồi bán lại vé ở một trang đấu giá New Zealand tên là TradeMe. Trường Đại học sau đó phát hiện ra vụ xâm nhập và vai trò của Hiếu, và thế là cảnh sát ở Auckland bắt đầu điều tra. Visa du lịch của Hiếu sau đó không được gia hạn khi học kỳ đầu tiên kết thúc, và để trả đũa, anh này đã tấn công website của trường này, khiến cho nó bị sập trong ít nhất là 2 ngày.

Theo Hiếu, sau đó anh ta bắt đầu đi học lại ở Việt Nam, nhưng rồi cũng sớm nhận ra rằng mình đang dành phần lớn thời gian trên các diễn đàn tội phạm mạng. Hiếu kể: "Tôi chuyển từ hack cho vui sang hack để kiếm tiền khi thấy việc kiếm tiền bằng cách đánh cắp dữ liệu khách hàng là quá dễ dàng. Khi ấy tôi nói chuyện với vài người bạn quen trên các diễn đàn ngầm, chúng tôi đã nói về việc lên một kế hoạch phạm tội mới".

"Các bạn tôi nói làm thẻ tín dụng và thông tin tài khoản ngân hàng thì rất nguy hiểm, nên tôi bắt đầu nghĩ về việc bán những bộ danh tính". Hiểu kể tiếp: "Đầu tiên tôi chỉ cho rằng đó chỉ là thông tin thôi mà, có lẽ cũng không tệ lắm đâu vì có liên quan trực tiếp gì tới tài khoản ngân hàng đâu. Nhưng tôi đã sai, và số tiền tôi bắt đầu nhanh chóng kiếm được đã làm mờ mắt tôi trong rất nhiều vấn đề".

MicroBilt: Mục tiêu lớn trong giai đoạn đầu sự nghiệp

Mục tiêu lớn đầu tiên của Hiếu là một công ty báo cáo tín dụng người tiêu dùng ở New Jersey tên gọi là MicroBilt. Hiếu kể: "Tôi đã hack vào nền tảng của họ và đánh cắp cơ sở dữ liệu khách hàng, từ đó tôi có thể đăng nhập như khách hàng của họ và truy cập các cơ sở dữ liệu về người tiêu dùng. Tôi đã ở trong các hệ thống của họ gần như cả năm trời mà họ không hề biết".

Rất nhanh sau khi truy cập được vào hệ thống của MicroBilt, theo lời Hiếu, anh ta đã dựng ra trang Superget.info, một website được quảng cáo có bán bản ghi thông tin người tiêu dùng cá nhân. Theo Hiếu, ban đầu hệ thống của anh ta khá thủ công, người mua cần phải yêu cầu những trạng thái hay một tập thông tin cụ thể mà họ cần, để rồi anh ta sẽ thực hiện tìm kiếm bằng tay.


Trang web superget.infocủa Hiếu khi còn hoạt động.

Hiếu nhớ lại: "Tôi đã cố để có nhiều bản ghi cùng lúc hơn, nhưng tốc độ internet của tôi ở Việt Nam khi đó rất chậm. Tôi không thể tải toàn bộ về bởi cơ sở dữ liệu này là quá khổng lồ. Thế nên tôi chỉ tìm kiếm một cách thủ công cho bất cứ ai cần mua danh tính".

Nhưng sau đó, anh ta đã sớm tìm ra cách sử dụng những máy chủ mạnh mẽ hơn ở Mỹ để tự động hóa quá trình thu thập số lượng thông tin người tiêu dùng lớn hơn từ hệ thống của MicroBilt, cũng như từ các công ty môi giới dữ liệu khác.

Trong bài viết từ năm 2011 của KrebsonSecurity về trang web của Hiếu có đề cập:

"Superget cho phép người sử dụng nó tìm những cá nhân cụ thể theo tên, thành phố và tiểu bang. Mỗi thông tin "tín dụng" trên trang web này có giá 1 USD, và một lần tìm thành công số an sinh xã hội (SSN) hay ngày sinh của ai đó sẽ có giá 3 điểm tín dụng. Bạn càng mua nhiều điểm tín dụng thì chi phí tìm kiếm sẽ càng rẻ hơn: 6 tín dụng giá 4,99 USD; 35 tín dụng giá 20,99 USD; và 100,99 USD sẽ đem về cho bạn 230 tín dụng. Những khách hàng với nhu cầu đặc biệt có thể sử dụng gói "đại lý" với giá 500,99 USD cho 1.500 tín dụng và 1000,99 USD cho 3.500 tín dụng.

"Các cơ sở dữ liệu của chúng tôi được cập nhật HÀNG NGÀY", chủ sở hữu của website này quảng cáo. "Khoảng 99%, gần như 100% người Mỹ có thể được tìm thấy, nhiều hơn bất cứ trang web nào trên internet hiện tại".

Việc xâm nhập của Hiếu vào hệ thống của MicroBilt cuối cùng thì cũng bị phát hiện, và công ty này lập tức đẩy anh ta ra khỏi các hệ thống của mình. Nhưng theo hacker này thì anh ta sau đó lại xâm nhập vào thông qua một lỗ hổng khác. "Tôi đã hack vào hệ thống của họ và tình thế trở nên giằng co trong nhiều tháng", Hiếu nói. "Họ có thể phát hiện ra (các tài khoản của tôi) và sửa chữa, nhưng tôi sẽ lại tìm ra một lỗ hổng mới và lại hack họ".

Trò chơi mèo đuổi chuột đó vẫn tiếp diễn cho tới khi Hiếu tìm được một nguồn dữ liệu người tiêu dùng ổn định và đáng tin cậy hơn: một công ty Mỹ có tên gọi Court Ventures, với khả năng tổng hợp các bản ghi nhận từ tài liệu của tòa án. Hiếu thì không quan tâm tới những dữ liệu kiểu này, thứ anh ta để ý về Court Ventures là thỏa thuận chia sẻ dữ liệu với công ty môi giới dữ liệu U.S. Info Search, với khả năng tiếp cận những bản ghi về người tiêu dùng còn nhạy cảm hơn nữa.

Sử dụng những tài liệu giả và những lời ngon ngọt, Hiếu đã có thể thuyết phục Court Ventures rằng anh ta là một điều tra viên tư nhân sống ở Mỹ. Anh ta kể: "Lúc đầu, khi tôi đăng ký họ đã yêu cầu một số giấy tờ để xác minh. Thế là tôi đơn giản là sử dụng một số kỹ năng social engineering và vượt qua kiểm tra an ninh một cách trót lọt". Sau đó, vào tháng Ba năm 2012, một điều "tuyệt vời" hơn đã xảy ra: Court Ventures được mua lại bởi Experian, một trong ba tổ chức tín dụng khách hàng lớn nhất ở Mỹ. Và sau chín tháng kể từ vụ thâu tóm này, Hiếu đã có thể duy trì việc truy cập vào cơ sở dữ liệu. Anh ta nói: "Sau đó, cơ sở dữ liệu được đặt dưới quyền kiểm soát của Experian. Tôi đã trả Experian kha khá tiền, hàng ngàn USD mỗi tháng".

Dù không thể biết được liệu có ai đó ở Experian đã từng có sự quan tâm cần thiết tới những tài khoản sáp nhập từ phía Court Ventures, nhưng có lẽ không khó khăn mấy để xác định ra điều bất hợp lý ở tài khoản như của Hiếu. Đầu tiên, phải kể đến việc anh ta thường trả hóa đơn hàng tháng cho những yêu cầu dữ liệu khách hàng qua hình thức chuyển khoản từ vô số tài khoản ngân hàng trên khắp thế giới, nhưng chủ yếu là từ những tài khoản mới lập ở các tổ chức tài chính tại TQ, Malaysia và Singapore.

Ông O’Neill cho biết, trang web bán thông tin danh tính của Hiếu đã tạo ra hàng chục ngàn truy vấn mỗi tháng. Có thể lấy ví dụ, hóa đơn đầu tiên mà Court Ventures gửi đến cho anh ta vào tháng Mười Hai năm 2010 là cho 60.000 lượt truy vấn. Tính đến trước thời điểm Experian mua lại công ty này, dịch vụ của Hiếu đã thu hút được khoảng hơn 1.400 khách hàng thường xuyên với trung bình 160.000 lượt truy vấn mỗi tháng.

Nhưng quan trọng hơn, số lợi nhuận của Hiếu là rất lớn. Ông O’Neill nói: "Dịch vụ của anh ta kiếm bộn. Phía Court Ventures thu của anh ta 14 cent mỗi lần tìm kiếm, nhưng anh ta thu của khách hàng khoảng 1 USD cho mỗi truy vấn".

Tới thời điểm đó, ông O’Neill và các đồng nghiệp tại Cơ quan Mật vụ FBI đã có được hàng tá trát của tòa có liên quan tới dịch vụ đánh cắp danh tính của Hiếu, bao gồm một cái cho phép họ quyền truy cập vào tài khoản email anh ta sử dụng để giao tiếp với khách hàng cũng như quản trị trang web của mình. Các đặc vụ khi đó đã khám phá vài email Hiếu gửi cho một đồng phạm, trong đó có hướng dẫn cách trả tiền cho Experian qua chuyển khoản từ các ngân hàng châu Á khác nhau.

TLO

Làm việc với Cơ quan Mật vụ BFI, phía Experian đã nhanh chóng xóa sổ các tài khoản của Hiếu. Nhận thấy cơ hội, các nhâ viên mật vụ đã liên hệ được với Hiếu thông qua một người trung gian ở Vương quốc Anh, một tên tội phạm mạng có tiếng đã bị kết án, đã đồng ý làm theo lệnh của cơ quan này. Người này sau đó nói với Hiếu rằng chính anh ta đã ngưng quyền truy cập tới Experian của Hiếu bởi anh ta đã làm dịch vụ tương tự từ trước, và việc kinh doanh của Hiếu đã làm ảnh hưởng đến chuyện làm ăn của anh ta.

Ông O’Neill nhớ lại: "Gã ở Anh nói với Hiếu, 'Này, cậu đang giẫm chân lên bãi cỏ nhà tôi, nên tôi quyết định là phải khóa cậu ở ngoài. Nhưng nếu cậu chịu trả một khoản phần trăm cho tôi, cậu sẽ không mất đi quyền truy cập nữa'". Tên tội phạm mạng ở Anh, diễn xuất theo chỉ thị của Cơ quan BFI và giới chức trách Anh, nói với Hiếu rằng, nếu anh ta muốn giữ quyền truy cập thì phải đồng ý gặp mặt trực tiếp. Nhưng Hiếu cũng đủ khôn ngoan để không lập tức mắc bẩy này.

Thay vào đó, anh ta lại tìm cách truy cập vào một cơ sở dữ liệu khổng lồ khác. Với cách thức gần như tương tự lúc tìm cách truy cập vào Court Ventures, Hiếu đã có tài khoản ở một công ty tên là TLO, một công ty môi giới dữ liệu khác, kinh doanh quyền truy cập vào những thông tin chi tiết và nhạy cảm đặc biệt về hầu hết người Mỹ.

Dịch vụ của TLO thường được cung cấp cho các cơ quan thực thi pháp luật tại Mỹ và một số giới hạn các chuyên gia đã được xem xét, những người có thể trình bày một lý do hợp pháp để truy cập vào những thông tin như vậy. TLO đã bị thâu tóm bởi TransUnion, một trong ba tổ chức báo cáo tín dụng khách hàng lớn nhất của Mỹ vào năm 2014.

Trong một khoảng thời gian ngắn, Hiếu đã sử dụng quyền truy cập tại TLO để lần nữa tạo ra một dịch vụ bán thông tin danh tính như cũ, với tên mới, gọi là usearching.info. Trang web này cũng lấy thông tin khách hàng từ một công ty cho vay ngày lĩnh lương (payday loan - một hình thức vay ngắn hạn) mà Hiếu đã hack được. Hiếu cho biết, trang web này đã lập tức cung cấp cho anh ta khoảng gần 1.000 bộ bản ghi đầy đủ fullz mỗi ngày.


Một trang web khác của Hiếu: usearching.info

Ma lực của đồng tiền che mờ lý trí Hieupc

Tới thời điểm đó, Hiếu đã là một triệu phú đô la: những trang web tự vận hành và những thỏa thuận bán lại với ba cửa hàng tiếng Nga cho tội phạm mạng đã giúp anh ta kiếm được hơn 3 triệu USD. Hiếu nói với cha mẹ rằng tiền của mình tới từ việc giúp các công ty phát triển trang web, và đã dùng những đồng tiền phạm tội kiếm được để trả khoản nợ của gia đình (cửa hàng đồ điện tử đã phá sản, và một thành viên gia đình đã mượn một khoản tiền đáng kể nhưng sau đó không trả lại). Nhưng chủ yếu, theo Hiếu, anh ta đã tiêu tiền vào nhiều thứ phù phiếm, dù anh cũng nói mình không hề dùng tiền vào rượu hay ma túy. "Tôi tiêu tiền vào những chuyến du lịch và xe cộ và nhiều thứ ngu ngốc khác", Hiếu nói.

Đến khi cả TLO cũng đã chặn quyền truy cập tài khoản với Hiếu, cơ quan FBI lại lần nữa tận dụng cơ hội để tay chân người Anh của họ tìm cách đưa Hiếu vào tròng. Ông O’Neill kể: "Gã đó nói với Hiếu rằng lại chính gã đã chặn tài khoản của anh ta, và gã có thể làm như thế mãi mãi. Nên nếu anh ta thực sự muốn kéo dài việc truy cập tới mọi nơi mà anh ta từng truy cập, anh ta phải đồng ý gặp mặt và thiết lập mối quan hệ đối tác vững chắc hơn".

Sau vài tháng trao đổi, cuối cùng Hiếu đã đồng ý gặp gã người Anh tại đảo Guam để hoàn thành thỏa thuận. Hiếu kể, khi đó anh ta hiểu rằng Guam là một phần lãnh thổ thuộc Mỹ, nhưng anh ta đã không để ý tới khả năng tất cả sự việc chỉ là một cái bẫy công phu của cơ quan FBI. Hiếu nói: "Tôi đã quá tuyệt vọng trong việc có một cơ sở dữ liệu ổn định, và tôi đã mờ mắt bởi lòng tham, để rồi hành động điên rồ mà không suy nghĩ. Nhiều người đã bảo tôi 'Đừng đi!’' nhưng tôi nói với họ rằng mình phải thử để xem điều gì sẽ xảy ra".

Nhưng, ngay sau khi bước chân ra khỏi máy bay ở Guam, Hiếu lập tức bị bắt bởi các mật vụ Mỹ. Ông O’Neill nói đùa: "Một trong các dịch vụ bán danh tính của anh ta là findget.me (find get me - tìm bắt tôi đi). Chúng tôi đã làm nghiêm túc theo điều anh ta yêu cầu đấy thôi".

(Xem tiếp Phần 2)

Lời tự thú của "Hieupc": hacker Việt Nam vừa ra tù sau 7 năm ngồi nhà giam Hoa Kỳ (Phần 2)

Bị bắt tại đảo Guam, Hieupc đã đối mặt với những phán xét thích đáng dành cho mình và ngồi nhà tù liên bang tại Hoa Kỳ suốt 7 năm. Trong quá trình này, anh ta đã nghe nhiều câu chuyện về những nạn nhân của mình.

Trong bài viết trước, chúng ta đã được biết về Ngô Minh Hiếu, một hacker được Cơ quan Mật vụ Hoa Kỳ mô tả là người gây ra nhiều tổn hại tài chính thực tế cho nhiều người dân nước này hơn bất cứ tội phạm mạng nào từng bị kết án. Gần đây, Hiếu đã bị trục xuất về Việt Nam sau khi phải ngồi tù hơn 7 năm vì đứng đằng sau nhiều dịch vụ bán danh tính. Giờ đây, anh ta cho biết mình muốn dùng trải nghiệm của mình để thuyết phục những tội phạm mạng khác sử dụng kỹ năng của họ cho mục đích tốt. Sau đây là những gì đã xảy ra sau khi Hiếu bị bắt.

Phần đầu của viết này đã kết thúc với việc Hiếu bị xỏ tay vào còng số tám ngay sau khi rời chuyến bay đáp xuống đảo Guam, nơi anh ta tin rằng mình sắp gặp một tội phạm mạng khác, kẻ đã hứa hẹn sẽ kết nối anh ta với ngọn nguồn của mọi bộ dữ liệu khách hàng.

Hiếu trước đó đã kiếm được khoảng 125.000 USD mỗi tháng bằng cách bán lại dữ liệu chiếm đoạt phi nghĩa từ một số công ty môi giới dữ liệu lớn nhất nhì hành tinh. Nhưng Cơ quan Mật vụ Mỹ vẫn phát hiện ra nhiều tài khoản ở các công ty này của anh ta và đã xóa sổ chúng từng cái một. Sau biến cố này, Hiếu bị ám ảnh về việc tái lập lại việc kinh doanh của mình và giữ mức thu nhập như trước. Tính đến thời điểm đó, dịch vụ bán thông tin ăn cắp của anh ta đã đem lại khoảng 3 triệu USD.

Khi nhận thấy những phản ứng của Hiếu, các mật vụ Mỹ đã sử dụng một người trung gian để lừa Hiếu nghĩ rằng anh ta đang xâm phạm vào lĩnh vực của một tội phạm mạng khác. Dưới đây là trích dẫn từ phần 1 của bài viết:

Trong một cuộc phỏng vấn với trang KrebsOnSecurity, Hiếu cho biết anh ta đã bị giam giữ ở một nhà tù ở Guam trong khi chờ được chuyển đến nội địa Mỹ. Sau một tháng, anh ta được phép gọi về nhà trong vòng 10 phút và giải thích về những gì mình đang gặp phải.

"Đó là một quãng thời gian rất khó khăn cho gia đình tôi", Hiếu nói. "Họ đã rất buồn và khóc rất nhiều".

Điểm dừng đầu tiên trong "hành trình truy tố" của anh ta là ở New Jersey, nơi cuối cùng anh ta nhận tội đã hack vào hệ thống của MicroBilt, công ty môi giới dữ liệu đầu tiên trong số các công ty Hiếu sử dụng để lấy dữ liệu khách hàng nhằm phục vụ cho nhiều biến tướng của dịch vụ bán danh tính ăn cắp của mình trong nhiều năm.

Tiếp theo là New Hampshire, nơi mà việc nhận tội cũng đã buộc anh ta phải làm chứng ở ba phiên tòa khác nhau chống lại những tên trộm danh tính, những kẻ đã từng sử dụng các dịch vụ của Hiếu. Trong số đó có Lance Ealy, một tên trộm danh tính hàng loạt từ Dayton, Ohio, người đã mua hơn 350 "fullz" (một bộ bao gồm mọi thứ tội phạm sẽ cần để trộm danh tính của ai đó, bao gồm số an sinh xã hội (SSN), tên thời con gái của mẹ, ngày sinh, địa chỉ, số điện thoại, địa chỉ email, thông tin tài khoản ngân hàng và các loại mật khẩu).

Ealy sử dụng dịch vụ của Hiếu để thực hiện lừa đảo thông qua cơ chế hoàn thuế tại Sở Thuế vụ Liên bang Mỹ (IRS), nhận về những khoản hoàn thuế khổng lồ bằng danh tính của các nạn nhân, những người chỉ nhận ra sự việc khi thực hiện việc khai thuế, để rồi phát hiện ra có ai đó đã làm việc này trước đó rồi.

Sự phối hợp của Hiếu với chính quyền đã dẫn đến 20 vụ bắt giữ, trong số đó có khoảng một tá bị can bị đem ra ánh sáng bởi nhân viên mật vụ O’Neill và các đồng nghiệp bằng cách đóng giả vai Hiếu. Dù vậy, ngay cả Cơ quan FBI cũng gặp khó khăn trong việc xác định chính xác về mức độ ảnh hưởng về tài chính mà các dịch vụ bán danh tính của Hiếu gây ra trong suốt nhiều năm, chủ yếu bởi các dịch vụ này chỉ lưu lại bản ghi những gì khách hàng tìm kiếm, chứ không lưu lại việc họ đã mua bản ghi nào.

Nhưng, dựa trên những thông tin có được, giới chức Mỹ ước tính rằng dịch vụ của Hiếu đã tạo điều kiện cho các vụ lừa đảo bằng tài khoản mới tại các ngân hàng và các nhà bán lẻ với thiệt hại lên đến 1,1 tỷ USD. Thêm vào đó, họ cũng ước tính các dịch vụ anh ta cung cấp đã gián tiếp tạo điều kiện cho các vụ gian lận hoàn thuế với con số lên đến 64 triệu USD.

"Chúng tôi đã thẩm vấn một số khách hàng của Hiếu, những người khá cởi mở về lý do họ sử dụng dịch vụ của anh ta", ông O’Neill cho biết, "Nhiều người trong số họ cùng nói về một thứ: mua thông tin định danh thì tốt cho họ hơn hẳn là thông tin thẻ tín dụng bị đánh cắp, bởi dữ liệu thẻ có thể được sử dụng một hay hai lần sẽ trở nên vô dụng, còn những bộ danh tính thì có thể được sử dụng lại nhiều lần trong nhiều năm".

Ông O’Neill chia sẻ, ông vẫn rất ngạc nhiên trước sự thật rằng cái tên của Hiếu về căn bản là không được biết đến, khi so sánh với những kẻ ăn cắp thẻ tín dụng trên thế giới. Vài người trong số đó chịu trách nhiệm cho việc đánh cắp hàng trăm triệu thẻ tín dụng từ các nhà bán lẻ lớn. "Tôi không biết bất cứ ai có thể gây nguy hại trực tiếp (về tài chính) đến quá nhiều người Mỹ như Hiếu. Nhưng hầu hết mọi người đều chưa từng nghe đến tên anh ta", ông nói.

Hiếu cho biết, anh ta không ngạc nhiên về việc các dịch vụ của mình gây ra nhiều tác hại về mặt tài chính. Nhưng anh ta đã hoàn toàn không chuẩn bị trước cho việc những tác hại về đời sống. Trong suốt quá trình tòa xử án, Hiếu đã ngồi nghe qua từng câu chuyện về cách dịch vụ của anh ta đã hủy hoại đời sống kinh tế từ nhiều người bị hại.

Hiếu kể: "Khi tôi vận hành dịch vụ đó, tôi đã không quan tâm mấy bởi tôi không biết khách hàng của mình và cũng không biết nhiều về những việc họ làm với chúng (thứ anh ta bán). Nhưng trong suốt vụ kiện, tòa án liên bang đã nhận được 13.000 lá thư từ những nạn nhân, những người than phiền rằng họ đã mất nhà cửa, việc làm, hoặc là không còn khả năng mua nhà hay giữ ổn định tài chính chỉ vì tôi. Điều này khiến tôi cảm thấy thực sự tồi tệ, và tôi nhận ra tôi đã là một kẻ tồi tệ, khủng khiếp đến như thế nào".

Dù được điều qua từ nhà tù liên bang này đến các nhà tù khác nhiều lần, Hiếu dường như luôn luôn gặp phải những nạn nhân của việc ăn trộm danh tính ở bất cứ đâu anh ta đến, ví như những quản ngục, nhân viên chăm sóc sức khỏe hay cả các luật sư. Hiếu nhớ lại: "Khi tôi ngồi tù ở Beaumont, Texas, tôi đã nói chuyện với một trong những sĩ quan trại giam ở đó. Cô ấy đã chia sẻ với tôi câu chuyện về người bạn của cô ấy, người đã mất thông tin danh tính và sau đó đánh mất mọi thứ. Cả cuộc sống của cô ấy sụp đổ. Tôi không thể biết rằng liệu người phụ nữ đó có phải một trong những nạn nhân của mình không, nhưng câu chuyện đó làm tôi thấy khó chịu. Giờ đây tôi biết rằng những gì mình đã làm là quá xấu xa".

Hacker người Việt Nam được thả khỏi nhà tù vài tháng trước, và giờ đây anh ta đang kết thúc quá trình cách ly bắt buộc do Covid-19 kéo dài 3 tuần tại một cơ sở của nhà nước gần thành phố Hồ Chí Minh. Ở những tháng cuối cùng trong tù, Hiếu bắt đầu đọc mọi thứ anh ta có thể tiếp cận về máy tính và an ninh mạng, và thậm chí còn viết một bài hướng dẫn khá dài dành cho người dùng internet thông thường với những lời khuyên về cách tránh bị hack hay trở thành nạn nhân của trộm cắp danh tính.

Hiếu chia sẻ rằng anh ta mong một ngày nào đó sẽ có công việc trong ngành an ninh mạng, dù cho anh ta không gấp gáp trong chuyện đó. Anh ta đã có ít nhất một lời đề nghị làm việc ở Việt Nam, nhưng đã từ chối. Hiếu nói hiện tại anh ta chưa sẵn sàng để làm việc, mà sẽ dành thời gian với gia đình mình, đặc biệt là với người cha, người gần đây được chẩn đoán mắc ung thư ở giai đoạn 4.

Xa hơn, Hiếu nói anh ta muốn làm cố vấn cho những người trẻ và giúp hướng dẫn họ đi đúng đường, tránh xa việc trở thành tội phạm công nghệ cao. Anh ta cũng tỏ ra trung thực về những tội lỗi của mình và những tổn hại mình đã gây ra, khi Hiếu đề cập rõ ràng việc là tội phạm mạng từng bị bắt trên trang LinkedIn của mình.

Hiếu cho biết: "Tôi hi vọng những gì mình làm có thể giúp thay đổi suy nghĩ của một số người, và nếu ít nhất một người có thể thay đổi và chuyển sang làm việc tốt là tôi vui rồi. Đã đến lúc để tôi làm điều gì đó đúng đắn, để trả lại [những gì đã gây ra] cho thế giới, bởi tôi biết tôi có thể làm việc gì đó như thế".

Du vậy, tỷ lệ tái phạm trong số tội phạm mạng là đặc biệt cao, và sẽ rất dễ để cho Hiếu "ngựa quen đường cũ". Sau cùng thì, ít có ai biết nhiều về anh ta cách thâm nhập vào các cơ sở dữ liệu danh tính.

Ông O’Neill thì cho rằng ông tin Hiếu sẽ không phạm tội lần nữa. Nhưng ông cũng bổ sung rằng, nếu dịch vụ của Hiếu tồn tại ở thời điểm hiện tại thì sẽ còn thành công hơn cũng như mang lại nhiều lợi nhuận hơn. Lý do là bởi trong năm 2020 đã có rất nhiều kẻ lừa gạt sử dụng các thông tin dữ liệu danh tính bị đánh cắp để đánh lừa các tiểu bang cũng như chính quyền liên bang tại Mỹ để nhận lấy những khoản vay hỗ trợ do Covid-19 cũng như bảo hiểm về thất nghiệp.

Ông O’Neill nói: "Không có vẻ gì là anh ta lại tìm cách trở về con đường phạm tội. Nhưng tôi tin chắc những kẻ lừa đảo đang lợi dụng các khoản vay doanh nghiệp nhỏ và trợ cấp thất nghiệp đã biết về những thông tin danh tính trên trang web của Hiếu. Anh ta chắc chắn đã làm được một điều mới mẻ khi đó".

Hiếu thì giữ quan điểm anh ta không có chút quan tâm nào tới việc làm bất cứ điều gì có thể khiến anh ta ngồi tù. Anh ta nói: "Nhà tù là một nơi rất khó khăn, nhưng nó đã cho tôi thời gian để suy nghĩ về cuộc đời và những lựa chọn của mình. Giờ đây tôi dành tâm sức của bản thân để làm việc tốt và trở nên tốt hơn mỗi ngày. Giờ tôi cũng biết rằng tiền chỉ là một phần của cuộc sống. Nó không phải là mọi thứ cũng như không thể mang đến hạnh phúc thực sự. Tôi hi vọng những tội phạm mạng ngoài kia có thể học được gì đó từ trải nghiệm của mình. Tôi mong họ sẽ dừng việc mình đang làm lại và thay vào đó sử dụng những kỹ năng của mình để làm cho thế giới tốt đẹp hơn".