Việc sở hữu một tài khoản ngân hàng “sạch” để rửa tiền bất chính giờ đây đã không còn là công việc thủ công của những kẻ môi giới truyền thống. Chỉ với vài cú click chuột trên Telegram, bất kỳ ai cũng có thể tiếp cận một “gian hàng kỹ thuật số” bày bán công khai các danh tính bị đánh cắp. Telegram từ một ứng dụng nhắn tin bảo mật, đã bị biến tướng thành một tổ hợp chợ đen, nơi tội phạm tài chính vận hành với sự chuyên nghiệp đáng kinh ngạc và sự tiếp tay đắc lực của trí tuệ nhân tạo (AI).
Theo báo cáo mới nhất từ Trung tâm Tình báo An ninh mạng KELA, thị trường tài khoản “mule” (tài khoản trung gian hay tài khoản rác) đã tiến hóa thành mô hình Mule-as-a-Service (MaaS). Đây không còn là các giao dịch tự phát, chúng là những mô hình tội phạm tài chính có cấu trúc hoàn chỉnh.
Người mua có thể duyệt qua danh mục hàng hóa như đang trên một sàn mua bán điện tử, với các đặc điểm như:
– Kho hàng đa dạng: Từ tài khoản ngân hàng truyền thống, ví điện tử Fintech đến các tài khoản sàn giao dịch tiền điện tử đã được xác thực (KYC).
– Phân cấp giá trị: Giá cả được niêm yết rõ ràng dựa trên hạn mức giao dịch, loại ngân hàng và độ uy tín của tài liệu đi kèm.
– Hỗ trợ khách hàng chuyên nghiệp: Các kênh này cung cấp cả chính sách bảo hành và hoàn tiền nếu tài khoản bị hệ thống ngân hàng khóa hoặc hạn chế giao dịch.
Sự tinh vi này đặc biệt nguy hiểm vì nó hạ thấp rào cản cho những tội phạm cấp thấp nhất cũng có thể thực hiện các phi vụ rửa tiền quy mô lớn.
KELA cho biết: “Tội phạm mạng đang công khai quảng cáo các tài khoản ngân hàng đã xác thực, ví fintech, tài khoản sàn giao dịch tiền điện tử, tài liệu định danh giả mạo và các hoạt động rửa tiền trọn gói ở quy mô công nghiệp”.
Dữ liệu thực địa cho thấy, các nguy cơ từ hoạt động của tội phạm mạng đang bủa vây hệ thống tài chính toàn cầu, đặc biệt tại các thị trường đang chuyển đổi số mạnh mẽ. Tại Mỹ, một con số đáng báo động khi ước tính có tới 0,3% tổng số tài khoản tại các tổ chức tài chính hiện đang nằm dưới quyền kiểm soát của các mạng lưới tài khoản “mule”.
Trong khi đó, KELA ghi nhận gần 250.000 tin nhắn liên quan đến các tài khoản thuê hoặc giả mạo để luân chuyển dòng tiền qua hệ thống thanh toán tức thời PIX tại Brazil. Với Argentina, hơn 100.000 tin nhắn rao bán định danh CBU/CVU của các ngân hàng và ví điện tử nội địa.
Tại Colombia, các nền tảng fintech như Nequi và Daviplata đang bị tội phạm mạng “săn lùng” ráo riết vì quy trình đăng ký từ xa được cho là có kẽ hở dễ bị khai thác.
Sự trỗi dậy của AI đã mang đến “vũ khí hạng nặng” cho tội phạm mạng. Không còn dừng lại ở việc dùng ảnh tĩnh, các tác nhân đe dọa hiện sử dụng các công cụ AI như ChatGPT và RunwayML để tạo ra các video lừa đảo với cử động khuôn mặt cực kỳ chân thực. Thay vì chỉ đưa một màn hình có sẵn video giả mạo trước camera điện thoại, tội phạm sử dụng phần mềm để đưa luồng video Deepfake trực tiếp vào đầu vào dữ liệu của ứng dụng ngân hàng. Điều này có thể giúp qua mặt được các bước kiểm tra thực thể sống thông thường.
Ngoài ra, công nghệ RVC (Retrieval-based Voice Conversion) còn được sử dụng để giả mạo giọng nói của nạn nhân nhằm vượt qua các bước xác minh bằng cuộc gọi.
Để dòng tiền bẩn không bị phát hiện ngay lập tức, tội phạm mạng áp dụng các chiến thuật ngụy trang hành vi tinh vi:
– Account Warming: Sử dụng bot để thực hiện các giao dịch nhỏ, hợp pháp như thanh toán hóa đơn tiền điện, tiền nước sạch trong một thời gian dài. Mục đích là tạo ra lịch sử giao dịch trông giống như một người dùng thật trước khi đổ những khoản tiền lớn từ lừa đảo vào.
– Predictive Smurfing: Sử dụng các thuật toán để tự động điều chỉnh quy mô và thời điểm chuyển tiền. Hệ thống này sẽ tính toán để các lệnh chuyển tiền luôn nằm dưới ngưỡng cảnh báo của các hệ thống chống rửa tiền truyền thống vốn chỉ dựa trên các quy tắc cứng nhắc.
Theo các nhà nghiên cứu, thị trường ngầm cũng cung cấp các công cụ phục vụ cho hoạt động lừa đảo trực tuyến như kênh Telegram “GrossInfo” – cung cấp các mẫu tài liệu định danh dưới dạng tệp PSD (Photoshop) có sẵn các lớp (layer), cho phép chỉnh sửa thông tin cá nhân dễ dàng để vượt qua các vòng kiểm tra tài khoản tự động. Một bài đăng cung cấp mẫu tài liệu này đã thu hút hơn 400 phản hồi mua hàng. Ngoài ra còn bao gồm dịch vụ Cash-out Pipelines – nơi tác nhân đe dọa chỉ cần chuyển tiền “bẩn” và nhận lại tiền “sạch” đã được rửa qua nhiều lớp tài khoản mule, xóa sạch dấu vết dòng tiền.
Sự trỗi dậy của mô hình MaaS trên Telegram, kết hợp với sức mạnh của AI và Deepfake, đã đánh dấu một bước ngoặt nguy hiểm. Tội phạm tài chính giờ đây không còn là những cá nhân đơn lẻ mà đã trở thành một hệ thống có tổ chức, quy mô lớn và chuyên nghiệp. Khi các công cụ AI có thể dễ dàng vượt qua những rào cản bảo mật truyền thống như xác thực khuôn mặt hay kiểm tra hành vi, các tổ chức tài chính buộc phải tiến hóa nhanh hơn bằng cách triển khai các hệ thống phân tích hành vi nâng cao và chủ động giám sát các “chợ đen” kỹ thuật số.
