Telegram thành "chợ đen" mua bán tài khoản ngân hàng và rửa tiền quy mô lớn

Tội phạm mạng không còn dừng lại ở việc tuyển dụng các cá nhân làm trung gian chuyển tiền mà đã chuẩn hóa thành một ngành công nghiệp dịch vụ có cấu trúc, hoạt động công khai trên Telegram dưới mô hình MaaS (Mule-as-a-Service).

Báo cáo mới nhất từ Trung tâm Tình báo Mạng KELA cho thấy, các tài khoản ngân hàng đã xác minh, ví điện tử và tài khoản sàn tiền ảo đang được rao bán theo từng cấp độ giá.

Thị trường này thậm chí còn vận hành như một nền tảng thương mại điện tử với đầy đủ dịch vụ chăm sóc khách hàng, chính sách bảo hành và hoàn tiền nếu tài khoản bị đóng băng.

Trung tâm Tình báo Mạng KELA phân tích, nguồn tiền bất hợp pháp luân chuyển qua các hệ thống này phần lớn đến từ các chiến dịch lừa đảo trực tuyến, mã độc tống tiền, lừa đảo chiếm đoạt email doanh nghiệp và gian lận đầu tư.

Tại Mỹ, ước tính khoảng 0,3% tổng số tài khoản tại các tổ chức tài chính hiện do các đối tượng kiểm soát tài khoản trung gian nắm giữ.

Để vận hành mạng lưới quy mô công nghiệp này, tội phạm mạng kết hợp các thủ đoạn đánh cắp danh tính, tạo dựng nhân vật ảo bằng trí tuệ nhân tạo (AI) và sử dụng thông tin đăng nhập bị rò rỉ nhằm vượt qua hàng rào kiểm soát tài chính.

Quy trình khép kín bao gồm: Làm giả giấy tờ, dựng video giả mạo (deepfake) để mở tài khoản, tiếp nhận tiền bẩn, phân tán nhanh qua nhiều tổ chức và rút tiền trước khi hệ thống kịp phát hiện.

Dữ liệu của KELA cho thấy, quy mô đáng báo động của dịch vụ này tại nhiều khu vực. Điển hình như tại Brazil, ghi nhận gần 250.000 tin nhắn Telegram liên quan đến "Contas Laranja" (Tài khoản Cam) - các tài khoản được thuê hoặc tạo gian lận để chuyển tiền qua hệ thống thanh toán tức thời PIX.

Hay như tại Argentina, phát hiện hơn 100.000 tin nhắn rao bán hoặc cho thuê tài khoản liên kết với mã định danh CBU/CVU của các ngân hàng và ví điện tử địa phương.




Ngoài ra, các nền tảng fintech như Nequi và Daviplata (Colombia) liên tục bị khai thác do quy trình đăng ký đơn giản.

Không chỉ bán tài khoản đơn lẻ, các hội nhóm ngầm còn cung cấp dịch vụ rút tiền trọn gói (tiền bẩn chuyển vào, tiền sạch rút ra) hoặc bán các tệp thiết kế PSD chuyên dụng (làm giả giấy tờ) để qua mặt hệ thống xác minh danh tính khách hàng (KYC) tự động.

Sự can thiệp của AI còn khiến các hoạt động rửa tiền ngày càng khó bị phát hiện. Tội phạm mạng hiện sử dụng các mô hình ngôn ngữ lớn kết hợp với các công cụ deepfake để tạo ra các video chuyển động khuôn mặt chân thực, đánh lừa hệ thống xác thực từ xa của ngân hàng.

Đáng chú ý, trên các diễn đàn như CrackedTo, tội phạm còn chia sẻ các câu lệnh tinh vi nhằm bẻ khóa ChatGPT, buộc công cụ này hướng dẫn cách tạo chuyển động khuôn mặt tự nhiên phục vụ cho mục đích gian lận.

Sau khi tài khoản được kích hoạt, AI tiếp tục tự động hóa quy trình "làm ấm", các bot sẽ thực hiện chuỗi giao dịch rủi ro thấp như thanh toán hóa đơn điện, nước để tạo lịch sử giao dịch như người dùng thật.

Khi tiền bẩn được nạp vào, các thuật toán chuyển tiền tự động sẽ điều chỉnh quy mô và thời gian giao dịch nằm dưới ngưỡng cảnh báo phòng chống rửa tiền (AML).

Ngoài ra, công nghệ sao chép giọng nói (RVC) cũng được sử dụng để giả mạo nạn nhân khi hệ thống ngân hàng yêu cầu xác thực qua cuộc gọi.

Trước làn sóng MaaS thế hệ mới, Trung tâm Tình báo Mạng KELA khuyến nghị các tổ chức tài chính cần thay đổi tư duy phòng chống tội phạm công nghệ cao:

Nâng cấp công nghệ xác thực: Hệ thống KYC cần được tích hợp khả năng phát hiện các cuộc tấn công chèn video giả mạo - hình thức đưa trực tiếp video tổng hợp vào luồng xử lý dữ liệu của ứng dụng thay vì quay qua camera vật lý.

Triển khai phân tích hành vi chuyên sâu: Các nhóm bảo mật cần ứng dụng AI để nhận diện các mô hình "làm ấm" tài khoản tự động và các hành vi tạo tài khoản phụ thích ứng - vốn có khả năng luồn lách qua các bộ quy tắc AML truyền thống.

Chủ động giám sát: Giám sát liên tục các diễn đàn web đen và các kênh Telegram để phát hiện sớm các dấu hiệu dữ liệu của tổ chức mình bị rao bán trong các mạng lưới MaaS.