Vụ lừa đảo Macbook Air (2)
Một người bạn sau khi đọc về vụ lừa đảo này có hỏi tôi rằng anh ta cần phải chuẩn bị những gì và cần phải tiến hành điều tra thế nào để có thể xử lý được một vụ lừa đảo như Handheld VN đã làm. Bài viết này là để trả lời cho câu hỏi đó.
Trước tiên tôi muốn nhấn mạnh: nếu như HandHeld VN tường thuật một cách trung thực thì cá nhân tôi cho rằng cách xử lý của họ là sai phương pháp. Có thể thấy rằng họ có phần may mắn khi tự dưng thủ phạm lại "lạy ông tôi ở bụi này" khi đăng nhập vào một tài khoản khác trùng với tài khoản hắn dùng để lừa đảo ngay trong lúc việc điều tra đang diễn ra. Nếu thủ phạm không đăng nhập, thì rất có thể hắn đã *hạ cánh* một cách êm đẹp.
Hơn nữa, chưa bàn đến vấn đề đúng sai, cách mà HandHeld VN sử dụng thông tin của các đơn vị như ngân hàng, nhà mạng điện thoại, nhà mạng Internet...dễ khiến cho người ta hiểu nhầm rằng muốn điều tra những sự vụ như thế này thì phải có những thông tin đó. Sự thật là HandHeld VN mất khá nhiều thời gian để lấy các thông tin liên quan đến IP, số điện thoại của thủ phạm, nhưng những thông tin này không giúp ích gì nhiều cho việc tìm ra thủ phạm.
Nói tóm lại, muốn xử lý những sự vụ thế này, thì cần phải có phương pháp nhưng không nhất thiết phải có quyền truy xuất thông tin từ những đơn vị khác. Thật tế trong quá trình điều tra những sự vụ tương tự, tôi và các đồng nghiệp thường lần ra được thủ phạm chỉ bằng cách phân tích những thông tin trên hệ thống giám sát mà thôi.
Vậy phương pháp xử lý thế nào là đúng?
Đầu tiên là phải giữ nguyên hiện trường. Đây là nguyên tắc căn bản mà bất kỳ người làm công tác điều tra nào cũng phải thực hiện. Hiện trường ở đây là dữ liệu của diễn đàn HandHeld VN đến thời điểm vụ lừa đảo diễn ra. Một cách làm đơn giản là thực hiện sao lưu toàn bộ dữ liệu của diễn đàn ra một file riêng, và đưa file đó vào một cơ sở dữ liệu dùng để điều tra.
Việc sao lưu này sẽ giúp bảo vệ toàn bộ các chứng cứ. Trong bài tường thuật của HandHeld VN có nói đến chi tiết sau khi lừa đảo 2 ngày, thủ phạm có quay lại và cố tình xóa bỏ những thông tin cá nhân của hắn. Ở các nước có luật pháp rõ ràng về chứng cứ số, việc sao lưu này còn giúp đảm bảo tính pháp lý của các chứng cứ phát hiện được.
Tiếp theo, bắt đầu điều tra ngay trên dữ liệu sao lưu. Lập ra một hồ sơ, trong đó phần đầu liệt kê những thông tin liên quan đến thủ phạm, ví dụ như các nickname, email, số điện thoại, các link liên quan, và phần sau thì liệt kê ra từng thời điểm và IP tương ứng mà thủ phạm đăng nhập vào hệ thống.
Có thể cập nhật và mở rộng phần thông tin cá nhân của thủ phạm bằng cách tìm kiếm thêm thông tin liên quan đến nickname, email, số điện thoại từ Google, Bing, Các Trang Vàng, hay các nguồn dữ liệu công cộng khác. Đối với dữ liệu IP và thời gian, thì mở rộng điều tra bằng cách tìm xem, cùng trong thời điểm đó, IP đó có còn đăng nhập vào những nickname nào nữa hay không. Nếu phát hiện thêm nickname nào thì tiếp tục thực hiện mở rộng, cập nhật thông tin cho nickname đó.
Nếu thực hiện tốt việc này, dựa trên cơ sở đã thực hiện tốt việc giám sát an ninh, thì hầu như lúc này chúng ta đã có đầy đủ thông tin và sự thật về đối tượng rồi. Việc tiếp theo là đưa lên các giả thuyết về thủ phạm, và bắt đầu làm việc với cơ quan công an để xác nhận hoặc phủ nhận các giả thuyết đó. Lúc này mới có thể cần đến thông tin từ ISP, ngân hàng và nhà mạng điện thoại.
Trước tiên tôi muốn nhấn mạnh: nếu như HandHeld VN tường thuật một cách trung thực thì cá nhân tôi cho rằng cách xử lý của họ là sai phương pháp. Có thể thấy rằng họ có phần may mắn khi tự dưng thủ phạm lại "lạy ông tôi ở bụi này" khi đăng nhập vào một tài khoản khác trùng với tài khoản hắn dùng để lừa đảo ngay trong lúc việc điều tra đang diễn ra. Nếu thủ phạm không đăng nhập, thì rất có thể hắn đã *hạ cánh* một cách êm đẹp.
Hơn nữa, chưa bàn đến vấn đề đúng sai, cách mà HandHeld VN sử dụng thông tin của các đơn vị như ngân hàng, nhà mạng điện thoại, nhà mạng Internet...dễ khiến cho người ta hiểu nhầm rằng muốn điều tra những sự vụ như thế này thì phải có những thông tin đó. Sự thật là HandHeld VN mất khá nhiều thời gian để lấy các thông tin liên quan đến IP, số điện thoại của thủ phạm, nhưng những thông tin này không giúp ích gì nhiều cho việc tìm ra thủ phạm.
Nói tóm lại, muốn xử lý những sự vụ thế này, thì cần phải có phương pháp nhưng không nhất thiết phải có quyền truy xuất thông tin từ những đơn vị khác. Thật tế trong quá trình điều tra những sự vụ tương tự, tôi và các đồng nghiệp thường lần ra được thủ phạm chỉ bằng cách phân tích những thông tin trên hệ thống giám sát mà thôi.
Vậy phương pháp xử lý thế nào là đúng?
Đầu tiên là phải giữ nguyên hiện trường. Đây là nguyên tắc căn bản mà bất kỳ người làm công tác điều tra nào cũng phải thực hiện. Hiện trường ở đây là dữ liệu của diễn đàn HandHeld VN đến thời điểm vụ lừa đảo diễn ra. Một cách làm đơn giản là thực hiện sao lưu toàn bộ dữ liệu của diễn đàn ra một file riêng, và đưa file đó vào một cơ sở dữ liệu dùng để điều tra.
Việc sao lưu này sẽ giúp bảo vệ toàn bộ các chứng cứ. Trong bài tường thuật của HandHeld VN có nói đến chi tiết sau khi lừa đảo 2 ngày, thủ phạm có quay lại và cố tình xóa bỏ những thông tin cá nhân của hắn. Ở các nước có luật pháp rõ ràng về chứng cứ số, việc sao lưu này còn giúp đảm bảo tính pháp lý của các chứng cứ phát hiện được.
Tiếp theo, bắt đầu điều tra ngay trên dữ liệu sao lưu. Lập ra một hồ sơ, trong đó phần đầu liệt kê những thông tin liên quan đến thủ phạm, ví dụ như các nickname, email, số điện thoại, các link liên quan, và phần sau thì liệt kê ra từng thời điểm và IP tương ứng mà thủ phạm đăng nhập vào hệ thống.
Có thể cập nhật và mở rộng phần thông tin cá nhân của thủ phạm bằng cách tìm kiếm thêm thông tin liên quan đến nickname, email, số điện thoại từ Google, Bing, Các Trang Vàng, hay các nguồn dữ liệu công cộng khác. Đối với dữ liệu IP và thời gian, thì mở rộng điều tra bằng cách tìm xem, cùng trong thời điểm đó, IP đó có còn đăng nhập vào những nickname nào nữa hay không. Nếu phát hiện thêm nickname nào thì tiếp tục thực hiện mở rộng, cập nhật thông tin cho nickname đó.
Nếu thực hiện tốt việc này, dựa trên cơ sở đã thực hiện tốt việc giám sát an ninh, thì hầu như lúc này chúng ta đã có đầy đủ thông tin và sự thật về đối tượng rồi. Việc tiếp theo là đưa lên các giả thuyết về thủ phạm, và bắt đầu làm việc với cơ quan công an để xác nhận hoặc phủ nhận các giả thuyết đó. Lúc này mới có thể cần đến thông tin từ ISP, ngân hàng và nhà mạng điện thoại.
Comments
Em có giả thuyết như thế này. Nếu em là thủ phạm, chưa có suy tính trước, một ngày nọ em thấy được cơ hội, em thức một đêm vạch ra một kế hoạch tương tự như vụ của chú em Prince này, chỉ khác ở những chỗ như sau:
Em tạo mới hoàn toàn các tài khoản yahoo và tài khoản handheld ở một tiệm net lớn, xa nhà hơn 20km. Ghi mật khẩu gồm 20 chữ số ngẫu nhiên vào tờ giấy rồi giữ đến khi xong việc sẽ đốt phi tang. Đồng thời cung cấp thông tin cá nhân giả.
Mỗi lần post reply lên handheld em đều đi đến một tiệm net khác nhau và xa nhà hơn 20km. Không mặc quần áo quá nổi, không đi xe sang, đeo khẩu trang khi vào và khi ra. Không ở tiệm net quá nửa tiếng. Không mang USB. Không vào bất cứ tài khoản nào của mình trước đây. Chỉ đơn giản là vào post bài lên handheld và nghe nhạc xong rồi đi ra.
Em sử dung một sim mua ở các em chuyên bán sim rớt ở công viên (như một bài báo Tuổi Trẻ đã đăng) để liên lạc trong suốt quá trình lừa đảo. Đồng thời điện thoại format về factory luôn.
Khi đến nhận máy HP thì em giả làm gay trang điểm lòe loẹt mướn một chú sv hoặc xe ôm nào đó lấy giùm. Giả sử đã lấy được máy.
Em lại kiêu ngạo muốn thách thức bằng cách vào lại handheld post kiểu Catch me if you can, nhưng vẫn sử dụng chiêu đi tiệm net xa nhà. Sau khi chán rồi thì em lặn luôn. Máy HP thì không sử dụng net cho đến khi sự việc lắng xuống.
Vậy thì theo anh C15 và Handheld có thể bắt được em không?
Xin lỗi nếu làm mất thời gian của anh. Em cũng chỉ là một người mê phim và truyện thôi chứ tuyệt nhiên không hề có ý định phạm pháp. Nếu anh thấy cm này có gì không đúng thì phiền anh xóa giùm em :)
Thân.
" Cuối cùng rồi, dẫu cẩn thận đến đâu, một người không thể phòng ngừa cái mà họ không biết!"