Tin tức bảo mật về một cuộc tấn công mạng quy mô lớn cho thấy mạng lưới lừa đảo trực tuyến đã chiếm đoạt hơn EUR 50 triệu từ nạn nhân tại châu Âu và nhiều khu vực khác. Vụ việc được triệt phá trong một chiến dịch phối hợp, với hoạt động của các trung tâm cuộc gọi được tổ chức như một doanh nghiệp hợp pháp.
Mô hình vận hành của mạng lưới lừa đảo
Chiến dịch được triển khai vào ngày 17/04/2026 sau cuộc điều tra chung kéo dài hơn 2 năm. Lực lượng chức năng đã bắt giữ 10 người tại Tirana, Albania, khám xét 3 call centre và 9 ngôi nhà riêng, đồng thời thu giữ gần EUR 900.000 tiền mặt.
Mạng lưới này vận hành nhiều trung tâm cuộc gọi tại Tirana, với tới 450 nhân viên làm việc theo mô hình phân cấp. Cấu trúc nội bộ chia thành các bộ phận rõ ràng gồm thu hút khách hàng, chăm sóc khách hàng, quản lý, tài chính, IT, nhân sự và hậu cần.
Europol mô tả đây là mô hình quản lý kiểu doanh nghiệp, giúp mạng lưới lừa đảo hoạt động ở quy mô lớn nhưng vẫn giữ được vẻ ngoài của một tổ chức tài chính hợp pháp.
Chuỗi lừa đảo và phương thức chiếm quyền điều khiển
Nạn nhân thường tiếp cận qua quảng cáo lừa đảo trên mạng xã hội hoặc kết quả tìm kiếm web, dẫn đến các nền tảng đầu tư giả mạo hứa hẹn lợi nhuận cao. Sau khi đăng ký, nạn nhân được chuyển cho các “retention agents” đóng vai cố vấn đầu tư cá nhân.
Trong quá trình thao túng, các đối tượng sử dụng remote access software để kiểm soát hoàn toàn máy tính của nạn nhân. Mục tiêu là ép nạn nhân nạp thêm tiền, trong khi toàn bộ khoản tiền không hề được đầu tư.
Các khoản tiền sau đó được chuyển qua một mạng lưới rửa tiền quốc tế và biến mất vào tay mạng lưới tội phạm. Đây là một dạng rủi ro bảo mật kết hợp giữa lừa đảo đầu tư, chiếm quyền điều khiển từ xa và rửa tiền xuyên biên giới.
Quy trình khai thác nạn nhân
- Quảng cáo giả mạo trên mạng xã hội hoặc kết quả tìm kiếm.
- Đăng ký vào nền tảng đầu tư không có thật.
- Nhận cuộc gọi từ “tư vấn đầu tư” giả danh.
- Cài remote access software để kiểm soát thiết bị.
- Ép nạn nhân nạp thêm tiền nhiều lần.
Chiến thuật tổ chức và phân công vai trò
Nhân sự trong mạng lưới được chia thành các nhóm theo chức năng. Conversion agents phụ trách dẫn dụ ban đầu, còn retention agents đóng vai người quản lý đầu tư để duy trì tương tác và thao túng tài khoản trong thời gian dài.
Nhân viên nhận mức lương hàng tháng khoảng EUR 800, cộng thêm hoa hồng tăng dần theo từng vụ lừa đảo thành công. Cách tổ chức này giúp hệ thống vận hành liên tục như một dây chuyền dịch vụ.
Các đội vận hành theo ngôn ngữ cũng được ghi nhận, gồm nhóm từ 6 đến 8 người cho tiếng Đức, Anh, Ý, Hy Lạp và Tây Ban Nha. Cách tiếp cận này tạo ra độ tin cậy cao hơn với nạn nhân ở nhiều quốc gia khác nhau.
Điều tra, thu giữ và xử lý dữ liệu số
Cuộc điều tra bắt đầu từ 06/2023, khi cơ quan chức năng tại Vienna nhận lượng lớn báo cáo từ nạn nhân. Đến 04/2024, một địa chỉ IP liên quan đến nhóm nghi vấn hoạt động từ lãnh thổ Albania đã được chuyển qua Europol để phối hợp điều tra.
Sau đó, Albania mở điều tra hình sự riêng và Eurojust hỗ trợ thành lập nhóm điều tra chung, cung cấp kinh phí, phiên dịch và hậu cần. Cơ chế này dẫn tới các cuộc đột kích vào tháng 4/2026.
Kết quả khám xét thu được EUR 891.735 tiền mặt, cùng 443 máy tính, 238 điện thoại di động, 6 laptop và nhiều thiết bị lưu trữ dữ liệu. Europol triển khai chuyên gia để bảo toàn khối lượng lớn bằng chứng số.
Một Virtual Command Post được thiết lập để trao đổi dữ liệu theo thời gian thực giữa các đội tham gia. Bằng chứng số sẽ được chia sẻ với cơ quan điều tra tại nhiều quốc gia bị ảnh hưởng.
Các kỹ thuật tái lừa đảo và mở rộng thiệt hại
Điểm đáng chú ý của mô hình này là việc quay lại với các nạn nhân cũ và đề nghị hỗ trợ thu hồi số tiền đã mất. Nạn nhân được yêu cầu mở tài khoản tiền điện tử và nạp EUR 500 để bắt đầu quy trình “khôi phục”.
Đối tượng sử dụng nhiều tên đăng nhập và bí danh khác nhau để tránh bị nhận diện. Cách làm này tạo ra vòng lặp thông tin rò rỉ và lừa đảo thứ cấp trên chính những người đã từng bị chiếm đoạt trước đó.
Đây là một dạng mối đe dọa mạng mang tính tổ chức cao, kết hợp giữa giả mạo dịch vụ đầu tư, lạm dụng danh tính và thao túng tâm lý. Trong bối cảnh tin bảo mật mới nhất, đây là ví dụ điển hình về một cuộc tấn công mạng không dựa trên mã khai thác kỹ thuật, mà dựa trên quy trình vận hành và kỹ thuật xã hội.
IOC và dấu hiệu nhận biết
- IP address liên quan đến nhóm nghi vấn được chuyển qua kênh điều tra.
- Quảng cáo đầu tư giả trên mạng xã hội và kết quả tìm kiếm.
- Yêu cầu cài phần mềm remote access.
- Yêu cầu chuyển tiền vào tài khoản tiền điện tử để “khôi phục” khoản lỗ.
- Sử dụng nhiều username và pseudonym để né truy vết.
Khuyến nghị kiểm tra rủi ro và đối chiếu nguồn chính thức
Người dùng nên xác minh mọi nền tảng đầu tư trực tuyến qua cơ quan quản lý tài chính chính thức trước khi chuyển tiền. Các lời mời khôi phục khoản đầu tư từ nguồn không xác định cần được báo cáo ngay cho cơ quan thực thi pháp luật hoặc đơn vị tiếp nhận báo cáo tội phạm mạng.
Tham khảo thông báo chính thức tại Europol.
Trong phân tích tin tức an ninh mạng, sự kiện này cho thấy một lỗ hổng CVE không phải lúc nào cũng là điểm khởi đầu của tấn công; các chiến dịch lừa đảo quy mô lớn vẫn có thể gây thiệt hại rất cao nhờ mô hình vận hành chặt chẽ, kiểm soát từ xa và tái khai thác nạn nhân qua nhiều vòng.
