Tech-support scam là hình thức lừa đảo an ninh mạng kéo dài nhiều năm, trong đó hai cựu lãnh đạo của một công ty định tuyến cuộc gọi và phân tích dữ liệu đã nhận tội vì hỗ trợ có chủ đích cho các trung tâm cuộc gọi tại Ấn Độ lừa đảo hàng nghìn nạn nhân tại Mỹ. Vụ việc cho thấy vai trò của tầng hạ tầng viễn thông trong việc tiếp tay cho một cuộc tấn công mạng quy mô lớn, dù không liên quan đến lỗ hổng CVE hay mã khai thác.
Vai trò của hạ tầng viễn thông trong chiến dịch lừa đảo
Theo hồ sơ tòa án, hai cựu lãnh đạo này điều hành một doanh nghiệp dịch vụ viễn thông cung cấp số điện thoại, định tuyến cuộc gọi, theo dõi cuộc gọi và chuyển tiếp cuộc gọi cho khách hàng mà họ biết rõ đang tham gia vào hoạt động gian lận hỗ trợ kỹ thuật. Họ bị buộc tội misprision of a felony tại tòa án liên bang và dự kiến bị tuyên án vào ngày 16/06/2026.
Đáng chú ý, dữ liệu điều tra cho thấy họ đã biết về bản chất gian lận của khách hàng nhưng vẫn tiếp tục duy trì dịch vụ. Điều này biến hệ thống định tuyến cuộc gọi thành một thành phần hạ tầng hỗ trợ trực tiếp cho mối đe dọa mạng thay vì chỉ là nhà cung cấp trung gian.
Cơ chế hoạt động của chiêu lừa
Chiến dịch sử dụng các cửa sổ pop-up giả mạo, cảnh báo người dùng rằng máy tính của họ bị nhiễm virus hoặc malware. Thông báo này dẫn nạn nhân gọi đến các số điện thoại do trung tâm cuộc gọi kiểm soát. Đây là mô hình tech-support scam điển hình, khai thác tâm lý lo sợ để ép người dùng thanh toán cho các dịch vụ kỹ thuật không cần thiết hoặc hoàn toàn bịa đặt.
Trong nhiều trường hợp, nhân viên trung tâm cuộc gọi còn truy cập từ xa vào máy tính nạn nhân để thu thập thông tin cá nhân và tài chính nhạy cảm. Đây là điểm khiến vụ việc không chỉ là lừa đảo thanh toán mà còn là đánh cắp dữ liệu thông qua quyền truy cập được người dùng cấp cho kẻ gian.
Tech-support scam và dấu hiệu nhận biết
Chiến dịch này kéo dài từ khoảng 2016 đến 04/2022, đóng vai trò là xương sống viễn thông cho các hoạt động gian lận từ xa. Các nạn nhân thường bị thúc ép trả hàng trăm USD cho dịch vụ hỗ trợ giả, trong khi mục tiêu thật là chiếm thông tin hoặc tiền của họ.
Vì không phải là lỗ hổng zero-day hay khai thác kỹ thuật trên phần mềm, dạng tấn công này dựa vào lừa đảo và thao túng xã hội. Tuy nhiên, tác động thực tế vẫn là xâm nhập trái phép vào môi trường người dùng khi nạn nhân tự cấp quyền truy cập từ xa cho đối tượng tấn công.
IOC liên quan đến hoạt động gian lận
- Loại hình đe dọa: Tech-support scam
- Kỹ thuật lừa đảo: Pop-up cảnh báo virus hoặc malware giả mạo
- Kênh liên lạc: Số điện thoại trung tâm cuộc gọi, chuyển hướng qua hệ thống định tuyến cuộc gọi
- Hành vi sau khi liên hệ: Yêu cầu thanh toán cho dịch vụ kỹ thuật không có thật
- Hành vi thu thập dữ liệu: Truy cập từ xa vào máy tính nạn nhân để lấy thông tin cá nhân và tài chính
Diễn biến điều tra và các vụ án liên quan
Vụ án bắt nguồn từ cuộc điều tra của FBI được khởi động vào năm 2020, sau đó dẫn đến nhiều bản án hình sự khác nhau. Một số cá nhân quốc tịch Ấn Độ đã bị kết án vì các tội danh gian lận telemarketing, nhắm vào người dùng Mỹ, trong đó có nhiều nạn nhân là người cao tuổi hoặc có vấn đề sức khỏe.
Một cựu nhân viên của công ty định tuyến cuộc gọi cũng bị kết án tại Tòa án Quận Liên bang khu vực Bắc California. Điều này cho thấy mô hình vận hành của chiến dịch không chỉ phụ thuộc vào trung tâm cuộc gọi mà còn dựa vào chuỗi cung ứng dịch vụ hỗ trợ phía sau.
Tác động tài chính được ghi nhận
Theo thông tin công bố, các vụ tin bảo mật mới nhất liên quan đến loại hình lừa đảo này cho thấy thiệt hại tại Mỹ lên tới 2,1 tỷ USD trong năm trước. Riêng cư dân Rhode Island đã báo cáo tổn thất tối thiểu 5,7 triệu USD.
Những con số này phản ánh mức độ nghiêm trọng của rủi ro bảo mật trong các chiến dịch lừa đảo dựa trên hỗ trợ kỹ thuật giả mạo, đặc biệt khi kết hợp với cuộc gọi, pop-up cảnh báo và truy cập từ xa.
Liên hệ với cảnh báo an ninh mạng
Vụ việc là một ví dụ điển hình cho thấy an ninh mạng không chỉ nằm ở lỗ hổng phần mềm hay bản vá bảo mật, mà còn nằm ở hạ tầng dịch vụ và hành vi người dùng. Trong bối cảnh tin tức an ninh mạng liên tục ghi nhận các chiến dịch lừa đảo qua quảng cáo, pop-up và cuộc gọi giả, việc nhận diện dấu hiệu sớm là yếu tố quan trọng.
Thông tin vụ án và cáo trạng có thể tham khảo từ nguồn công bố chính thức của Bộ Tư pháp Hoa Kỳ tại đây: justice.gov. Đây là tài liệu giúp đối chiếu trực tiếp về tội danh, thời gian hoạt động và trạng thái tố tụng.
Điểm cần lưu ý trong môi trường doanh nghiệp
- Không tin vào pop-up cảnh báo virus yêu cầu gọi ngay cho bộ phận hỗ trợ.
- Không cấp quyền truy cập từ xa cho bên thứ ba nếu chưa xác minh danh tính.
- Giám sát các cuộc gọi hỗ trợ kỹ thuật bất thường và quy trình thanh toán không chuẩn.
- Đào tạo người dùng nhận biết tech-support scam và các dấu hiệu thao túng tâm lý.
Khung pháp lý và trạng thái xử lý
Hai cựu giám đốc đã nhận tội và đang chờ tuyên án theo hướng dẫn của U.S. Sentencing Guidelines. Nội dung vụ án cho thấy cơ quan tố tụng xem xét trách nhiệm không chỉ ở phía người tổ chức trung tâm cuộc gọi mà còn ở phía những đơn vị cung cấp hạ tầng biết rõ mục đích sử dụng bất hợp pháp.
Với các tổ chức cung cấp dịch vụ truyền thông, định tuyến hoặc chuyển tiếp liên lạc, đây là một tín hiệu rõ ràng về nguy cơ bảo mật khi khách hàng bị phát hiện tham gia vào hoạt động gian lận có hệ thống.
Tham chiếu kỹ thuật và điều tra
Chiến dịch không gắn với remote code execution, exploit hay cảnh báo CVE. Tuy nhiên, nó vẫn thuộc nhóm mối đe dọa có tác động lớn nhờ khai thác niềm tin của người dùng và hạ tầng viễn thông. Đối với nhóm nghiên cứu threat intelligence, đây là trường hợp cần theo dõi vì có liên quan đến mô hình vận hành, hạ tầng liên lạc và kỹ thuật social engineering.
Trong bối cảnh phòng vệ, các hệ thống phát hiện xâm nhập không trực tiếp chặn được loại hình này nếu không có lớp kiểm soát về cuộc gọi, truy cập từ xa và xác thực hỗ trợ kỹ thuật. Vì vậy, bảo mật thông tin cần được triển khai đồng thời ở tầng người dùng, quy trình và kênh liên lạc.
