Tin tức bảo mật về thị trường ngầm cho thấy các tài khoản ngân hàng đã xác minh, ví fintech và tài khoản sàn giao dịch tiền mã hóa đang được rao bán công khai qua các kênh Telegram. Hoạt động này biến rửa tiền thành một dịch vụ có tổ chức, theo yêu cầu và có thể đặt mua như một chuỗi cung ứng.
Thị trường ngầm của tài khoản mule-as-a-service
Nhóm vận hành phía sau mô hình này không còn hoạt động theo kiểu tuyển dụng rời rạc. Thay vào đó, họ tổ chức như một ngành dịch vụ chuyên nghiệp, với mức giá phân tầng, hỗ trợ khách hàng và cam kết thay thế tài khoản nếu tài khoản bị khóa hoặc bị hạn chế.
Trong ngữ cảnh tin tức bảo mật, đây là một dạng mối đe dọa mạng liên quan trực tiếp đến hạ tầng tài chính, nơi tài khoản mule được dùng để nhận và phân tán tiền bất hợp pháp qua nhiều tổ chức khác nhau trước khi bị phát hiện.
Mô hình tội phạm và nguồn tiền luân chuyển
Các khoản tiền đi qua mạng lưới này thường xuất phát từ chiến dịch phishing, mã độc ransomware, Business Email Compromise, và gian lận đầu tư. Theo nội dung được trích dẫn, tại Hoa Kỳ, ước tính 0,3% tổng số tài khoản tại các tổ chức tài chính được cho là do mule kiểm soát.
Đây là một chỉ dấu cho thấy rủi ro bảo mật không chỉ nằm ở lớp tài khoản bị chiếm quyền, mà còn ở chuỗi rửa tiền sau xâm nhập. Một cuộc tấn công mạng có thể kết thúc bằng đánh cắp dữ liệu danh tính, nhưng hậu quả tài chính lại tiếp tục lan qua nhiều tầng trung gian.
Telegram là kênh phân phối chính cho tài khoản bị kiểm soát
Telegram đang trở thành mặt tiền chính cho mô hình Mule-as-a-Service (MaaS), một nhánh chuyên biệt trong hệ sinh thái Fraud-as-a-Service. Người bán công khai danh sách tài khoản từ các ngân hàng tại nhiều khu vực, kèm voucher của khách hàng để chứng minh độ tin cậy.
Các kênh này vận hành giống thương mại điện tử hợp pháp, nhưng thay vì bán sản phẩm thông thường, họ bán tài khoản đã xác minh và các dịch vụ rửa tiền hoàn chỉnh. Điều này khiến việc phát hiện tấn công khó khăn hơn nếu chỉ dựa vào dấu hiệu giao dịch đơn lẻ.
Dấu hiệu vận hành đáng chú ý
- Danh sách tài khoản được rao bán theo khu vực và loại hình dịch vụ tài chính.
- Có chính sách hoàn tiền nếu tài khoản mua bị khóa hoặc bị hạn chế.
- Cung cấp gói dịch vụ rửa tiền trọn gói, từ nhận tiền đến chuyển đổi và rút tiền.
- Đăng kèm bằng chứng giao dịch hoặc phản hồi khách hàng để tăng độ tin cậy.
Quy mô hoạt động trên nhiều thị trường
Dữ liệu phân tích cho thấy gần 250.000 tin nhắn Telegram liên quan đến “Contas Laranja” ở Brazil, tức các tài khoản ngân hàng được thuê hoặc tạo gian lận để luân chuyển tiền qua hệ thống thanh toán tức thời PIX.
Tại Argentina, hơn 100.000 tin nhắn nhắc đến việc mua bán hoặc cho thuê tài khoản gắn với mã định danh CBU và CVU. Ở Colombia, các nền tảng fintech như Nequi và Daviplata cũng xuất hiện trong thảo luận ngầm vì quy trình onboarding tương đối dễ khai thác.
Những số liệu này cho thấy tin bảo mật mới nhất không chỉ phản ánh một kênh riêng lẻ, mà là một mạng lưới giao dịch xuyên khu vực, nơi tài khoản mule được chuẩn hóa như một hàng hóa số.
Kỹ thuật gian lận danh tính và vượt qua KYC
Các hoạt động này dựa trên danh tính bị đánh cắp, persona do AI tạo ra và thông tin đăng nhập bị xâm phạm để tạo tài khoản vượt qua kiểm tra xác minh tại ngân hàng và nền tảng fintech.
Criminals sử dụng giấy tờ giả, video deepfake và bộ công cụ synthetic identity để mở tài khoản mới mà không kích hoạt cảnh báo gian lận. Một số seller còn cung cấp mẫu tài liệu PSD được chỉnh sửa để vượt qua hệ thống xác minh tự động.
Trong một trường hợp được mô tả, bài đăng về mẫu PSD cho KYC bypass đã thu hút hơn 400 phản hồi từ người mua tiềm năng.
Các kỹ thuật được nhắc đến
- Forged documents để giả mạo hồ sơ định danh.
- Deepfake videos để vượt qua liveness check.
- Synthetic identity kits để tạo nhân thân mới.
- Compromised credentials để hoàn tất đăng ký tài khoản.
Vai trò của AI trong việc tạo và quản lý tài khoản
AI đã thay đổi đáng kể cách các tài khoản mule được tạo và vận hành. Các tác nhân đe dọa sử dụng large language models, công cụ deepfake video và nền tảng như RunwayML để tạo video chuyển động khuôn mặt chân thực, qua đó đánh lừa hệ thống xác minh từ xa của ngân hàng và ứng dụng fintech.
Một tài liệu hướng dẫn được chia sẻ trên diễn đàn CrackedTo còn chỉ dẫn người dùng yêu cầu ChatGPT tạo chuyển động khuôn mặt tự nhiên để qua mặt banking application liveness checks. Đây là một ví dụ rõ ràng về cách lỗ hổng CVE không phải lúc nào cũng hiện diện; nhiều rủi ro xuất phát từ quy trình nhận diện và xác minh danh tính bị thao túng.
Tự động hóa sau khi mở tài khoản
Không dừng ở việc tạo tài khoản, AI còn được dùng để account warming, tức thực hiện các giao dịch rủi ro thấp như thanh toán hóa đơn điện nước để làm tài khoản trông hợp lệ trước khi tiền bất hợp pháp được chuyển vào.
Các thuật toán predictive smurfing điều chỉnh động kích thước và thời điểm chuyển tiền để nằm dưới ngưỡng phát hiện của hệ thống AML. Bên cạnh đó, công cụ voice cloning dựa trên Retrieval-based Voice Conversion có thể sao chép giọng nói nạn nhân nhằm vượt qua bước callback verification tại tổ chức tài chính.
Ảnh hưởng đối với hệ thống tài chính và AML
Các tài khoản mule tạo ra nguy cơ vượt qua lớp phòng thủ truyền thống của ngân hàng, đặc biệt khi các hệ thống AML chỉ tập trung vào mẫu giao dịch tĩnh. Một khi tài khoản đã được “nuôi” đủ lâu, nó có thể nhận tiền bẩn, phân tán qua nhiều tổ chức và rút tiền trước khi hệ thống phản ứng.
Đây là rủi ro an toàn thông tin ở cấp hệ sinh thái, không chỉ ở từng tài khoản riêng lẻ. Việc phát hiện cần kết hợp phân tích hành vi, chuỗi sự kiện định danh và tương quan giữa các giao dịch nhỏ bất thường.
Khuyến nghị giám sát và phát hiện xâm nhập
Để đối phó với mối đe dọa này, nội dung gốc khuyến nghị các tổ chức chủ động giám sát các diễn đàn dark web và kênh Telegram nhằm phát hiện sớm hoạt động MaaS mới nổi. Một hệ thống IDS theo nghĩa rộng cần bao gồm cả giám sát hành vi và dữ liệu định danh, không chỉ lưu lượng mạng.
Ngân hàng và nhà cung cấp fintech cần nâng cấp hệ thống xác minh danh tính để phát hiện deepfake injection attacks, tức video tổng hợp được đưa trực tiếp vào pipeline đầu vào của ứng dụng thay vì chỉ hiển thị qua camera vật lý.
Các nhóm bảo mật cũng nên triển khai behavioral analytics để nhận diện hành vi account warming và adaptive smurfing do AI hỗ trợ, vì các mẫu này thường không nằm trong tập luật của hệ thống AML truyền thống.
Tham khảo thêm cảnh báo và dữ liệu phân tích tại NVD và các nguồn threat intelligence chuyên sâu.
IOC
- Telegram channels được dùng làm chợ mua bán tài khoản mule và dịch vụ rửa tiền.
- Dark web forums nơi rao bán tài khoản, giấy tờ giả và mẫu KYC bypass.
- Encrypted messaging groups phục vụ điều phối giao dịch và hỗ trợ khách hàng.
- GrossInfo là tên một kênh Telegram được nhắc đến trong bối cảnh bán tài liệu định danh đã chỉnh sửa.
Dấu hiệu kỹ thuật cần theo dõi
- Giao dịch nhỏ, tần suất cao, phân tán nhanh qua nhiều tài khoản.
- Tài khoản mới mở nhưng sớm có hoạt động thanh toán hóa đơn hoặc giao dịch “nuôi” tài khoản.
- Chuỗi xác minh danh tính xuất hiện video liveness bất thường hoặc tín hiệu tổng hợp.
- Yêu cầu callback bằng giọng nói có đặc điểm trùng khớp với mẫu voice cloning.
- Luồng nạp và rút tiền có mô hình lặp lại theo thời gian ngắn, vượt khỏi hành vi khách hàng thông thường.
