Cơ quan chức năng thực thi pháp luật Vương quốc Anh đã đạt được tiến triển đáng kể trong cuộc điều tra các cuộc tấn công mạng nhắm vào một số nhà bán lẻ hàng đầu của Anh. Bốn cá nhân hiện đang bị tạm giam sau các cuộc bắt giữ phối hợp trên khắp khu vực West Midlands và London.
Hôm nay, Cơ quan Tội phạm Quốc gia (NCA) đã công bố việc bắt giữ bốn nghi phạm – hai nam giới 19 tuổi, một nam giới 17 tuổi và một nữ giới 20 tuổi – vào sáng nay vì tình nghi thực hiện nhiều tội danh nghiêm trọng. Các vụ bắt giữ được tiến hành tại địa chỉ nhà riêng của các nghi phạm, với các thiết bị điện tử đã bị tịch thu để phục vụ việc kiểm tra pháp y kỹ thuật số toàn diện, đây là một bước quan trọng trong quá trình thu thập bằng chứng số.
Phạm Vi Điều Tra và Các Tội Danh Liên Quan
Các vụ bắt giữ này có liên quan trực tiếp đến các cuộc tấn công mạng đã nhắm mục tiêu vào ba nhà bán lẻ lớn của Anh: Marks & Spencer (M&S), Co-op và cửa hàng bách hóa cao cấp Harrods. Các cuộc tấn công phối hợp này đã xảy ra vào tháng 4 năm 2025, gây ra sự gián đoạn đáng kể cho các hoạt động kinh doanh của các doanh nghiệp bị ảnh hưởng và có khả năng làm lộ dữ liệu khách hàng cũng như dữ liệu doanh nghiệp nhạy cảm. Sự kiện này một lần nữa khẳng định tầm quan trọng của việc củng cố bảo mật mạng trong lĩnh vực bán lẻ, nơi khối lượng dữ liệu cá nhân và giao dịch là rất lớn.
Các Tội Danh Cụ Thể
Các cáo buộc chính đối với các nghi phạm bao gồm vi phạm Đạo luật Lạm dụng Máy tính (Computer Misuse Act), tống tiền (blackmail), rửa tiền (money laundering) và tham gia vào các hoạt động tội phạm có tổ chức. Mỗi tội danh này phản ánh các khía cạnh khác nhau của các chiến dịch tấn công mạng phức tạp và quy trình khai thác tài chính sau đó:
- Vi phạm Đạo luật Lạm dụng Máy tính: Tội danh này bao gồm các hành vi như truy cập trái phép vào hệ thống máy tính, sửa đổi dữ liệu trái phép, hoặc sử dụng máy tính để thực hiện tội phạm khác. Trong bối cảnh các cuộc tấn công nhắm vào các nhà bán lẻ, điều này có thể liên quan đến việc xâm nhập vào các hệ thống mạng nội bộ, cơ sở dữ liệu khách hàng (CRM), hoặc hệ thống quản lý chuỗi cung ứng để trích xuất thông tin nhạy cảm hoặc chèn mã độc gây gián đoạn hoạt động. Các hành vi này thường được thực hiện thông qua các lỗ hổng bảo mật, kỹ thuật phishing hoặc tấn công brute-force.
- Tống tiền: Đây là một chiến thuật phổ biến trong các cuộc tấn công mạng hiện đại, đặc biệt là ransomware hoặc các vụ vi phạm dữ liệu quy mô lớn. Kẻ tấn công đe dọa sẽ công bố dữ liệu đã đánh cắp, làm tê liệt hệ thống, hoặc gây ra thiệt hại nghiêm trọng khác nếu nạn nhân không thanh toán một khoản tiền chuộc nhất định. Trong trường hợp các nhà bán lẻ này, việc tống tiền có thể nhắm vào dữ liệu khách hàng nhạy cảm hoặc dữ liệu vận hành chiến lược.
- Rửa tiền: Các hoạt động rửa tiền là một phần không thể thiếu của hầu hết các chiến dịch tội phạm mạng thành công, nhằm hợp pháp hóa số tiền thu được bất hợp pháp từ việc tống tiền, bán dữ liệu đánh cắp hoặc các hoạt động phi pháp khác. Số tiền này thường được chuyển qua nhiều kênh tài chính phức tạp, bao gồm các sàn giao dịch tiền điện tử, dịch vụ trộn tiền (mixers), hoặc các tài khoản vỏ bọc, để che giấu nguồn gốc thực sự và gây khó khăn cho việc truy vết của cơ quan chức năng.
- Tham gia vào các hoạt động tội phạm có tổ chức: Tội danh này nhấn mạnh tính chất phối hợp và cấu trúc của các cuộc tấn công, cho thấy chúng không phải là hành động của các cá nhân đơn lẻ mà là một phần của một nhóm tội phạm có kế hoạch rõ ràng, phân công vai trò cụ thể và có khả năng hoạt động liên tục. Điều này đặc biệt đúng với các nhóm tin tặc chuyên nghiệp (APT) hoặc các băng nhóm ransomware có tổ chức.
Tác Động Lên Các Nhà Bán Lẻ và Pháp Y Kỹ Thuật Số
Ảnh Hưởng Đến Hoạt Động Kinh Doanh và Dữ Liệu
Các cuộc tấn công đã gây ra sự gián đoạn đáng kể, có khả năng ảnh hưởng đến các hệ thống bán hàng tại cửa hàng, nền tảng thương mại điện tử, quản lý kho hàng và chuỗi cung ứng. Điều này dẫn đến tổn thất doanh thu trực tiếp và thiệt hại uy tín lâu dài. Bên cạnh đó, việc dữ liệu khách hàng và doanh nghiệp nhạy cảm có nguy cơ bị xâm phạm là một mối lo ngại nghiêm trọng. Dữ liệu khách hàng có thể bao gồm thông tin nhận dạng cá nhân (PII) như tên, địa chỉ, email, số điện thoại, và thông tin thanh toán. Đối với dữ liệu doanh nghiệp, nó có thể bao gồm kế hoạch kinh doanh, thông tin nhà cung cấp, hoặc dữ liệu tài chính nội bộ. Việc lộ lọt những thông tin này có thể dẫn đến các vấn đề pháp lý nghiêm trọng theo các quy định bảo vệ dữ liệu như GDPR của EU và các đạo luật tương tự tại Vương quốc Anh, cùng với nguy cơ bị kiện tụng từ phía khách hàng.
Vai Trò của Pháp Y Kỹ Thuật Số
Việc tịch thu các thiết bị điện tử từ nhà riêng của các nghi phạm là một bước thiết yếu trong quá trình điều tra pháp y kỹ thuật số. Phân tích pháp y kỹ thuật số nhằm mục đích thu thập, bảo quản, phân tích và trình bày bằng chứng số từ các thiết bị này (máy tính, điện thoại, ổ cứng, v.v.). Các chuyên gia sẽ tìm kiếm dấu vết của các công cụ tấn công, nhật ký hoạt động, dữ liệu liên lạc, và bất kỳ bằng chứng nào liên quan đến hành vi phạm tội. Quá trình này đòi hỏi kỹ năng chuyên môn cao để đảm bảo tính toàn vẹn của bằng chứng, giúp xác định phương thức tấn công, danh tính của các đồng phạm, và quy mô thiệt hại.
Phản Ứng Của Cơ Quan Thực Thi Pháp Luật Và Hợp Tác Chuyên Sâu
Cam Kết Từ NCA và Đơn Vị Tội Phạm Mạng Quốc Gia
Ông Paul Foster, Phó Giám đốc phụ trách Đơn vị Tội phạm Mạng Quốc gia (National Cyber Crime Unit – NCCU) của NCA, đã nhấn mạnh mức độ ưu tiên và sự cấp bách của cuộc điều tra. Ông Foster khẳng định: “Kể từ khi các cuộc tấn công này diễn ra, các điều tra viên chuyên nghiệp về tội phạm mạng của NCA đã làm việc hết sức nhanh chóng và cuộc điều tra vẫn là một trong những ưu tiên hàng đầu của Cơ quan.” Tuyên bố này cho thấy NCA đã huy động các đội ngũ chuyên gia về an ninh mạng và pháp y kỹ thuật số, sử dụng các công cụ và kỹ thuật tiên tiến để xử lý vụ án phức tạp này, từ việc phân tích mã độc đến truy vết dòng tiền điện tử.
Tầm Quan Trọng của Hợp Tác Liên Ngành
Hoạt động bắt giữ này là minh chứng rõ ràng cho nỗ lực hợp tác hiệu quả giữa nhiều cơ quan thực thi pháp luật. Các sĩ quan từ Đơn vị Tội phạm Có tổ chức Khu vực West Midlands (West Midlands Regional Organised Crime Unit – ROCU) và Đơn vị Đặc nhiệm Đông Midlands (East Midlands Special Operations Unit – EMSOU) đã cung cấp sự hỗ trợ quan trọng cho các hoạt động nghiệp vụ. Sự phối hợp giữa các đơn vị chuyên biệt này, bao gồm chia sẻ thông tin tình báo, nguồn lực và chuyên môn điều tra, là yếu tố then chốt để chống lại tội phạm mạng tinh vi. Tội phạm mạng thường hoạt động xuyên biên giới hành chính, đòi hỏi các cơ quan phải có khả năng hợp tác liền mạch để truy bắt và đưa thủ phạm ra trước công lý, bất kể địa điểm hoạt động của chúng.
Điều Tra Tiếp Diễn và Những Hàm Ý Rộng Hơn
Mở Rộng Điều Tra và Hợp Tác Quốc Tế
Ông Foster cũng chỉ ra rằng “các vụ bắt giữ hôm nay là một bước tiến quan trọng trong cuộc điều tra đó nhưng công việc của chúng tôi vẫn tiếp tục, cùng với các đối tác ở Vương quốc Anh và nước ngoài, để đảm bảo rằng những người chịu trách nhiệm được xác định và đưa ra công lý.” Tuyên bố này gợi ý rằng cuộc điều tra có thể mở rộng quy mô, vượt ra ngoài bốn cá nhân hiện đang bị giam giữ, và có khả năng liên quan đến hợp tác quốc tế. Điều này là đặc trưng của các hoạt động tội phạm mạng cấp cao, nơi các thành viên của một mạng lưới có thể phân tán trên toàn cầu để tránh bị phát hiện và truy tố, đòi hỏi sự phối hợp chặt chẽ giữa các cơ quan thực thi pháp luật quốc tế như Europol và Interpol.
Vai Trò Chủ Động Của Nạn Nhân Trong Điều Tra
NCA cũng bày tỏ lòng biết ơn đối với sự hợp tác của M&S, Co-op và Harrods. Ông Foster nhấn mạnh tầm quan trọng của việc nạn nhân hợp tác với cơ quan thực thi pháp luật, khẳng định rằng vụ án này “hy vọng sẽ báo hiệu cho các nạn nhân trong tương lai về tầm quan trọng của việc tìm kiếm sự hỗ trợ và hợp tác với cơ quan thực thi pháp luật như một phần của quy trình báo cáo.” Việc báo cáo kịp thời một sự cố mạng không chỉ giúp cơ quan chức năng có thông tin ban đầu để điều tra mà còn cung cấp các bằng chứng số quan trọng, như nhật ký hệ thống, dữ liệu mạng, hoặc thông tin cấu hình bị thay đổi, giúp ích rất nhiều cho quá trình pháp y và truy vết. Sự minh bạch và hợp tác từ phía nạn nhân có thể rút ngắn đáng kể thời gian điều tra và tăng khả năng thu hồi tài sản hoặc truy tố thủ phạm.
Bối Cảnh Mối Đe Dọa Mạng Đối Với Hạ Tầng Bán Lẻ
Các vụ bắt giữ này một lần nữa khẳng định mối đe dọa ngày càng tăng do các tổ chức tội phạm mạng gây ra, đặc biệt là đối với hạ tầng bán lẻ. Với sự phụ thuộc ngày càng tăng của các doanh nghiệp vào các hệ thống kỹ thuật số cho mọi hoạt động, từ chuỗi cung ứng đến dịch vụ khách hàng trực tuyến, tiềm năng gián đoạn và thiệt hại từ các cuộc tấn công mạng cũng ngày càng leo thang.
Các nhà bán lẻ là mục tiêu hấp dẫn cho tội phạm mạng do xử lý một lượng lớn dữ liệu nhạy cảm, bao gồm thông tin cá nhân của khách hàng, dữ liệu thanh toán và thông tin giao dịch. Các cuộc tấn công điển hình nhắm vào ngành bán lẻ có thể bao gồm:
- Ransomware: Mã độc tống tiền mã hóa dữ liệu hoặc khóa truy cập vào hệ thống, yêu cầu tiền chuộc để khôi phục.
- Chiếm đoạt dữ liệu khách hàng (Customer Data Theft): Đánh cắp thông tin nhận dạng cá nhân (PII) như tên, địa chỉ, email, số điện thoại, và thông tin thẻ tín dụng, thường để bán trên thị trường chợ đen hoặc sử dụng cho các cuộc tấn công lừa đảo (phishing) tiếp theo.
- Mã độc POS (Point-of-Sale Malware): Phần mềm độc hại được thiết kế để lây nhiễm vào các hệ thống điểm bán hàng (thiết bị thanh toán) nhằm đánh cắp thông tin thẻ tín dụng tại thời điểm giao dịch.
- Tấn công chuỗi cung ứng (Supply Chain Attacks): Nhắm mục tiêu vào các nhà cung cấp bên thứ ba hoặc đối tác có quyền truy cập vào mạng của nhà bán lẻ, lợi dụng điểm yếu của họ để xâm nhập vào hệ thống chính.
Bốn nghi phạm vẫn đang bị giam giữ để các sĩ quan NCA thẩm vấn, trong khi cuộc điều tra tiếp tục diễn ra theo chiều sâu. Các cơ quan chức năng nhắc nhở các nạn nhân tiềm năng của tội phạm mạng sử dụng Trang Web Hướng dẫn Sự cố Mạng của Chính phủ (Government’s Cyber Incident Signposting Site) để được hướng dẫn về việc báo cáo sự cố cho các cơ quan thích hợp và nhận được hỗ trợ kịp thời.
