Thực trạng tội phạm công nghệ cao tại Việt Nam

Theo Nghị định 25/2014/NĐ-CP ngày 7/4/2014, tội phạm có sử dụng công nghệ cao là hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự có sử dụng công nghệ cao. Tại Việt Nam, Bộ luật Hình sự sửa đổi, bổ sung năm 2009 (có hiệu lực thi hành từ 1/1/2010) đã sửa đổi, bổ sung thêm 5 điều luật để xử lý tội phạm trong lĩnh vực công nghệ thông tin và viễn thông (Điều 224-226b). Thời gian qua, đã có nhiều hành vi vi phạm được các cơ quan chức năng điều tra, phát hiện nhưng số lượng các vụ án loại này được đưa ra xét xử rất ít. Nếu như năm 2011, ngành Công an phát hiện và điều tra xử lý 128 vụ việc về tội phạm công nghệ cao, gây thiệt hại 58 tỷ đồng, hơn 1 triệu USD, đã thu giữ 12 tỷ đồng và 235.000 USD thì trong 6 tháng đầu năm 2012 đã phát hiện và xử lý 111 vụ, 232 đối tượng. Theo đánh giá của Bộ Công an tại Hội nghị các quan chức cấp cao ASEAN về Phòng chống tội phạm xuyên quốc gia lần thứ 12 (SOMTC 12), Việt Nam đang bị tội phạm công nghệ cao tấn công nhằm vào lĩnh vực tài chính, chứng khoán, ngân hàng, mua bán ngoại tệ qua Internet... Qua điều tra hơn 260 đầu mối vụ án, tổng thiệt hại do tội phạm công nghệ cao gây ra, ước tính trên 2.000 tỷ đồng.

Trên cơ sở nhận diện đó, Cục cảnh sát phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an), đã thống kê một số loại tội phạm công nghệ cao phổ biến bao gồm:

Thứ nhất, tấn công máy tính, mạng máy tính: Lợi dụng lỗ hổng bảo mật web, tấn công truy cập, lấy cắp, phá hoại dữ liệu; Phát tán virus, phần mềm gián điệp (các loại trojan, worms, malware…); Tấn công từ chối dịch vụ (Botnet).

Thứ hai, hoạt động của tội phạm có mục đích chiếm đoạt tài sản có thể phân loại thành: Tội phạm gian lận thẻ tín dụng ngân hàng (Credit Card fraud), phổ biến là sử dụng Botnet với một số trojan như Spyey, Zeus, Flame, Gauss…; Tội phạm lừa đảo (Online Fraud), sử dụng thủ đoạn kinh doanh đa cấp (Đầu tư; Kinh doanh dịch vụ đa cấp như vụ MB24 và vicongdongviet; Kinh doanh sàn vàng, ngoại tệ ảo); Lừa đảo trong thương mại điện tử C2C, B2C, B2B; Lừa đảo bằng email, nickchat, tin nhắn SMS-Mass marketing Fraud; Gửi email, tin nhắn lừa đảo để lấy cắp account và password của email, nickchat… để lừa đảo, yêu cầu chuyển tiền, thẻ cào.

Một số phương pháp tấn công phổ biến mà tội phạm mạng thường dùng: Phát tán virus, phần mềm gián điệp, keylogger, điều khiển từ xa, worm, spam... lên mạng. Phương thức phát tán chủyếu qua spam email, forum như Twister, Facebook, YouTube và trên những phần mềm cài đặt phổ biến như Unikey, Windows, Adobe.... Chúng làm lây lan mã độc vào máy người dùng để lấy thông tin cá nhân như password của email, nick chat.

Nguy hiểm hơn, tội phạm công nghệ cao thực hiện tấn công hệ thống cơ sở hạ tầng thông tin, truyền thông quốc gia. Theo Công ty An ninh mạng BKAV, từ đầu năm đến đầu quý IV/2013 đã có đến 2.405 trang web của các cơ quan, doanh nghiệp (DN) của Việt Nam bị hacker tấn công. Cũng theo BKAV, Việt Nam thiệt hại gần 8.000 tỷ đồng (gần 400 triệu USD) do virus máy tính mỗi năm (khảo sát từ năm 2012 đến đầu năm 2013). Theo đánh giá của Cục Công nghệ Tin học (Ngân hàng Nhà nước), ngành Ngân hàng đứng trước nguy cơ bị tấn công cao trong năm 2013 và những năm tới. Hiện có đến 90% ngân hàng chưa sử dụng chữ ký số trong giao dịch – tạo điều kiện cho hacker tấn công vào các tài khoản thẻ ATM, tín dụng, giao dịch Internet Banking... Hình thức tấn công DDOS (qua botnet) trong năm 2013 trở nên mạnh hơn trước. Việt Nam vẫn là một trong các đích tấn công “ưa thích” của các nhóm hacker trên thế giới.

Theo số liệu thống kê của Hiệp hội an toàn thông tin số Việt Nam (VNISA), chỉ số an toàn thông tin của Việt Nam trong năm 2013 là 37,5% (năm 2012 là 26%), thấp hơn rất nhiều so với Hàn Quốc (62%). Trong những năm qua, dù chỉ số an toàn thông tin của Việt Nam có nhiều bước tiến, song rõ ràng chưa đạt tới ngưỡng trung bình và các tổ chức, DN sẽ còn rất nhiều việc phải làm khi bối cảnh mất an toàn thông tin, nguy cơ chiến tranh thông tin ngày một hiện hữu. Số liệu của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết, 9 tháng đầu năm 2013 đã ghi nhận 1.428 trường hợp mã độc tấn công (vượt qua tất cả số liệu của năm 2012). Các máy tính ở Việt Nam đang phát tán hơn 3,33 tỷ thư rác/ngày....

Thời gian qua, cơ quan điều tra đã phát hiện và phá không ít vụ án trong lĩnh vực tài chính ngân hàng. Khoảng thời gian cuối năm 2010, đầu năm 2011, Cục Cảnh sát Phòng chống tội phạm Công nghệ cao (Bộ Công an) đã phát hiện nhóm đối tượng sử dụng thông tin thẻ tín dụng trộm cắp của người nước ngoài để mua hàng trực tuyến qua các trang web bán hàng trực tuyến tại Mỹ, rồi chuyển về Việt Nam. Kết quả điều tra xác định Nguyễn Đình Thuần, nguyên là Giám đốc Công ty TNHH Công nghệ NAD, Công ty TNHH Vietstyle Fashion và đồng phạm đã sử dụng các thông tin về thẻ tín dụng của người nước ngoài ăn cắp được trên mạng để mua hàng rồi lên diễn đàn tìm người ở nước ngoài nhận hàng mua được và chuyển về Việt Nam tiêu thụ. Cơ quan điều tra xác định Thuần và đồng phạm đã chiếm đoạt của các chủ thẻ là 2,8 tỷ đồng. Hay như, ngày 31/5/2013, Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao phối hợp với Văn phòng cơ quan Cảnh sát và Cục nghiệp vụ Bộ Công an đã triệu tập và thực hiện lệnh bắt hàng loạt đối tượng trong đường dây mua bán thông tin thẻ tín dụng bất hợp pháp và tổ chức đánh bạc trên mạng. Theo đó, Văn Tiến Tú lập ra nhóm “Mattfeuter” để hoạt động mua bán thông tin trái phép thẻ tín dụng của người khác, thực hiện hành vi trộm cắp của nhiều người nước ngoài, cùng với băng nhóm tội phạm nước ngoài, chiếm đoạt hơn 200 triệu bảng Anh (hơn 6.000 tỷ đồng). Trong đó, Tú và đồng bọn mua thẻ tín dụng từ các đối tượng tội phạm nước ngoài, rồi bán lại, thu lợi bất chính hơn 1,5 triệu USD.

Nguyên nhân và xu hướng tội phạm trong lĩnh vực ngân hàng

Theo các chuyên gia, có khá nhiều nguyên nhân làm gia tăng tội phạm công nghệ cao trong lĩnh vực tài chính - ngân hàng tại Việt Nam, cụ thể:

Thứ nhất, hệ thống bảo mật thông tin của Việt Nam chưa đủ sức đương đầu với tội phạm công nghệ cao. Thực trạng an toàn thông tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ. An ninh mạng vẫn chưa thực sự được quan tâm tại các cơ quan, DN thể hiện ở việc hầu hết cơ quan DN của Việt Nam chưa bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ này chưa tương xứng với tình hình thực tế. Bên cạnh đó, năng lực của đội ngũ cán bộ còn nhiều hạn chế.

Thứ hai, hành lang pháp luật liên quan đến vấn đề này hiện vẫn còn thiếu. Đặc biệt, sự chậm chễ trong việc ban hành cũng là nguyên nhân chính khiến nhiều cơ quan tố tụng phải lúng túng khi xử lý những vụ việc này. Chẳng hạn, năm 2006, trong vụ án Nguyễn Anh Tuấn cùng đồng phạm 9 người đã xâm nhập vào website bán hàng trực tuyến ở nước ngoài lấy thông tin thẻ tín dụng của khách rồi in vào thẻ ATM giả và rút tổng cộng hơn 1,6 tỷ đồng từ các máy ATM của một ngân hàng. Tuy nhiên, lần theo thông tin trên các thẻ ATM giả, cơ quan điều tra không xác định được cá nhân, tập thể nào là nạn nhân của vụ án. Phía ngân hàng cũng cho rằng việc Tuấn và đồng bọn rút tiền tại các máy trên không ảnh hưởng tới quyền và nghĩa vụ của ngân hàng trong việc làm đại lý quản lý máy do theo quy định, mọi rủi ro tài chính từ các giao dịch kể trên sẽ được chuyển về cho các ngân hàng phát hành thẻ ở nước ngoài. Hành vi của các bị can có dấu hiệu trộm cắp nhưng nếu không xác định được người bị hại thì liệu đã thỏa mãn cấu thành tội phạm? Sau đó, hai cấp tòa sơ và phúc thẩm đành phải xét xử Tuấn và đồng phạm về tội trộm cắp, đồng thời tuyên xung công quỹ hơn 1,6 tỷ đồng do không xác định được nạn nhân.

Thứ ba, việc phát hiện hành vi vi phạm pháp luật của nhóm tội phạm công nghệ cao còn gặp nhiều khó khăn do đây là những đối tượng có trình độ công nghệ thông tin chuyên sâu, có phạm vi hoạt động rộng, có thể gây án ở nhiều nơi trong một quốc gia hoặc xuyên quốc gia, dễ câu kết với nhau. Thủ đoạn phạm tội rất tinh vi, xảo quyệt trong khi đó lực lượng cảnh sát phòng chống tội phạm công nghệ cao mới ra đời, còn non trẻ nên việc phát hiện rất khó khăn. Ngoài ra, việc khó khăn trong vấn đề thu thập, bảo quản và đánh giá chứng cứ bởi chứng cứ của vụ án là chứng cứ điện tử nên việc thu thập, bảo quản và xử lý các chứng cứ này để chứng minh tội phạm đòi hỏi phải tuân theo chu trình nghiêm ngặt, nếu không rất dễ làm mất dấu vết và không khôi phục được. Việc xác định các dấu hiệu cấu thành tội phạm cũng gặp nhiều khó khăn với các cơ quan chức năng, nhất là việc xác định các dấu hiệu thuộc mặt khách quan của tội phạm.

Thứ tư, việc xử lý tội phạm công nghệ cao còn nhẹ, chưa đủ sức răn đe phục vụ công tác đấu tranh chống và phòng ngừa tội phạm.

Trong những năm tới, các xu hướng tấn công của tội phạm mạng nói chung và trong lĩnh vực tài chính ngân hàng nói riêng chủ yếu gồm:

- Lừa đảo, gian lận thẻ ngân hàng, chứng khoán, thương mại điện tử, thanh toán điện tử.

- Phát triển mạng Botnet tấn công các website, của chính phủ, ngân hàng, hàng không, lưới điện quốc gia; Phát triển Mạng botnet để lấy cắp thông tin; Phát triển Mạng botnet để phát tán tin nhắn rác, quảng cáo.

- Sử dụng phần mềm gián điệp, điều khiển từ xa để tấn công có mục đích chính trị và kinh tế vào các cơ quan chính phủ, ngân hàng và các DN lớn, để lấy cắp và phá hoại dữ liệu, đặc biệt là dữ liệu liên quan đến an ninh quốc gia, quốc phòng.

- Sử dụng blog cá nhân, mạng xã hội để hoạt động phạm pháp, như xâm phạm an ninh quốc gia, thành lập băng nhóm tội phạm, xâm phạm quyền riêng tư, phát tán virus...

- Khai thác ứng dụng điện toán đám mây (file sharing), tấn công, lấy cắp, thay đổi, phá hoại thông tin, lấy cắp dữ liệu và thông tin thẻ tín dụng.

- Điện thoại thông minh lưu trữ nhiều dữ liệu nhạy cảm, dễ mất và lấy cắp dữ liệu, sẽ trở thành nguyên nhân hàng đầu của tình trạng mất dữ liệu.

- Xu hướng tấn công, truy cập qua VPN (Virtual Private Network-là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí) trở nên phổ biến, do gia tăng ứng dụng truy cập qua VPN, khi nhân viên thường xuyên phải làm việc ở ngoài văn phòng.

Giải pháp phòng ngừa tội phạm công nghệ cao trong lĩnh vực tài chính- ngân hàng tại Việt Nam

Nhằm phòng ngừa và ngăn chặn hiệu quả tội phạm công nghệ cao trong lĩnh vực tài chính ngân hàng, góp phần vào công tác phòng, chống rửa tiền, cần chú trọng một số giải pháp sau:

Một là, tiếp tục nghiên cứu, sửa đổi, bổ sung Bộ Luật Hình sự có liên quan đến nhóm tội phạm công nghệ cao với những tội danh cụ thể hơn; nhanh chóng ban hành Luật An toàn thông tin.

Hai là, tăng cường công tác phòng ngừa loại tội phạm công nghệ thông tin - viễn thông, đồng thời sử dụng các công cụ kỹ thuật để ngăn chặn các vụ truy cập trái phép, lây lan virus, lấy cắp dữ liệu, phòng ngừa, bảo vệ cho các server, website, cơ sở dữ liệu, bằng các thiết bị an ninh mạng (phần cứng), các phần mềm chống virus, spyware, spam…

Ba là, xây dựng các phần mềm quản trị hệ thống, phân quyền cho người sử dụng cơ sở dữ liệu phù hợp, có biện pháp bảo đảm an ninh mạng, không để bị tấn công từ bên trong.

Bốn là, tăng cường vai trò của các cơ quan, tổ chức, DN trong lĩnh vực tài chính- ngân hàng tham gia phòng ngừa tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao… Bên cạnh đó, tăng cường trách nhiệm cá nhân tham gia phòng ngừa tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao như bảo vệ mật khẩu, khóa mật khẩu, cơ sở dữ liệu, thông tin cá nhân, thông tin tài khoản và hệ thống thiết bị công nghệ cao của mình; Phát hiện, kịp thời tố giác tội phạm và vi phạm pháp luật khác có sử dụng công nghệ cao.