Phát hiện đường dây tạo tài khoản giả quy mô lớn có liên quan tới Việt Nam

[WhiteHat Team]

Không còn là những thủ đoạn đơn lẻ, một hệ sinh thái tội phạm mạng tinh vi có liên quan đến Việt Nam vừa bị bóc trần, cho thấy một mắt xích quan trọng trong chuỗi cung ứng công cụ gian lận quy mô công nghiệp trên toàn cầu. Từ những nền tảng thiết kế web tưởng chừng thông thường đến các "chợ đen" công khai rao bán danh tính giả, mạng lưới này đang âm thầm tiếp tay cho các chiến dịch lừa đảo xuyên biên giới và khiến các nền tảng công nghệ lớn phải đối mặt với áp lực kiểm soát tài khoản giả ngày càng gia tăng.
​

Theo phân tích, hoạt động này được liên kết với một cụm hạ tầng được các chuyên gia đặt tên nội bộ là O-UNC-036. Nhóm vận hành hệ thống này sử dụng email tạm thời cùng các bot tự động để tạo ra hàng loạt danh tính số giả mạo trong thời gian rất ngắn, sau đó bán hoặc sử dụng chúng cho nhiều hoạt động gian lận trực tuyến.

Tài khoản giả từ lâu đã trở thành công cụ quan trọng của tội phạm mạng. Không chỉ được dùng để phát tán thư rác, chúng còn phục vụ các chiến dịch lừa đảo tài chính, phát tán liên kết phishing và nhiều kịch bản lừa đảo tinh vi khác. Một trong số đó là hình thức “pig butchering”, trong đó kẻ gian xây dựng mối quan hệ với nạn nhân trong thời gian dài trước khi dụ họ đầu tư tiền vào các dự án tiền điện tử giả mạo.
​

Hoạt động tạo tài khoản giả thường được thực hiện với sự hỗ trợ của botnet. (Nguồn: Okta)
​

Những chiến dịch lừa đảo kiểu này thường được vận hành từ các khu phức hợp tội phạm tại Đông Nam Á, đặc biệt ở khu vực gần biên giới Trung Quốc, Myanmar, Thái Lan và Campuchia. Tại đây, các tổ chức tội phạm điều hành nhiều hoạt động lừa đảo xuyên quốc gia với quy mô ngày càng lớn.

Dấu hiệu đầu tiên khiến các nhà phân tích của Okta chú ý là sự gia tăng đột biến của các lượt đăng ký tài khoản đáng ngờ từ nhiều tên miền email dùng một lần. Khi truy vết sâu hơn, họ phát hiện các địa chỉ email này liên kết với một thị trường ngầm chuyên buôn bán tài khoản giả và dữ liệu truy cập.

Cuộc điều tra công bố vào tháng 3/2026 cho thấy phía sau hoạt động này là một hệ sinh thái tội phạm vận hành theo mô hình Cybercrime as a Service. Trong mô hình này, các cửa hàng trực tuyến công khai bán công cụ gian lận cho bất kỳ ai sẵn sàng trả tiền. Những gói dịch vụ thường bao gồm token phiên đăng nhập, proxy dân cư giúp che giấu danh tính, trình duyệt chống phát hiện và nhiều loại dữ liệu bị đánh cắp.
​

Một trong những thủ đoạn gây thiệt hại tài chính đáng kể liên quan đến hệ sinh thái này là kỹ thuật SMS pumping, còn gọi là gian lận chia sẻ doanh thu viễn thông quốc tế. Với cách này, kẻ gian tự động tạo hàng loạt tài khoản trên các nền tảng yêu cầu xác minh bằng SMS, buộc hệ thống phải gửi mã xác thực đến những số điện thoại tính phí cao do chúng kiểm soát. Kết quả là các nhà cung cấp dịch vụ phải gánh chi phí cho hàng nghìn tin nhắn được tạo ra một cách giả tạo.

Không chỉ phục vụ chiêu trò này, thị trường tài khoản giả còn được sử dụng rộng rãi trên nhiều nền tảng phổ biến như LinkedIn, Instagram, Facebook và TikTok. Những tài khoản này có thể trở thành công cụ để triển khai các chiến dịch lừa đảo, thao túng đánh giá sản phẩm, tạo tương tác ảo hoặc khai thác các chương trình dùng thử miễn phí.

Theo cảnh báo của Văn phòng Liên Hợp Quốc về Ma túy và Tội phạm, thị trường ngầm phục vụ tội phạm mạng đang phát triển nhanh chóng và ngày càng chuyên nghiệp. Bên cạnh tài khoản giả, nhiều cửa hàng còn cung cấp trọn gói các dịch vụ phục vụ gian lận như bộ công cụ lừa đảo, dữ liệu đánh cắp, phần mềm độc hại, công cụ trí tuệ nhân tạo hỗ trợ tấn công mạng và thậm chí cả dịch vụ rửa tiền.

Trong quá trình điều tra, các nhà nghiên cứu cũng phát hiện một mắt xích đáng chú ý trong hạ tầng này là trang web CMSNT[.]co, được vận hành bởi một công ty thiết kế web tại Việt Nam. Trang web này cung cấp các mẫu giao diện website được quảng bá là phục vụ hoạt động kiếm tiền online.​

Trang chủ của CMSNT[.]co, một công ty có trụ sở tại Việt Nam chuyên bán mẫu website (Nguồn: Okta)
​

Tuy nhiên, các mẫu giao diện này sau đó đã được nhiều cửa hàng gian lận sử dụng để dựng nên các “chợ đen” trực tuyến phục vụ hoạt động tội phạm mạng. Trên các trang web được xây dựng từ những template này, nhiều loại dịch vụ gian lận được rao bán công khai, bao gồm:​

• Sản phẩm tài khoản số như tài khoản mạng xã hội hoặc tài khoản dịch vụ trực tuyến.​
• Dịch vụ vận hành phone farm nhằm nhận mã xác thực hàng loạt.​
• Dịch vụ tăng tương tác ảo trên mạng xã hội.​
• Các trình duyệt anti-detect giúp che giấu danh tính khi thực hiện hành vi gian lận.​

Một ví dụ được nhắc đến là trang Via17[.]com, nơi công khai rao bán các tài khoản mạng xã hội bị chiếm quyền truy cập, thường được gọi là “vias”.
​

Những tài khoản này có thể được thu thập từ các cuộc tấn công dò mật khẩu hoặc từ dữ liệu đăng nhập bị đánh cắp bởi phần mềm đánh cắp thông tin trên thiết bị của nạn nhân. Ngoài tài khoản, người mua còn có thể nhận được token phiên đăng nhập, email khôi phục và các thông tin xác thực liên quan.​

Các tài khoản trên Via17[.]com (Nguồn: Okta)
​

Toàn bộ hệ thống này vận hành hiệu quả nhờ các dịch vụ email tạm thời. Những nền tảng như mailclone[.]site hay temp-mail[.]io cho phép tạo địa chỉ email chỉ tồn tại trong vài phút, vừa đủ để nhận mã xác minh và hoàn tất quá trình đăng ký tài khoản.

Riêng trang Via17[.]com đã đề xuất tới 11 dịch vụ email tạm thời khác nhau cho khách hàng sử dụng. Điều này cho thấy việc tạo tài khoản giả hiện đã được tự động hóa và vận hành như một dây chuyền chuyên nghiệp trong hệ sinh thái tội phạm mạng.

Sự tồn tại của những mạng lưới như vậy đang làm gia tăng đáng kể các hoạt động gian lận trên internet. Khi số lượng tài khoản giả ngày càng lớn, nhiều nền tảng trực tuyến phải đối mặt với nguy cơ suy giảm niềm tin của người dùng và chi phí vận hành tăng cao do các hình thức tấn công ngày càng tinh vi.
​

Theo Cyber Security News​