Vụ lừa đảo Macbook Air (2)
Một người bạn sau khi đọc về vụ lừa đảo này có hỏi tôi rằng anh ta cần phải chuẩn bị những gì và cần phải tiến hành điều tra thế nào để có thể xử lý được một vụ lừa đảo như Handheld VN đã làm. Bài viết này là để trả lời cho câu hỏi đó.
Trước tiên tôi muốn nhấn mạnh: nếu như HandHeld VN tường thuật một cách trung thực thì cá nhân tôi cho rằng cách xử lý của họ là sai phương pháp. Có thể thấy rằng họ có phần may mắn khi tự dưng thủ phạm lại "lạy ông tôi ở bụi này" khi đăng nhập vào một tài khoản khác trùng với tài khoản hắn dùng để lừa đảo ngay trong lúc việc điều tra đang diễn ra. Nếu thủ phạm không đăng nhập, thì rất có thể hắn đã *hạ cánh* một cách êm đẹp.
Hơn nữa, chưa bàn đến vấn đề đúng sai, cách mà HandHeld VN sử dụng thông tin của các đơn vị như ngân hàng, nhà mạng điện thoại, nhà mạng Internet...dễ khiến cho người ta hiểu nhầm rằng muốn điều tra những sự vụ như thế này thì phải có những thông tin đó. Sự thật là HandHeld VN mất khá nhiều thời gian để lấy các thông tin liên quan đến IP, số điện thoại của thủ phạm, nhưng những thông tin này không giúp ích gì nhiều cho việc tìm ra thủ phạm.
Nói tóm lại, muốn xử lý những sự vụ thế này, thì cần phải có phương pháp nhưng không nhất thiết phải có quyền truy xuất thông tin từ những đơn vị khác. Thật tế trong quá trình điều tra những sự vụ tương tự, tôi và các đồng nghiệp thường lần ra được thủ phạm chỉ bằng cách phân tích những thông tin trên hệ thống giám sát mà thôi.
Vậy phương pháp xử lý thế nào là đúng?
Đầu tiên là phải giữ nguyên hiện trường. Đây là nguyên tắc căn bản mà bất kỳ người làm công tác điều tra nào cũng phải thực hiện. Hiện trường ở đây là dữ liệu của diễn đàn HandHeld VN đến thời điểm vụ lừa đảo diễn ra. Một cách làm đơn giản là thực hiện sao lưu toàn bộ dữ liệu của diễn đàn ra một file riêng, và đưa file đó vào một cơ sở dữ liệu dùng để điều tra.
Việc sao lưu này sẽ giúp bảo vệ toàn bộ các chứng cứ. Trong bài tường thuật của HandHeld VN có nói đến chi tiết sau khi lừa đảo 2 ngày, thủ phạm có quay lại và cố tình xóa bỏ những thông tin cá nhân của hắn. Ở các nước có luật pháp rõ ràng về chứng cứ số, việc sao lưu này còn giúp đảm bảo tính pháp lý của các chứng cứ phát hiện được.
Tiếp theo, bắt đầu điều tra ngay trên dữ liệu sao lưu. Lập ra một hồ sơ, trong đó phần đầu liệt kê những thông tin liên quan đến thủ phạm, ví dụ như các nickname, email, số điện thoại, các link liên quan, và phần sau thì liệt kê ra từng thời điểm và IP tương ứng mà thủ phạm đăng nhập vào hệ thống.
Có thể cập nhật và mở rộng phần thông tin cá nhân của thủ phạm bằng cách tìm kiếm thêm thông tin liên quan đến nickname, email, số điện thoại từ Google, Bing, Các Trang Vàng, hay các nguồn dữ liệu công cộng khác. Đối với dữ liệu IP và thời gian, thì mở rộng điều tra bằng cách tìm xem, cùng trong thời điểm đó, IP đó có còn đăng nhập vào những nickname nào nữa hay không. Nếu phát hiện thêm nickname nào thì tiếp tục thực hiện mở rộng, cập nhật thông tin cho nickname đó.
Nếu thực hiện tốt việc này, dựa trên cơ sở đã thực hiện tốt việc giám sát an ninh, thì hầu như lúc này chúng ta đã có đầy đủ thông tin và sự thật về đối tượng rồi. Việc tiếp theo là đưa lên các giả thuyết về thủ phạm, và bắt đầu làm việc với cơ quan công an để xác nhận hoặc phủ nhận các giả thuyết đó. Lúc này mới có thể cần đến thông tin từ ISP, ngân hàng và nhà mạng điện thoại.