Vụ trộm tiền điện tử trị giá 250 triệu đô la: Khám phá sự thật về vụ trộm thế kỷ trong một tháng

Tiêu đề gốc: Họ đã đánh cắp một phần tư tỷ tiền điện tử và bị bắt trong vòng một tháng
Tác giả gốc: Mitch Moxley
Bản dịch gốc: zhouzhou, BlockBeats

Ghi chú của biên tập viên: Bài viết này kể về câu chuyện của một tội ác do trộm tiền điện tử gây ra. ZachXBT đã lần ra lối sống xa hoa của nghi phạm Lam thông qua mạng xã hội và hỗ trợ cơ quan thực thi pháp luật trong quá trình điều tra. Lam và những đồng phạm khác đã sử dụng các thủ đoạn rửa tiền tinh vi nhưng cuối cùng đã bị cảnh sát bắt giữ. Trong khi đó, một vụ bắt cóc khác có liên quan đến nhóm tội phạm này, liên quan đến một số người đàn ông Florida. Vụ án này cho thấy tội phạm mạng đang dần phát triển thành tội phạm bạo lực hơn trong thế giới thực và cuối cùng, cảnh sát đã thu hồi thành công số bitcoin bị đánh cắp và các bằng chứng liên quan.

Sau đây là văn bản gốc (nội dung gốc đã được sắp xếp lại để dễ đọc và dễ hiểu hơn):

Vào buổi chiều oi bức ngày 25 tháng 8 năm 2024, Sushil và Radhika Chetal đang xem nhà tại một cộng đồng cao cấp ở Danbury, Connecticut. Bãi cỏ được cắt tỉa gọn gàng và hồ bơi được sưởi ấm. Sushil, phó chủ tịch của Morgan Stanley tại New York, đang lái chiếc Lamborghini Urus màu xám mờ mới mua, một chiếc SUV có giá khởi điểm khoảng 240.000 đô la.

Ngay khi họ vừa rẽ qua ngã tư, một chiếc Honda Civic màu trắng bất ngờ đâm vào chiếc Lamborghini từ phía sau. Cùng lúc đó, một chiếc xe tải Ram ProMaster màu trắng cũng lao tới từ phía trước, chặn đường của Chetals. Theo đơn khiếu nại hình sự được đệ trình sau đó, một nhóm sáu người đàn ông mặc đồ đen và đeo mặt nạ đã bước ra khỏi xe, dùng vũ lực lôi gia đình Chetal ra khỏi xe và đẩy họ về phía cửa bên của xe tải.

Khi Sushil chống cự, những kẻ tấn công đã đánh anh bằng gậy bóng chày và đe dọa sẽ giết anh. Những người đàn ông trói tay chân của cặp đôi bằng băng keo và bắt Radhika nằm xuống đất, cảnh cáo cô không được nhìn họ mặc dù cô đã cầu xin vì cô đang khó thở vì bệnh hen suyễn. Họ cũng quấn băng keo quanh mặt Sushil và đánh anh ta lần nữa bằng gậy bóng chày trong khi chiếc xe tải phóng đi.

Nhiều nhân chứng đã chứng kiến vụ tấn công và gọi 911. Một trong số họ, một đặc vụ FBI đang nghỉ làm, sống gần đó và tình cờ có mặt tại hiện trường, đã theo dõi chiếc xe tải và chiếc Honda Civic và thông báo cho cảnh sát về chuyển động của những chiếc xe này theo thời gian thực. Đặc vụ FBI cũng đã ghi lại được một phần biển số xe.

Cảnh sát Danbury đã sớm tìm thấy chiếc xe tải. Một xe tuần tra bật đèn và cố gắng chặn chiếc xe tải, nhưng tài xế xe tải đã tăng tốc bỏ chạy, lạng lách một cách điên cuồng giữa dòng xe cộ. Sau khi rượt đuổi được khoảng một dặm, tài xế đã chạy khỏi đường và đâm vào lề đường. Bốn nghi phạm đã bỏ lại xe và bỏ trốn. Cảnh sát tìm thấy một trong những người đàn ông dưới cầu và bắt giữ anh ta sau một cuộc truy đuổi ngắn. Trong vài giờ tiếp theo, ba người còn lại đã bị tìm thấy và bắt giữ trong khu rừng gần đó. Trong khi đó, cảnh sát tìm thấy vợ chồng Chetal, vẫn bị trói và trong tình trạng sốc, ở phía sau xe tải.

Thanh tra cảnh sát Danbury Steve Castrovinci đang nghỉ phép vào ngày hôm đó khi anh nhận được cuộc gọi từ ca trưởng thông báo về vụ việc. “Chúng ta có một vụ bắt cóc, một vụ bắt cóc thực sự,” anh nhớ lại lời chỉ huy của mình đã nói với anh. Castrovinci đã tập hợp một số thám tử để nắm bắt tình hình, ghé qua hiện trường vụ án và sau đó đến đồn cảnh sát để thẩm vấn nghi phạm. Dựa trên thông tin do một trong những nghi phạm bị bắt cung cấp, hai nghi phạm nữa đã được xác định vị trí và bắt giữ vào sáng hôm sau tại một căn hộ Airbnb ở Roxbury, cách Danbury 30 phút, và chiếc Honda Civic màu trắng đã được thu hồi.

Đối với Castrovinci, đây là một trường hợp bất thường và đầy kịch tính. Danbury là một nơi giàu có và yên tĩnh, và mặc dù cảnh sát thỉnh thoảng giải quyết các vụ bắt cóc, nhưng hầu như luôn liên quan đến tranh chấp về quyền nuôi con. Một vụ bắt cóc bạo lực như vậy giữa ban ngày ban mặt là điều chưa từng xảy ra. Kỳ lạ hơn nữa, cơ quan thực thi pháp luật phát hiện ra rằng những nghi phạm - tuổi từ 18 đến 26 - đã đi từ Miami đến Connecticut.

Họ cũng thuê xe tải trên ứng dụng Turo. Castrovinci, một cựu chiến binh thực thi pháp luật với 20 năm kinh nghiệm, từng làm việc cho Sở Cảnh sát New York trong năm năm, nói với tôi rằng: "Đây là trường hợp mà một cảnh sát có thể gặp phải một hoặc hai lần trong đời". "Đặc biệt là ở một nơi như nơi chúng tôi, những chuyện như thế này hoàn toàn không phổ biến."

Cảnh sát hầu như không công bố thông tin gì cho công chúng trong những tuần tiếp theo. Castrovinci và nhóm của ông đã nỗ lực tìm ra động cơ. Thật khó tin rằng gia đình Chetal bị nhắm tới vì Sushil là giám đốc điều hành của một ngân hàng đầu tư. Với tư cách là phó chủ tịch tại Morgan Stanley, mức lương của ông tuy đáng mơ ước nhưng cũng không phải là điều bất thường ở Danbury. Nếu động cơ của những kẻ bắt cóc là tiền, thì thật kỳ lạ khi chúng bỏ lại chiếc Lamborghini của gia đình Chetals, sau đó được tìm thấy bị bỏ lại trong rừng. Không có manh mối nào có vẻ hợp lý.

Tuy nhiên, vài ngày sau vụ bắt cóc, Castrovinci cho biết nhóm của họ đã nhận được thông tin từ FBI, khiến vụ án có bước ngoặt bất ngờ: vụ án có thể liên quan đến vụ trộm tiền điện tử lớn xảy ra chỉ một tuần trước vụ tấn công.

Một nhóm thanh niên, một số người trong số họ gặp nhau trên máy chủ Minecraft, bị cáo buộc đã đánh cắp 250 triệu đô la từ một nạn nhân không hề hay biết, gây ra một chuỗi sự kiện đáng kinh ngạc liên quan đến một đường dây tội phạm mạng gồm những thanh thiếu niên, các thám tử mạng độc lập theo dõi hành tung của chúng và nhiều cơ quan thực thi pháp luật. Giờ đây có vẻ như tất cả đã lên đến đỉnh điểm với vụ bắt cóc Chetals - sự hỗn loạn tràn lan của thế giới đen tối kỹ thuật số và nền văn hóa xung quanh nó đã xâm nhập vào thế giới thực theo cách thực sự và tàn khốc như vậy lần đầu tiên.

Chuỗi sự kiện bắt đầu cách đây vài tuần khi một người sống tại Washington, D.C., bắt đầu nhận được thông báo về những lần đăng nhập bất thường vào tài khoản Google của mình dường như đến từ nước ngoài. Sau đó, vào ngày 18 tháng 8, anh nhận được cuộc gọi từ một người tự xưng là thành viên nhóm bảo mật của Google. Người gọi nói rằng tài khoản email của anh ta đã bị hack. Cuộc gọi nghe rất thật - đầu dây bên kia có thông tin cá nhân của cư dân Đặc khu hành chính này. Người gọi yêu cầu anh ta xác minh một số thông tin cá nhân qua điện thoại, nếu không tài khoản của anh ta sẽ bị đóng và anh ta đã làm theo.

Ngay sau khi nói chuyện với nhân viên được cho là của Google, cư dân Washington, D.C. (danh tính được giấu trong các tài liệu của tòa án liên bang) nhận được một cuộc gọi khác từ một người tự xưng là đại diện của bộ phận an ninh của Gemini, một sàn giao dịch tiền điện tử nổi tiếng.

Tương tự như vậy, người gọi cũng có thông tin cá nhân của anh và nói với anh rằng tài khoản của anh tại Gemini (chứa khoảng 4,5 triệu đô la tiền điện tử) đã bị hack và anh phải ngay lập tức thiết lập lại xác thực hai yếu tố và chuyển Bitcoin trong tài khoản của mình sang một ví khác để đảm bảo an toàn cho tiền của mình.

Sau đó, người ở đầu dây bên kia đề xuất chủ tài khoản tải xuống một chương trình có thể "tăng cường bảo mật". Người đàn ông đồng ý mà không biết rằng anh ta đang tải xuống một ứng dụng máy tính từ xa cho phép người gọi điều khiển máy tính của anh ta từ xa — và do đó có thể truy cập vào một tài khoản tiền điện tử khác của anh ta, khiến tài sản của anh ta có nguy cơ bị trộm cắp thậm chí còn đáng báo động hơn. Hóa ra, cư dân Washington, D.C. này là một trong những nhà đầu tư đầu tiên vào tiền điện tử và nắm giữ tổng cộng hơn 4.100 Bitcoin. Mười năm trước, số bitcoin đó có giá trị khoảng 1 triệu đô la; vào ngày đó, chúng có giá trị hơn 243 triệu đô la.

Có một nghịch lý cốt lõi trong lĩnh vực tiền điện tử: mặc dù những người nắm giữ tiền thường ẩn danh, nhưng tất cả hồ sơ giao dịch đều được ghi lại công khai trong một sổ cái gọi là blockchain. Điều này có nghĩa là sau khi tiền được chuyển đi, bất kỳ ai cũng có thể nhìn thấy chúng. Nghịch lý này đã làm nảy sinh một nhóm điều tra viên mới chuyên theo dõi các giao dịch đáng ngờ trên blockchain. Một trong những người đáng chú ý nhất là ZachXBT, một nhà điều tra tội phạm tiền điện tử độc lập.

ZachXBT là một nhân vật nổi tiếng nhưng kín tiếng trong thế giới tiền điện tử. Anh thường đăng những bài điều tra dài trên X (trước đây là Twitter) để vạch trần những người bị tình nghi làm sai trái, đôi khi thậm chí còn nêu tên trực tiếp họ. Anh có khoảng 850.000 người theo dõi trên nền tảng này. Ông cũng thường chia sẻ những phát hiện của mình với các cơ quan thực thi pháp luật. Tạp chí Wired gọi ông là "nhà điều tra tội phạm tiền điện tử độc lập năng nổ nhất thế giới". Anh ấy chưa bao giờ tiết lộ danh tính thực sự của mình trên mạng.

Chỉ vài phút sau khi tài sản tiền điện tử của cư dân Washington, DC bị rút sạch, ZachXBT đang ở sân bay để bắt chuyến bay thì bất ngờ nhận được cảnh báo giao dịch bất thường trên điện thoại di động. Các nhà điều tra tiền điện tử thường sử dụng các công cụ để theo dõi dòng tiền điện tử trên toàn thế giới và thiết lập cảnh báo cho các tình huống cụ thể, chẳng hạn như khi số tiền giao dịch trên 100.000 đô la đi qua một số sàn giao dịch có biện pháp bảo mật cực kỳ lỏng lẻo.

Cảnh báo ban đầu là một giao dịch trị giá sáu con số, và số tiền tiếp tục tăng lên, đạt đỉnh ở mức 2 triệu đô la. Sau khi vượt qua an ninh, ZachXBT tìm được chỗ ngồi, mở máy tính xách tay và bắt đầu theo dõi giao dịch, cuối cùng lần ra được một chiếc ví chứa khoảng 240 triệu đô la tiền điện tử. Một số bitcoin thậm chí có thể được truy nguyên từ năm 2012. “Đó là lúc tôi nghĩ có điều gì đó không ổn”, anh ấy nói với tôi. “Tại sao một người đã nắm giữ Bitcoin trong nhiều năm lại sử dụng dịch vụ mờ ám này, nơi thường xuyên gửi tiền bất hợp pháp?” Sau đó, anh ấy thêm địa chỉ ví liên quan đến các giao dịch vào danh sách theo dõi và lên máy bay. Sau khi kết nối với Wi-Fi trong cabin, nhiều cảnh báo giao dịch liên tục xuất hiện. Trong suốt cả ngày, Bitcoin từ ví khổng lồ liên tục được chuyển ra thông qua hơn 15 nền tảng dịch vụ mã hóa có phí cao.

Sau khi máy bay hạ cánh, ZachXBT đã liên lạc với một số đồng nghiệp chuyên điều tra các vụ trộm tiền điện tử. Một trong số họ là Josh Cooper-Duckett, giám đốc điều tra của Cryptoforensic Investigators. Công ty này là một trong số ngày càng nhiều tổ chức độc lập tập trung vào việc theo dõi hành vi trộm cắp và gian lận tiền điện tử và hỗ trợ cơ quan thực thi pháp luật thu hồi tiền cho nạn nhân. Cooper-Duckett, 26 tuổi, đến từ London, đã quan tâm đến tiền điện tử từ khi còn nhỏ. Sau ba năm rưỡi làm cố vấn an ninh tại Deloitte, anh bắt đầu tập trung vào việc điều tra các vụ trộm tiền điện tử, đặc biệt là những vụ mất mát ít nhất 100.000 đô la - hiện đang rất phổ biến.

ZachXBT đã kể cho Cooper-Duckett và các điều tra viên khác nghe những gì anh đã phát hiện, và mọi người đều đồng ý rằng việc rút sạch số tiền trong ví trị giá gần 250 triệu đô la cùng một lúc là điều cực kỳ đáng ngờ. “Một người có nhiều tiền như vậy sẽ không thức dậy vào một cuối tuần và quyết định, ‘Tôi sẽ chuyển tiền của mình đến một loạt các sàn giao dịch và đổi nó thành Monero và Ethereum’ — đó không phải là điều mà một người bình thường sẽ làm.”

Nhóm điều tra viên tiền điện tử đã ngay lập tức liên hệ với các sàn giao dịch và nền tảng dịch vụ có liên quan, thông báo với họ rằng số tiền đã bị đánh cắp và hy vọng rằng họ có thể đóng băng số tiền đó và hợp tác với cuộc điều tra của cảnh sát. Một số nền tảng đã hợp tác, nhưng một số thì không. Cooper-Duckett cho biết: “Tình huống này giống như trò chơi đập chuột chũi vậy”. "Họ liên tục cố gắng chuyển tiền đến nhiều sàn giao dịch và nền tảng dịch vụ khác nhau để xem sàn nào có thể rửa tiền thành công. Suy cho cùng, họ muốn rửa 240 triệu đô la, một con số khổng lồ."

Cùng lúc đó, ZachXBT cũng đưa ra cảnh báo cho người hâm mộ của mình trên X: "Khoảng bảy giờ trước, một giao dịch đáng ngờ đã xảy ra và 4064 bitcoin (khoảng 238 triệu đô la Mỹ) đã được chuyển ra khỏi tài khoản của nạn nhân có thể." Ông đã viết. Sau đó, tiền được chuyển vào các nền tảng tiền điện tử như THORChain, eXch, KuCoin, ChangeNOW, RAILGUN và Avalanche Bridge.

ZachXBT cũng lưu ý rằng các nạn nhân trước đó đã nhận được tiền bồi thường phá sản từ Genesis. Genesis là một nền tảng cho vay đã nộp đơn xin phá sản vào năm 2023 sau sự sụp đổ của FTX của Sam Bankman-Fried.

Thông qua mạng lưới quan hệ của mình, ZachXBT cuối cùng đã liên lạc được với nạn nhân qua email. Cư dân Washington, D.C. bị sốc sau đó đã thuê ZachXBT, Cryptoforensic Investigators và một công ty điều tra tiền điện tử khác để giúp truy tìm tài sản bị đánh cắp của mình.

Cùng ngày, anh cũng đã nộp báo cáo cảnh sát lên Trung tâm khiếu nại tội phạm Internet của FBI, và ZachXBT đã ngay lập tức liên lạc với những người liên lạc của anh trong cơ quan thực thi pháp luật. (Cục Điều tra Liên bang và Bộ Tư pháp đã từ chối trả lời phỏng vấn cho bài viết này.)

Tình trạng trộm cắp tiền điện tử gia tăng đã khiến các nhà điều tra liên bang choáng ngợp. Theo báo cáo mới nhất, Trung tâm Khiếu nại Tội phạm Internet (IC3) đã nhận được hơn 69.000 khiếu nại liên quan đến gian lận tài chính tiền điện tử vào năm 2023, với tổng thiệt hại vượt quá 5,6 tỷ đô la Mỹ, tăng 45% so với năm 2022.

Mặc dù các khiếu nại liên quan đến tiền điện tử chỉ chiếm 10% trong tổng số các vụ gian lận tài chính, nhưng tổn thất do các vụ việc này gây ra chiếm gần một nửa tổng số. Báo cáo lưu ý rằng bản chất phi tập trung của tiền điện tử, tính không thể đảo ngược của các giao dịch và khả năng chuyển tiền tự do trên toàn thế giới khiến chúng trở nên cực kỳ hấp dẫn đối với tội phạm và gây khó khăn cho FBI. để thu hồi tiền. Để đạt được mục đích này, Cục Điều tra Liên bang (FBI) thành lập Đơn vị Tài sản Ảo (V.A.U.) vào năm 2022 để chống lại nạn trộm tiền điện tử.

Các chuyên gia cho biết, do quy mô của các vụ án và tính khó khăn trong việc giải quyết chúng, các cơ quan chính phủ — bao gồm Cục Điều tra Liên bang, Bộ An ninh Nội địa, Sở Mật vụ và thậm chí cả Sở Thuế vụ — đã buộc phải dựa vào các công ty tư nhân và các nhà điều tra cá nhân có hiểu biết sâu sắc về thế giới ngầm tội phạm kỹ thuật số. Nick Bax, người sáng lập công ty phân tích tiền điện tử Five I’s, cho biết: “Josh và Zach thực sự rất nhanh và chính xác trong việc theo dõi”.

Bax đã làm việc với ZachXBT trong một số vụ án nhưng chưa bao giờ gặp anh ấy trực tiếp. Trong những cuộc gọi đầu tiên, ZachXBT cũng sử dụng phần mềm thay đổi giọng nói để khiến mình nghe giống như chuột Mickey. "Thành thật mà nói, tôi khá giỏi việc đó, nhưng tôi sẽ không bao giờ giỏi bằng họ", Bax nói. "Và tôi nghĩ não của chúng thực sự được thiết kế vì chúng đã làm điều này từ khi còn rất nhỏ."

Các nhà điều tra tiền điện tử thường sử dụng tài khoản giả để xâm nhập vào các diễn đàn nơi tin tặc và kẻ lừa đảo tụ tập, chẳng hạn như Telegram và Discord, để quan sát cách chúng giao tiếp, lập kế hoạch và thể hiện. Họ phát hiện ra rằng những tên tội phạm này thường còn trẻ và hành động khá liều lĩnh, thường để lại manh mối một cách vô tình.

Sau khi ZachXBT đăng bài về vụ trộm trên X, một nguồn tin đã liên lạc với anh ấy thông qua một tài khoản tạm thời với một số manh mối có thể chỉ ra danh tính của tên trộm. Người cung cấp thông tin đã gửi cho ZachXBT một số bản ghi màn hình được cho là ghi lại cảnh một trong những kẻ lừa đảo phát trực tiếp vụ trộm cho bạn bè của hắn. Đoạn video dài khoảng một tiếng rưỡi, có cảnh gọi điện thoại với nạn nhân. Trong một video, có thể nghe thấy những kẻ lừa đảo hét lên phấn khích sau khi biết rằng chúng đã đánh cắp thành công số Bitcoin trị giá 243 triệu đô la: "Ôi trời ơi! Ôi trời ơi! 243 triệu! Thật tuyệt! Ôi trời ơi! Ôi trời ơi! Anh bạn!"

Trong các cuộc trò chuyện riêng tư, những kẻ lừa đảo đã sử dụng các bí danh như Swag, $$$ và Meech, nhưng chúng đã mắc phải một sai lầm chết người: Một trong số chúng đã vô tình để lộ màn hình nền Windows của mình trong quá trình phát sóng trực tiếp và biểu tượng xuất hiện ở cuối menu Bắt đầu hiển thị tên thật của anh ta - Veer Chetal, một cậu bé 18 tuổi đến từ Danbury - con trai của cặp đôi bị bắt cóc đã đề cập trước đó.

Veer Chetal là một học sinh giỏi, trầm tính, vừa mới tốt nghiệp trường trung học Immaculate ở Danbury và đang theo học tại Đại học Rutgers ở New Jersey. Năm 2022, anh hoàn thành dự án "Luật sư tương lai" và một bức ảnh của anh đã được đăng trên trang web của trường vào năm đó - một cậu bé đeo kính, mặc áo gió Tommy Hilfiger và áo polo đỏ, với nụ cười rạng rỡ.

Các bạn cùng lớp nhớ lại rằng Chetal luôn nhút nhát và thích ô tô. Marco Dias, người kết bạn với Chetal trong năm thứ hai trung học, cho biết: "Anh ấy hầu như luôn khép kín". Một người bạn cùng lớp khác tên là Nick Paris cũng kể rằng Chetal rất kín tiếng cho đến một ngày vào giữa năm cuối cấp, anh đột nhiên lái chiếc xe thể thao Corvette đến trường. “Anh ấy chỉ ngồi đó trên bãi đậu xe lúc 7:30 sáng và mọi người đều sửng sốt,” Paris nói.

Ngay sau đó, Chetal chuyển sang dùng BMW, rồi Lamborghini Urus. Anh ấy bắt đầu mặc áo sơ mi Louis Vuitton và giày Gucci. Vào Ngày nghỉ cuối cấp, trong khi Paris và các bạn cùng lớp khác chỉ tụ tập ở một trung tâm thương mại gần đó, Chetal đã đưa một số người bạn, bao gồm cả Dias, đến New York, thuê một chiếc du thuyền và tổ chức tiệc, chụp ảnh trên boong tàu với những cọc tiền mặt.

Chetal tuyên bố rằng anh ta kiếm được tiền bằng cách đầu cơ tiền điện tử; Dias kể rằng một buổi sáng trong giờ tự học, Chetal đã lấy điện thoại di động ra và cho Dias xem biên bản giao dịch làm bằng chứng. Có lúc, Chetal thậm chí còn thuê một căn nhà lớn ở Stamford, Connecticut và mời bạn bè đến dự tiệc kéo dài ba ngày. Dias nhớ lại: “Tôi đang chơi với bạn bè ở tầng hầm thì thấy anh ấy ngồi trên ghế dài, nghe điện thoại, cơ bản là tránh mặt mọi người”. “Tôi nghĩ, chuyện này thật kỳ lạ.” Paris nhớ lại lúc cảnh sát chặn chiếc Lamborghini Urus của Chetal vì vi phạm luật giao thông trong một cuộc diễu hành của trường. “Anh ta gọi ngay cho luật sư của mình, trước khi cảnh sát kịp thẩm vấn anh ta. Mọi người đều nói, ôi, anh chàng này thật là đỉnh, anh chàng này có tiền thật.”

Các nhà điều tra độc lập đã chỉ ra rằng Chetal là thành viên bí mật của một nhóm có tên là Com, còn được gọi là Comm hoặc Community. Nhóm này bắt nguồn từ giới tin tặc ngầm vào những năm 1980 và hiện đã phát triển thành một mạng xã hội dành cho tội phạm mạng và những cá nhân có tham vọng.

Trong một FBI bản tuyên thệ trong một vụ án không liên quan, một đặc vụ mô tả Com là "một liên minh các nhóm nhỏ phân tán về mặt địa lý, hợp tác thông qua các ứng dụng nhắn tin trực tuyến như Discord và Telegram để tham gia vào nhiều hoạt động tội phạm khác nhau".

Các hoạt động của các nhóm nhỏ, theo bản tuyên thệ và các chuyên gia đã nghiên cứu Com, bao gồm swatting (cảnh báo sai cho cảnh sát hoặc các tổ chức như trường học, khiến cảnh sát phải phản ứng); Tráo đổi SIM (đánh cắp số điện thoại của mục tiêu, thường bằng cách lừa nhân viên dịch vụ khách hàng); tấn công bằng phần mềm tống tiền (sử dụng các chương trình độc hại để ngăn người dùng hoặc tổ chức truy cập vào các tệp tin máy tính của họ); trộm tiền điện tử; và các cuộc tấn công xâm nhập vào hệ thống doanh nghiệp.

Allison Nixon, giám đốc nghiên cứu tại Unit 221B, một nhóm chuyên gia an ninh mạng, đã theo dõi góc ngày càng mở rộng này của web kể từ năm 2011 và hiện được coi là một trong những chuyên gia hàng đầu trong nghiên cứu về các tổ chức Com.

Bà cho biết các thành viên của Com chủ yếu là những thanh niên đến từ các nước phương Tây. Trong các cuộc trò chuyện nhóm, nhiều người sẽ nói về cuộc sống đại học và các khóa học an ninh mạng mà họ đang theo học, điều này giúp họ thực hiện các hoạt động tội phạm. Nixon lưu ý rằng nhiều người lần đầu tham gia cộng đồng này là thông qua các trò chơi điện tử như RuneScape, Roblox và Grand Theft Auto.

Vào giữa những năm 2010, một thế giới đen tối hơn cũng xuất hiện trong Minecraft — một trò chơi xoay quanh việc xây dựng sáng tạo — phần lớn là nhờ sự ra đời của các máy chủ trực tuyến. Các máy chủ này do chính người dùng sở hữu và vận hành, cho phép người chơi lập nhóm và chiến đấu với nhau theo nhóm, còn gọi là "phe phái". Trên các máy chủ này, Minecraft đã phát triển thành một chiến trường cạnh tranh, và đi kèm với đó là cơ hội kiếm lợi nhuận và lừa đảo.

Ngay sau đó, máy chủ bắt đầu giới thiệu cơ chế mua hàng trong trò chơi, cho phép người chơi chi tiền để mua các tính năng nâng cấp, chẳng hạn như khả năng bay, vũ khí và áo giáp mạnh hơn. Một số giao dịch mua trong ứng dụng cũng có thể mở khóa trang phục nhân vật thời trang, giúp người chơi thể hiện địa vị trực tuyến của mình.

Khi người chơi ngày càng đổ xô đến các máy chủ cạnh tranh, một thị trường chợ đen lớn đã xuất hiện trên Discord, chuyên trao đổi các vật phẩm trong trò chơi và tên người dùng hiếm. Vì hầu hết người chơi Minecraft đều là thanh thiếu niên nên thị trường chợ đen này nhanh chóng trở thành ổ chứa gian lận.

Người dùng thường đồng ý trả tiền thật qua PayPal để đổi lấy vật phẩm trong trò chơi, nhưng sau khi nhận được tiền, kẻ lừa đảo sẽ chặn tài khoản của bên kia. Hành vi này trở nên tràn lan đến mức mọi người bắt đầu cung cấp "dịch vụ trung gian" để giải quyết vấn đề lòng tin - những người trung gian này sẽ tính một khoản phí nhất định, giữ tiền và hàng hóa thay mặt cho các bên, sau đó chuyển chúng cho hai bên giao dịch tương ứng.

Trong vòng tròn này, một số tên người dùng có giá trị cao đã trở thành đồ sưu tầm hấp dẫn, thường không quá bốn chữ cái, chẳng hạn như Tree, OK, Mark, YOLO hoặc G, và giá thậm chí có thể lên tới hơn 10.000 đô la.

Khi các máy chủ "phe phái" và thị trường chợ đen của Minecraft phát triển mạnh, tiền ảo trở nên phổ biến trong các cộng đồng này và cuối cùng đã thay thế PayPal trở thành phương thức giao dịch chính thống. Sân chơi luyện tập không bị trừng phạt này dành cho các cuộc thi, cờ bạc và gian lận, cùng với sự quen thuộc ngày càng tăng của người chơi với tiền điện tử, đã biến máy chủ Minecraft thành nơi sinh sôi của những tên tội phạm mạng mới.

Đến năm 2017, giá Bitcoin tăng vọt và các thành viên Com đã chuyển đổi liền mạch từ lừa đảo Minecraft sang trộm tiền điện tử. Diễn đàn phổ biến nhất của Com có tên là "OGUsers", ban đầu là nền tảng để thảo luận và mua tài khoản mạng xã hội và tên người dùng, nhưng sau đó đã phát triển thành ổ tội phạm mạng liên quan đến việc chiếm đoạt thẻ SIM, hack tài khoản Twitter và các hành vi khác.

Nixon giải thích: "Những cộng đồng phản xã hội này nhanh chóng biến thành một nhóm 'tin tặc triệu phú' trở nên giàu có chỉ sau một đêm và truyền bá văn hóa này vì mọi người thấy những người khác đột nhiên trở thành triệu phú và muốn biết họ đã làm điều đó như thế nào." Điều này cũng dẫn tới sự mở rộng nhanh chóng của Com.

Com Một trong những phương pháp trộm tiền điện tử phổ biến nhất được gọi là "kỹ thuật xã hội", tức là dụ dỗ người dùng tiết lộ thông tin nhạy cảm bằng cách thao túng tâm trí của họ. Các thành viên của Com sẽ biên soạn một danh sách dài các nạn nhân tiềm năng thu thập được thông qua các vụ vi phạm dữ liệu và sau đó nhắm mục tiêu vào từng nạn nhân một - như trường hợp của các nạn nhân ở Washington, D.C. Đôi khi, họ cũng đăng "quảng cáo tuyển dụng" trực tuyến để tuyển dụng những người sẵn sàng giúp họ thực hiện hành vi lừa đảo.

Nhà điều tra tiền điện tử Nick Bax đã từng chia sẻ một bài đăng tuyển dụng trên Telegram, hứa hẹn "5 xu một tuần" (mức lương năm con số) - "miễn là bạn hành động nhanh" - để gọi cho những mục tiêu tiềm năng. Thông báo cũng yêu cầu "giọng nói của bộ phận dịch vụ khách hàng phải chuyên nghiệp theo phong cách Mỹ". Sau khi hoàn thành vụ trộm, các thành viên Com đôi khi quay lại chợ đen Minecraft và sử dụng tiền điện tử đánh cắp được để mua các vật phẩm hiếm trong trò chơi, sau đó bán lại thông qua PayPal để lấy tiền thật nhằm rửa tiền.

Sau khi ZachXBT phát hiện ra danh tính thực sự của Veer Chetal, anh và các điều tra viên khác đã nhanh chóng xác định thêm nhiều người có liên quan đến vụ án. Trong các bản ghi âm mà ZachXBT thu được, bọn trộm gọi nhau bằng mật danh Com, và đôi khi chúng gọi thẳng tên thật của nhau. Một cái tên được nhắc đến nhiều lần là Malone, còn gọi là Malone Lam.

Malone Lam, một cô gái Singapore 20 tuổi, là một nhân vật khét tiếng trong giới truyền hình, với những nghệ danh như Greavys và Anne Hathaway. Anh ấy cũng là một game thủ Minecraft kỳ cựu với kiểu tóc mái xéo. Anh ấy thường bị cấm khỏi máy chủ, nhưng luôn tìm cách quay trở lại. Vào mùa xuân năm 2023, anh ta đã đụng độ với những người quản lý máy chủ Minecadia và mất một số đạo cụ trò chơi, vì vậy anh ta đã tiến hành "tìm kiếm bằng xương bằng thịt" những người quản lý, công bố địa chỉ và số an sinh xã hội của họ trực tuyến và ít nhất một lần gọi đến các dịch vụ khẩn cấp để quấy rối họ.

Theo nhiều người dùng và hồ sơ trò chuyện trên Discord vào thời điểm đó, Chetal và Lam đã gặp nhau trong Minecraft và họ chơi trò chơi này như một đội trong một "phe" do Lam lãnh đạo.

Vào tháng 10 năm 2023, Lam nhập cảnh vào Hoa Kỳ bằng thị thực có thời hạn 90 ngày. Về cơ bản, anh ấy đã ngừng chơi Minecraft. Theo hồ sơ của tòa án, sau đó, anh ta thực hiện nhiều vụ lừa đảo khác liên quan đến tiền điện tử để kiếm sống.

Sau vụ trộm tiền điện tử vào tháng 8 năm 2024, ZachXBT đã theo dõi Lam thông qua cái gọi là OSINT (tình báo nguồn mở), tức là thông qua mạng xã hội. Trong nhóm chat Com, mọi người đều bàn tán về việc mua sắm thả ga của Lam. Không ai biết tiền của ông đến từ đâu, nhưng họ có nhắc đến cuộc sống xa hoa của ông tại các hộp đêm ở Los Angeles.

ZachXBT đã tìm hiểu về các hộp đêm nổi tiếng nhất thành phố và xem các bài đăng trên Instagram của những người dự tiệc và chính các câu lạc bộ. Trong một bài đăng, Malone mặc một chiếc áo khoác Moncler màu trắng và đeo một chiếc nhẫn kim cương cùng kính râm nạm kim cương. Anh ta đứng trên bàn và bắt đầu ném những tờ tiền một trăm đô la vào đám đông.

Khi tiền rơi xuống, những người phục vụ mang theo những chai rượu sâm panh trị giá 1.500 đô la có pháo hoa gắn ở nắp và giơ cao những tấm biển có dòng chữ "@Malone". Chỉ riêng đêm hôm đó, anh đã tiêu 569.528 đô la tại câu lạc bộ. Tại một hộp đêm khác, Lam và nhóm của anh đã chơi khăm ZachXBT bằng cách yêu cầu những người đến hộp đêm giơ cao những tấm biển có dòng chữ "ĐÃ BẢO VỆ CHÚNG TA SẼ THẮNG" và một tấm biển khác có dòng chữ "[CHỈNH] ZACHXBT."

Trong những tuần tiếp theo, Lam đã mua 31 chiếc ô tô, bao gồm cả những chiếc Lamborghini, Ferrari và Porsche được tùy chỉnh, một số chiếc có giá trị lên tới 3 triệu đô la. Vào ngày 24 tháng 8, anh ta dường như đã gửi một bức ảnh chụp một chiếc Lamborghini màu hồng cho một người mẫu. Anh ấy nhắn tin, "Anh có mua quà cho em, chúng ta hãy coi như đây là quà sinh nhật sớm nhé." Cô ấy trả lời: "Tôi lại có bạn trai rồi." Anh ấy trả lời "idc" (tôi không quan tâm).

Vào ngày 10 tháng 9, sau 23 ngày tiệc tùng ở Los Angeles, Lam và một nhóm bạn đã bay đến Miami bằng máy bay phản lực riêng. Ở đó, ông đã cho thuê một số bất động sản, bao gồm một khu điền trang 10 phòng ngủ trị giá 7,5 triệu đô la. Chỉ trong vài ngày, Lam đã lấp đầy lối đi bằng nhiều chiếc xe sang trọng, bao gồm một số chiếc Lamborghini, một trong số đó có tên "Malone" được in ở bên hông xe.

Cứ vài ngày, ZachXBT lại gửi thông tin tình báo mà anh thu thập được cho cơ quan thực thi pháp luật. Thông tin thường chỉ truyền đi theo một chiều, nhưng các cơ quan liên bang cũng đang tiến hành các cuộc điều tra riêng của họ cùng lúc. Theo các tài liệu của tòa án, những nghi phạm trong âm mưu này đã sử dụng các phương pháp rửa tiền tinh vi để che giấu tiền và che giấu danh tính, giao dịch thông qua các sàn giao dịch tiền điện tử như eXch không yêu cầu thông tin cá nhân của khách hàng và sử dụng mạng riêng ảo (VPN) để che giấu vị trí thực sự của họ.

Nhưng theo các nhà chức trách, trong ít nhất một trường hợp, nghi phạm đã quên sử dụng VPN khi đăng ký tài khoản với TradeOgre, một sàn giao dịch tiền kỹ thuật số, và địa chỉ IP mà anh ta kết nối đến được chuyển đến một bất động sản có giá 47.500 đô la một tháng ở Encino, California. Bất động sản này được thuê bởi Jeandiel Serrano, 21 tuổi, người sử dụng các bí danh như VersaceGod, @SkidStar và Box trực tuyến. Vào thời điểm chính quyền xác định được Serrano, anh ta đang đi nghỉ ở Maldives với bạn gái.

Vào ngày 18 tháng 9, khi Serrano bay trở lại Sân bay quốc tế Los Angeles từ Maldives, các nhân viên thực thi pháp luật đã đợi anh ta tại sân bay. Lúc đó, ông đang đeo chiếc đồng hồ trị giá 500.000 đô la. Khi bị bắt, Serrano ban đầu phủ nhận việc biết về vụ trộm và đồng ý nói chuyện với cơ quan thực thi pháp luật mà không cần luật sư. Nhưng theo báo cáo của tòa án, anh ta đã nhanh chóng thừa nhận sự liên quan của mình, đặc biệt là khi mạo danh một nhân viên của Gemini.

Serrano thừa nhận rằng anh ta sở hữu năm chiếc xe, trong đó có hai chiếc là quà tặng từ những người đồng phạm, sử dụng tiền từ các vụ lừa đảo trước đó. Anh ta cũng thừa nhận rằng mình có khoảng 20 triệu đô la tiền điện tử của nạn nhân trên điện thoại và đồng ý trả lại số tiền này cho FBI.

Trong khi đó, các mật vụ ở Miami đang chuẩn bị đột kích một trong những biệt thự mà Lam đang thuê. Lam biết cuộc tấn công sắp xảy ra: Bạn gái của Serrano đã gọi điện để cảnh báo những kẻ đồng mưu với Lam ngay sau khi Serrano bị bắt. Sau đó, họ xóa tài khoản Telegram và các bằng chứng khác khỏi điện thoại.

Cuối ngày hôm đó, một nhóm đặc vụ FBI làm việc với cảnh sát Miami đã đột kích vào một biệt thự gần bờ biển Miami. Các mật vụ đã sử dụng thiết bị phá dỡ để mở cánh cổng kim loại ở phía trước, trong khi một nhóm mật vụ khác đi thuyền vào qua một kênh nước mặn nhỏ ở phía sau. Khi các đặc vụ bước vào nhà, tiếng lựu đạn gây choáng nổ vang vọng khắp khu phố.

Ngay sau đó, một đặc vụ đã dẫn Lam, một người bị còng tay, mặc áo dài tay màu trắng, quần đùi bóng rổ màu đỏ thẫm và giày thể thao, ra khỏi nhà trong khi khói bao trùm không khí, theo sau là ít nhất năm người khác đã ở trong nhà cùng anh ta. Serrano và Lam bị buộc tội rửa tiền và âm mưu thực hiện hành vi lừa đảo qua mạng. Mỗi tội danh có thể bị phạt tù tối đa là 20 năm.

Đúng một tháng sau ngày xảy ra vụ cướp, bữa tiệc đã kết thúc.

Trong những ngày và tuần sau khi gia đình Chetal bị bắt cóc ở Danbury, Castrovinci và cảnh sát đã làm việc với các nhà điều tra liên bang để xây dựng hồ sơ chống lại một băng đảng ở Florida. Họ nhanh chóng truy cập vào điện thoại di động của nghi phạm, từ đó xem lại các cuộc trò chuyện nhóm và ghi lại hành trình di chuyển của các thành viên băng đảng.

Họ biết rằng chuyến đi được tài trợ và tổ chức một phần bởi Angel Borrero, một người gốc Miami 23 tuổi có biệt danh là Chi Chi. Trong nhóm trò chuyện, Borrero viết cho những người khác: "Nếu mọi việc suôn sẻ, chúng ta sẽ đến California tiếp theo." Các nhà điều tra liên bang suy đoán rằng điều này có nghĩa là băng đảng này có kế hoạch thực hiện các hoạt động khác ở California. Ngày hôm đó, Josue Alberto Romero, biệt danh Sway, đã gửi một thông điệp tới băng đảng: "Chi Chi, chúng ta đã chuẩn bị hơn bao giờ hết." Các bản ghi trò chuyện cho thấy băng nhóm bắt đầu phối hợp hoạt động từ 7 giờ sáng và theo dõi gia đình Chetal trong một phần buổi chiều.

Lúc đó, cảnh sát đã phát hiện ra động cơ: Họ tin rằng những người đàn ông này nhắm vào gia đình Chetal để tống tiền con trai họ thông qua hành vi bắt cóc. Các nhà điều tra độc lập tin rằng ít nhất một thành viên của băng đảng, Reynaldo (Rey) Diaz, sử dụng bí danh Pantic, có thể là thành viên của Com.

ZachXBT suy đoán rằng những tên trộm này có thể đã tự biến mình thành mục tiêu bằng cách khoe khoang những câu chuyện chi tiêu tiền của mình với những thành viên khác trong Com. Ông nói: "Bạn nghĩ rằng sau khi phạm tội, bạn sẽ giữ im lặng và không bao giờ nói về nó nữa". "Nhưng họ phải đền bù bằng cách khoe khoang với những người mà họ nghĩ là bạn bè. Những người này có thể không thực sự là bạn bè của họ."

Vào ngày 27 tháng 8, cảnh sát Danbury đã đệ đơn cáo buộc sáu nghi phạm trong vụ án: nhiều tội danh tấn công cấp độ một, bắt cóc cấp độ một và gây nguy hiểm liều lĩnh. Các cáo buộc liên bang đã được đưa ra sau đó. Bản cáo trạng của bồi thẩm đoàn đệ trình vào ngày 24 tháng 9 tại tòa án liên bang ở Connecticut đã buộc tội sáu người đàn ông Florida về tội bắt cóc, cướp xe và âm mưu phạm tội.

Sáu người đàn ông Florida đại diện cho một phe phái đang phát triển trong Com đang chuyển hướng từ việc tập trung vào lừa đảo trực tuyến sang bạo lực. Bản thân Diaz đã bị bắn trong một vụ cướp bất thành ở Florida cách đây hai năm.

Trong bản tuyên thệ của FBI, một đặc vụ cho biết các thành viên của Com thường xuyên thực hiện "các cuộc tấn công ném gạch, bắn súng và đốt phá". Theo nhà báo điều tra độc lập Brian Krebs, vào năm 2022, một thanh niên tên là Foreshadow đã bị bắt cóc và đánh đập bởi một băng nhóm đổi SIM đối thủ và yêu cầu khoản tiền chuộc 200.000 đô la.

Vào tháng 10 năm 2023, Patrick McGovern-Allen, một người đàn ông 22 tuổi đến từ Egg Harbor Township, New Jersey, đã bị kết án 13 năm tù vì tham gia vào hoạt động làm thuê bạo lực sau khi được một nhóm tội phạm mạng thuê. Tháng 11 năm ngoái, có báo cáo cho biết CEO của một công ty tiền điện tử có trụ sở tại Toronto đã bị bắt cóc và đòi tiền chuộc 1 triệu đô la.

Vài tuần sau, một cậu bé 13 tuổi bị cộng đồng tiền điện tử phát hiện là người tạo ra tiền điện tử và thổi phồng giá trị của nó, và có tin đồn rằng con chó của cậu đã bị bắt cóc. Vào tháng 1 năm nay, nhà sáng lập công ty tiền điện tử Ledger của Pháp đã bị bắt cóc cùng với vợ mình, những kẻ bắt cóc đã cắt xẻo tay ông và yêu cầu khoản tiền chuộc hàng triệu đô la tiền điện tử.

Tuy nhiên, Nixon, nhà nghiên cứu, cho biết ngày càng có nhiều người không liên quan đến Com bị nhắm tới. Một số thành viên được gọi là Com đã tham gia vào cái gọi là "nhóm gây hại", những thành viên này đã gây áp lực buộc phụ nữ và trẻ em gái tự làm hại bản thân và bạo lực. Nixon cho biết, bảy năm trước, có lẽ chỉ có vài chục thành viên của Com đáng chú ý; Ngày nay, có tới hàng ngàn. “Ngay lúc này,” bà nói, “chúng ta đang chứng kiến sự tiến hóa từ tội phạm không có tổ chức thành tội phạm có tổ chức, và chúng ta đang ở giữa quá trình chuyển đổi đó.”

Hai sự cố — vụ trộm tiền điện tử và vụ bắt cóc — cho thấy sự vô luật pháp hoàn toàn của các thành viên Com trong thế giới trực tuyến đã khiến họ ảo tưởng rằng họ có thể thực hiện những tội ác tương tự trong thế giới thực. ZachXBT cho biết: "Tôi không nghĩ họ học được điều gì cả". "Tôi đã gặp rất nhiều người, sau khi bị bắt hoặc bị tịch thu tài sản - nhiều người trong số họ đã quay lại cuộc sống cũ."

Năm trong số sáu người đàn ông Florida đã nhận tội bắt cóc và âm mưu liên bang trong năm nay và có thể phải đối mặt với mức án 15 năm tù. Vào tháng 1, Michael Rivas, 19 tuổi, đã xin lỗi tại tòa án Hartford về hành động của mình, gọi đó là hành động "ngu ngốc" và nói rằng anh ta đang giúp một người đàn ông khác thực hiện "kế hoạch trả thù", mặc dù anh ta không giải thích thêm.

Vào tháng 2, James Schwab, 22 tuổi, người Georgia đã bị truy tố vì vai trò bị cáo buộc của anh ta trong âm mưu bắt cóc. Theo đơn khiếu nại hình sự liên bang, Schwab đã có cuộc đụng độ với Veer Chetal tại một hộp đêm ở Miami một tháng trước vụ bắt cóc, và anh ta đã giúp tài trợ cho kế hoạch, sắp xếp phương tiện đi lại và chỗ ở cho những kẻ tấn công. Ông đã không nhận tội.

Vào ngày 25 tháng 3, ZachXBT đã cập nhật trang web X về tiến độ mới nhất trong cuộc điều tra của mình về tiền điện tử bị đánh cắp: "Cập nhật: Wiz (Vill Chettal) đã bị bắt", anh viết, "Đây là ảnh của anh ấy". Bức ảnh đính kèm cho thấy một thanh niên mặc áo phông trắng, tóc bù xù và râu quai nón rậm, miệng trễ xuống và đôi mắt mệt mỏi. Cậu bé này khác xa so với cậu bé trong bức ảnh trên trang web của Trường trung học Immaculate. Tội danh được liệt kê trong hồ sơ nhà tù là tội nhẹ liên bang, nhưng không nêu rõ tội danh.

Theo ZachXBT, số Bitcoin bị đánh cắp mà anh theo dõi đã được chuyển vào một ví do cơ quan thực thi pháp luật kiểm soát. Chiếc Lamborghini Urus màu xám mờ mà Sushil và Radhika Chetal lái vào thời điểm xảy ra vụ bắt cóc vẫn được đỗ làm bằng chứng tại bãi đậu xe an ninh của cảnh sát ở Danbury vào ngày hôm đó. Chiếc Lamborghini này là chiếc xe con trai họ lái đến trường.

「Liên kết gốc」

Chào mừng bạn tham gia cộng đồng chính thức của BlockBeats:

Nhóm Telegram đăng ký: https://t.me/theblockbeats

Nhóm Telegram thảo luận: https://t.me/BlockBeats_App

Tài khoản Twitter chính thức: https://twitter.com/BlockBeatsAsia