Cướp Ngân hàng Trung ương - Kỳ 2

• Những vụ trộm không tưởng

Cướp ngân hàng là chuyện nhỏ, cướp Ngân hàng Trung ương mới là chuyện lớn. Và đến Ngân hàng Trung ương để cướp tiền là chuyện nhỏ, ngồi một chỗ mà lấy được tiền của Ngân hàng Trung ương mới là chuyện lớn.

Hệt như phim

Trong kỳ nghỉ cuối tuần ngày 6 và 7-8-2005, Ngân hàng Trung ương Brazil ở thành phố phía Bắc Fortaleza đã bị trộm đột nhập cuỗm đi 156 triệu real (67,3 triệu USD) bằng cách đào một đường hầm trổ lên hầm chứa tiền. Đường hầm ở độ sâu 4m, dài khoảng 80m bên dưới sàn bê tông cốt thép của căn hầm chứa tiền. 

Sau khi bọn trộm đột nhập vào căn phòng rộng 500m² vào kỳ nghỉ cuối tuần, chúng đập vỡ 5 hộp chứa tiền của ngân hàng. Đây là số tiền cũ ngân hàng đang chuẩn bị lọc ra để thay thế. Vì lý do này, số tiền bị đánh cắp hầu như không thể bị theo dấu dựa vào số sêri.

Bên trong căn hầm, những thiết bị cảm ứng chuyển động và camera đã bị vô hiệu hóa, nên hệ thống báo động không được kích hoạt khi bọn trộm phá vỡ mặt sàn bê tông cốt thép dày 1,1m. 

Cảnh sát cho biết, đường hầm rộng khoảng 70cm được bắt đầu từ một tòa nhà gần ngân hàng. Nó được gia cố bằng gỗ và ốp nhựa, bên trong có cả hệ thống chiếu sáng và thông hơi rất chuyên nghiệp. Cảnh sát đã tìm thấy nhiều mũi khoan, cưa xích điện và đèn hàn. Số tiền bị lấy đi là các tờ 50 real, loại tiền có mệnh giá lớn thứ hai ở Brazil, ước tính nặng khoảng 3,5 tấn.

Tiền nhiều mạng ít

Điều tra cho biết, 3 tháng trước vụ trộm, những tên trộm đã thuê một tòa nhà ở trung tâm thành phố và đào một đường hầm bên dưới các tòa nhà hướng về phía ngân hàng. Các tên trộm đã cải tạo ngôi nhà và đăng ký nó dưới danh nghĩa trụ sở của một công ty làm vườn, bán cả cây cỏ tự nhiên và nhân tạo. Những người hàng xóm ước tính bọn trộm có từ 6-10 tên. Họ cho biết thường xuyên thấy xe tải chở đất cát rời khỏi ngôi nhà mỗi ngày, nhưng cho rằng đó là bình thường với một công ty như vậy.

Dựa vào chiếc xe tải, Cảnh sát liên bang Brazil điều tra mối liên hệ giữa bọn trộm và các đại lý xe hơi ở Fortaleza. Ngày 10-8-2005, Cảnh sát quân sự ở Minas Gerais bắt được 2 người đàn ông đang điều khiển chiếc xe tải ở Sete Lagoas, gần Belo Horizonte, Minas Gerais. Sau đó, hơn 2,13 triệu real được tìm thấy trong 3 chiếc xe tải. Ngày 28-9, cảnh sát bắt được 5 người đàn ông cùng với 5,22 triệu real. Những người này khai nhận đã tham gia việc đào hầm trong vụ trộm hồi tháng 8.

Ngồi một chỗ “khoắng” 81 triệu USD

Ngày 1-2-2016, tại Bangladesh, khi các ngân hàng nghỉ cuối tuần, bọn tội phạm thực hiện 35 yêu cầu chuyển tiền trị giá 951 triệu USD; trong đó, 5 giao dịch trị giá 101 triệu USD đã thành công. Những giao dịch này gửi lệnh rút tiền từ một tài khoản của Ngân hàng Trung ương Bangladesh (BOB) ở Cục Dự trữ liên bang Mỹ (FED) Chi nhánh New York.

Những tên tội phạm đã xâm nhập vào hệ thống của BOB, quan sát cách thực hiện các giao dịch chuyển tiền, truy cập vào các thông tin của ngân hàng ðể chuyển tiền. Sau đó, chúng gửi đi 35 yêu cầu gửi tiền, với tổng trị giá gần 1 tỷ USD. 

Các yêu cầu có vẻ bình thường, vì nó xuất phát từ một máy chủ đặt tại Bangladesh và bọn cướp đã cung cấp chính xác mã ngân hàng để xác thực các giao dịch chuyển tiền. 5 giao dịch đã trót lọt, nhưng những giao dịch sau đó bị chặn lại. Bọn cướp đã làm được tất cả những công việc tinh vi và phức tạp khác, nhưng lại mắc một lỗi rất sơ đẳng về chính tả, khiến 30 giao dịch còn lại trị giá 851 triệu USD bị chặn.

20 triệu chuyển đến Sri Lanka dự tính gửi tới Shalika Foundation, một tổ chức phi lợi nhuận tại đó. Nhưng các tin tặc đã ghi sai chữ “Foundation” thành "Fandation". Lỗi chính tả này khiến Deutsche Bank, một ngân hàng định tuyến trong hệ thống SWIFT, nghi ngờ và dừng các giao dịch. BOB sau đó đã thu hồi được 20 triệu USD chuyển sang Sri Lanka.

Đã xác định thủ phạm?

Đầu tháng này (tháng 4-2017), Công ty an ninh mạng Kaspersky Lab có trụ sở tại Nga đã công bố tài liệu củng cố cho những nghi ngờ một nhóm tin tặc ở CHDCND Triều Tiên đã thực hiện vụ cướp này. Trong báo cáo dài 58 trang, Kaspersky Lab khẳng định nhóm tin tặc Lazarus, được xác định có liên quan đến vụ trộm tiền qua mạng nêu trên.

Chúng đã thiết lập một kết nối trực tiếp từ một địa chỉ IP ở Triều Tiên tới một máy chủ ở châu Âu vốn được sử dụng để kiểm soát hệ thống mạng mà sau đó Lazarus xâm nhập vào hệ thống mạng này để thực hiện mục đích của mình.

Ông Vitaly Kamluk, chuyên gia của Kaspersky Lab, nhấn mạnh "Đây là lần đầu tiên chúng tôi phát hiện mối liên hệ trực tiếp" giữa Triều Tiên và Lazarus - nhóm tin tặc xuất hiện vào năm 2009 và từng thực hiện vụ tấn công hồi năm 2014 nhằm vào phim trường Hollywood của Sony.

Tuy nhiên, Vitaly Kamluk khẳng định ông không thể kết luận Triều Tiên đứng sau vụ tấn công mạng nêu trên bởi có khả năng tin tặc cố tình tạo vỏ bọc có nguồn gốc từ Triều Tiên hoặc những công dân Triều Tiên hợp tác cùng thực hiện vụ tấn công.