BẢN ÁN 40 NĂM NGỒI NHÀ TÙ MỸ KHI TUỔI MỚI 23

Sinh ra ở Gia Lai, Hiếu đã tiếp xúc và học công nghệ thông tin như thế nào?

Tôi sinh ra ở Gia Lai, nhưng sống ở Cam Ranh (Khánh Hòa). Hè năm lớp 8, tôi 15 tuổi, vô TP.HCM học thêm. Do quá đam mê máy tính, tôi xin ba mẹ vào trường học an ninh mạng và học thêm thiết kế website.

Trang web đầu tiên tôi thiết kế là “hieupc.com” để nghiên cứu và chia sẻ phần mềm. Tình cờ một lần, tôi gặp được một người anh hiểu rất rõ về “thế giới ngầm” - “underground” của hacker Việt Nam trong một tiệm Internet. Hai anh em trao đổi qua lại về IT và những kỹ thuật hack (xâm nhập vào hệ thống).

Sau đó, tôi vào TP.HCM học cấp 3 để có điều kiện học an ninh mạng, thiết kế website... Đi sâu vào thế giới mạng, suốt ngày nghiên cứu, học hỏi mọi thứ trong thế giới ngầm, thế giới ảo, nên trình vi tính của tôi tiến bộ vượt bậc. Tôi điều hành tới mấy diễn đàn underground, số lượng thành viên tham gia trên chục ngàn người. Tôi chia sẻ chủ yếu về cách hack thông tin thẻ, chỉ là cho vui thôi, vì mình vào được hệ thống đó.

Rồi Hiếu trở thành “hacker mũ đen”, đến mức bị chính quyền Mỹ bắt bỏ tù?

Hồi đó, khi tôi điều hành mấy diễn đàn underground, có một người bạn chỉ dẫn tôi dùng những kỹ năng mình có để hack thông tin rồi bán kiếm tiền. Tới cuối năm lớp 10, tôi bắt đầu hack tài khoản ngân hàng lấy tiền, lấy thông tin thẻ tín dụng ở đủ các quốc gia rồi bán với mục đích kiếm đủ số tiền, dùng số tiền đó để đi du học. Sau khi kiếm được khoảng 20.000 - 30.000 USD, tôi đi du học New Zealand. 

Sang bên đó, tôi hack tài khoản từ một số trường đại học và các trang thương mại điện tử ở New Zealand, nên chỉ một năm sau thì bị đuổi học và bị trả về Việt Nam.

Tôi hứa với gia đình không làm bậy nữa. Nhưng, đi cà phê với bạn bè, lại bị nghe xúi: hack tài khoản rất nguy hiểm, hack số an sinh xã hội đơn giản và an toàn hơn. Người mua các số an sinh xã hội đó sẽ dùng mở tài khoản ngân hàng, mở thẻ tín dụng hoặc mua nhà, mua xe. Số an sinh xã hội ở bên Mỹ rất có giá và người mua lại ở mọi quốc gia. 

Thời điểm đó, mặc dù ở Việt Nam, tôi đã hack lấy được hơn 200 triệu danh tính và bán được hồ sơ của hơn 3 triệu người. Thu nhập của tôi khi ấy lên tới vài trăm ngàn USD mỗi tháng. Có nhiều tiền, tôi bắt đầu đi du lịch, ở khách sạn 5 sao, mua sắm xe hơi sang trọng như Lexus, BMW…

Tôi không hề hay biết, mọi hành vi trên thế giới mạng của mình đã bị mật vụ Mỹ theo dõi. Thậm chí, mật vụ Mỹ, ông Matt O’Neill từng nói với KrebsOnSecurity (một blog mạng) rằng: “Tôi không biết tội phạm mạng nào khác đã gây ra thiệt hại về tài chính cho nhiều người Mỹ hơn Hiếu”.

Rồi mật vụ Mỹ giăng bẫy dụ tôi sang đảo Guam. Ngày 7/2/2013, tôi vừa đáp máy bay xuống Guam thì bị cảnh sát Mỹ bắt. Từ Guam, họ chuyển tôi vô đất liền, rồi lại chuyển đi lòng vòng hết tiểu bang này đến tiểu bang khác. Tổng cộng, tôi bị cùm cổ tay và cổ chân đến 15 nhà tù khác nhau trên nước Mỹ.

Tòa án Mỹ kết án tôi 40 năm tù giam, khi tôi mới 23 tuổi. Trong 2 tháng đầu ngồi tù, tôi khủng hoảng thực sự. Đang trên đỉnh sung sướng, bỗng rớt xuống địa ngục, có lúc tôi đã nghĩ tới việc thắt cổ tự tử.

Khoảng 3 năm sau, tôi mới lấy lại cân bằng. Bình tâm lại, tôi nhìn nhận lại những sai lầm của mình từ lúc còn bé cho tới lúc lớn, những lần bất hiếu, nói dối ba mẹ…

BẢN ÁN 40 NĂM NGỒI NHÀ TÙ MỸ KHI TUỔI MỚI 23

Những năm ở tù tại Mỹ để lại cho Hiếu dấu ấn gì?

Đó là tôi trở thành… “mật vụ” Mỹ (cười).

Tôi ngồi tù đến năm thứ 3 thì được mật vụ Mỹ yêu cầu điều tra tội phạm công nghệ cao. Tôi làm việc trong tù, không hề có lương bổng. Phía Mỹ cũng không hứa hẹn điều gì, họ chỉ nói: “cứ làm việc đi, khi nào thấy OK thì cho về”. Tổng cộng hơn 20 tội phạm về công nghệ cao như hacker… đã được tôi phát hiện và bị mật vụ Liên bang Mỹ bắt.

Rồi tôi được phép đi học thêm những khóa học trong tù, như cách cải tạo bản thân, kỹ năng mềm trong sinh tồn, cách làm cha mẹ, kỹ năng sinh tồn trong quân đội... Lúc đó, tôi bắt buộc phải học, phải nâng cao trình độ tiếng Anh, vì trong tù không ai nói tiếng Việt. Nhờ vậy, khả năng tiếng Anh của tôi ngày càng tốt hơn. 

Quãng thời gian trong tù chắc chắn không hề dễ chịu, Hiếu đã trải qua như thế nào?

Hằng ngày, tôi dậy từ 5 giờ sáng và bắt đầu học tập, rèn luyện, cho tới 21 giờ mới được đi ngủ. Việc đầu tiên, tôi phải xếp mùng, mền ngay ngắn. Quản lý trại giam giải thích, đó là việc nhỏ nhất, mình không làm được việc nhỏ thì sao làm được những chuyện lớn. Đến bây giờ, tôi vẫn giữ thói quen đó. 

Rồi việc chà rửa nhà vệ sinh là cực nhất, những bạn tù người Mỹ không ai chịu làm, nhưng khi được giao, tôi lại thích nhất. Bởi với tôi, đó là một thử thách cho bản thân. Tôi không thích làm việc dễ dàng! 

Ngoài ra, tôi cũng cố gắng học những thứ khác như yoga, tâm lý, đạo đức và thường tham dự những buổi sinh hoạt cộng đồng, chia sẻ câu chuyện số phận của mình với bạn tù. Trong tù, có không ít người suy nghĩ rất bi quan, tiêu cực. Sau khi họ nghe câu chuyện của tôi, được biết những gì tôi đã từng trải, rồi tận mắt thấy tôi không nề hà bất kỳ công việc nào trong tù, họ nhìn lại mình và thay đổi, sống lạc quan hơn.

Đến hôm nay, khi tôi đã về Việt Nam, một số người vẫn liên lạc với tôi để tâm sự. Sau khi ra tù, họ thay đổi cách suy nghĩ và đã có công việc ổn định.

Thời gian ở trong tù, tôi được gặp giáo viên dạy tù nhân, một phụ nữ 75 tuổi. Bà nhận tôi làm cháu nuôi và gửi cho tôi bức thư ngắn với lời nhắn rằng: “Không cần biết một ngày của mình ra sao. Không cần biết mình thất bại thế nào. Quan trọng là mình phải biết đứng dậy, mặc lại đồ, tiếp tục vươn lên, không bao giờ bỏ cuộc”. Tôi thuộc nằm lòng lời nhắn đó cho tới hôm nay. 

Trước khi tòa xét xử (tháng 7/2015), bà có ra tòa kể lại quá trình tôi cải tạo trong tù. Cũng năm đó, vợ chồng bà còn sang Việt Nam thăm ba mẹ tôi. Hiện tại, tôi vẫn giữ liên lạc với bà.

Hôm xét xử, chủ tọa phiên tòa cho biết, ông rất ấn tượng về tôi. Ông nói, tôi đã thay đổi rất nhiều, nhưng vụ án của tôi quá lớn, cần phải được xét xử, để răn đe những người khác.

Với nỗ lực cải tạo, tôi được tòa giảm án từ 40 năm tù xuống còn 13 năm tù.

Vừa thi hành án, tôi vừa tự học, tự rèn luyện. Nhờ viết nhật ký, tôi hiểu bản thân mình hơn và tự đặt ra câu hỏi, sau khi ra tù, mình sẽ phải làm gì. Từ đó, tôi nung nấu dự định sẽ cống hiến sự hiểu biết, kinh nghiệm của mình cho cộng đồng.

Sau khi thụ án được 7 năm, ngày 20/11/2019, nhà tù Mỹ thả tôi trước thời hạn. Lúc đó, tôi muốn bay ngay về Việt Nam, nhưng đại dịch Covid-19 bùng phát, nên buộc phải cách ly ở Mỹ tới tháng 8/2020 mới về được TP.HCM.

Về nhà, tôi khóc và nói với ba mẹ: “Bây giờ, con chỉ cần mỗi ngày ăn 3 bữa là được rồi...”.

BẢO VỆ NGƯỜI DÙNG VIỆT NAM TRƯỚC NGUY CƠ BỊ LỪA ĐẢO TRỰC TUYẾN

Trở về Việt Nam, Hiếu thực hiện những dự định đã ấp ủ ra sao?

Năm 2020, tôi vào làm chuyên gia kỹ thuật tại Trung tâm Giám sát và An toàn không gian mạng Quốc gia (NCSC, thuộc Bộ Thông tin và Truyền thông).

Nhận thấy, nạn lừa đảo trên không gian mạng tại Việt Nam bùng phát mạnh, tôi đã rủ các chuyên gia công nghệ và an ninh mạng, gồm anh Nguyễn Hưng, Giám đốc R&D, Vietnix Hosting; anh Lê Phước Hòa, chuyên viên kỹ thuật Vietguys; Nguyễn Mạnh Luật, CEO Cyberjutsu, cũng là cựu kỹ sư bảo mật của Microsoft và Tencent; Nguyễn Thắng, Tiết Lê Bảo Khánh… lập Dự án Chống lừa đảo trên không gian mạng bằng ứng dụng, trên tinh thần tự nguyện, với sứ mệnh là bảo vệ người dùng Việt Nam trước những nguy cơ lừa bị đảo trực tuyến (https://chongluadao.vn).

Ứng dụng Chống lừa đảo có thể ngăn chặn truy cập vào các website lừa đảo, giả mạo, đánh cắp thông tin và cảnh báo nguy hiểm cho người dùng dựa trên nền tảng công nghệ machine learning (máy học), kết hợp với báo cáo của cộng đồng.

Mục tiêu lớn nhất của Dự án Chống lừa đảo còn là kêu gọi cộng đồng cùng tham gia bảo vệ những người xung quanh, cũng là bảo vệ chính họ trước mối đe dọa trực tuyến. Qua đó, giúp người dùng luôn được bảo vệ khi tìm kiếm thông tin, mua sắm trên các website...

Dự án còn có sự hợp tác từ đội ngũ luật sư của Thư viện Pháp luật để hỗ trợ pháp lý miễn phí cho cộng đồng, giúp đỡ các nạn nhân bị lừa đảo theo đúng trình tự và quy định của pháp luật, đấu tranh phòng chống tội phạm từ “mặt trận” online đến offline.

Đến nay, Dự án đã giúp đỡ hơn 25.000 nạn nhân, đồng thời đã có hơn 500.000 người dùng tham gia cộng đồng chống lừa đảo công khai trên các nền tảng Telegram, Facebook, các tiện ích mở rộng chống lừa đảo trên trình duyệt web phổ biến…

Sau 3 năm nỗ lực, năm 2023, Dự án Chống lừa đảo được vinh danh “Cống hiến vì xã hội” tại giải thưởng Nhân tài Đất Việt 2023, do Hội Khuyến học Việt Nam chủ trì.

Tiếp sức cho Dự án, tháng 11/2021, tôi lập Công ty TNHH doanh nghiệp xã hội Chống lừa đảo (Công ty Chống lừa đảo) tại TP. Thủ Đức (TP.HCM). Công ty dùng nhân sự là đội ngũ cộng tác viên hoạt động bán thời gian tùy theo từng đầu việc và hoàn toàn phi lợi nhuận, với mục đích phát triển các ứng dụng chống lừa đảo trên các trình duyệt web.

Ngoài ra, Công ty còn đang vận hành Bot Messenger để người dùng kiểm tra mức độ an toàn hay độc hại của một website bằng cách chat trên nền tảng nhắn tin của Facebook. Tính đến nay, đã có 25.000 website bị đưa vào “danh sách đen” của Công ty Chống lừa đảo.

APPLE VINH DANH, FACEBOOK CUNG CẤP “CỔNG” RIÊNG 

Được biết, Hiếu còn phát hiện cả lỗ hổng của Apple, lại thuyết phục được nhiều mạng xã hội lớn tích hợp dữ liệu chống lừa đảo để giúp người Việt?

Đúng vậy! Tôi phát hiện lỗ hổng trên máy chủ web của Apple. Lỗi không quá nghiêm trọng, nhưng với những hệ thống lớn như vậy, một lỗi nhỏ cũng có thể ảnh hưởng đến hàng tỷ người dùng nếu bị khai thác. Từ phát hiện của tôi, Apple đã kịp thời vá lỗ hổng và tháng 5/2022, tôi được Apple vinh danh lần thứ 2.

Không chỉ Apple, nhà mạng Verizon (Mỹ) cũng vinh danh tôi, trong việc giúp Verizon phát hiện và khắc phục thành công một số lỗ hổng về bảo mật. 

Tôi cũng thuyết phục được mạng xã hội Twitter tích hợp API từ Dự án Chống lừa đảo của Việt Nam. Cụ thể, khi người dùng gõ một đường link lên Twitter, nếu liên kết nằm trong “danh sách đen” của Dự án Chống lừa đảo, nó ngay lập tức bị ngăn chặn. 

Tương tự, với Facebook, từ năm 2021, tôi và nhóm của mình đã hỗ trợ Facebook khá nhiều trong việc truyền thông nâng cao nhận thức về chống lừa đảo cho người dùng Việt Nam. Nên mới đây, Facebook đồng ý cung cấp cho tôi một “cổng” riêng để báo cáo những trang web lừa đảo, từ đó, họ khóa chặt những trang này trên nền tảng Facebook. 

“CHIÊU” THUYẾT PHỤC “ GÃ KHỔNG LỒ” GOOGLE

Google thống trị thị trường tìm kiếm, chiếm hơn 93% lượt tìm kiếm trên toàn thế giới. Mấy năm trước, Hiếu nói sẽ thuyết phục Google chặn web “đen” giúp người Việt, mà sao giờ “im ắng”?

Vâng, từ lâu, tôi đã nhận ra, nếu Google “nhúng” dữ liệu của chúng tôi vào công cụ tìm kiếm để khóa chặn những trang web “đen” thì rất nhanh, sẽ giúp hàng triệu, thậm chí hàng trăm triệu người tránh được nguy cơ bị lừa đảo trên mạng.

Từ năm 2021, tôi đã nhắn tin cho Google, nhưng họ không hồi đáp. Google quá “khổng lồ”, trong khi mình lại quá bé nhỏ. Nhưng tôi vẫn cứ “lỳ”, liên tục nhắn kêu gọi hỗ trợ, liên tục cầu cứu. Phải một năm sau, Google mới chịu đồng ý nói chuyện (online), nhưng chỉ để… hiểu nhau chút thôi.

Gần 1 năm sau nữa, mới đây, Google mới chịu chấp nhận bố trí một cuộc họp trực tuyến với hơn 100 chuyên gia an toàn thông tin của họ và chỉ cho tôi 90 phút để trình bày.

Sau khi nghe tôi trình bày, họ chỉ hỏi tôi đúng một câu: “Google giúp gì được cho người Việt Nam?”.

Tôi nói thẳng: “Tôi và nhóm của mình sẽ sử dụng kỹ năng, cung cấp cơ sở dữ liệu là danh sách, trang web lừa đảo cho Google. Google chỉ cần sử dụng cơ sở dữ liệu của Công ty Chống lừa đảo vào sản phẩm của Google là giải quyết được vấn đề, có thể giảm nguy cơ bị lừa đảo cho ít nhất hơn 50% người dùng sản phẩm Google ở Việt Nam”.

Đến lúc này, đại diện Google mới trả lời: “Chúng tôi sẽ giúp. Bởi suốt 2 năm nay, chúng tôi đã theo dõi bạn và tin bạn làm thật, nên mới có cuộc làm việc ngày hôm nay!”.

Tuy nhiên, Google yêu cầu tôi phải theo tiêu chuẩn của họ: minh bạch và chi tiết. Nghĩa là, khi báo cáo một trang web lừa đảo nào, thì phải chứng minh được trang đó lừa đảo gì. Bởi nếu khóa chặn sai, Google cũng sẽ bị kiện. Trong năm nay, chúng tôi sẽ xây dựng lại mọi cơ sở dữ liệu theo tiêu chuẩn Google.

Như vậy, Hiếu đã giúp cả Twitter, Facebook và giờ là Google thêm uy tín. Hiếu có thể “bật mí” một chút về khoản lương hoặc chi trả của họ không?

Dạ, là… 0 đồng! Ban Giám khảo Giải thưởng Nhân tài Đất Việt cũng từng hỏi tôi câu hỏi này.

Nếu công ty chúng tôi kiếm lợi nhuận từ việc này, thì họ không hợp tác. Bởi họ biết, công cụ này có thể kiếm được nhiều tiền và rất quyền lực trong “thế giới phẳng”. Tôi có thể khóa chặn trang web của một tập đoàn lớn ngay lập tức, nhưng những “gã khổng lồ” này không chấp nhận làm “công cụ” để mình kiếm tiền phi pháp.

Google, Facebook đều nói thẳng rằng, họ hợp tác với tôi, với công ty của tôi vì đây là tổ chức phi lợi nhuận và họ đã theo dõi kỹ nhiều năm, đã xác tín. Khi ký hợp tác với họ, tôi cũng chấp nhận điều kiện là luôn giữ tính minh bạch và phi lợi nhuận.

Vậy Hiếu lấy tiền đâu để “nuôi” nhân viên, để phát triển, vì “có thực mới vực được đạo”?

Ba năm nay, công ty của tôi hoạt động không lợi nhuận. Nguồn kinh phí để hoạt động chủ yếu từ hỗ trợ của các Mạnh thường quân. Tuy nhiên, để đi đường dài, trong năm nay, chũng tôi sẽ cơ cấu lại hoạt động theo hướng: tuân thủ các cam kết minh bạch, phi lợi nhuận đã ký với các hãng; tổ chức thêm mô hình đào tạo có thu phí để đào tạo nhận thức, kỹ năng an toàn thông tin cho các doanh nghiệp có nhu cầu. Nguồn thu này sẽ dùng để trả lương cho nhân viên Công ty Chống lừa đảo, các chuyên gia hợp tác với Dự án Chống lừa đảo. Lương không nhiều thì ít, cần phải có “thực” để đội ngũ nhân sự có động lực làm việc.

Mục tiêu đến năm 2025, chúng tôi định vị Công ty Chống lừa đảo là tổ chức phi lợi nhuận duy nhất ở Việt Nam có khả năng ngăn chặn, khóa các trang web lừa đảo.

Ngày trước, tôi từng đánh cắp tiền của nhiều người, tôi hiểu được tâm lý của tội phạm, hiểu tâm lý của nạn nhân. Giờ đây, tôi muốn dùng những kiến thức về công nghệ của mình để bảo vệ mọi người. Tôi sẽ không bao giờ bỏ cuộc.