Cuối tháng 6/2022, một chiến dịch quy mô lớn nhưng diễn ra âm thầm mang tên HAECHI-III được Tổ chức Cảnh sát Hình sự Quốc tế (Interpol) khởi động. Không ồn ào như các cuộc bố ráp thông thường, HAECHI-III tập trung vào mặt trận vô hình: truy vết dòng tiền số, phong tỏa tài sản lừa đảo, triệt phá các đường dây tội phạm tài chính xuyên quốc gia.
Sau gần 5 tháng triển khai, kết quả khiến cả giới điều tra kinh ngạc: gần 130 triệu USD bị chặn hoặc thu giữ, 975 nghi phạm bị bắt, hơn 2.800 tài khoản ngân hàng và ví tiền điện tử tại 31 quốc gia bị phong tỏa, theo các tài liệu chính thức của Interpol.
Theo dấu dòng tiền
Nhưng điều khiến chiến dịch này trở thành hình mẫu của điều tra hiện đại không nằm ở các con số. Đó là cách cảnh sát quốc tế đã thay đổi hoàn toàn tư duy tiếp cận: không còn xoay quanh hiện trường, nhân chứng hay vật chứng vật lý, mà tập trung vào thứ tội phạm khó che giấu nhất - dòng tiền. Bằng chiến thuật "theo dấu dòng tiền", các nhà điều tra đã truy ngược được toàn bộ cấu trúc tổ chức và các mắt xích trong chuỗi lừa đảo công nghệ cao, dù thủ phạm ẩn mình dưới hàng chục lớp danh tính số, tài khoản giả và các dịch vụ tài chính phân tán.
Một trong những công cụ đóng vai trò then chốt trong chiến dịch là ARRP - Anti-Money Laundering Rapid Response Protocol - giao thức phản ứng nhanh chống rửa tiền, được Interpol phát triển và triển khai đầy đủ lần đầu tiên trong HAECHI-III. Cơ chế này cho phép cảnh sát các nước liên hệ và hành động gần như tức thời để phong tỏa tài khoản, ngăn dòng tiền bị lừa đảo bốc hơi trong tích tắc.
Tại Ireland, một doanh nghiệp lớn đã nhận được email giả mạo từ “đối tác lâu năm”, yêu cầu thay đổi thông tin tài khoản nhận thanh toán. Email được soạn kỹ lưỡng với đầy đủ chữ ký số, giọng điệu chuyên nghiệp và ngôn ngữ kinh doanh không chút sơ hở. Tin tưởng, doanh nghiệp đã chuyển 1,2 triệu euro vào tài khoản mới. Chỉ vài giờ sau, cuộc gọi xác nhận từ phía đối tác thật khiến doanh nghiệp “ngã ngửa” vì biết mình đã bị lừa. Ngay lập tức, cảnh sát Ireland kích hoạt ARRP, gửi tín hiệu đến Interpol. Từ Lyon, Pháp, nơi đặt trụ sở Interpol, cơ quan này chuyển thông tin đến cảnh sát Anh tại Manchester - nơi có ngân hàng giữ số tiền bị lừa. Trong chưa đầy một buổi chiều, tài khoản bị phong tỏa, toàn bộ số tiền được thu hồi và trả lại cho nạn nhân. Vụ việc không chỉ thể hiện hiệu quả tuyệt đối của ARRP mà còn chứng minh rằng nếu cảnh sát nắm được luồng chảy tài chính, họ hoàn toàn có thể hành động nhanh hơn cả tốc độ rút tiền của tội phạm.
Một vụ án khác khiến giới điều tra đánh giá rất cao là sự kết hợp giữa Interpol và cảnh sát Hàn Quốc trong việc truy bắt hai nghi phạm điều hành đường dây lừa đảo kiểu Ponzi quy mô lớn. Lừa đảo kiểu Ponzi là một hình thức lừa đảo tài chính, trong đó người tham gia sau trả tiền cho người tham gia trước, tạo cảm giác rằng “đầu tư đang sinh lời”, trong khi thực chất không có hoạt động kinh doanh thật sự nào sinh ra lợi nhuận.
Với hơn 2.000 nạn nhân và tổng thiệt hại hơn 28 triệu euro, hai kẻ chủ mưu nhanh chóng trốn khỏi Hàn Quốc, sử dụng danh tính giả và liên tục di chuyển giữa các quốc gia để tránh bị truy lùng. Tuy nhiên, cả hai đã bị đưa vào danh sách Red Notice - lệnh truy nã đỏ của Interpol. Một trong số đó bị phát hiện tại Hy Lạp khi dùng thẻ tín dụng đăng ký ở UAE để mua vé máy bay, lập tức bị chặn lại ngay tại sân bay Athens. Người còn lại sa lưới ở Milan, Ý chỉ vài ngày sau đó. Không có truy vết tiền bạc và giao dịch điện tử, cảnh sát không thể xác định chính xác thời điểm, địa điểm và danh tính thực sự của nghi phạm - điều đó cho thấy sức mạnh của việc kết hợp giữa giám sát tài chính và mạng lưới cảnh sát quốc tế trong thời đại số.
Ngoài các vụ lừa đảo truyền thống qua email hay đầu tư giả, HAECHI-III còn bóc trần nhiều thủ đoạn mới mẻ, tinh vi hơn. Một người đàn ông tại Áo đã bị một kẻ tự xưng là nhân viên Europol gọi điện, thông báo ông đang bị điều tra vì liên quan đến rửa tiền ma túy. Giọng nói rõ ràng, danh xưng đầy đủ, và câu chuyện hợp lý đến mức nạn nhân hoàn toàn tin tưởng. Kẻ lừa đảo yêu cầu ông chuyển tiền để “kiểm tra nguồn gốc”, nếu muốn chứng minh vô tội. Tổng cộng ông đã chuyển hơn 159.000 USD. Lần theo luồng IP (địa chỉ định danh của thiết bị trên Internet) và các giao dịch tiền số, cảnh sát xác định các cuộc gọi đến từ một trung tâm tổng đài ở New Delhi và Noida, Ấn Độ. Cảnh sát Ấn Độ lập tức ập vào trung tâm điều hành cuộc gọi, thu giữ hàng trăm điện thoại dùng internet để giả danh cơ quan chức năng, dữ liệu của hàng ngàn nạn nhân tiềm năng, và gần 26 đồng Bitcoin - loại tiền mã hóa mà nhóm này dùng để nhận tiền lừa đảo.
Chiến dịch kết thúc vào tháng 11/2022 với kết quả: xử lý hơn 1.600 vụ việc, bắt giữ gần 1.000 nghi phạm, phát hành 95 lệnh truy nã quốc tế, đóng băng tài sản trị giá gần 130 triệu USD. Interpol cũng phát hiện thêm 16 kiểu lừa đảo mới, bao gồm các biến tướng của lừa tình (giả vờ yêu để chiếm đoạt tiền), tống tiền bằng ảnh hoặc video nhạy cảm, lừa đầu tư thông qua các ứng dụng nhắn tin có mã hóa, và giả mạo là cảnh sát hoặc cơ quan pháp luật để dọa nạn nhân chuyển tiền.
Đây không chỉ là một chiến dịch trấn áp, mà còn là một cuộc đua công nghệ - khi cảnh sát các nước buộc phải phối hợp từng giây, truy vết từng byte dữ liệu, từng giao dịch mờ ám để vượt lên trước tội phạm ít nhất một bước.
Trong kỷ nguyên số, nơi tiền di chuyển nhanh hơn súng đạn, dòng tiền chính là vết máu của tội phạm - chỉ cần biết cách nhìn, cảnh sát sẽ lần ra cả bộ máy đứng sau.
Truy tiền, không truy người
Nếu như thế kỷ trước, điều tra hình sự gắn liền với hiện trường, lời khai và giám định vật chứng, thế kỷ 21 buộc cảnh sát phải học một thứ ngôn ngữ mới: ngôn ngữ của dòng tiền số. Những kẻ lừa đảo ngày nay không để lại vết máu, dấu vân tay, hay vật chứng vật lý. Thứ duy nhất chúng để lại là các giao dịch điện tử, chuyển khoản ngân hàng, ví tiền mã hóa, mã khuyến mãi, thẻ game, voucher kỹ thuật số, và đôi khi là vài dòng mã hóa trên một nền tảng ẩn danh.
Hiểu điều này, Interpol đã chuyển trọng tâm điều tra từ "theo dấu người" sang "theo dấu tiền". Họ không đuổi theo nghi phạm trước, mà tìm cách làm đóng băng dòng tiền trước khi nó bị rửa sạch. Đây là tư duy lật ngược: không chặn tay kẻ cắp lúc đang móc túi, mà khóa chặt cánh cửa ngân hàng hắn định gửi tiền vào.
Công cụ chiến lược cho phương pháp này là ARRP. Khác với cơ chế tư pháp quốc tế thông thường vốn chậm chạp và rườm rà, ARRP cho phép kích hoạt phong tỏa tài khoản chỉ trong vài giờ trên phạm vi nhiều quốc gia. Cảnh sát ở Ireland có thể gửi cảnh báo ngay lập tức đến đồng nghiệp ở Anh, Hàn Quốc hay UAE để chặn tiền, mà không cần chờ công hàm hay phiên họp song phương.
Bên cạnh ARRP, Interpol tận dụng mạng lưới dữ liệu tài chính toàn cầu - từ hệ thống SWIFT (mạng lưới toàn cầu giúp các ngân hàng gửi và nhận thông tin về giao dịch tài chính), dữ liệu giao dịch từ các sàn tiền số... AI và phân tích dữ liệu lớn cũng được tích hợp để phát hiện mô hình giao dịch bất thường, kết nối các tài khoản tưởng như rời rạc nhưng thực chất thuộc cùng một mạng lưới. Nghi phạm dùng 10 ví điện tử, qua 5 lớp trung gian, vẫn có thể bị lần ra nhờ hành vi chi tiêu, thời gian đăng nhập, hay vị trí IP không khớp.
Tất cả cho thấy rằng chiến lược điều tra hiện đại không phải chạy theo dấu vết tội phạm - mà là đi trước một bước, khoanh vùng nơi tiền sẽ đến và khóa nó lại. Từ đó, kéo sập toàn bộ đường dây mà không cần chờ nghi phạm lộ diện.
Kẻ lừa đảo mang bộ mặt doanh nhân
Thế giới ngầm ngày nay không còn mang hình ảnh của những gã giang hồ xăm trổ, đe dọa, cướp giật giữa phố. Những kẻ nguy hiểm nhất hiện nay thường ngồi trong phòng điều hòa, mặc sơ mi trắng, và nói chuyện với bạn bằng giọng Anh - Mỹ chuẩn chỉnh hơn cả nhân viên ngân hàng.
Tội phạm công nghệ cao đã chuyển hóa từ cá nhân thành tổ chức. Chúng làm việc theo mô hình doanh nghiệp: có đội ngũ trực tổng đài, bộ phận nội dung, đội IT, ban điều hành, thậm chí chia ca làm việc theo múi giờ quốc tế. Nhân viên được huấn luyện qua các giáo trình chuẩn mực: cách nói chuyện gây tin tưởng, cách xử lý tình huống khi nạn nhân nghi ngờ, cách thao túng cảm xúc - từ sợ hãi, hoang mang đến lòng tin mù quáng.
Ở thành phố Noida (Ấn Độ), cảnh sát phát hiện một đội nhân viên sử dụng bản đồ ngữ âm để giả giọng người Áo, người Anh, người Pháp. Họ không cần tiếng mẹ đẻ - chỉ cần một chất giọng đủ chuyên nghiệp để khiến nạn nhân tưởng mình đang nói chuyện với cảnh sát quốc tế. Ở đây không khác gì một trường đào tạo diễn viên lồng tiếng.
Điểm mạnh của loại tội phạm này là tính phi biên giới và phi vật thể. Chúng có thể ở Nigeria nhưng giả danh ở Đức, điều hành server ở Singapore, giao dịch tiền số ở Thổ Nhĩ Kỳ, nhận chuyển khoản qua ngân hàng ảo đặt ở UAE. Chúng sử dụng công cụ hợp pháp để thực hiện hành vi bất hợp pháp, khiến việc buộc tội trở nên cực kỳ khó khăn. Tài khoản ngân hàng mở bằng giấy tờ giả, ví tiền điện tử ẩn danh, máy chủ lưu trữ ở quốc gia không có hiệp ước dẫn độ - mỗi lớp đó là một rào chắn.
Không giống như hacker kiểu cũ thường làm việc đơn độc, tội phạm tài chính hiện đại biết kết hợp giữa kỹ thuật và tâm lý học. Chúng biết rằng điều khó nhất không phải hack một hệ thống, mà là hack não người dùng. Chúng không cần đột nhập ngân hàng - chỉ cần bạn tự đưa mật khẩu. Chúng không cần trốn tránh - chỉ cần bạn tin rằng chúng là cảnh sát, luật sư, hay người yêu nơi xa.
Chiến dịch HAECHI-III không phải là dấu chấm hết, mà chỉ là một bước đi kịp thời trong cuộc chiến liên tục biến đổi. Trong khi cảnh sát bắt 975 nghi phạm, thì cùng lúc đó, ở đâu đó, hàng trăm đường dây mới đang hình thành. Tội phạm mạng không chết, chỉ thay hình đổi dạng.
Thực tế, chiến dịch HAECHI-III thành công phần lớn vì tội phạm vẫn còn dùng các kênh tài chính quen thuộc như ngân hàng và chuyển khoản quốc tế - những nơi cảnh sát có thể theo dõi và can thiệp. Nhưng hiện nay, bọn tội phạm đang chuyển sang những công cụ mới, khó kiểm soát hơn rất nhiều.
Chúng bắt đầu dùng ví điện tử ẩn danh - loại ví mà không ai quản lý, không cần xác minh danh tính. Chúng còn tận dụng các hệ thống tài chính phi tập trung (DeFi) và tiền ảo khó lần dấu như Monero hoặc ZCash, khiến cảnh sát hầu như không thể truy ra ai là chủ.
Khi tiền bị chia nhỏ, chuyển qua hàng loạt mạng blockchain, đổi liên tục giữa các sàn ẩn danh (DEX), rồi xóa sạch dấu vết, thì việc lần theo dòng tiền gần như bất khả thi - chẳng khác nào mò kim đáy biển.
Bên cạnh đó, một xu hướng đáng ngại hơn là sự lai hóa giữa AI và lừa đảo tâm lý học. Với các mô hình deepfake giọng nói, tội phạm có thể giả làm con cái bạn khóc cầu cứu, hoặc sĩ quan cảnh sát đọc tên thật của bạn qua điện thoại. AI cũng được dùng để viết email lừa đảo hoàn hảo, không lỗi cú pháp, đúng ngữ điệu kinh doanh, cá nhân hóa đến từng chi tiết nhỏ. Trong tương lai rất gần, ranh giới giữa người thật và máy sẽ mờ đến mức ngay cả những người cảnh giác cũng có thể bị lừa.
Về phía các cơ quan điều tra, chiến dịch như HAECHI không thể triển khai liên tục vì tốn kém nhân lực, hạ tầng kỹ thuật và phụ thuộc nhiều vào hợp tác chính trị giữa các quốc gia không phải lúc nào cũng trơn tru. Nhiều quốc gia không dẫn độ nghi phạm, hoặc không cho phép phong tỏa tài khoản, trừ khi có bằng chứng cho thấy hành vi phạm tội xảy ra trên lãnh thổ của họ. Trong khi đó, tội phạm mạng không có khái niệm “lãnh thổ”, chúng chọn nước đặt trụ ở đâu có lợi nhất, không ràng buộc luật pháp nhất, và hoạt động trong “vùng trũng” của hợp tác tư pháp toàn cầu.
Cuộc điều tra đầy kịch tính về đường dây gian lận tiền ảo ở châu Âu 
