Tội phạm mạng 'tiến hóa' đáng sợ: Bài cuối: Xác thực bằng VNeID - vũ khí mới chống tội phạm mạng

Mười năm nạn chiếm đoạt sim hoành hành

Năm 2013, hai nạn nhân đầu tiên trong các vụ chiếm đoạt SIM tại Việt Nam được báo chí ghi nhận. Kẻ gian thu thập thông tin cá nhân, đến cửa hàng nhà mạng tại Thanh Hóa, khai báo mất SIM và xin cấp lại. Thiệt hại chỉ vài chục triệu đồng, nhưng đây là hồi chuông cảnh báo rõ ràng: ai kiểm soát số điện thoại, người đó có thể kiểm soát cả tài khoản ngân hàng.

Mười ba năm sau, nguyên lý này không thay đổi, nhưng quy mô và mức độ tinh vi đã leo thang chóng mặt. Đường dây bị Công an Quảng Trị triệt phá vào tháng 4/2026 không cần giả giấy tờ, cũng không cần thuyết phục nhân viên tại quầy. Hồ Đức Thế, dù chỉ là một cộng tác viên của nhà mạng, vẫn có thể đăng nhập hệ thống và thực hiện 13 lần đổi SIM trái phép chỉ trong một ngày, với giá 15 triệu đồng mỗi SIM. Nhóm tội phạm sau đó sử dụng phần mềm chuyên dụng, thậm chí có thể cả công nghệ deepfake, để vượt qua lớp xác thực sinh trắc học của ngân hàng, chiếm đoạt hơn 23 tỷ đồng trước khi bị bắt.

Những gì xảy ra ở Quảng Trị không phải là sự cố đơn lẻ, mà là đỉnh điểm của một chuỗi vụ việc kéo dài, với hàng chục tỷ đồng "bốc hơi" khỏi tài khoản ngân hàng. Có thể kể đến một số vụ điển hình như: bà N.H.T.T. ở Đồng Nai bị mất hơn 5,3 tỷ đồng năm 2021; chị N.T.L. ở TPHCM mất hơn 5 tỷ đồng năm 2022; hay đường dây tại Quảng Bình (cũ) thu thập 17 triệu dữ liệu cá nhân rồi chiếm đoạt hơn 100 tỷ đồng thông qua hàng chục tài khoản ngân hàng giả mạo trong cùng giai đoạn.

Người dùng điện thoại di động có thể tự xác thực thuê bao chính chủ qua VNeID. Ảnh: Bộ KHCN

Thông tư 08 được ban hành với những thay đổi mang tính nền tảng, nếu được thực thi nghiêm túc, có thể tạo ra bước chuyển căn bản trong việc ngăn chặn tình trạng tội phạm chiếm đoạt SIM kéo dài suốt nhiều năm qua. Điểm thay đổi quan trọng nhất nằm ở bản chất của quy trình xác minh danh tính. Trước đây, việc đăng ký và đổi SIM chủ yếu dựa vào kiểm tra giấy tờ vật lý và đánh giá của nhân viên tại điểm giao dịch. Thông tư 08 thay thế bằng cơ chế xác thực kỹ thuật số bắt buộc, gồm bốn trường thông tin: số định danh cá nhân, họ tên, ngày tháng năm sinh và đặc biệt là dữ liệu sinh trắc học khuôn mặt. Tất cả phải được đối soát với Cơ sở dữ liệu quốc gia về dân cư do Bộ Công an quản lý, thay vì các hệ thống riêng lẻ của từng nhà mạng.

Thứ hai, Thông tư 08 lần đầu tiên trao cho người dân công cụ chủ động kiểm soát. Từ ngày 15/4/2026, người dùng có thể tra cứu toàn bộ các số thuê bao đứng tên mình trên tất cả các nhà mạng thông qua ứng dụng VNeID, không cần đến cửa hàng hay liên hệ riêng lẻ từng nhà mạng. Nếu phát hiện số điện thoại lạ đứng tên mình, người dùng có thể báo cáo vi phạm ngay trên ứng dụng và nhà mạng có trách nhiệm xử lý trong vòng 5 ngày.

Thứ ba là quy định về đổi thiết bị tại Điều 8, có hiệu lực từ ngày 15/6/2026. Đây là điểm trực tiếp nhắm vào thủ đoạn chiếm đoạt SIM. Theo đó, trong thời gian tối đa 2 giờ kể từ khi SIM được lắp sang thiết bị mới (khác với thiết bị đã sử dụng trước đó), nhà mạng có trách nhiệm rà soát, phát hiện và tạm dừng chiều gọi đi của thuê bao. Người dùng phải thực hiện xác thực lại khuôn mặt để khôi phục dịch vụ. Nếu sau 30 ngày không xác thực, thuê bao sẽ bị khóa hai chiều; sau thêm 5 ngày nữa không thực hiện, hợp đồng sẽ bị chấm dứt.

Thứ tư, Thông tư 08 quy định rõ nghĩa vụ lưu trữ bằng chứng của các nhà mạng. Doanh nghiệp viễn thông phải lưu giữ đầy đủ, chính xác các tài liệu chứng minh việc đã triển khai giải pháp xác thực thông tin thuê bao theo đúng quy định trong suốt thời gian thuê bao hoạt động. Quy định này tạo nền tảng pháp lý quan trọng cho việc kiểm tra, đối soát và xác định trách nhiệm khi xảy ra tranh chấp.

Công cụ hiệu quả phòng ngừa chiếm đoạt SIM

Nhìn từ góc độ phòng ngừa tội phạm, lợi ích rõ ràng nhất của Thông tư 08 là biến việc chiếm đoạt SIM từ "dễ" thành "gần như bất khả thi" theo phương thức cũ. Toàn bộ các vụ việc từ năm 2013 đến nay đều dựa vào một lỗ hổng chung: có thể sang tên SIM mà không cần sự hiện diện sinh trắc học của chủ thuê bao thực sự. Thông tư 08 đã bịt đúng lỗ hổng này. Kẻ gian không thể thực hiện sang tên nếu không có dữ liệu khuôn mặt khớp với Cơ sở dữ liệu quốc gia về dân cư.

Ảnh minh họa

Ngay cả trong trường hợp có yếu tố nội gián như Hồ Đức Thế, quy trình xác thực sinh trắc học gắn với cơ sở dữ liệu quốc gia tạo ra một rào cản kỹ thuật hoàn toàn khác về chất. Việc bỏ qua kiểm tra giấy tờ là khả thi khi phụ thuộc vào đánh giá của con người, nhưng không thể khiến khuôn mặt của nhiều chủ thuê bao khác nhau đồng thời khớp với dữ liệu quốc gia trong thời gian ngắn. Hệ thống sẽ tự động từ chối hoặc gắn cờ cảnh báo ngay từ những giao dịch đầu tiên.

Lợi ích thứ hai nằm ở chuỗi bảo vệ ngân hàng. Trong các vụ chiếm đoạt SIM, bước then chốt sau khi chiếm được SIM là nhận mã OTP từ ngân hàng. Khi SIM bị sang tên và thiết bị thay đổi mà không có xác thực, việc nhận tin nhắn vẫn diễn ra bình thường, tạo điều kiện để kẻ gian lấy OTP, đổi mật khẩu và thực hiện giao dịch. Quy định "2 giờ" của Thông tư 08 tạo ra một khoảng thời gian kiểm soát bắt buộc: chiều gọi đi bị tạm dừng ngay khi phát hiện thay đổi thiết bị, và người dùng phải xác thực lại danh tính trước khi dịch vụ được khôi phục. Điều này giúp cắt đứt chuỗi thao tác của tội phạm tại một mắt xích quan trọng.

Lợi ích thứ ba nằm ở tầng dữ liệu. Khi mọi SIM mới đều phải gắn với khuôn mặt thật và số định danh cá nhân, được đối soát với cơ sở dữ liệu quốc gia, việc tạo SIM rác để phục vụ lừa đảo hoặc nhận tiền chiếm đoạt trở nên khó khăn. SIM rác không chỉ là công cụ cho hành vi chiếm đoạt SIM, mà còn là hạ tầng của nhiều loại hình lừa đảo trực tuyến - từ giả danh cơ quan chức năng đến các tài khoản ngân hàng "ma". Việc triệt tiêu SIM rác đồng nghĩa với việc thu hẹp đáng kể "hạ tầng" của hệ sinh thái lừa đảo.

Lợi ích thứ tư là trao lại quyền chủ động cho người dùng. Trước đây, thông tin về việc "ai đứng tên SIM nào" gần như chỉ do nhà mạng nắm giữ, khiến người dùng rơi vào thế bị động và thường chỉ phát hiện khi đã xảy ra thiệt hại. Từ ngày 15/4/2026, người dân có thể chủ động tra cứu bất cứ lúc nào, phát hiện các số thuê bao lạ đứng tên mình và yêu cầu xử lý kịp thời thông qua VNeID. Đây là lần đầu tiên quyền giám sát thuê bao được trao lại cho chính người sử dụng trên nền tảng số.

Nhìn lại 13 năm, từ vụ việc đầu tiên đến vụ án tại Quảng Trị, có thể thấy một quy luật rõ ràng: mỗi biện pháp bảo vệ đơn lẻ đều có thể bị tội phạm tìm cách vượt qua. Giấy tờ định danh có thể bị làm giả; mã OTP có thể bị chiếm đoạt qua SIM; sinh trắc học có thể bị tấn công bằng công nghệ cao; con người có thể bị mua chuộc...

Thông tư 08/2026/TT-BKHCN không chỉ là một quy định kỹ thuật, mà là bước chuyển mang tính hệ thống trong cách quản lý thuê bao di động tại Việt Nam. Bằng việc gắn số điện thoại với danh tính số được xác thực trên cơ sở dữ liệu quốc gia, siết chặt quy trình đổi SIM và trao quyền giám sát cho người dùng, văn bản này đã tác động trực tiếp vào những điểm yếu cốt lõi từng bị tội phạm khai thác suốt hơn một thập kỷ.

Dù không phải "lá chắn tuyệt đối", Thông tư 08, khi kết hợp với các lớp bảo vệ từ ngân hàng và ý thức chủ động của người dân, có thể tạo ra một môi trường an toàn hơn đáng kể. Từ chỗ bị động đối phó, người dùng nay đã có công cụ để kiểm soát và phát hiện rủi ro từ sớm.

Trong bối cảnh các hình thức lừa đảo công nghệ ngày càng tinh vi, giá trị lớn nhất của Thông tư 08 không chỉ nằm ở việc ngăn chặn hành vi chiếm đoạt SIM, mà còn ở việc thiết lập lại nguyên tắc: quyền kiểm soát số điện thoại - và theo đó là nhiều tài sản số quan trọng - phải thuộc về đúng chủ thể, được bảo vệ bằng công nghệ và dữ liệu đáng tin cậy.