Ba Lan bắt giữ bốn nghi phạm lừa đảo hoán đổi SIM mã hóa, thám tử trên chuỗi tiết lộ Wojtek Kulisz liên quan.

Cục Trung ương Chống Tội phạm Mạng Ba Lan (CBZC) vào ngày 25 tháng 6, với sự hỗ trợ của các đặc vụ Cục Điều tra Liên bang Mỹ (FBI) và Cục Điều tra An ninh Nội địa (HSI), đã bắt giữ bốn người bị tình nghi đánh cắp tiền từ tài khoản sàn giao dịch tiền mã hóa thông qua tấn công hoán đổi SIM và rửa tiền. Cả bốn người đều bị tạm giam trước xét xử, nhà điều tra blockchain ZachXBT đã liên kết một trong những nghi phạm với kỹ sư xã hội Wojtek Kulisz.

Cách thức hoạt động của tấn công hoán đổi SIM: Quy trình hoàn chỉnh từ xâm nhập IT, kỹ thuật xã hội đến chiếm đoạt số điện thoại

(Nguồn: Youtube Cục Trung ương Chống Tội phạm Mạng Ba Lan)

Theo giải thích của CBZC, quy trình tấn công của những người bị bắt như sau:

· Đầu tiên xâm nhập hệ thống IT của các công ty hợp tác với nhà mạng viễn thông;

· Nhờ vào các thủ đoạn kỹ thuật xã hội và phần mềm đặc biệt, xâm nhập tài khoản email của nhân viên;

· Sử dụng quyền truy cập có được, nhân bản và chiếm đoạt số điện thoại của nạn nhân, thực hiện tấn công hoán đổi SIM (khiến tội phạm có thể nhận tất cả cuộc gọi và tin nhắn, bao gồm mã xác thực bảo mật một lần);

· Thông qua kênh SMS và email, chiếm đoạt tài khoản sàn giao dịch tiền mã hóa và rút sạch tiền một cách có hệ thống;

· Sau đó rửa tiền qua các tài khoản ngân hàng cá nhân trong và ngoài Ba Lan, nền tảng thanh toán quốc tế và ví kỹ thuật số bằng nhiều loại tiền tệ.

ZachXBT liên kết nghi phạm với Wojtek Kulisz

Nhà điều tra blockchain ZachXBT đưa tin, một trong những nghi phạm có thể liên quan đến Wojtek Kulisz (biệt danh "Merry", một kỹ sư xã hội). ZachXBT dựa vào phương pháp so sánh: quần áo hàng hiệu và trang sức được trưng bày trên tài khoản Instagram công khai "wojtekk" của Kulisz phù hợp với các vật phẩm được chụp tại hiện trường thu giữ của chính quyền Ba Lan. Bản thân chính quyền Ba Lan không công bố tên hoặc ảnh của nghi phạm.

Tội danh mà bốn người phải đối mặt và các hoạt động thực thi pháp luật đồng thời trên toàn cầu

Cả bốn nghi phạm đều phải đối mặt với các cáo buộc sau: tham gia tổ chức tội phạm có tổ chức; trộm cắp thông qua truy cập bất hợp pháp vào hệ thống máy tính; rửa tiền. Mỗi tội danh có thể bị phạt tới 25 năm tù giam, hiện tất cả đều bị tạm giam trước xét xử.

Về các hoạt động thực thi pháp luật đồng thời trên toàn cầu: Tháng 3 năm 2026, FBI và cảnh sát Thái Lan đã đóng băng khoảng 580 triệu USD tiền mã hóa liên quan đến các băng nhóm lừa đảo Đông Nam Á; cuối tháng 5 năm 2026, "Chiến dịch Poweroff" của FBI đã thu giữ hơn 8 tỷ USD tài sản, bao gồm hơn 127.000 Bitcoin liên quan đến mạng lưới lừa đảo xuyên lục địa.

Câu hỏi thường gặp

Tấn công hoán đổi SIM vượt qua xác thực hai yếu tố (2FA) của sàn giao dịch tiền mã hóa như thế nào?

Theo báo cáo, tấn công hoán đổi SIM bằng cách dụ dỗ hoặc lừa dối công ty viễn thông để chuyển số điện thoại của nạn nhân sang SIM do tội phạm kiểm soát. Một khi kẻ tấn công kiểm soát được số điện thoại, chúng có thể nhận tất cả tin nhắn gửi đến số đó, bao gồm mã xác thực bảo mật một lần được gửi qua SMS; ngay cả khi nạn nhân có bảo vệ xác thực hai yếu tố, nếu phương thức xác thực là tin nhắn SMS, nó vẫn có thể bị vượt qua.

ZachXBT làm thế nào để liên kết danh tính nghi phạm với Kulisz khi không có công bố chính thức?

Theo báo cáo, ZachXBT đã sử dụng phương pháp tình báo nguồn mở (OSINT): so sánh quần áo hàng hiệu và trang sức được trưng bày trên tài khoản Instagram công khai "wojtekk" của Kulisz với ảnh chụp các vật phẩm tại hiện trường thu giữ của chính quyền Ba Lan. Phương pháp so sánh thông qua hình ảnh mạng xã hội có sẵn công khai này là kỹ thuật liên kết danh tính thường được các nhà điều tra blockchain sử dụng.

Cơ sở pháp lý của chiến dịch Ba Lan-FBI này là gì?

Theo báo cáo, chiến dịch này do CBZC Ba Lan chủ trì, với sự hỗ trợ của FBI và HSI, thuộc hợp tác thực thi pháp luật xuyên quốc gia. Bốn người bị bắt phải đối mặt với các tội danh bao gồm tham gia tổ chức tội phạm có tổ chức, trộm cắp thông qua truy cập bất hợp pháp vào hệ thống máy tính, và rửa tiền, đều áp dụng luật Ba Lan, mức án tối đa 25 năm tù giam.