Vào năm 2015, tội phạm mạng đã tấn công một số công ty giao dịch tiền tệ và đánh cắp dữ liệu nhạy cảm, để lại một thư tống tiền. Họ nhanh chóng nhận được phản hồi hoảng hốt từ một phụ nữ tên Helena, người tự nhận là lãnh đạo ở châu Âu của một trong các công ty được giao nhiệm vụ xử lý cuộc đàm phán. Trong những đoạn trao đổi qua WhatsApp ngày càng rối rắm, Helena cầu xin bọn tội phạm giảm giá tiền chuộc.

Bọn tin tặc không hề hay biết rằng tác giả tin nhắn không phải là lãnh đạo doanh nghiệp, cũng không phải phụ nữ, và chẳng hề hoảng loạn. Đằng sau màn hình thực ra là Moty Cristal, chuyên gia đàm phán con tin kỳ cựu người Israel, vốn quen đối thoại với các phần tử cực đoan Hamas và Hezbollah hơn là các băng nhóm tội phạm mạng. Hóa thân thành Helena là lần đầu tiên Cristal thử nghiệm kỹ thuật sẽ trở thành dấu ấn riêng của ông trong hành trình kéo dài cả thập kỷ, đại diện cho các công ty toàn cầu trong hàng trăm cuộc đàm phán tiền chuộc được mất cực lớn.

Vẻ ngoài nghiêm nghị, cổ đeo thẻ bài, giống nhiều người Israel, để thể hiện sự đoàn kết với các con tin đang bị Hamas giam giữ, Cristal, 57 tuổi, toát lên phong thái tự tin của một cựu quan chức an ninh Israel kỳ cựu khi giải thích về công việc của mình. “Đôi khi tôi là con gái của ông chủ” khi đàm phán với tin tặc, ông nói từ văn phòng trên tầng 39 một tòa nhà chọc trời ở Tel Aviv. “Đôi khi tôi là một anh chàng IT bối rối được giao xử lý việc đàm phán vì họ không muốn chia sẻ chuyện này với ban tổng. Đôi khi tôi là một thành viên đầy tham vọng trong đội pháp lý, người đang cố gắng chứng tỏ bản thân. Và điều then chốt là phải hiểu, như bất kỳ chuyên gia đàm phán con tin nào, rằng đằng sau bàn phím ở phía bên kia cũng là một con người.”

Trước khi chuyển sang lĩnh vực đàm phán với tội phạm mạng, Cristal đã có hai thập kỷ kinh nghiệm làm chuyên gia đàm phán giải thoát con tin trong quân đội Israel. Ông từng tham gia các cuộc đàm phán hòa bình với Jordan và Palestine, góp phần vào cuộc trao đổi hơn 1.000 tù nhân Palestine lấy binh sĩ Israel Gilad Shalit năm 2011, và đã có nhiều năm giảng dạy về chuyên môn của mình tại các trường đại học ở Nga. Qua mặt bọn tội phạm mạng tinh ranh chỉ bằng giao tiếp qua tin nhắn có vẻ là thử thách mới rất hấp dẫn với ông.

Công ăn việc làm trong lĩnh vực này không thiếu. Theo nghiên cứu của Check Point Software Technologies, công ty an ninh mạng Mỹ-Israel, các cuộc tấn công bằng phần mềm mã độc, khi tin tặc mã hóa hoặc đánh cắp dữ liệu nhạy cảm rồi yêu cầu thanh toán (thường bằng tiền điện tử) để khôi phục, đã trở thành một trong những mối đe dọa an ninh mạng nghiêm trọng nhất với doanh nghiệp toàn cầu trong năm 2024. Công ty phân tích blockchain của Mỹ Chainalysis ghi nhận 813 triệu đô la tiền chuộc được thanh toán trong các vụ tấn công kiểu này chỉ trong năm 2024. FBI khuyến cáo doanh nghiệp không nên trả tiền, vì điều đó sẽ khuyến khích các cuộc tấn công và thậm chí có thể không giải quyết được vấn đề. Nhưng nói chung việc thanh toán tiền chuộc hiện vẫn chưa bị coi là bất hợp pháp.

Mối đe dọa ngày càng gia tăng đã dẫn đến sự xuất hiện của các chuyên gia đàm phán phần mềm mã độc tư nhân, vốn đảm nhận việc thương lượng với tin tặc, đồng thời giúp doanh nghiệp có thêm thời gian đánh giá rủi ro, tiến hành điều tra số về vụ tấn công, tham khảo ý kiến luật sư và triển khai đội ngũ IT nhằm cố gắng khôi phục dữ liệu mà không phải trả tiền cho tội phạm mạng.

Kinh nghiệm đàm phán trong nhiều lĩnh vực khác giúp Cristal có lợi thế ban đầu. Khi gặp trực tiếp, ông thể hiện phong cách kịch tính không thể phủ nhận, điều rất phù hợp với công việc dạng này. Ông có thể lên giọng giả vờ tức giận như chiến thuật gây áp lực, hoặc như trong một bài phát biểu hài hước năm 2016 vẫn còn trên YouTube, bắt chước giọng cường điệu để chế giễu tội phạm mạng. Nhưng vì những mánh ông đã phát triển trong sự nghiệp lúc đầu — sức hấp dẫn cá nhân, giao tiếp bằng ánh mắt, giọng nói, hay sự ấm áp hoặc lạnh lùng có chiến lược — đều không thể áp dụng trong trao đổi qua tin nhắn, ông buộc phải nghĩ ra các chiêu thức mới.

Đó là một quá trình học hỏi. Khi Cristal tự hào khoe các đoạn tin nhắn của Helena với vợ mình, ông kể rằng bà đã cười khẩy và nhận xét giọng điệu trong tin nhắn chẳng hề mang nét nữ tính. Theo Cristal, cuộc đàm phán năm 2015 đó đã kết thúc thất bại khi khách hàng từ chối trả tiền chuộc, dù dữ liệu bị đánh cắp hết sức nhạy cảm cao, kịch bản mà ông nói là khá hiếm gặp.

Kể từ đó, ông đã mài giũa thêm kỹ năng, dù đàm phán với tin tặc chưa bao giờ là công việc toàn thời gian của ông. Từ tháng Chín, ông đảm nhiệm vai trò trưởng bộ phận ngoại giao doanh nghiệp tại công ty hạ tầng AI có trụ sở tại Amsterdam, Nebius Group, chuyên xử lý quan hệ với chính phủ. Từng là trung tá quân trù bị của Lực lượng Phòng vệ Israel (IDF) và là một trong những nhà đàm phán dày dạn kinh nghiệm nhất nước này, ông vẫn thường xuyên được chính phủ tham vấn. Ông đã tham gia xử lý cuộc khủng hoảng con tin tại Dải Gaza. Còn các cuộc đàm phán với tin tặc là theo hợp đồng, thường được ông dành cho vài tiếng mỗi tối.

Hiện nay, các băng nhóm tống tiền mã độc hàng đầu là những tổ chức tinh vi, chủ yếu đặt trụ sở tại Đông Âu và Mỹ Latin, có văn phòng hẳn hoi, có cả phòng nhân sự và hỗ trợ kỹ thuật. Một số nhóm còn hợp tác với các đối tác bên ngoài, cung cấp quyền truy cập tạm thời vào phần mềm độc hại, tức mô hình “dịch vụ tống tiền mã độc.” Theo các chuyên gia, những năm gần đây, nhiều tin tặc đã chuyển sang mô hình “tống tiền kép,” khi họ không chỉ đánh cắp dữ liệu mà còn đe dọa công khai thông tin nếu doanh nghiệp không chịu trả tiền chuộc.

Theo các chuyên gia đàm phán, khoảng một nửa các công ty tìm kiếm sự hỗ trợ để đối phó với tin tặc cuối cùng sẽ phải trả một khoản phí nào đó. “Có thể là vì họ cần công cụ giải mã. Cũng có thể là để ngăn dữ liệu bị công khai,” theo Mark Lance của công ty an ninh mạng GuidePoint Security. Ông thừa nhận luôn tồn tại rủi ro những kẻ tống tiền không khôi phục dữ liệu ngay cả khi đã nhận tiền. Nhưng ông nói thêm: “Dù vậy, các nhóm tội phạm mạng cũng có thương hiệu và danh tiếng mà họ cần bảo vệ.”

Chính ngành đàm phán với tin tặc cũng bị nhiều người chỉ trích, họ hoài nghi về hiệu quả thực sự và cho rằng mức phí tư vấn quá cao. Các băng nhóm tội phạm thường xuyên tiến hành nghiên cứu để xác định chính xác mức tiền chuộc cần đòi. “Thông thường, khoản tiền chuộc tương ứng với mức bảo hiểm an ninh mạng của công ty, nên theo một cách nào đó, đàm phán là vô ích vì họ biết rất rõ mức phí bảo hiểm và những gì họ có thể lấy được,” theo Lotem Finkelstein, giám đốc bộ phận tình báo và nghiên cứu mối đe dọa tại Check Point.

Các chuyên gia đàm phán thì biện minh cho những gì họ làm với lý lẽ lực lượng thực thi pháp luật và chính quyền thường không có hành động cụ thể nào để giúp doanh nghiệp lấy lại dữ liệu bị mã hóa. “Đây là một tội phạm. Vậy các nạn nhân của tội phạm nên làm gì khi chính quyền không thể giúp đỡ họ?” Cristal đặt câu hỏi.

Martin Haslund Johansson là CEO của hai công ty cung cấp dịch vụ lưu trữ web nhỏ ở Đan Mạch từng bị tấn công vào tháng 8.2023 và đã phá sản chỉ trong 48 tiếng. Ông đã trực tiếp đàm phán với tin tặc qua email, sau khi liên hệ với một chuyên gia đàm phán có mức phí vượt quá ngân sách của ông, và gần bằng mức tiền chuộc yêu cầu. Sau đó, ông tìm được một chuyên gia đàm phán khác với mức giá hợp lý hơn, nhưng khi đó đã quá muộn, theo lời ông.

“Về mặt triết lý, tôi đồng ý rằng bạn không nên trả tiền chuộc,” ông nói. “Còn từ góc độ kinh doanh, nếu bạn có thể và tin rằng sẽ lấy lại được thông tin, thì đó tất nhiên vẫn là một lựa chọn khả thi.”

Nếu một công ty quyết định đàm phán và liên hệ với Cristal, ông thường sẽ tham gia vào quá trình này trong vòng ba đến bốn ngày đầu tiên, cùng một nhóm phản ứng lớn hơn để xử lý mọi khía cạnh của vụ tấn công. Một trong những việc đầu tiên ông làm là xác định xem tác giả cuộc tấn công có phải thuộc nhóm mà ông gọi là “Ivy League” trong giới tin tặc — tức những tổ chức lâu đời và đã dày dạn thường sẽ khôi phục dữ liệu sau khi nhận tiền chuộc. Nếu ông đang xử lý một nhóm tin tặc chỉ là tay con — tức nhóm nhỏ trả tiền cho các băng lớn hơn để có quyền tiếp cập công nghệ phần mềm mã độc — ông sẽ phải xác định độ tin cậy của nhóm này. Và nếu ông xác định được mình đang phải xử lý một nhóm bị chính phủ Mỹ áp lệnh trừng phạt, ông sẽ ngay lập tức dừng đàm phán.

Trong quá khứ, các dấu hiệu ngôn ngữ thường đóng vai trò then chốt để nhận diện tin tặc, nhưng công cụ dịch thuật sử dụng AI đã xóa bỏ gần như toàn bộ những dấu vết này. Thỉnh thoảng, theo Cristal, ông nhận ra mình đang đàm phán với một con bot, khi đó, ông sẽ làm chuyện nhiều người từng làm khi sử dụng dịch vụ chăm sóc khách hàng trực tuyến: đưa ra những yêu cầu bất thường khiến hệ thống bị rối và buộc phải chuyển ông sang gặp người thật. (Ông từ chối chia sẻ các kỹ thuật cụ thể.)

Cho tới giờ thì tội phạm mạng vẫn chưa tin tưởng giao hoàn toàn quá trình đàm phán cho AI, theo Cristal. “Tôi có thấy người Nga dùng AI để lập trình, để dịch thuật, nhưng không thấy họ dùng AI để điều hành toàn bộ quá trình đàm phán. Họ cần nắm quyền kiểm soát vì họ quan tâm đến tiền bạc.”

Cristal cũng thường phải trấn an các lãnh đọa doanh nghiệp và giúp những người ra quyết định trong công ty đồng thuận được với nhau. Ông nói đàm phán thường đổ vỡ vì nội bộ công ty đổ lỗi cho nhau. Sau khoảng bốn đến năm ngày, các doanh nghiệp thường đã quyết định là có trả tiền chuộc hay không. “Đó không phải là quyết định của chúng tôi,” theo Guy Segal, phó chủ tịch phụ trách phát triển doanh nghiệp tại Sygnia Consulting, công ty khởi nghiệp trong lĩnh vực an ninh mạng thường xuyên hợp tác với Cristal. “Chúng tôi cần đảm bảo khách hàng của chúng tôi hiểu rõ lợi ích của việc trả tiền, lợi ích của việc không trả, hiểu biết của chúng tôi về nhóm tội phạm đang đe dọa họ, mức độ đáng tin cậy của nhóm đó. Và nếu như vậy là ổn, thì đó là quyết định kinh doanh của khách hàng.”

Cristal nói ông trực tiếp áp dụng kinh nghiệm làm chuyên gia đàm phán con tin để xây dựng mối quan hệ với bên đối thoại, ngay cả khi không hề tin tưởng họ. Theo Cristal, điều then chốt là luôn giữ cho cuộc trò chuyện tiếp tục. “Tôn trọng không đồng phải tin tưởng, và bạn hoàn toàn có thể thể hiện sự tôn trọng dù không tin tưởng bên kia. Đó có thể là Hamas, đó có thể là Akira,” ông nói, ý chỉ một băng nhóm tin tặc khét tiếng. “Đó có thể là bà nhạc mẫu của bạn.”