VIE - CSA Tier 1 Cyber Training Program - All Modules v3.1 - FINAL (VN)

CƠ QUAN AN TOÀN KHÔNG GIAN MẠNG CHÂU Á (CSA)
BẬC 1
CHƯƠNG TRÌNH ĐÀO TẠO AN NINH MẠNG
CSA Chương trình đào tạo an ninh mạng Bậc 1 0|Trang

Mục lục
Chương trình đào tạo an ninh mạng Bậc 1 của CSA: Giới thiệu khóa tập huấn..................... 7
Lời mở đầu .................................................................................. Error! Bookmark not defined.
Tổng quan các Học phần khóa học ............................................. Error! Bookmark not defined.
Học phần 1: Giới thiệu về tội phạm mạng .......................................................................................... 7
Học phần 2: Chứng cứ điện tử & Nhận thức về công nghệ ................................................................ 7
Học phần 3: Cơ bản về Internet .......................................................................................................... 7
Học phần 4: Kiến thức căn bản về mạng ............................................................................................ 7
Học phần 5: Các loại tội phạm và Tác nhân đe dọa ............................................................................ 7
Học phần 6: Thông tin tình báo nguồn mở (OSINT) ............................................................................ 7
Học phần 7: Tiền ảo/Tiền mã hóa (Cryptocurrency)........................................................................... 8
Học phần 8: Dark Web ........................................................................................................................ 8
Học phần 9: Các khái niệm và cân nhắc khi điều tra........................................................................... 8
Appendix A: Hướng dẫn xử lý ban đầu về tội phạm mạng ................................................................. 8
Đánh giá trực tuyến .................................................................... Error! Bookmark not defined.
Các nguồn khác ........................................................................... Error! Bookmark not defined.
Học phần 1: Giới thiệu về tội phạm mạng ............................................................................... 9
Tổng quan về Học phần .............................................................. Error! Bookmark not defined.
Tội phạm mạng là gì? ................................................................................................................. 9
Tội phạm lợi dụng không gian mạng là gì? .............................................................................. 10
Quan điểm thực thi pháp luật .................................................... Error! Bookmark not defined.
Những thách thức riêng ....................................................................... Error! Bookmark not defined.
Dữ liệu là ‘Vua’ .................................................................................................................................. 12
Dữ liệu công khai ................................................................................. Error! Bookmark not defined.
Phương tiện truyền thông xã hội ......................................................... Error! Bookmark not defined.
Mạng nổi (Surface Web) ................................................................................................................... 13
Mạng chìm (Deep Web) .................................................................................................................... 13
Mạng ẩn (Dark Web) ......................................................................................................................... 13
Mạng ngang hàng (Peer-to-Peer - P2P) ............................................................................................ 13
Tiền ảo............................................................................................................................................... 14
Hợp tác và phối hợp.................................................................... Error! Bookmark not defined.
Đội điều tra tội phạm mạng và/hoặc Đơn vị xử lý tội phạm công nghệ cao ...... Error! Bookmark not
defined.
Pháp y số .............................................................................................. Error! Bookmark not defined.
Âm thanh và hình ảnh pháp y .............................................................. Error! Bookmark not defined.

Bộ phận phụ trách an ninh mạng ASEAN ............................................. Error! Bookmark not defined.
Nhóm ứng phó sự cố bảo mật máy tính (CSIRTs) ............................................................................. 15
Đảm bảo tình trạng an toàn của mạng (Cyber Hygiene) ......................................................... 15
Các nguồn khác ........................................................................................................................ 15
Học phần 2: Chứng cứ điện tử & Nhận thức về công nghệ ................................................... 16
Chứng cứ điện tử là gì? ............................................................... Error! Bookmark not defined.
Quy tắc chứng cứ tốt nhất ................................................................... Error! Bookmark not defined.
Chứng cứ điện tử ở đâu .............................................................. Error! Bookmark not defined.
Chứng cứ điện tử và Nhà cung cấp dịch vụ ......................................... Error! Bookmark not defined.
Quản lý chứng cứ điện tử ........................................................... Error! Bookmark not defined.
Chuỗi hành trình .................................................................................. Error! Bookmark not defined.
Quy trình ........................................................................................................................................... 20
Phân tích ........................................................................................................................................... 20
Trình bày chứng cứ điện tử ..................................................................................................... 21
Nhận thức về công nghệ ............................................................. Error! Bookmark not defined.
Hiển thị thông tin điện tử .................................................................... Error! Bookmark not defined.
Truyền hoặc nhận thông tin điện tử ................................................................................................. 22
Lưu trữ thông tin điện tử .................................................................................................................. 22
Internet Vạn vật (IoT) ............................................................................................................... 23
Các thiết bị IoT là gì? ......................................................................................................................... 23
Thiết bị IoT Devices và Nhà Thông minh .............................................. Error! Bookmark not defined.
Nội dung cần cân nhắc trong quá trình thực thi pháp luật............................................................... 25
Học phần 3: Cơ bản về Internet .............................................................................................. 26
Internet là gì ............................................................................................................................. 26
Cảnh sát và Internet ................................................................................................................. 26
Trang chủ và Internet ............................................................................................................... 27
Kinh doanh và Internet ............................................................................................................ 28
Giao thức Internet (Internet Protocol - IP) .............................................................................. 28
Địa chỉ IP............................................................................................................................................ 28
Địa chỉ IP tĩnh và động ...................................................................................................................... 29
DHCP ................................................................................................................................................. 29
WHOIS ............................................................................................................................................... 30

DNS.................................................................................................................................................... 30
Trình duyệt Web ...................................................................................................................... 30
Công cụ tìm kiếm (Search Engines) ............................................. Error! Bookmark not defined.
Email......................................................................................................................................... 32
Địa chỉ Email ...................................................................................................................................... 32
Hệ thống Email .................................................................................................................................. 32
Cấu phần tin nhắn Email ................................................................................................................... 32
Phương tiện truyền thông mạng xã hội ................................................................................... 33
Khối xây dựng phương tiện truyền thông mạng xã hội (Social Media Building Blocks) ................... 34
Học phần 4: Kiến thức căn bản về mạng ................................................................................ 35
Mạng (Network) là gì ............................................................................................................... 35
Các loại mạng .............................................................................. Error! Bookmark not defined.
Mạng ngang hàng (Peer-to-Peer)...................................................................................................... 35
Mạng khách hàng/máy chủ (Client/Server) ......................................... Error! Bookmark not defined.
Mạng riêng ảo (Virtual Private Network - VPN) ................................................................................ 36
Mạng LANs và mạng WANs...................................................................................................... 36
Mạng cục bộ (Local Area Network - LAN) ......................................................................................... 36
Mạng diện rộng (Wide Area Network - WAN) .................................................................................. 37
Các giao thức và cổng mạng phổ biến ........................................ Error! Bookmark not defined.
Phần cứng/Thiết bị mạng............................................................ Error! Bookmark not defined.
Modem .............................................................................................................................................. 37
Thẻ giao diện mạng (Network Interface Card - NIC) ......................................................................... 37
Thiết bị chuyển mạch (Switch) .......................................................................................................... 37
Thiết bị định tuyến (Router) ............................................................................................................. 38
Tường lửa (Firewall).......................................................................................................................... 38
Thiết bị lưu trữ đính kèm/Máy chủ di động (NAS/ Portable Servers) .............................................. 38
Mạng không dây....................................................................................................................... 39
Wi-Fi .................................................................................................................................................. 39
Xác thực và mã hóa– WEP và WPA/WPA2/WPA3 ............................................................................ 40
Bluetooth .......................................................................................................................................... 40
Hồng ngoại ........................................................................................................................................ 41
Giới thiệu hệ điều hành Linux .................................................................................................. 41
Công cụ mạng sử dụng Giao diện dòng lệnh và Thiết bị đầu cuối.............Error! Bookmark not
defined.

Lệnh Windows CLI ................................................................................ Error! Bookmark not defined.
Lệnh đầu cuối Linux ............................................................................. Error! Bookmark not defined.
Học phần 5: Các loại tội phạm mạng & Tác nhân đe dọa ...................................................... 45
Những đe dọa phổ biến .............................................................. Error! Bookmark not defined.
So sánh tội phạm truyền thống và tội phạm mạng tương đương .................................................... 45
Tội phạm mạng thuần túy: Những đe dọa thường gặp .................................................................... 46
Tội phạm bắt nguồn từ hoạt động mạng: Những đe dọa thường gặp ............................................. 46
Tác nhân đe dọa ....................................................................................................................... 49
Tội phạm có tổ chức ......................................................................................................................... 49
Được Nhà nước tài trợ ...................................................................................................................... 49
Tin tặc................................................................................................................................................ 49
Khủng bố .............................................................................................. Error! Bookmark not defined.
Tin tặc cá nhân ..................................................................................... Error! Bookmark not defined.
Gián điệp cố tình làm rò rỉ thông tin .................................................... Error! Bookmark not defined.
Người vô tình gây rò rỉ thông tin ......................................................... Error! Bookmark not defined.
Phân loại tin tặc .......................................................................... Error! Bookmark not defined.
Tin tặc mũ trắng ................................................................................... Error! Bookmark not defined.
Tin tặc mũ xám ..................................................................................... Error! Bookmark not defined.
Tin tặc mũ đen ..................................................................................... Error! Bookmark not defined.
Xu hướng hiện hành ................................................................... Error! Bookmark not defined.
Thuật ngữ sử dụng trong tội phạm mạng và CNTT/An ninh mạng ...........Error! Bookmark not
defined.
Những vi phạm dữ liệu nghiêm trọng và tấn công bằng phần mềm độc hại .. Error! Bookmark
not defined.
Vi phạm nghiêm trọng về dữ liễu ........................................................ Error! Bookmark not defined.
Tấn công nghiêm trọng bằng phần mềm độc hại ................................ Error! Bookmark not defined.
Những mã độc tống tiền (Ransomware) nổi tiếng .............................. Error! Bookmark not defined.
Học phần 6: Thông tin tình báo nguồn mở ............................... Error! Bookmark not defined.
Thông tin tình báo nguồn mở (OSINT) là gì? ........................................................................... 59
Tại sao cần thu thập OSINT? .................................................................................................... 59
Cách thu thập OSINT? .............................................................................................................. 59
Chụp màn hình ............................................................................ Error! Bookmark not defined.

Lưu lại ngày giờ ........................................................................... Error! Bookmark not defined.
Các công cụ OSINT phục vụ công tác điều tra.......................................................................... 61
Ai có thể thu thập chứng cứ và thông tin tình báo từ Internet? Error! Bookmark not defined.
Các nguồn OSINT trực tuyến ....................................................... Error! Bookmark not defined.
Học phần 7: Tiền ảo ................................................................................................................. 65
Tiền ảo......................................................................................... Error! Bookmark not defined.
Mật mã học .......................................................................................... Error! Bookmark not defined.
Phân loại tiền ảo ............................................................................................................................... 66
Đào tiền ảo ....................................................................................... Error! Bookmark not defined.
Tiền ảo có mức giá cố định ........................................................................................................... 68
Không phải tiền ảo ............................................................................................................................ 68
Phân biệt Tiền ảo (Cryptocurrency) và Tiền pháp định (Fiat Currency) ............. Error! Bookmark not
defined.
Tiền ảo ở các nước ASEAN ................................................................... Error! Bookmark not defined.
Công nghệ chuỗi khối (Blockchain) .......................................................................................... 69
Khóa công khai và khóa bí mật ................................................... Error! Bookmark not defined.
Địa chỉ tiền ảo ...................................................................................... Error! Bookmark not defined.
Ví điện tử..................................................................................... Error! Bookmark not defined.
Sàn giao dịch ............................................................................... Error! Bookmark not defined.
Học phần 8: Mạng ẩn (Dark Web) .......................................................................................... 65
Mạng nổi, Mạng chìm và Mạng ẩn .......................................................................................... 74
Mạng nổi (Surface Web) ................................................................................................................... 74
Mạng chìm (Deep Web) .................................................................................................................... 74
Mạng ẩn (Dark Web) ......................................................................................................................... 74
Mạng lưới mạng ẩn (Darknet)........................................................................................................... 75
Làm thế nào để truy cập Dark Web? ....................................................................................... 75
Ẩn danh trên Internet .............................................................................................................. 75
Nghiên cứu sâu hơn về Mạng riêng ảo (VPN) ................................................................................... 76
Trình duyệt ẩn danh Tor .......................................................................................................... 76
Cách thức hoạt động của trình duyệt Tor và định tuyến củ hành (Onion Routing) ......................... 77
Dịch vụ ẩn.................................................................................... Error! Bookmark not defined.
Wiki ẩn .............................................................................................................................................. 78

Con đường tơ lụa - Nơi tất cả bắt đầu .............................................................................................. 79
Các thị trường khác và dịch vụ ẩn ........................................................ Error! Bookmark not defined.
Tại sao tội phạm sử dụng Dark Web và thị trường Darknet.................................................... 79
Học phần 9: Các khái niệm và cân nhắc khi điều tra .............................................................. 81
Tư duy điều tra......................................................................................................................... 81
Một cuộc điều tra là gì? ........................................................................................................... 81
Quy trình điều tra .................................................................................................................... 82
Thông tin, tin tình báo hay chứng cứ? ........................................ Error! Bookmark not defined.
Mục đích một cuộc điều tra ........................................................ Error! Bookmark not defined.
Lập kế hoạch điều tra............................................................................................................... 84
Quản lý rủi ro ........................................................................................................................... 85
Tiết lộ thông tin ........................................................................... Error! Bookmark not defined.
Ra quyết định trong quá trình điều tra .................................................................................... 86
Chiến lược thu thập/điều tra ...................................................... Error! Bookmark not defined.
Phân tích/đánh giá ...................................................................... Error! Bookmark not defined.
Phương án giải quyết .................................................................. Error! Bookmark not defined.
Hậu phân giải .............................................................................. Error! Bookmark not defined.
Ví dụ về điều tra tội phạm mạng ............................................................................................. 91
Giai đoạn 1 - Lập kế hoạch ................................................................................................................ 91
Giai đoạn 2 - Thu thập....................................................................................................................... 92
Giai đoạn 3 - Phân tích/đánh giá....................................................................................................... 92
Giai đoạn 4 - Phương án giải quyết................................................................................................... 93
Giai đoạn 5 - Sau giải quyết .............................................................................................................. 93
Tóm tắt các nội dung cần cân nhắc khi tiến hành điều tra ......... Error! Bookmark not defined.
Tóm tắt các tài liệu được điều tra viên sử dụng ......................... Error! Bookmark not defined.
Tóm tắt Học phần ....................................................................... Error! Bookmark not defined.
Các nguồn khác ........................................................................................................................ 95
Chú giải ....................................................................................... Error! Bookmark not defined.

Chương trình đào tạo an ninh mạng CSA Bậc 1:
Giới thiệu khóa tập huấn
Lời mở đầu
Chào mừng đến với Chương trình đào tạo Bậc một về An toàn Không gian mạng Châu Á (CSA). Khóa
tập huấn này nhằm mục đích trang bị cho các cán bộ thực thi pháp luật ASEAN kiến thức cơ bản về
các khía cạnh khác nhau của tội phạm mạng, bao gồm các loại tội phạm mạng; bằng chứng điện tử;
nhận thức chung về ‘công nghệ’; Internet và các yếu tố căn bản về mạng; tiền ảo/tiền mã hóa; dark
web, các công cụ điều tra trực tuyến; các khái niệm và cân nhắc khi điều tra.
Tổng quan về các Học phần khóa đào tạo

Chương trình đào tạo về an ninh mạng Bậc một của CSA bao gồm chín (9) Học phần. Mỗi Học phần
đều ở cấp độ mang tính giới thiệu và cung cấp kiến thức cơ bản về một loạt các chủ đề liên quan đến
tội phạm mạng. Vào cuối mỗi Học phần, học viên sẽ có cơ hội ‘Kiểm tra kiến thức của mình’ với các
câu hỏi trắc nghiệm được cung cấp trên cổng thông tin trực tuyến CSA của chúng tôi.
Học phần 1: Giới thiệu về tội phạm mạng

Giới thiệu sự khác biệt giữa tội phạm mạng ‘thuần túy’ và tội phạm lợi dụng không gian mạng. Học
phần này nghiên cứu tội phạm mạng từ góc độ thực thi pháp luật và thảo luận một số khái niệm liên
quan đến không gian mạng trước khi đề cập đến tầm quan trọng của sự hợp tác và cộng tác.
Học phần 2: Chứng cứ điện tử & Nhận thức về công nghệ

Thảo luận về nơi và cách thức lưu trữ bằng chứng điện tử trên nhiều thiết bị điện tử như máy tính,
điện thoại di động, tài khoản từ xa / đám mây, mạng xã hội, v.v. Ngoài ra, các khái niệm mới hơn
như thiết bị Internet Vạn vật (IoT), máy bay không người lái, v.v. cũng sẽ được giới thiệu.
Học phần 3: Cơ bản về Internet

Cung cấp kiến thức cơ bản về các khái niệm liên quan đến Internet, từ việc giải thích cách thức kết
nối với Internet cho đến tìm hiểu thêm về trình duyệt web và hoạt động trực tuyến của người dùng.
Học phần 4: Kiến thức căn bản về mạng

Thiết lập nhận thức cơ bản về các công nghệ mạng khác nhau bao gồm giao thức mạng, mạng
LAN/WAN, mạng riêng ảo (VPN) và phần cứng như bộ định tuyến, thiết bị chuyển mạch và tường
lửa.
Học phần 5: Các loại tội phạm mạng & tác nhân đe dọa
Tìm hiểu các loại tấn công khác nhau và các hoạt động độc hại do tội phạm mạng thực hiện cũng như
việc tiếp xúc với các tác nhân đe dọa khác nhau. Học viên sẽ được giới thiệu các thuật ngữ phổ biến
được sử dụng trong tội phạm mạng và an ninh mạng, bao gồm sự khác biệt giữa các hacker mũ
trắng/xám/đen.
Học phần 6: Thông tin tình báo nguồn mở (OSINT)

Xác định các công cụ nguồn mở có sẵn để thu thập thông tin tình báo trực tuyến nhằm hỗ trợ điều
tra, bao gồm cách tìm kiếm, nắm bắt và báo cáo về thông tin/tin tình báo trực tuyến.

Học phần 7: Tiền ảo/Tiền mã hóa
Cung cấp tổng quan về các khái niệm cơ bản của tiền ảo bao gồm công nghệ chuỗi khối (blockchain),
khóa công khai/riêng tư, loại ví điện tử, sàn giao dịch và các loại ‘tiền ảo’ khác nhau.
Học phần 8: Mạng ẩn (Dark Web)

Giới thiệu tính năng ẩn danh và kiến thức cơ bản liên quan đến dark web, bao gồm sự khác biệt giữa
web nổi, web chìm và dark web; cách thức tội phạm sử dụng nền tảng này để thực hiện các hoạt
động bất chính.
Học phần 9: Các khái niệm và cân nhắc khi điều tra
Cung cấp tổng quan/danh sách các nội dung cần cân nhắc trong suốt quá trình điều tra tội phạm
mạng, bao gồm lập kế hoạch lệnh khám xét, tham gia với các nhóm chuyên gia, nhận thức về pháp
luật, quản lý bằng chứng điện tử và yêu cầu hỗ trợ.
Phụ lục A: Hướng dẫn xử lý ban đầu với tội phạm mạng
Hướng dẫn hữu ích để đưa vào lệnh khám xét nhằm giúp hỗ trợ xác định và bảo quản bằng chứng
điện tử tiềm năng
Đánh giá trực tuyến

Để hoàn thành Chương trình đào tạo về an ninh mạng Bậc một của CSA, mỗi học viên phải vượt qua
Bài đánh giá Trực tuyến, với điểm đạt tối thiểu là 80%. Bài Đánh giá bao gồm mười (10) câu hỏi trắc
nghiệm cho mỗi Học phần.
Các nguồn khác

Các trang web/tài nguyên sau đây cung cấp thông tin giá trị về tội phạm mạng từ quan điểm của
chính phủ và cơ quan thực thi pháp luật. Các trang web này chứa nhiều tài liệu, bao gồm các xu
hướng tội phạm mạng mới nhất và phương pháp tấn công, lời khuyên về an ninh mạng, cung cấp
sách trắng và các công cụ tự giáo dục. Ngoài ra, điều quan trọng là Điều tra viên/Cảnh sát viên phải
giáo dục và nâng cao nhận thức của cộng đồng trong việc tự bảo vệ mình trước tội phạm mạng.
 Trung tâm An ninh mạng Úc (ACSC)

o www.cyber.gov.au
 Trung tâm chống tội phạm khai thác trẻ em Úc
o www.accce.gov.au
 Ban Tín hiệu Úc
o www.asd.gov.au
 ThinkUKnow
o www.thinkuknow.org.au
 INTERPOL: Bộ phận phục trách an ninh mạng ASEAN
o www.interpol.int/en/Crimes/Cybercrime/Cybercrime-operations/ASEAN-
Cybercrime-Operations-Desk
 Cơ quan An toàn không gian mạng châu Á (CSA)
o www.csaprogram.com
 An toàn không gian mạng Pasifika
o www.cybersafetypasifika.org
 Europol
o www.europol.europa.eu

Học phần 1: Giới thiệu về tội phạm mạng
Tổng quan về Học phần
Bản chất khó nắm bắt của tội phạm mạng dẫn đến nhu cầu cấp thiết cần phải có trình độ chuyên
môn cao trong quá trình điều tra các vấn đề tội phạm mạng. Hoạt động tội phạm trong thế giới
mạng đặt ra một thách thức khó khăn đối với tất cả các cấp thực thi pháp luật. Xác định và triển khai
các nhu cầu đào tạo với mục tiêu cụ thể đóng vai trò căn bản đối với tính hiệu quả của các nỗ lực đối
phó với tội phạm mạng. Chương trình đào tạo an ninh mạng Bậc 1 của CSA nhằm tăng cường các nỗ
lực điều tra bởi vì các Điều tra viên Tội phạm Mạng cần có các kỹ năng liên quan đến không gian
mạng.
Học phần này sẽ giới thiệu sự khác biệt giữa tội phạm mạng và tội phạm lợi dụng không gian mạng
kèm theo ví dụ. Chúng ta sẽ nghiên cứu tội phạm mạng từ góc độ thực thi pháp luật và thảo luận
một số khái niệm liên quan đến không gian mạng, tiếp theo sẽ đề cập đến tầm quan trọng của sự
hợp tác và liên kết.
Nhìn chung, khóa học này sẽ cung cấp cho học viên nhận thức và hiểu biết sâu sắc hơn về cách thức
điều tra/thẩm vấn và các hạn chế trong việc tiến hành điều tra tội phạm mạng.
Tội phạm mạng là gì?

Ngày nay, một yếu tố của hầu như mọi mối đe dọa an ninh quốc gia
và vấn đề tội phạm đều dựa trên không gian mạng hoặc được hỗ trợ
bởi không gian mạng. Cơ quan thực thi pháp luật có nhiệm vụ đối
phó với các mối đe dọa mạng tinh vi từ các tin tặc được nhà nước
bảo trợ, tin tặc được thuê, các tổ chức mạng có tổ chức, những kẻ
khủng bố và những ‘tay trong’. Hàng ngày, các tác nhân khởi nguồn
từ không gian mạng tìm kiếm dữ liệu của Chính phủ, doanh nghiệp,
cá nhân và/hoặc bí mật thương mại thông qua việc sử dụng công nghệ. Những thông tin này có giá
trị đáng kinh ngạc; và hậu quả là, cơ sở hạ tầng thiết yếu gặp rủi ro trong một thế giới được gọi đơn
giản là ‘Không gian mạng’.
Tội phạm mạng có thể được định nghĩa là hoạt động tội phạm được thực hiện bằng máy tính hoặc
Internet. Từ góc độ thực thi pháp luật, tội phạm mạng có thể được xác định theo luật liên quan đến
từng quốc gia mà loại tội phạm này hoạt động. Thông thường tội phạm mạng có hai khái niệm chính.
Thứ nhất, tội phạm nhắm vào máy tính hoặc các công nghệ truyền thông thông tin khác (ICT). Thứ
hai, tội phạm trong đó máy tính hoặc ICT được sử dụng như một phần không thể thiếu của hành vi
phạm tội để kích hoạt hoạt động.
INTERPOL sử dụng thuật ngữ “tội phạm mạng thuần túy” để định nghĩa tội phạm đối với máy tính và
hệ thống thông tin với mục đích là truy cập trái phép vào thiết bị hoặc từ chối quyền truy cập của
người dùng hợp pháp. Các loại tội phạm mạng thuần túy phổ biến là truy cập dữ liệu máy tính một
cách bất hợp pháp (hack), phần mềm độc hại và từ chối dịch vụ. Những nội dung này sẽ được thảo
luận chi tiết ở phần sau của khóa học.

Tội phạm lợi dụng không gian mạng là gì?
Tội phạm lợi dụng không gian mạng (tội phạm lợi dụng công nghệ) là tội phạm truyền thống, có thể
gia tăng về quy mô hoặc phạm vi bằng cách sử dụng máy tính, mạng máy tính hoặc các hình thức
công nghệ thông tin và truyền thông (ICT) khác. Không giống như tội phạm phụ thuộc vào mạng (tội
phạm mạng thuần túy), tội phạm lợi dụng không gian mạng có thể được thực hiện mà không cần sử
dụng ICT.
INTERPOL phân loại các loại tội phạm như gian lận tài chính trực tuyến hoặc khủng bố sử dụng
phương tiện truyền thông xã hội là "tội phạm lợi dụng không gian mạng ".
Các loại tội phạm lợi dụng không gian mạng phổ biến bao gồm hoạt động lừa đảo để ‘nhử’ người
dùng tiết lộ thông tin, gian lận và đánh cắp danh tính, bắt nạt trên không gian mạng, tống tiền/tình
người khác bằng cách tiết lộ bằng chứng về hoạt động tình dục của họ (sextortion),mã độc tống tiền
(ransomware) và xâm nhập email doanh nghiệp. Cảnh sát Liên bang Úc (AFP) và các cơ quan thực thi
pháp luật khác ở Đông Nam Á rất chú trọng các tội phạm lợi dụng không gian mạng bao gồm lạm
dụng tình dục trẻ em trực tuyến (LOCSA) và hành động cực đoan hóa trực tuyến. Các loại tội phạm
mạng này và các tác nhân đe dọa sẽ được thảo luận chi tiết trong Học phần 5 của khóa học.
Cần lưu ý rằng tội phạm mạng thực sự là một phạm trù rộng lớn, từ tội phạm mạng thuần túy đến
việc sử dụng công nghệ một cách vô tình và điều quan trọng là không nên quá chú trọng vào các
định nghĩa. Trên thực tế, những tội không phải là tội phạm mạng vẫn có thể có yếu tố mạng. Ví dụ,
một tội phạm gửi email cho ai đó về một vụ giết người mà hắn vừa thực hiện.
Một quan điểm từ góc độ thực thi pháp luật

Vào tháng 7 năm 2020, công ty toàn cầu Garmin là
nạn nhân của một cuộc tấn công mạng quy mô lớn.
Ban đầu, họ không biết liệu có bất kỳ dữ liệu khách
hàng nào, bao gồm cả thông tin thanh toán từ
Garmin Pay bị truy cập, bị mất hoặc bị đánh cắp hay
không. Đây là loại tội phạm lợi dụng không gian
mạng và vũ khí là phần mềm tống tiền
WastedLocker. Garmin có thể không phải là một
ngân hàng hoặc tổ chức tài chính, công ty vẫn có
đội ngũ nhân viên bảo mật CNTT, nhưng chỉ như
vậy là chưa đủ. Họ cần Cảnh sát.
Công tác cảnh sát hiện đại hoạt động trong một môi
trường kỹ thuật và đầy thách thức. Cảnh sát cần
hiểu rằng vai trò của họ đối với các loại tội phạm
này là xử lý vụ việc một cách tập trung, có hiệu quả,
được tính toán và mang tính nghiệp vụ.
Nếu nhận được cuộc gọi phản hồi về sự cố tương

tự, bạn sẽ làm gì?
Cố gắng không gây ra sai sót nào. Cuộc điều tra này sẽ phức tạp. Trong nhiều trường hợp, khung
pháp lý kết hợp với các vấn đề công nghệ phức tạp sẽ dẫn đến một cuộc điều tra theo kiểu “vừa học
vừa điều tra”.
CSA Chương trình đào tạo an ninh mạng Bậc 1 10 | T r a n g

Những thách thức riêng
Sự phát triển và sử dụng Internet như một công cụ truyền thông và thương mại mang tính vượt trội
trong lịch sử hiện đại. Trong khi phần lớn các hoạt động giao tiếp và thương mại được thực hiện qua
Internet là vì mục đích hợp pháp, Internet ngày càng được sử dụng để thúc đẩy các âm mưu lừa đảo
và những tiến bộ công nghệ nhằm tạo ra những cơ hội mới cho tội phạm mạng. Những thách thức
duy nhất mà cơ quan thực thi pháp luật phải đối mặt trong việc giải quyết tội phạm mạng xoay
quanh bản chất mơ hồ của tội phạm mạng. Vào những giai đoạn ban đầu của một cuộc điều tra tội
phạm mạng, mức độ chắc chắn thường không cao. Thông thường rất khó để nhanh chóng xác định
và đánh giá xem loại hành vi phạm tội nào đã diễn ra, bao gồm các vấn đề về thẩm quyền đối với loại
tội phạm không biên giới.
Bản chất khó nắm bắt này của tội phạm mạng thể hiện bằng một nhu cầu thiết yếu phải có trình độ
chuyên môn cao trong việc điều tra các vấn đề về tội phạm mạng. Ngay từ đầu cuộc điều tra, khó mà
xác định được mục đích cuối cùng đằng sau một vụ xâm nhập máy tính hoặc cách thức phát sinh vụ
việc.
Nếu một doanh nghiệp báo cáo về một hành vi xâm nhập liên quan đến mạng của doanh nghiệp, vẫn
chưa thể xác định được hành vi phạm tội. Đó có thể là một sự cố tấn công độc hại nhằm mục đích
làm hỏng hoặc phá hoại mạng, một cuộc tấn công khủng bố có thể xảy ra, một số hình thức gián
điệp, một cuộc tấn công từ chối dịch vụ, một cuộc tấn công ransomware, cũng như sự kết hợp của
các loại tội phạm lợi dụng không gian mạng. Hãy đối chiếu với một tội phạm truyền thống trong thế
giới thực, chẳng hạn như cướp có vũ trang. Khi một đối tượng sử dụng súng bước vào một cơ sở
doanh nghiệp để cướp tiền, loại tội phạm ở đây được xác định rõ ràng. Ngoài ra, tại hiện trường,
thường có một số loại bằng chứng vật lý như ADN, dấu vân tay, dấu giày, dấu công cụ, dấu vết lốp
xe, đạn đạo, video giám sát, số tiền thực tế bị lấy, cũng như một số nhân chứng - chưa kể đến đến vị
trí địa lý thực tế. Trong khi đó, không một thành tố nào trong số này có sẵn trong kịch bản tội phạm
mạng; và những bằng chứng kỹ thuật số (hoặc bằng chứng trực tuyến) vốn đã ít ỏi lại không tồn tại
lâu. Nếu Điều tra viên tội phạm mạng có tay nghề cao không xử lý ngay lập tức, bằng chứng có thể
biến mất vĩnh viễn.
Khi sự phụ thuộc của chúng ta vào công nghệ ngày càng tăng, tội phạm mạng trở thành một
nguồn thu ngày càng hấp dẫn đối với các nhóm tội phạm có tổ chức, đồng thời là một lựa chọn
hấp dẫn để thực hiện các giao dịch thương mại và tài chính hỗ trợ hoạt động tội phạm. Các biện
pháp bảo vệ biên giới tự nhiên trước đây với tư cách là một rào cản đối với hoạt động tội phạm
đã không còn tồn tại. Tội phạm mạng có thể ngay lập tức tiếp cận và tác động đến nhiều nạn
nhân hơn là thông qua các phương pháp truyền thống khác (VD: ấn phẩm) và tác động đến các
cá nhân bằng tin tức giả, thông tin sai lệch và hệ tư tưởng cực đoan. Lợi ích tài chính là động lực
chính, ngoài ra còn có những động lực khác như gây ảnh hưởng đến người khác.
Việc sử dụng Internet cho các mục đích phạm tội là một trong những thách thức quan trọng nhất mà
cơ quan thực thi pháp luật phải đối mặt. Do tính chất môi trường của tội phạm mạng, công tác thực
thi pháp luật đòi hỏi có sự hiểu biết và khả năng sử dụng công nghệ. Không gian mạng thường tạo ra
cảm giác an toàn giả tạo cho người dùng, khiến họ tiếp cận các cơ hội được tìm thấy trên Internet
một cách thiếu cẩn trọng hơn thông thường.
Dữ liệu điện tử rất mong manh. Nó dễ dàng bị xóa, thao túng và sửa đổi với một cách dễ dàng và
nạn nhân của tội phạm mạng đôi khi nằm rải rác trên khắp thế giới ở các khu vực pháp lý hoặc quốc
gia khác nhau. Đặc điểm này kết hợp với những thách thức đáng kể vốn có trong quá trình điều tra
tội phạm mạng, trong đó có: xác định vị trí tội phạm mạng ẩn danh một cách tinh vi; sự cần thiết

phải có sự phối hợp chặt chẽ giữa các cơ quan bảo vệ pháp luật; và nhu cầu về nhân viên được đào
tạo và được trang bị tốt để thu thập bằng chứng, điều tra và truy tố.
Ngoài các bước điều tra cơ bản cần thiết trong bất kỳ cuộc điều tra nào, điều tra tội phạm mạng yêu
cầu: (i) các loại câu hỏi mới được đặt ra, (ii) các cách điều tra/tìm hiểu mới, và (iii) các quy trình và kỹ
thuật mới liên quan đến việc thu thập và lưu giữ bằng chứng. Để điều tra thành công, các điều tra
viên đòi hỏi phải đổi mới kỹ năng đáng kể.
Dữ liệu là ‘Vua’
Cho dù mang tính riêng tư hay công khai, dữ
liệu được coi là "Vua". Thông tin điện tử
thường được lưu trữ trong cơ sở dữ liệu có
cấu trúc. Với kiến thức CNTT và ngân sách
hạn chế, cơ quan thực thi pháp luật có thể
phối hợp với các cơ quan và đối tác bên ngoài
để truy cập các cơ sở dữ liệu này. Mặc dù
cách tiếp cận này là cần thiết, điều quan trọng
là phải xác định đầy đủ các quy tắc cụ thể
trong quá trình hợp tác nhằm tránh việc tạo
ra một khoảng trống pháp lý cho các cơ quan
bên ngoài này.
Dữ liệu công khai

Dữ liệu công khai (hoặc ‘dữ liệu mở’) là dữ liệu được tạo ra để có thể tự do truy cập mà không có
giới hạn về mục đích sử dụng. Dữ liệu này thường được xử lý trước và không chứa thông tin liên
quan đến một cá nhân. Do đó, dữ liệu công khai hầu như không được coi là dữ liệu cá nhân. Tuy
nhiên, các biện pháp riêng tư/nhạy cảm thường liên quan đến các tập dữ liệu đơn lẻ. Vì không có sự
giám sát về các khả năng kết hợp đối với các tập dữ liệu công khai, loại dữ liệu này có thể dễ dàng
được sử dụng để thu thập thông tin tình báo hoặc hỗ trợ các cuộc điều tra không gian mạng đang
diễn ra.
Khi tội phạm mạng và người sử dụng bắt đầu dùng các kỹ thuật hỗ trợ quyền riêng tư (ví dụ: mã hóa,
tiền mã hóa, VPN, mạng TOR, v.v.), từ góc độ thực thi pháp luật, dữ liệu công khai ngày càng khó
truy cập. Do đó, để cơ quan thực thi pháp luật có được thông tin công khai làm bằng chứng, họ có
thể áp dụng các công cụ và phương pháp chuyên môn để xử lý sự gia tăng của tội phạm sử dụng các
công nghệ tiên tiến.
Phương tiện truyền thông xã hội

Phương tiện truyền thông xã hội có khả năng thu thập thông tin cá
nhân lớn nhất trong lịch sử nhân loại. Thông thường, các kết nối xã
hội dễ tiếp cận này cung cấp các phương pháp điều tra quan trọng,
cũng như tạo ra thông tin tình báo có giá trị cho quá trình thực thi
pháp luật. Một số mạng truyền thông xã hội (ví dụ: Facebook,
Instagram, Twitter, v.v.) cho phép người dùng giới hạn phạm vi tiếp
cận nội dung của họ đối với một số nhóm người dùng nhất định
như chọn chế độ 'Mọi người' (‘Everyone’), người tham gia mạng,
bạn bè hoặc bạn của bạn bè. Dữ liệu trên các mạng truyền thông xã

hội thường dễ dàng liên quan đến một người thực tế và có thể thể hiện những thông tin chi tiết về
các lĩnh vực đặc biệt nhạy cảm trong cuộc sống của một người. Ví dụ: tội phạm mạng có thể thu thập
thông tin cá nhân nhạy cảm này để tạo điều kiện cho việc ăn cắp danh tính/tội phạm nhận dạng. Một
bài đăng sinh nhật đơn giản có thể ẩn chứa thông tin về ngày/năm sinh thực tế của người đăng,
thành phần gia đình, vật nuôi, v.v., thường được sử dụng làm câu trả lời bảo mật cho các tài khoản
trực tuyến.
Mạng nổi (Surface Web)

Các trang mạng World Wide Web (WWW) sẵn có cho công chúng và có thể tìm kiếm được bằng các
công cụ tìm kiếm web tiêu chuẩn, được gọi là ‘mạng nổi’ (Surface Web). Việc lập chỉ mục của WWW
là trung tâm của các công cụ tìm kiếm.
Dữ liệu có sẵn công khai này rất phong phú các thông tin, tuy nhiên các loại dữ liệu là vô hạn và các
rủi ro cụ thể đối với công tác thực thi pháp luật liên quan đến việc thu thập và phân tích dữ liệu lại
phụ thuộc vào thông tin cụ thể đang được trích xuất. Trong bối cảnh này, web nổi cung cấp thông tin
có thể truy cập được thông qua phần mềm chụp hoặc quét màn hình để truy cập các trang web,
tương tự như tương tác của con người.
Một thách thức đối với công tác thực thi pháp luật là các dữ liệu không có cấu trúc được thu thập và
loại bỏ. Dữ liệu có thể thiếu thông tin ngữ cảnh cụ thể, từ đó đặt ra câu hỏi về chất lượng và độ
chính xác của dữ liệu.
Mạng chìm (Deep Web)

Thuật ngữ Mạng chìm (‘Deep Web’) thường mô tả nội dung không thể được truy cập thông qua các
công cụ tìm kiếm thông thường như Google, trong đó các trang web này chưa được lập chỉ mục.
Người ta ước tính Deep Web chứa khoảng 96% toàn bộ nội dung của WWW (bao gồm cả ‘Dark
Web’), bao gồm các trang web của Chính phủ, cơ sở dữ liệu học thuật, hồ sơ tài chính, tài liệu pháp
lý, hồ sơ y tế, thông tin đăng ký v.v... Thông thường, việc truy cập thông tin yêu cầu đăng nhập tên
người dùng và mật khẩu sẽ là một phần của Deep Web, vì công cụ tìm kiếm không thể truy cập nội
dung của Deep Web.
Mạng ẩn (Dark Web)

Mạng ẩn (Dark Web) là một phần của WWW, và còn được gọi là web ẩn hoặc web giấu. Đây là một
tập hợp các trang web tồn tại trên một mạng được mã hóa và có thể được truy cập thông qua việc
sử dụng phần mềm như Tor Browser. Tương tự Deep Web, Dark Web không được lập chỉ mục bởi
các công cụ tìm kiếm thông thường như Google, Yahoo hay Bing.
Dark Web là nơi thích hợp để truy cập các chợ đen trực tuyến, mua vũ khí và ma tuý trái phép, chia
sẻ/buôn bán tài liệu bóc lột trẻ em, rửa tiền, thuê tin tặc và thực hiện nhiều hoạt động bất chính
khác. Người dùng truy cập các dịch vụ ẩn này thông qua URL (trình định vị tài nguyên thống nhất) với
hậu tố .onion thay vì .com, .org, .net, v.v.
Mạng ngang hàng (Peer-to-Peer - P2P)

Có nhiều loại mạng ngang hàng (P2P) có thể cung cấp cho các điều tra viên thông tin công khai. Các
mạng chia sẻ P2P cổ điển như Kazaa, Limewire, BitTorrent, GigaTribe và eMule thường được cung
cấp công khai, cho phép tất cả người dùng tham gia chia sẻ tệp. Các mạng P2P thường được những
kẻ phạm tội sử dụng trong các vụ việc Lạm dụng/Bóc lột trẻ em. Xu hướng hiện nay của những tội
phạm là chuyển từ các mạng chia sẻ P2P cổ điển này sang các diễn đàn và/hoặc trang web ẩn danh
và được mã hóa trên Dark Web.

Tiền ảo/tiền mã hóa (Cryptocurrencies)
Từ góc độ thực thi pháp luật, tiền ảo đã trở thành một cấu phần chính của nhiều loại hình điều tra
khác nhau. Người ta thường thấy sự xuất hiện của tiền ảo trong các cuộc điều tra liên quan đến
chống khủng bố, LOCSA, buôn bán ma túy, rửa tiền và mã độc tống tiền (ransomware). Tất cả các
loại tiền ảo hoạt động theo một cách tương tự nhau như sau:
 ‘Hệ thống’ tiền ảo là mạng ngang hàng P2P;

 Giao dịch diễn ra giữa người dùng trực tiếp và không có trung gian;
 Các giao dịch này được xác minh bởi các nút mạng và được ghi lại trong một sổ cái phân tán
công khai được gọi là ‘blockchain’; và
 Hệ thống hoạt động mà không cần kho lưu trữ trung tâm (ví dụ: Ngân hàng) hoặc quản trị
viên.
Theo CoinMarketCap (tính đến ngày 10 tháng 2 năm 2021), có hơn 8.400 loại tiền ảo và token, với
tổng vốn hóa thị trường là 1,4 nghìn tỷ USD. 12 loại tiền mã hóa hàng đầu:
Hợp tác và phối hợp

Trong khi tội phạm mạng là không biên giới, các điều tra viên phải làm việc trong giới hạn pháp lý
của cơ quan thực thi pháp luật. Chỉ riêng thách thức này đã đặt ra nhu cầu về hợp tác và phối hợp cả
trong nước và quốc tế vì Điều tra viên bị hạn chế làm việc trong các biên giới pháp lý có chủ quyền
của họ.
Trước đây, các cơ quan thực thi pháp luật thường tự thu thập thông tin và nhờ các chuyên gia nội bộ
của mình đánh giá. Nhưng xử lý một mình như vậy là không phù hợp. Với bản chất phức tạp của các
cuộc điều tra tội phạm mạng, việc hợp tác và phối hợp giữa các cơ quan thực thi pháp luật, cũng như
với các đối tác bên ngoài như các tổ chức hàn lâm, công và tư là vô cùng quan trọng.
Các lĩnh vực kỹ thuật và chuyên môn để hỗ trợ đối phó với tội phạm mạng và tội phạm lợi dụng
không gian mạng là điều cần thiết để đạt được kết quả thành công. Một số nội dung kỹ thuật/chuyên
môn này bao gồm: nhóm điều tra tội phạm mạng, giám định hình sự kỹ thuật số và nhóm ứng phó
sự cố an ninh máy tính. Điều quan trọng cần lưu ý là cơ quan thực thi pháp luật có thể không có khả
năng tuyển dụng/sử dụng những chuyên gia này, những con người ngày càng đóng vai trò quan

trọng trong giải quyết những mối đe dọa an ninh mạng. Tuy nhiên, chúng ta cần sự phối hợp của họ
bất cứ khi nào có thể.
Đội điều tra tội phạm mạng và/hoặc đơn vị xử lý tội phạm mạng
Các đội/đơn vị này có những nhân viên chuyên môn có khả năng điều tra và kỹ thuật trong quá trình
điều tra tội phạm mạng. Thông thường, các đội/đơn vị này đã thiết lập những thông lệ hợp tác thực
thi pháp luật quốc tế có hiệu quả.
Giám định hình sự kỹ thuật số

Các nhóm Giám định hình sự kỹ thuật số chịu trách nhiệm kiểm
tra/trích xuất/phân tích giám định hình sự đối với các thiết bị điện
tử (chẳng hạn như máy tính, điện thoại di động, thiết bị camera,
máy chủ doanh nghiệp, máy bay không người lái) và trình bày
bằng chứng kỹ thuật số này trước Tòa án. Bất kỳ cuộc điều tra tội
phạm mạng nào cũng cần có sự tư vấn của Giám định hình sự kỹ
thuật số ngay từ đầu để đảm bảo tất cả các phương thức điều
tra/thẩm vấn điện tử được khai thác một cách thích hợp và kịp
thời. Điều này cho phép các điều tra viên nắm bắt tốt nhất mọi
bằng chứng kỹ thuật số bằng cách sử dụng các phương pháp pháp
lý rõ ràng.
Âm thanh và hình ảnh giám định hình sự

Các nhóm chuyên gia này thường xử lý dữ liệu điện tử liên quan
đến ghi âm và ghi hình. Chúng thường được sử dụng để tăng cường cảnh quay CCTV (ví dụ: cải thiện
trực quan biển số xe) và ghi âm (ví dụ: giảm tiếng ồn xung quanh trong cuộc trò chuyện).
Bộ phận phòng chống tội phạm mạng ASEAN

Bộ phận của INTERPOL hỗ trợ các quốc gia trong khu vực ASEAN đối phó với tội phạm mạng bằng
cách phát triển mạng lưới thông tin tình báo, hỗ trợ điều tra và điều phối hoạt động. Trong khuôn
khổ diễn đàn thực thi pháp luật này, giới học thuật, khu vực công và khu vực tư nhân thảo luận về
các mối đe dọa và xu hướng tội phạm mạng hiện nay trên toàn cầu cũng như các xu hướng phổ biến
hơn ở châu Á. Cơ quan này cũng đưa ra các khuyến nghị để tăng cường các khuôn khổ thể chế, hoạt
động, pháp lý và kỹ thuật hiện có để đối phó với tội phạm mạng.
Nhóm ứng phó sự cố bảo mật máy tính (CSIRTs)

Trên bình diện quốc tế, CSIRT (còn được gọi là Nhóm Ứng cứu Khẩn cấp Máy tính, hoặc CERT) đưa ra
những lời khuyên và giải pháp chủ động và đối phó đối với các mối đe dọa và lỗ hổng mạng hiện tại.
Các nhóm/nhóm chuyên gia này có thể xử lý nhiều sự cố bảo mật máy tính khác nhau và ở một số
quốc gia là đầu mối liên hệ chính để xử lý các vi phạm bảo mật dữ liệu. Diễn đàn các Nhóm An ninh
và Ứng phó Sự cố (FIRST) là hiệp hội toàn cầu của các CSIRT. Nhóm Ứng cứu Khẩn cấp Không gian
mạng của Úc (AusCERT) và Trung tâm An ninh Mạng của Úc (ACSC) là một phần của FIRST. Các nước
ASEAN có CSIRT là thành viên của FIRST bao gồm:
 Singapore – SingCERT  Lào – LaoCERT

 Indonesia – ID-SIRTII/CC  Việt Nam – VNCERT
 Malaysia – MyCERT  Philippines – ePLDT CSIRT
 Thái Lan – ThaiCERT  Campuchia – CamCERT
 Myanmar – Mm-CERT  Bru-nây – BruCERT

Đảm bảo tình trạng an toàn của mạng (Cyber Hygiene)
Đối mặt với một loạt các trở ngại (ví dụ như tăng trưởng ngân sách chậm, hội đồng quản trị không
hài lòng, v.v.), các nhà lãnh đạo doanh nghiệp và an ninh đang chịu thách thức để thay đổi cách tiếp
cận với an ninh mạng và rủi ro.
Tin tức về an ninh mạng đề cập đến các vi phạm và/hoặc các mối đe dọa tiềm ẩn được báo cáo hàng
ngày, nhưng hiếm khi những tin tức này ảnh hưởng đến công chúng vì chúng có xu hướng là những
tin có mức độ hiển thị khá thấp đối với người bình thường. Tuy nhiên, những sự cố an ninh mạng
này có thể gây ra những hậu quả nghiêm trọng cho các doanh nghiệp và tổ chức, do đó có khả năng
ảnh hưởng đến công tác thực thi pháp luật.
Với bản chất tốc độ nhanh của tội phạm mạng, phòng ngừa là khía cạnh quan trọng của bất kỳ chiến
lược chống tội phạm mạng nào. Cơ quan phòng chống tội phạm ASEAN thúc đẩy việc đảm bảo tình
trạng an toàn của mạng trong toàn khu vực, trao quyền cho các cộng đồng để giữ an toàn và bảo vệ
bản thân khỏi trở thành nạn nhân của tội phạm mạng. Giáo dục và nâng cao nhận thức là trụ cột
chính của Cơ quan An toàn mạng Châu Á (CSA) và có liên quan trực tiếp đến cảnh sát và cộng đồng
của họ.
Các nguồn khác

Các trang web và tài nguyên sau cung cấp thông tin mở rộng dựa trên các khái niệm được giới thiệu
trong học phần này. Đây cũng là một nguồn tin cậy để tự giáo dục và nâng cao nhận thức về tội
phạm mạng.
 Ủy ban Cạnh tranh & Người tiêu dùng Úc – Scamwatch

o www.scamwatch.gov.au
 Viện SANS (SysAdmin, Kiểm toán, Mạng và Bảo mật)
o www.sans.org
 Diễn đàn các nhóm ứng phó sự cố và an ninh (FIRST)
o www.first.org

Học phần 2: Bằng chứng điện tử & Nhận thức
về công nghệ
Tổng quan về học phần
Trong học phần này, học viên được giới thiệu về sự phức tạp của bằng chứng điện tử, trong đó bằng
chứng điện tử có thể là mục tiêu của tội phạm, cơ chế của tội phạm hoặc tập hợp bằng chứng ghi lại
chính hoạt động tội phạm. Bằng chứng điện tử có thể rất dễ mất và các hành động bảo mật CNTT
cần thiết để giảm thiểu và loại bỏ một cuộc tấn công mạng có thể hạn chế khả năng thực hiện một
cuộc điều tra hoàn chỉnh, trong đó tất cả các bằng chứng tiềm ẩn có thể bị thu giữ hợp pháp.
Học phần này cũng thảo luận về các yêu cầu nhận thức kỹ thuật cơ bản khi xử lý Tội phạm mạng và
các vấn đề và thách thức với bằng chứng điện tử trong thời điểm mà cải cách luật pháp không theo
kịp với những tiến bộ của công nghệ.
Bằng chứng điện tử là gì

Bằng chứng điện tử tốt nhất trên thế giới sẽ vô dụng nếu
nó không được chấp nhận!
Theo Wikipedia, bằng chứng điện tử là bất kỳ thông tin xác

thực nào được lưu trữ hoặc truyền đi dưới dạng kỹ thuật số
mà một bên có thể sử dụng khi xét xử. Thuật ngữ quan trọng
ở đây là ‘để làm chứng cứ’, đó là vai trò của thông tin được
thể hiện trước tòa án pháp luật. Điều này có nghĩa là, trên
thực tế, các Điều tra viên tội phạm mạng không xử lý một
lượng lớn bằng chứng điện tử, thay vào đó, họ thực hiện
theo các phương thức điều tra kỹ thuật tìm kiếm và phân
tích một lượng lớn thông tin kỹ thuật số được thu thập hợp pháp để tìm kiếm bằng chứng điện tử
tiềm năng. Nếu dữ liệu thu thập được lưu trữ hoặc truyền qua điện tử có thể trả lời câu hỏi về cách
thức một hành vi phạm tội được thực hiện hoặc giải đáp các cấu phần quan trọng của hành vi phạm
tội như ý định phạm tội hoặc xác định bằng chứng ngoại phạm, thì dữ liệu này được coi là bằng
chứng điện tử. Điều này không phụ thuộc vào công nghệ thực tế được sử dụng.
Bằng chứng điện tử, thường còn được gọi là ‘bằng chứng kỹ thuật số’, trong thế giới hiện đại không
có rào cản địa lý. Trong môi trường này, Điều tra viên phải tìm cách hiểu các vấn đề về chứng cứ, kỹ
thuật và pháp lý liên quan đến bằng chứng điện tử.
Việc thu thập và phân tích thông tin để đưa ra bằng chứng điện tử đã trở thành vấn đề trung tâm
trong một thế giới tội phạm mạng ngày càng nhiều thách thức. Trước đây, bằng chứng điện tử là bản
in thông thường từ máy tính, và rất nhiều vật chứng tại tòa đều là bản giấy. Nhưng trong nhiều năm,
các cán bộ thực thi pháp luật đã sử dụng phương tiện kỹ thuật số, không chỉ vì các thiết bị điện tử
nhỏ hơn và phổ biến hơn, mà bởi vì ngành giám định hình sự kỹ thuật số đã lớn mạnh và chuyên
nghiệp hóa đáng kể. Trong lịch sử, trong nhiều trường hợp, Điều tra viên đã tạo ra các bản in của
riêng họ, đôi khi sử dụng chương trình ứng dụng gốc, đôi khi là phần mềm chuyên dụng. Gần đây,

các Điều tra viên nhận thấy cần phải thu thập bằng chứng điện tử tiềm năng từ các kho dữ liệu từ xa
mà họ không có quyền truy cập vật lý ngay lập tức.
Giám định viên hình sự kỹ thuật số thường được gọi là Điều tra viên kỹ thuật số, là người thực hiện
giám định hình sự đối với một thiết bị hoặc mạng, xây dựng báo cáo giám định hình sự về bằng
chứng đã thu giữ và đưa ra bằng chứng chuyên môn trước tòa. Quá trình phân tích giám định hình
sự kỹ thuật số các phương tiện điện tử giúp hoàn thành một mục tiêu tiềm năng là mang nghi phạm
‘ra khỏi bàn phím’. Các yếu tố khác giúp đóng góp trực tiếp vào xác định quyền tác giả kỹ thuật số và
nhận dạng người dùng thiết bị, trong khi các khía cạnh khác giúp xác định hành vi phạm tội bị nghi
ngờ hoặc sử dụng hệ thống máy tính không đúng cách.
Cuối cùng, để dữ liệu hoặc thông tin điện tử được thu thập được coi là bằng chứng, dữ liệu và thông
tin này phải được kiểm tra về mức độ liên quan và độ tin cậy. Bằng chứng này có liên quan đến các
sự kiện đang được đề cập là đối tượng của cuộc điều tra không? Bằng chứng có được thu thập, bảo
quản và giải thích mà vẫn đảm bảo độ tin cậy của bằng chứng không?
Quy tắc bằng chứng tốt nhất

Bằng chứng kỹ thuật số hầu như không bao giờ ở định dạng mà con người có thể đọc được, đòi hỏi
các bước bổ sung để đưa tài liệu kỹ thuật số thành bằng chứng. Tại tòa án, nếu tính xác thực của bản
gốc hoặc tính chính xác của bản sao bị nghi ngờ thì sẽ không công bằng nếu thừa nhận bản sao thay
cho bản gốc. Đây được gọi là quy tắc bằng chứng tốt nhất. Quy tắc này tác động như thế nào đến
bằng chứng điện tử hiện đại? Vì có thể tạo ra các bản sao bằng chứng kỹ thuật số đã được xác minh
khoa học chính xác, bản sao này thường được chấp nhận, do đó, bản in ra giấy đã được xác minh sau
đó của tài liệu kỹ thuật số có thể được coi là tương đương với bản gốc trừ khi các phần quan trọng
của bản gốc không được nhìn thấy ở dạng văn bản in, ví dụ: tài liệu Word không hiển thị tất cả dữ
liệu meta nhúng (embedded meta data) được liên kết với tệp kỹ thuật số.
Bằng chứng điện tử ở đâu

Bằng chứng điện tử có thể được lưu trữ ở
nhiều nơi đến nỗi bạn có thể bị choáng
ngợp khi bắt đầu xem xét cách một hồ sơ
điện tử có thể được tạo ra và sau đó được
lưu trữ trong những trường hợp thậm chí có
vẻ như thông thường
Hoạt động kinh doanh ngày nay hầu như

đều dựa vào dữ liệu điện tử. Người sử dụng
lao động cung cấp cơ sở hạ tầng để nhân
viên của họ hoạt động và nhân viên thường
sử dụng nhiều thiết bị để thực hiện các công việc hàng ngày. Trong bối cảnh này, bằng chứng điện tử
tiềm năng có thể được lưu trữ trên các máy tính cá nhân, máy chủ, ổ lưu trữ từ xa, thiết bị di động
thuộc sở hữu doanh nghiệp, ổ đĩa sao lưu, ổ USB, máy chủ hòm thư, máy chủ hòm thư công cộng,
dịch vụ sao lưu ngoài trang web, ứng dụng lưu trữ từ xa như Google, Microsoft OneDrive, Drop Box
và nhiều phương tiện lưu trữ khác. Hơn nữa, hộp thư thoại của họ được lưu trữ ở đâu? Điều này
càng phức tạp hơn khi nhân viên sử dụng chính sách "mang thiết bị của riêng bạn" (BYOD) vào cơ sở
hạ tầng kinh doanh.

Có vẻ dễ dàng để xác định các thiết bị điện tử vật lý hoặc cơ sở hạ tầng, nhưng câu hỏi là cần bắt đầu
tìm kiếm ở đâu trong tất cả những thứ đó? Điều này phụ thuộc vào loại tội phạm trong diện tình
nghi. Nếu là cuộc điều tra xâm nhập mạng, các tệp nhật ký (log file) là rất quan trọng. Khi được kích
hoạt và bảo mật, các tệp nhật ký sẽ cung cấp cho ta nhiều thông tin về kẻ tấn công, phương pháp
luận của chúng và dữ liệu chúng đã truy cập. Các tệp nhật ký giống cảnh quay CCTV tại hiện trường
vụ án ở chỗ các tệp này có thể có hiệu lực miễn là chúng được mở và đầu ra của chúng được bảo
quản chính xác. Điều tra viên tội phạm mạng có thể cần phối hợp với Điều tra viên kỹ thuật số để
hiểu những gì mà tệp nhật ký đang tiết lộ và dạng bằng chứng kỹ thuật này có thể rất quan trọng đối
với cuộc điều tra.
Trong các vụ việc liên quan đến tội phạm bóc lột trẻ em, trong đó, một máy tính duy nhất là bằng
chứng duy nhất được thu thập, thì việc khám nghiệm giám định hình sự kỹ thuật số đóng vai trò
quan trọng. Tuy nhiên, trong phần lớn các trường hợp giám định hình sự kỹ thuật số, cần phải tiến
hành các hoạt động điều tra bổ sung đáng kể. Hoạt động bổ sung này giúp chứng thực những phát
hiện của phân tích giám định hình sự cũng như thu thập thêm bằng chứng tiềm ẩn về các hành vi
phạm tội được thực hiện theo các luật khác nhau, ví dụ: tội truyền bá và cũng như tội sở hữu. Vì
không có cuộc điều tra nào giống nhau nên các phương pháp điều tra vật lý được sử dụng cũng sẽ
khác nhau tùy từng trường hợp.
Một nội dung khác cần xem xét khi xác định vị trí của bằng chứng điện tử là một cuộc điều tra có sự
tham gia của nhóm ứng phó sự cố bảo mật. Lưu ý rằng vai trò của nhóm này có thể dẫn đến xung
đột với vai trò điều tra/thực thi pháp luật. Nhóm ứng phó sự cố tìm cách bảo vệ, giảm thiểu và
thường KHÔNG giữ gìn và bảo mật bằng chứng để phục vụ điều tra sự kiện sau đó. Trong những
cuộc điều tra này, hãy trao đổi càng sớm càng tốt về yêu cầu của bạn trong thời gian căng thẳng và
trách nhiệm cạnh tranh này.
Cuối cùng, không giống như bằng chứng vật chất truyền thống, bằng chứng điện tử rất dễ bị xóa,
mất hoặc bị tiêu hủy. Điều này không chỉ do sai sót trong điều tra, mà do thực tế là bằng chứng có
thể nằm ở một công ty có chính sách nội bộ về lưu giữ dữ liệu. Luật bảo vệ dữ liệu và luật bảo quản
đóng một vai trò quan trọng liên quan đến tính kịp thời của việc thu thập bằng chứng điện tử hiệu
quả.
Bằng chứng điện tử và Nhà cung cấp dịch vụ

Các nhà cung cấp dịch vụ dựa trên công nghệ là đối tượng sớm được tiếp cận trong một cuộc điều
tra liên quan đến tội phạm mạng và được coi là một nguồn xác định các con đường truy vấn. Hoạt
động trực tuyến gia tăng đối với nhiều dịch vụ hơn, ví dụ: gặp bác sĩ trực tuyến, có nghĩa là bằng
chứng điện tử tiềm năng xuất hiện ở nhiều nơi hơn. Như đã thảo luận, tính chất kịp thời của việc thu
thập bằng chứng điện tử là rất quan trọng. Trong hầu hết các trường hợp, trước tiên Điều tra viên
cần xác định loại bằng chứng/ hông tin mà họ yêu cầu từ nhà cung cấp dịch vụ.
Bằng chứng tiềm năng từ Nhà cung cấp dịch vụ thường

được phân loại thành ba (3) lĩnh vực rộng:
1. Thông tin thuê bao:

Bao gồm thông tin chi tiết về người đăng ký, địa
chỉ IP, dữ liệu từ tổ chức đăng ký tên miền hoặc
người đăng ký tên miền và thậm chí cả hoạt động
đăng nhập/đăng xuất gần đây.

2. Thông tin về lưu lượng truy cập:
Khi có bản ghi lưu lượng, nhà cung cấp dịch vụ sẽ cung cấp siêu dữ liệu tin nhắn, cũng như
các tiêu đề tin nhắn xác định nguồn và đích. Dữ liệu lưu lượng cũng có thể ghi lại các hoạt
động của hệ điều hành được sử dụng hoặc phần mềm truyền thông.
3. Dữ liệu nội dung:
Dữ liệu nội dung đại diện cho dữ liệu thực tế do người dùng khởi tạo được truyền qua dịch
vụ được cung cấp, chẳng hạn như email, tin nhắn, ảnh, video, tài liệu và thông tin định vị.
Vì thông tin thuê bao cho đến nay là thông tin phổ biến nhất được các Cơ quan điều tra tội phạm
mạng trên khắp châu Á theo đuổi, điều quan trọng là phải phân biệt được giữa phân bổ tĩnh và động
của địa chỉ IP. Địa chỉ IP tĩnh không thay đổi và được chỉ định cho một người cụ thể trong thỏa thuận
dịch vụ, giống như số điện thoại di động, tuy nhiên, thay vào đó, nhà cung cấp dịch vụ có thể chỉ định
địa chỉ IP động, tức là nó có thể liên tục thay đổi. Trong trường hợp này, Điều tra viên sẽ cần biết
chính xác hơn ngày và giờ cụ thể mà một địa chỉ IP đã được sử dụng để nhà cung cấp dịch vụ báo cáo
chính xác về người đăng ký.
Điều quan trọng là phải nhận thức được các vấn đề xung quanh công nghệ Biên dịch địa chỉ mạng
cấp độ nhà cung cấp dịch vụ (CGN) được sử dụng bởi Nhà cung cấp dịch vụ Internet (ISP). CGN,
thường được gọi là ‘NATing cấp độ nhà cung cấp dịch vụ’, cho phép ISP chia sẻ một địa chỉ IP duy
nhất giữa một số người đăng ký (đôi khi hàng nghìn), điều này rõ ràng gây khó khăn cho ISP khi các
cơ quan thực thi pháp luật yêu cầu kiểm tra người đăng ký. Ngày nay, các ISP và nhà cung cấp dịch
vụ viễn thông khác nhau đang đầu tư vào khả năng cho phép họ ít nhất cung cấp cho Điều tra viên
một số tùy chọn khi được cung cấp địa chỉ IP, cổng nguồn, ngày và giờ chính xác, v.v. Cách đây vài
năm, khả năng này không có sẵn, khi đó các kết quả điều tra có giá trị đôi khi bị mất do không thể
truy cập thông tin này.
Quản lý bằng chứng điện tử

Bằng chứng điện tử cần được thu thập kỹ lưỡng và được cân nhắc từ tính kịp thời đến cách sử dụng
sao cho ít gây xâm phạm nhất. Việc thu thập bằng chứng phụ thuộc vào sự biến động của bằng
chứng, loại điều tra và bằng chứng thích hợp nhất đang được tìm kiếm để hỗ trợ cuộc điều tra. Các
quyết định điều tra được đưa ra sớm trong giai đoạn bảo quản và thu thập bằng chứng sẽ có tác
động lâu dài nếu bằng chứng không được quản lý một cách phù hợp. Gần như mọi lựa chọn của Điều
tra viên kỹ thuật số trong quá trình thu thập bằng chứng đều ảnh hưởng đến dữ liệu điện tử ở một
mức độ nhất định. Tuy nhiên, Điều tra viên tội phạm mạng cần phải biết về dữ liệu điện tử cụ thể
cần thiết cho cuộc điều tra và chuẩn bị sẵn sàng để giải quyết những khó khăn có thể phát sinh.
Các cuộc điều tra hiện đại có thể dễ dàng liên quan đến việc thu thập và phân tích hàng triệu tệp
điện tử. Việc quản lý bằng chứng ban đầu là rất quan trọng đối với tính toàn vẹn của bằng chứng
trước tòa án. Hãy nhớ rằng bằng chứng điện tử tốt nhất trên thế giới sẽ vô dụng nếu nó không được
chấp nhận vì quản lý kém.
Ba lĩnh vực chính của quản lý bằng

chứng điện tử là:
1. Chuỗi hành trình

2. Quy trình
3. Phân tích

Chuỗi hành trình (Chain of Custody)
Để bằng chứng được tòa án chấp nhận, Chuỗi hành trình bằng chứng phải có hiệu lực. Chuỗi hành
trình đề cập đến các tài liệu chính xác về cách thức bằng chứng được thu giữ, di chuyển và phân tích.
Điều quan trọng là, chuỗi hành trình cần chứng minh được cách thức tiếp cận bằng chứng đã được
kiểm soát và đánh giá.
Một Chuỗi hành trình được đưa ra nhằm mục đích chứng minh rằng bằng chứng không bị thay đổi
theo bất kỳ cách nào từ thời điểm thu thập cho đến khi trình bày cuối cùng trước tòa. Bản chất của
bằng chứng điện tử cho thấy, các lỗ hổng liên quan đến việc chứng minh rằng không có sự thay đổi
nào diễn ra, cũng như tính xác thực của bằng chứng là đáng tin cậy 100%.
Không giống như một bằng chứng vật lý thông thường (ví dụ: súng hoặc dao), việc trình bày các tệp
nhật ký điện tử thu được từ Nhà cung cấp dịch vụ Internet sẽ dễ đối mặt với thách thức hơn về tính
toàn vẹn, ngữ cảnh và giá trị bằng chứng. Do đó, các nguyên tắc chuỗi hành trình khi xử lý bằng
chứng điện tử phải có căn cứ và đáng tin cậy. Điều này sẽ được thảo luận sâu hơn ở phần sau của
khóa học.
Quy trình (Workflow)

Tầm quan trọng của quản lý quy trình thường bị đánh giá thấp. Một lần nữa, không giống như các
bằng chứng vật chất, bằng chứng điện tử không tự mình thể hiện được. Bằng chứng điện tử thường
yêu cầu giải cấu trúc, đánh giá và diễn giải để xác định đầy đủ giá trị và bối cảnh chứng minh của nó.
Trong phạm vi khổng lồ của bằng chứng điện tử, một số dữ liệu bị thu giữ không bao giờ được kiểm
tra. Khi dữ liệu bị tịch thu nhưng không được kiểm tra, điều này có thể tạo ra rủi ro cho cơ quan thực
thi pháp luật vì dữ liệu điện tử này có thể chứa thêm bằng chứng quan trọng hỗ trợ cho việc chứng
minh hành vi phạm tội hoặc xác định bằng chứng ngoại phạm (ví dụ: bằng chứng minh oan cho bị
cáo). Giải pháp cho việc này là tiết lộ tất cả các bằng chứng điện tử thu giữ được cho bị cáo. Sau đó,
tùy quyết định của bị cáo có thể sử dụng một/nhiều bằng chứng trong số đó để biện hộ.
Quản lý quy trình cung cấp một bản ghi nhanh có cấu trúc, có thể định lượng và cụ thể cho chứng cứ
điện tử, cụ thể như sau:
1. Những quy trình và kỹ thuật nào được thực hiện

2. Bằng chứng được lọc như thế nào để kiểm tra mục tiêu
3. Những bằng chứng cụ thể nào được kiểm tra
4. Bằng chứng được kiểm tra có phục vụ bất kỳ giả thuyết điều tra nào không
5. Kết quả kiểm tra có thể được chứng thực không
6. Kết quả kiểm tra có thể phục vụ công tác tình báo không
7. Điều tra viên chính đã được thông báo về kết quả kiểm tra chưa
Quy trình bảy bước này được sử dụng kết hợp với ma trận chứng cứ điện tử sẽ giúp đảm bảo rằng
TẤT CẢ bằng chứng điện tử được kiểm tra một cách thích hợp và đầy đủ. Bất kỳ kết quả kiểm tra nào
sau đó có thể hỗ trợ thúc đẩy cuộc điều tra để đảm bảo tất cả các bằng chứng hiện tại và tiềm năng
được thu thập trong tương lai được tận dụng đầy đủ.
Phân tích (Analysis)

Khi đề cập đến quản lý chứng cứ điện tử, phân tích dữ liệu là lĩnh vực bị Điều tra viên bỏ qua nhiều
nhất. Điều này thường xảy ra ở các nước khu vực châu Á, nơi năng lực giám định hình sự kỹ thuật số

vẫn đang phát triển. Các điều tra viên tội phạm mạng có thể hoàn toàn dựa vào Giám định hình sự
kỹ thuật số để phân tích chứng cứ. Phân tích hình sự kỹ thuật số không chỉ đơn giản là một đầu mục
trong danh sách những việc cần làm của quá trình điều tra tội phạm mạng. Phân tích hình sự kỹ
thuật số có thể giúp khám phá và giải thích dữ liệu theo cách lặp lại và đáng tin cậy trong bối cảnh
công nghệ. Tuy nhiên, CHỈ Điều tra viên tội phạm mạng với kiến thức sâu sắc về toàn bộ vụ án và
cuộc điều tra mới có thể xác định được bằng chứng thực sự có liên quan hay không. Kiến thức của
Điều tra viên tội phạm mạng về các cuộc phỏng vấn nhân chứng, kết quả giám sát vật lý và điện tử,
tìm kiếm và các nguồn dữ liệu khác giúp thúc đẩy cuộc điều tra phải được kết hợp với Giám định
viên hình sự kỹ thuật số để đảm bảo các phương pháp phân tích sáng tạo có thể xác định được bằng
chứng liên quan. Đây là một phần quan trọng của việc xác định và quản lý bằng chứng điện tử.
Trình bày bằng chứng điện tử

Thách thức đầu tiên trong việc trình bày chứng cứ điện
tử là làm thế nào để truyền tải chính xác nhất thông điệp
cho đối tượng mục tiêu có thể hiểu được mà không làm
vướng mắc vấn đề.
Mặc dù khả năng chấp nhận và chuỗi hành trình đóng vai
trò cơ bản để đảm bảo bằng chứng được tòa án chấp nhận, nhưng đây không phải là lý do tại sao
bằng chứng được trình bày. Bằng chứng phải được trình bày theo cách có liên quan và đáng tin cậy
thông qua việc trả lời các câu hỏi nhằm mục đích bác bỏ hoặc hỗ trợ các yếu tố của hành vi phạm tội.
Nhận thức về công nghệ

Tất cả chúng ta đều hiểu công nghệ phát triển nhanh chóng như thế nào. Thách thức đối với Điều tra
viên tội phạm mạng là thế giới thay đổi nhanh chóng đó ảnh hưởng đến khả năng triển khai công tác
chuyên môn như thế nào. Do tội phạm mạng là chuyên gia tận dụng và sử dụng công nghệ để làm lợi
thế của mình, ngược lại, Điều tra viên tội phạm mạng phải là chuyên gia trong việc sử dụng và khai
thác chính công nghệ đó để phục vụ quá trình điều tra của mình. Điều này chỉ có thể đạt được thông
qua nghiên cứu và đào tạo chuyên dụng.
Một phần đáng kể thời gian của Điều tra

viên tội phạm mạng phải dành cho việc tăng
cường nhận thức về công nghệ. Đây không
chỉ đơn giản là biết về một phần công năng
và cách sử dụng công nghệ mà còn liên quan
đến công nghệ vũ khí hóa và công nghệ thao
tác để đạt được một lợi thế điều tra và ra
thành quả. Điều này cực kỳ khó khăn vì
‘công nghệ’ có thể không phải là ‘ngôn ngữ
mẹ đẻ’ của bạn và việc thực thi pháp luật bị
ràng buộc bởi luật pháp trong khi tội phạm
có thể tự do triển khai và sử dụng công nghệ
mới nổi theo cách chúng muốn.
Từ quan điểm thực thi pháp luật, mức độ

nhận thức cơ bản về công nghệ liên quan đến ba câu hỏi sau:
1. Nhận thức đó có hiển thị thông tin điện tử không?

2. Có truyền hoặc nhận thông tin điện tử hay không?
3. Có lưu trữ thông tin điện tử hay không?
Tất nhiên, câu trả lời có thể là cả ba, nhưng việc chia nhỏ thành lý luận điều tra chứ không chỉ đơn
thuần là trải nghiệm người dùng cuối sẽ cho phép Điều tra viên tội phạm mạng hình dung được hiện
trường vụ án thực sự. Mỗi câu trong số ba câu hỏi trên có thể giúp xác định một tập hợp các hiện
trường tội phạm trong phạm vi một thiết bị vật lý. Việc trả lời cho mỗi câu hỏi này đều có thách thức
thực thi pháp luật riêng, đồng thời đóng vai trò là phép thử để kiểm tra khả năng tưởng tượng của
Điều tra viên tội phạm mạng.
Nhận thức về công nghệ ngày nay phải bao gồm cả nhận thức về tiền ảo/tiền điện tử. Để hiểu về tiền
ảo, chúng ta cần nắm kiến thức về mật mã. Mật mã học là một phương pháp bảo vệ hoặc che giấu
thông tin bằng cách sử dụng các mã để chỉ những người có mục đích sử dụng thông tin mới có thể
đọc và xử lý nó. Tiền tố "crypt-" có nghĩa là "ẩn" hoặc "kho tiền" và hậu tố "-graphy" có nghĩa là
"viết". Liên quan đến máy tính, mật mã đề cập đến thông tin an toàn và các kỹ thuật truyền thông
bắt nguồn từ các khái niệm toán học và một tập hợp các phép tính dựa trên quy tắc được gọi là
thuật toán, để biến đổi thông tin theo những cách khó giải mã. Các thuật toán này được sử dụng để
tạo khóa mật mã. Khóa là một giá trị được sử dụng trong quá trình mã hóa để mã hóa và cũng để
giải mã dữ liệu và được gọi là 'biến mật mã' (‘crypto variable’).
Từ nhận thức cơ bản, Điều tra viên cần phát triển các kỹ
năng “sở trường” để cho phép họ thúc đẩy việc điều tra
và ra quyết định thu thập bằng chứng. Nhận thức về công
nghệ không thể được tích lũy chỉ bằng cách đọc một cuốn
sách. Quá trình này được phát triển trong nhiều năm bằng
cách áp dụng các phương pháp điều tra pháp lý cho các
tình huống khác nhau (được liệt kê bên dưới), đồng thời
đảm bảo các nguyên tắc về mức độ liên quan và độ tin cậy
được áp dụng.
Hiển thị thông tin điện tử

1. Việc hiển thị có liên tục không?
2. Có đảm bảo bảo mật khi hiển thị không?
3. Làm thế nào lấy được thông tin hiển thị?
4. Làm thế nào thể hiện được ngữ cảnh?
5. Làm thế nào để thể hiện kiến thức hoặc quyền sở hữu?
Truyền hoặc nhận thông tin điện tử

1. Có cần sự tham gia của một nhà cung cấp
dịch vụ không?
2. Dữ liệu được lưu trữ trong bao lâu?
3. Loại dữ liệu nào?
4. Dữ liệu đó có thể cho ta biết được điều gì?
5. Cách lấy dữ liệu?
Lưu trữ dữ liệu điện tử

1. Dữ liệu được lưu trữ trong bao lâu?
2. Loại dữ liệu nào?
3. Dữ liệu đó có thể cho ta biết được điều gì?

4. Cách lấy dữ liệu?
5. Dữ liệu có thể đọc được bằng cách thông thường không?
6. Có đảm bảo được bảo mật dữ liệu đó không?
7. Làm thế nào để thể hiện kiến thức hoặc quyền sở hữu?
Internet vạn vật (IoT)

Tất cả các thiết bị có thể kết nối với Internet - được gọi chung là ‘Internet vạn vật’ (‘Internet of
Things’ - IoT). Tất cả những điều này đều làm tăng thêm nguy cơ tấn công mạng. Các vật dụng cá
nhân hàng ngày như đồng hồ, máy quay video, tủ lạnh và TV có thể/được kết nối với Internet có thể
bị tội phạm mạng lợi dụng cho các mục đích xấu.
Các cuộc tấn công trên không gian mạng có mục tiêu là thiết bị IoT hoặc sử dụng thiết bị IoT đã tăng
lên đáng kể trong vài năm qua. Thực trạng này đặt ra một số thách thức đối với công tác thực thi
pháp luật như sau:
1. Trộm cắp và giả mạo

2. Giao diện web không an toàn
3. Tấn công cơ sở dữ liệu
4. Các vấn đề phát sinh từ chính sách ‘mang thiết bị của riêng bạn’ (BYOD)
5. Phần mềm (firmware) không được hỗ trợ
Mặc dù lực lượng thực thi pháp luật trên toàn thế giới đang phát triển các kỹ năng cần thiết để kiểm
tra pháp lý máy tính và điện thoại di động, thách thức đang nổi lên không chỉ là biết cách thu thập
bằng chứng điện tử từ các thiết bị IoT, mà còn là xác định sự tồn tại của chúng ngay từ đầu.
Thiết bị IoT là gì?

IoT liên quan đến việc mở rộng kết nối Internet ngoài các thiết bị tiêu chuẩn như máy tính để bàn,
máy tính xách tay, điện thoại thông minh và máy tính bảng cho đến bất kỳ thiết bị truyền thống nào
không kết nối Internet hoặc thiết bị không hỗ trợ Internet và vật dụng hàng ngày. Được liên kết với
công nghệ, các thiết bị như bóng đèn, khóa cửa, phích cắm điện, bát ăn cho vật nuôi, cho đến những
vật dụng nhỏ như cảm biến, chẳng hạn như cảm biến nước, đều có thể giao tiếp và tương tác qua
Internet. Điều quan trọng đối với công tác thực thi pháp luật là những vật dụng nêu trên có thể được
giám sát và kiểm soát từ xa. Điều này cho phép cả người dùng và doanh nghiệp hành động nhanh
hơn dựa trên thông tin thực và trực tiếp nếu chúng không có sẵn. Ngày nay, số lượng thiết bị kết nối
Internet nhiều hơn số lượng con người trên hành tinh. Nhiều thống kê đã ước tính đến năm 2021,
các thiết bị IoT dự kiến sẽ đạt 50 tỷ.
Thiết bị IoT và Nhà thông minh

Ngày nay, có vô số khả năng để biến ngôi nhà của chúng ta trở nên thông minh. Ngày nay, mọi thứ
bạn có thể kiểm soát thông qua điện thoại đều được gọi là thông minh. Chiếu sáng bằng bóng đèn
thông minh và công tắc thông minh là những thiết bị IoT phổ biến nhất trong gia đình. Có nhiều danh
mục và hàng trăm sản phẩm. Ở hạng mục an ninh là khóa cửa thông minh, thiết bị mở cửa nhà để xe
thông minh, camera an ninh, cũng như
các loại cảm biến thông báo nếu có rò rỉ
nước, cửa sổ đang mở, phát hiện khí
carbon dioxide (CO2), v.v.
Có bốn công nghệ chính mà các thiết bị

Nhà thông minh sử dụng để giao tiếp:

1. Wi-Fi
2. Công nghệ Zigbee (một ngôn ngữ không dây giúp kết nối các thiết bị khác nhau thành một
mạng lưới và bạn có thể điều khiển mạng lưới này thông qua điện thoại, máy tính bảng)
3. Công nghệ Z-Wave (các giao thức không dây chủ yếu tập trung vào kết nối trong nhà thông
minh)
4. Bluetooth
Kết nối Wi-Fi chỉ được tìm thấy trong các thiết bị được cắm điện, chẳng hạn như loa thông minh, bộ
điều nhiệt thông minh. Wi-Fi tiêu thụ rất nhiều năng lượng, đó là lý do tại sao bạn hầu như không
bao giờ tìm thấy các thiết bị kết nối Wi-Fi chạy bằng pin. Zigbee và Z-Wave thường được sử dụng cho
những vật giống hệt nhau, chẳng hạn như khóa cửa, cảm biến không dây và rất nhiều thiết bị chạy
bằng pin, vì cả Zigbee và Z-Wave đều không tiêu thụ nhiều năng lượng. Cuối cùng, Bluetooth thường
được sử dụng trên các thiết bị chạy bằng pin bên trong, đặc biệt là biến thể Bluetooth năng lượng
thấp, khóa cửa đang chạy, ổ cắm điện và cảm biến không dây.
Một điểm đáng chú ý với công tác thực thi pháp luật là, Zigbee và Z-Wave thường muốn kiểm soát
các thiết bị từ mọi nơi trên thế giới bằng máy tính để bàn, điện thoại thông minh hoặc máy tính xách
tay; đồng thời Zigbee và Z-Wave không kết nối trực tiếp với Internet. Để điều khiển chúng từ mọi
nơi, bạn cần có một trung tâm Nhà Thông minh có thể giao tiếp với Zigbee, Z-Wave hoặc cả hai,
được cắm điện và kết nối với Internet. Chúng ta có thể bắt đầu nghiên cứu từ các thương hiệu như
Wink và Samsung SmartThings. Ngoài ra còn có các loa thông minh, như Amazon Echo Plus, có thể
tăng gấp đôi như một trung tâm Zigbee.
Cơ quan thực thi pháp luật đang ngày càng để ý đến các ‘trợ lý ảo thông minh’ (Smart assistant).
Google có Trợ lý Google (Google Assistant), Amazon có Alexa, Microsoft có Cortana và Apple có Siri.
Các trợ lý ảo thông minh này cũng có nhiều cách để bạn có thể nói chuyện hoặc giao tiếp với họ qua
điện thoại di động, máy tính hoặc nếu bạn có loa thông minh hỗ trợ việc giao tiếp với trợ lý đó. Mặc
dù không phải lúc nào cũng vậy, nhưng thông thường trợ lý thông minh là điểm tiếp xúc chính với
các thiết bị thông minh, vì chúng ta đều muốn có thể điều khiển các thiết bị đó bằng giọng nói của
mình. Ví dụ, bạn có thể nói, “OK Google, bây giờ là mấy giờ ở Việt Nam?” Tìm kiếm bằng giọng nói và
phản hồi của Google có được lưu ở bất kỳ đâu trên chính thiết bị trợ lý của Google không? Hoặc nó
đã được liên kết với tài khoản Google được đăng nhập trên thiết bị? Đây là những câu hỏi đặc thù
mà các Điều tra viên Tội phạm Mạng đang phải đối mặt.
IoT giới thiệu một loạt công nghệ mới kết nối các khả năng với môi trường tích hợp của chúng ta mà
không mấy chú trọng đến vấn đề bảo mật, bởi vì hầu hết các thiết bị đang sử dụng bộ xử lý đơn giản
hoặc thậm chí là hệ điều hành rút gọn. Trong một số trường hợp, các thiết bị thậm chí không hỗ trợ
các giải pháp bảo mật cao cấp hoặc thiếu một số tính năng bảo mật cơ bản của hệ điều hành do
thiếu bộ nhớ hoặc hiệu suất của thiết bị.
Điều quan trọng là các Điều tra viên tội phạm mạng phải nghiên cứu và hiểu rằng bằng chứng có thể
được tạo ra bởi người dùng, bao gồm cả các tác nhân độc hại, khi một thiết bị IoT được kết nối/được
gia nhập vào mạng. Cơ quan thực thi pháp luật phải tiếp cận IoT hoàn toàn từ một góc độ khác với
trải nghiệm của người dùng. Các lĩnh vực sau đây là điểm khởi đầu cho nghiên cứu nhận thức về
thực thi pháp luật liên quan đến IoT:
1. Hệ thống nước và van điều khiển các hệ thống đó

2. Lưới năng lượng
3. Cơ sở hạ tầng giao thông công cộng
4. Xe ô-tô

5. Tự động hóa gia đình, hệ thống an ninh cảm biến chuyển động và hệ thống phun nước
Nếu thực sự muốn tìm hiểu về một cách thức khác thường để thu thập dữ liệu, hãy tìm kiếm trên
Google từ khóa ‘smart bikini’.
Đằng sau những công nghệ tuyệt vời và tiện lợi, có một câu hỏi quan trọng là: Người dùng có phải
thiết lập tài khoản trực tuyến để vận hành thiết bị không? Các điều tra viên tội phạm mạng phải hiểu
rằng thực tế này thể hiện một lỗ hổng bảo mật. Vậy ai sẽ là người bảo vệ tên người dùng và mật
khẩu, cũng như khả năng kết nối của các thiết bị này? Môi trường không được kiểm soát của các nhà
sản xuất IoT có nghĩa là họ quan tâm nhiều hơn đến các tính năng của sản phẩm thay vì bảo mật dữ
liệu cá nhân.
Điều quan trọng cần lưu ý là các thiết bị IoT thực sự tạo ra nhiều lựa chọn tấn công hơn cho tội
phạm mạng. Thực trạng thâm nhập IoT đang gia tăng với tốc độ nhanh chóng và các nhà sản xuất
thiết bị vẫn chưa chuẩn bị sẵn sàng cho các thách thức về bảo mật. Hệ điều hành nhúng (embedded
operating systems) chạy trên các thiết bị được kết nối có nguy cơ xuất hiện các lỗ hổng bảo mật với
tốc độ chưa từng thấy. Kết hợp với việc ngày càng nhiều công ty chuyển sang sử dụng dịch vụ đám
mây, quy mô tấn công ngày càng tăng nhanh hơn khả năng thích ứng của các cơ quan thực thi pháp
luật.
Những điều cần cân nhắc trong thực thi

pháp luật
Các thiết bị IoT thường giao diện với các ‘cổng
mạng’ IoT (IoT ‘gateway’). Các cổng này được
sử dụng để thu hẹp khoảng cách giữa các thiết
bị IoT và tương tác với người dùng cuối. Cổng
mạng IoT này (hoặc ‘người trung gian’) phải
được coi là một nguồn bằng chứng tiềm năng
với khả năng vô tận, do ảnh hưởng và sự tham
gia công nghệ của nó. Cổng mạng IoT là một
giải pháp tạo điều kiện để thực hiện truyền
thông IoT, thường là giao tiếp thiết bị với thiết bị hoặc giao tiếp thiết bị với đám mây. Cổng mạng
gateway thường là một phần mềm ứng dụng dành cho thiết bị phần cứng thực hiện các tác vụ thiết
yếu. Ở cấp độ cơ bản nhất, cổng mạng gateway tạo điều kiện thuận lợi cho các kết nối giữa các
nguồn và đích dữ liệu khác nhau. Một cách đơn giản để hình dung một cổng IoT là so sánh nó với bộ
định tuyến hoặc cổng mạng gateway gia đình hoặc văn phòng của bạn. Một cổng mạng gateway
thông thường có chức năng hỗ trợ giao tiếp giữa các thiết bị, duy trì bảo mật và cung cấp giao diện
quản trị nơi chúng ta có thể thực hiện các chức năng cơ bản. Trong khi đó, một cổng mạng IoT có
khả năng tương tự và hơn thế nữa. Những điều này tạo cơ hội cho các Điều tra viên tội phạm mạng
trình độ cao.
Tương tự như cổng mạng gateway còn có kênh giao tiếp (tức là Internet) và thông qua kênh giao
tiếp này, các cổng mạng gateway sẽ giao tiếp với bộ lưu trữ dữ liệu và/hoặc máy chủ đám mây. Một
nội dung chủ chốt cần cân nhắc ở thời điểm này là dữ liệu sau đó được lưu trữ và phân tích; và dựa
trên chính ứng dụng, thông tin sau đó có thể được gửi đến ứng dụng từ xa của người dùng cuối trên
một thiết bị thông minh.

Học phần 3: Cơ bản về Internet
Học phần này giới thiệu các hoạt động và cấu phần cơ bản của Internet, bao gồm các khái niệm như
cách kết nối với Internet, địa chỉ Giao thức Internet (IP), so sánh địa chỉ IP tĩnh và IP động, DHCP và
WHOIS. Học phần cũng sẽ thảo luận về các trình duyệt hiện đại và các công cụ tiềm năng dành cho
Điều tra viên tội phạm mạng.
Internet là gì
Internet là một hệ thống toàn cầu gồm các mạng máy tính và thiết bị điện tử được kết nối với nhau,
được kích hoạt bởi sự kết hợp của các lớp vật lý và logic, thiết bị và giao thức công nghệ. Tuy nhiên,
với tất cả những cấu phần này, Internet vẫn không phải là World Wide Web. Thuật ngữ ‘Internet’ và
‘World Wide Web’ thường được sử dụng mà không có nhiều sự phân biệt. Mặc dù vậy, hai thuật ngữ
này không có nghĩa giống nhau. Internet là một hệ thống toàn cầu gồm các mạng máy tính được kết
nối với nhau, và ngược lại, World Wide Web là một tập hợp toàn cầu các tài liệu và các tài nguyên
khác được liên kết với nhau bằng các siêu liên kết.
Xương sống của Internet là một mạng lưới cáp vật lý toàn cầu bao gồm dây điện thoại bằng đồng,
cáp TV và cáp quang. Loại cáp khổng lồ này kết nối với các thiết bị lưu trữ thông tin mà người dùng
muốn xem. Trái ngược với suy nghĩ của nhiều người, Internet không bao giờ bị "sập". Trong trường
hợp này, người dùng đang đề cập đến việc điểm truy cập thực tế của họ vào Internet hoặc một dịch
vụ cụ thể mà họ đang yêu cầu không phản hồi.
Cảnh sát và Internet

Trong thế giới ảo, không tồn tại một biên giới nào cả, dẫn đến những cơ hội chưa từng có cho tội
phạm mạng. Khi Hiệp hội các quốc gia Đông Nam Á (ASEAN) tìm cách thúc đẩy tăng trưởng kinh tế và
tạo điều kiện tiếp cận thông tin và dịch vụ, người dân đang chuyển đổi phần lớn cuộc sống hàng
ngày của họ bằng các dịch vụ Internet, chẳng hạn như e-mail, ngân hàng trực tuyến, thương mại
điện tử và truyền thông xã hội. Tuy nhiên, sự phụ thuộc ngày càng nhiều vào Internet đã tạo ra sự
gia tăng trong các mạng lưới tội phạm, gây ra các cuộc tấn công khác nhau nhằm vào các mục tiêu
với tốc độ nhanh chóng.
Ở châu Á, e-mail độc hại vẫn là vũ khí được lựa chọn cho một loạt các hoạt động tội phạm mạng, đặc
biệt là phân phối phần mềm độc hại và tấn công giả mạo (phising), rồi đến mã độc tống tiền
(ransomware). Hiển nhiên, có một nguyên tắc về nhân quả trực tiếp giữa sự phát triển trong hoạt
động Internet thường nhật với việc tiến hành các hoạt động này một bất hợp pháp và độc hại.
Cảnh sát cần có nhận thức, hiểu biết, kiến thức và năng lực liên quan đến Internet. Tỷ lệ sử dụng
Internet ở Đông Nam Á tương đối cao so với tỷ lệ toàn cầu. Tỷ lệ sử dụng Internet trung bình ở Đông
Nam Á là khoảng 63%, tương đương khoảng 415 triệu người dùng. Đặc biệt, tỷ lệ sử dụng Internet là
84% ở Singapore, 82% ở Thái Lan, 80% ở Malaysia, 71% ở Philippines, 66% ở Việt Nam và 56% ở
Indonesia. Ở cấp thấp hơn, tại Lào và Myanmar, tỷ lệ này lần lượt là 36% và 33%. Indonesia và
Philippines dường như có mức tăng trưởng tuyệt đối lớn nhất trong khu vực, mỗi quốc gia đều có
mức tăng 13% về người dùng Internet. Người dùng Internet ở Philippines và Thái Lan đã dành lượng
thời gian cao nhất hàng ngày trên Internet, tương ứng là 10 giờ và 9 giờ.

Tỷ lệ sử dụng mạng xã hội trung bình ở Đông Nam Á là khoảng 61% với 402 triệu người dùng. Tỷ lệ
sử dụng mạng xã hội ở Brunei là 94%, Singapore 79%, Malaysia 78%, Thái Lan 74%, Philippines 71% ,
Việt Nam 64% và Indonesia 56%.
Khu vực ASEAN có tỷ lệ thuê bao điện thoại di động ở mức cao đáng kể, với phần lớn các thuê bao là
trả trước. Một xu hướng không thể phủ nhận là người tiêu dùng trong khu vực đang dần quen với
các thiết bị thông minh được kết nối rộng mở với Internet.
Cảnh sát cần chuẩn bị sẵn sàng trước một môi trường Internet mới trên nền tảng công nghệ đám
mây với một khuôn khổ dựa trên Trí tuệ nhân tạo sẽ mang lại sự tối ưu hóa, cá nhân hóa chưa từng
có, với nhiều cấp độ an ninh mạng khác nhau. Điều này đang thúc đẩy việc gia tăng sử dụng Internet
trong mô hình nhà thông minh.
Nhà và Internet
Do lệnh khám xét của cơ quan thực thi pháp
luật liên quan đến một phần đáng kể của hệ
thống nhà ở, điều quan trọng là chúng ta phải
làm quen với cách thiết lập mạng gia đình hiện
đại. Mạng gia đình và Internet không nhất thiết
phải được kết nối với nhau. Tuy nhiên, các
mạng gia đình hiện đại thường được các hộ gia
đình sử dụng, cả có dây và không dây nhằm kết
nối Internet dành riêng cho gia đình với các
thiết bị hỗ trợ Internet.
The home Internet service will largely depend on the geographical location and the service provided
by the selected Internet Service Provider (ISP). The ISP in most instances will supply a pre-configured
modem that will automatically provide the service configured to a pre-determined registered user.
Dịch vụ Internet gia đình sẽ phụ thuộc phần lớn vào vị trí địa lý và dịch vụ được cung cấp bởi Nhà
cung cấp dịch vụ Internet (ISP) được lựa chọn. Trong hầu hết các trường hợp, ISP sẽ cung cấp một
modem được cấu hình trước để tự động cung cấp dịch vụ được cấu hình cho người dùng đã đăng ký
từ trước.
Các loại dịch vụ khác nhau:
1. Truy cập quay số (Dialup) - Công nghệ chậm, lỗi thời và ngày nay rất hiếm thấy.
2. Kênh thuê bao số (DSL) – Loại kết nối băng thông rộng phổ biến nhất
3. Cáp (Cable) – Kết nối qua Truyền hình cáp, mặc dù vậy gia đình không cần phải có truyền
hình cáp để có thể kết nối theo cách này. Loại dịch vụ này sử dụng kết nối băng thông
rộng và có thể nhanh hơn cả dịch vụ truy cập quay số và Kênh thuê bao số DSL; tuy
nhiên, nó chỉ khả dụng ở những nơi có truyền hình cáp.
4. Cáp quang (Fibre) - Sử dụng cáp quang, đây là kết nối băng thông rộng nhanh nhất hiện
nay, tuy nhiên bị giới hạn bởi nơi lắp đặt.
5. Vệ tinh (Satellite) - Kết nối vệ tinh sử dụng băng thông rộng nhưng không yêu cầu
đường dây cáp hoặc điện thoại; dịch vụ này kết nối với Internet thông qua các vệ tinh
quay quanh Trái đất.
6. Điện thoại di động (Cellular) - Được bán dưới dạng các loại kết nối Internet không dây
4G, LTE và 5G được sử dụng bởi điện thoại di động và có thể được sử dụng như một thay
thế cho băng thông rộng trong gia đình.

Nếu một ngôi nhà có dịch vụ kết nối Internet được cung cấp qua modem, một số mạng thường sẽ
theo sau và liên quan đến các loại máy tính xách tay và các thiết bị di động cá nhân khác. Ngày nay,
máy chơi game và TV thông minh cũng rất phổ biến và được sử dụng rộng rãi trong các mạng gia
đình. Tất cả các thiết bị này được kết nối thông qua một bộ định tuyến quản lý cách dữ liệu được gửi
và nhận trong nhà. Ngày nay, các modem hiện đại cũng cung cấp các dịch vụ định tuyến này. Sự tồn
tại của một thiết bị định tuyến riêng biệt giúp cho các Điều tra viên tội phạm mạng thu thập nhiều
bằng chứng điện tử hơn. Thiết bị định tuyến sử dụng địa chỉ Giao thức Internet (IP) để xác định thiết
bị sẽ gửi dữ liệu đến, tương tự như việc số điện thoại của bạn được sử dụng để gọi điện và nhắn tin
tới điện thoại di động của bạn.
Doanh nghiệp và Internet

Trong trường hợp khám xét một cơ sở kinh doanh, các điều tra viên tội phạm mạng sẽ thấy đây là
nơi có kết nối mạng và Internet có thể rất khác so với thiết lập thông thường tại nhà.
Trong môi trường này, người dùng thực tế thường có kiến thức hạn chế về cách thức, vị trí và hoàn
cảnh Internet được sử dụng trong doanh nghiệp. Hơn nữa, người dùng nói chung sẽ không tham gia
vào việc triển khai bảo mật và do đó ít quan tâm đến bảo mật Internet tổng thể hơn so với điện
thoại di động cá nhân của họ. Vì những lý do đó, nhân viên trong một doanh nghiệp là mắt xích yếu
nhất khi nói đến bảo mật, do đó là mục tiêu chính của các tác nhân không gian mạng thông qua
Internet.
Do sự phức tạp và đa dạng của kết nối Internet doanh nghiệp, các điều tra viên cần sớm đề nghị sự
tham gia của bất kỳ cơ quan quản lý CNTT nội bộ hoặc theo hợp đồng nào. Đặc biệt, việc truy cập
vào ghi nhật ký dựa trên Internet là một yêu cầu điều tra quan trọng và nhân viên quản trị CNTT có
thể hỗ trợ tốt nhất trong giai đoạn điều tra then chốt này.
Giao thức (IP)

Internet có giao thức riêng chịu trách nhiệm giải
quyết các gói tin, định tuyến và kiểm soát lưu lượng
truy cập qua nhiều nút mạng. Địa chỉ IP bao gồm
bốn số, mỗi số từ từ 0 đến 255 để xác định duy nhất
các nút mạng. Ví dụ: địa chỉ máy chủ của Facebook
là 176.13.69.63. Giao thức điều khiển truyền nhận
(TCP) là lớp truyền tải nằm trên IP và cung cấp giao
tiếp theo thứ tự, không có lỗi. TCP có thể lấy một
gói tin lớn, phân đoạn nó, gửi những phân đoạn này qua nhiều tuyến và tập hợp lại tại đích của gói
tin; và TCP thực hiện tất cả bước điều trên trong khi lớp IP bên dưới hoàn toàn không biết gì. Hãy coi
TCP như một bộ phận hậu cần. Logistics có thể chia nó thành nhiều lô hàng nhỏ hơn, và giống như
IP, tài xế xe tải có thể hoàn toàn không biết về thực tế này. Đây được gọi là Giao thức điều khiển
truyền nhận/Giao thức liên mạng (TCP/IP).
Chỉ riêng TCP/IP là không đủ để làm cho Internet hoạt động. Cần có một giao thức cho các ứng dụng
mà người dùng tương tác. Một ứng dụng phổ biến mà hầu hết mọi người đều nhận ra được gọi là
Giao thức truyền tải siêu văn bản (HTTP). HTTP là một giao thức truyền thông tin siêu phương tiện,
phân tán và cộng tác. HTTP hoạt động như một người biên dịch giữa người dùng cuối và mạng.
Địa chỉ IP
Tập đoàn Internet cấp số và tên miền (ICANN) chịu trách nhiệm điều phối duy trì và các quy trình của
một số cơ sở dữ liệu liên quan đến không gian tên và không gian số của Internet. Tổ chức này quản

lý tất cả các địa chỉ IP. ICANN phân phối trách nhiệm này thông qua năm cơ quan đăng ký Internet
khu vực:
1. RIPE NCC - Trung tâm điều phối mạng Réseaux IP Européens là cơ quan đăng ký Internet các
nước khu vực cho Châu Âu, Tây Á và Nga.
2. AFRINIC - Trung tâm Thông tin Mạng Châu Phi là cơ quan đăng ký Internet cho các nước khu
vực Châu Phi.
3. APNIC - Trung tâm Thông tin Mạng Châu Á và Thái Bình Dương là cơ quan đăng ký Internet
cho các nước khu vực Châu Á - Thái Bình Dương.
4. ARIN - Cơ quan đăng ký số Internet châu Mỹ là cơ quan đăng ký Internet cho Canada, Hoa Kỳ
và một số hòn đảo tại Caribe và Bắc Đại Tây Dương
5. LACNIC - Trung tâm Thông tin Mạng Mỹ Latinh và Caribe là cơ quan đăng ký Internet cho các
nước khu vực Mỹ Latinh và Caribe
Đại đa số các mạng ngày nay sử dụng Giao thức điều khiển truyền nhận/Giao thức liên mạng
(TCP/IP) để quản lý cách các máy tính kết nối và giao tiếp qua mạng. Trong hệ thống này, số nhận
dạng duy nhất được gán cho mỗi máy tính nhất định được gọi là địa chỉ IP của nó.
Có hai phiên bản địa chỉ IP khác nhau: IPv4 và IPv6. Tất cả các máy được nối mạng đều có địa chỉ
IPv4 và nhiều máy hiện đang sử dụng IPv6 được cập nhật. Sự khác biệt giữa hai địa chỉ này là IPv4 sử
dụng 32 bit nhị phân để phân biệt từng địa chỉ duy nhất — dẫn đến địa chỉ trên cơ sở hệ thập phân
được biểu thị bằng bốn cụm số được phân tách bằng dấu chấm, chẳng hạn như 202.108.180.16.
Trong khi đó, IPv6 sử dụng 128 bit nhị phân để tạo tám cụm cơ số 16 được phân tách bằng dấu hai
chấm, chẳng hạn như 2407: 7000: 9c16: 7326: f495: 86f2: 224a: 6a04.
Địa chỉ IP động và địa chỉ IP tĩnh

Việc gán địa chỉ IP cho các thiết bị có thể được thực hiện theo một trong hai cách. Đặt địa chỉ IP và
các thông số mạng IP theo cách thủ công cho từng thiết bị được gọi là định địa chỉ IP tĩnh. Nhìn cung,
địa chỉ IP tĩnh được cố định bởi một nhà cung cấp dịch vụ và không thay đổi. Đối với cơ quan thực thi
pháp luật, địa chỉ tĩnh dễ dàng hơn trong xác định vị trí,
bất kể thời gian.
Sự khác biệt giữa địa chỉ IP tĩnh và IP động là IP động có

thể tự động hóa một vài bước. Giao thức cấu hình động
máy chủ (DHCP) tự động thực hiện việc gán địa chỉ IP và
cấu hình các thông số mạng bằng cách yêu cầu mỗi thiết
bị được kết nối phải yêu cầu một địa chỉ IP từ máy chủ
DHCP. Thiết bị được thuê địa chỉ IP trong một khoảng
thời gian nhất định, sau đó địa chỉ IP sẽ trở lại nhóm các
địa chỉ khả dụng trừ khi thiết bị đó gia hạn hợp đồng
thuê.
Địa chỉ IP động liên tục thay đổi và thường được gán cho bộ định tuyến gia đình và điện thoại di
động của chúng ta. Mỗi khi điện thoại hoặc bộ định tuyến kết nối lại với Internet, các thiết bị này sẽ
được cấp một địa chỉ IP động mới. Điều tra viên tội phạm mạng cần phải cần xác định được người
dùng điện thoại di động vào một ngày và giờ cụ thể. Điều quan trọng là có được càng nhiều thông tin
ngày và giờ chính xác càng tốt của tất cả các hoạt động liên quan để xác định được người đăng ký.
Giao thức cấu hình động máy chủ (DHCP)

Như đã đề cập ở trên, DHCP cung cấp giải pháp tự động gán địa chỉ IP cho các máy tính trong mạng.
Khi một máy khách được cấu hình để tự động nhận địa chỉ IP, máy khách này sẽ gửi yêu cầu đến máy

chủ DHCP. Sau đó, máy chủ sẽ cấp một "hợp đồng thuê" cho máy khách đó. Các lợi ích của DHCP bao
gồm:
 Ngăn người dùng tạo địa chỉ IP của riêng họ;

 Ngăn ngừa việc vào sai cổng mạng gateway hoặc mặt nạ mạng con (subnet masks);
 Giảm lượng thời gian dành cho việc cấu hình máy tính, đặc biệt là trong môi trường nơi máy
tính di chuyển thường xuyên.
Công cụ WHOIS
Cơ sở dữ liệu miền WHOIS là danh sách tất cả các miền đã đăng ký. Thông tin WHOIS được cơ quan
thực thi pháp luật sử dụng để kiểm tra người đăng ký tên miền. Mặc dù cơ sở dữ liệu WHOIS được
thiết kế theo một số cách để duy trì trách nhiệm giải trình, nhưng độ chính xác của dữ liệu không
phải lúc nào cũng đáng tin cậy. Khi xem kết quả dữ liệu WHOIS, chúng ta có thể không biết địa chỉ IP
nào liên quan đến dịch vụ di động hoặc dịch vụ cố định (băng thông rộng), do đó chúng ta sẽ cần gửi
yêu cầu đến nhiều nhà cung cấp.
Mặc dù có nhiều trang web và công cụ cho phép tìm kiếm dịch vụ dữ liệu WHOIS, đối với cơ quan
thực thi pháp luật, tìm kiếm WHOIS của Trung tâm Thông tin mạng châu Á – Thái Bình Dương
(APNIC) được ưu tiên vì cơ quan này đã được chuẩn bị để cung cấp lời khai phục vu cho các thủ tục
của Tòa án.
Cần lưu ý rằng có một tranh cãi pháp lý ở Châu Âu liên quan đến công cụ WHOIS và các công ty
không cần phải tiết lộ Người đăng ký là ai, do đó, việc cung cấp thông tin điều tra hữu ích trở nên
khó khăn hơn. Cho đến khi công cụ WHOIS “biến mất” và Quy định chung về bảo vệ dữ liệu (GDPR)
được giải quyết, trong nhiều trường hợp WHOIS không còn hữu ích như trước nữa, đặc biệt là đối
với các đăng ký miền tương đối mới, v.v., do đó trở thành trở ngại đối với công tác thực thi pháp luật
và những người khác khi cố gắng giải quyết vấn đề. Trên thực tế, cơ quan thực thi pháp luật có thể
chọn cách thương lượng các thỏa thuận riêng với các công ty đăng ký tên miền lớn trên thế giới để
truy cập dữ liệu quyền riêng tư này trên các tra cứu WHOIS bị chặn.
Hệ thống phân giải tên miền (DNS)

Hệ thống phân giải tên miền (DNS) thường được gọi là danh bạ Internet và là một giao thức cung cấp
khuôn khổ cho việc trình duyệt web. DNS là một dịch vụ Internet phiên dịch (hoặc chuyển đổi) tên
miền, chẳng hạn như www.csaprogram.org, thành địa chỉ IP, ví dụ: 176,13,69,63. DNS hoạt động
theo cách phi tập trung và giúp sắp xếp tên miền thành địa chỉ IP, vì con người có xu hướng nhận
dạng dễ dàng hơn bằng tên thay vì số.
Giao thức cấu hình động máy chủ (DHCP) và Hệ thống phân giải tên miền (DNS) đều là những dịch vụ
thiết yếu trong cơ sở hạ tầng CNTT và Truyền thông, và điều quan trọng là các Điều tra viên tội phạm
mạng phải biết (i) những dịch vụ này là gì và (ii) cách thức hoạt động của các dịch vụ này.
Trình duyệt Web

Phần mềm được sử dụng để truy xuất, trình bày, kết xuất và điều hướng tài nguyên thông tin qua
Internet được gọi là trình duyệt web. Cho đến nay, các trình duyệt phổ biến nhất là Google Chrome,
Microsoft Edge, Firefox, Safari và Opera. Kết xuất (rendering) là một quá trình trong đó Ngôn ngữ
Đánh dấu Siêu văn bản (HTML) và nội dung liên quan (tệp hình ảnh, thông tin định dạng, v.v.) được
chuyển đến công cụ bố cục của trình duyệt và được chuyển đổi thành một tài liệu tương tác.
Trình duyệt web được sử dụng để truy cập tên

miền, xác định chủ sở hữu hoặc nhà phân phối

nội dung. Tên miền tạo thành một phần của Tham chiếu tài nguyên Internet (URL).
Định dạng tài nguyên thống nhất (URI) xác định cách trình duyệt web diễn giải và hiển thị URL. Loại
URI được sử dụng phổ biến nhất bắt đầu bằng http: và xác định tài nguyên sẽ được truy xuất qua
Giao thức truyền siêu văn bản (HTTP). Các URI khác bao gồm HTTPS (một dạng HTTP an toàn) và FTP
(cho Giao thức truyền tệp tin). Ngoài ra, tiền tố ‘file://’ trong một trình duyệt web có thể được sử
dụng để truy cập các tệp tin được lưu trữ cục bộ. Đây là một nội dung quan trọng khi cố gắng điều
tra và giải thích lịch sử trình duyệt web vì sự tồn tại của lịch sử trình duyệt web không mặc nhiên có
nghĩa là nó đến từ Internet.
Web browsers attempt to extend their functionality by the use of plug-ins. These plug-ins, often
known as browser extensions, are used for improving a browser's user interface, security or
accessibility, blocking advertisements, and various other features to make browsing the Internet
easier and more pleasant. However, these extensions often collect and store artefacts that
Cybercrime Investigators can uncover, hence the more plug-ins used by a user in their web browser
could equal more potential evidence. On the other hand, browser extensions can represent security
vulnerabilities and expose the browser, and therefore the user, to malicious exploits.
Công cụ tìm kiếm

Công cụ tìm kiếm trên web là một hệ thống phần mềm được thiết kế để tìm kiếm thông tin trên
World Wide Web. Các công ty phần mềm này thu thập thông tin từ các khu vực có sẵn công khai, sau
đó lập chỉ mục các thông tin của mình cho các cụm từ có thể tìm kiếm được.
Các công cụ tìm kiếm không chỉ cung cấp các tra cứu từ khóa đơn giản mà còn cho phép các tham số
tìm kiếm khác nhau để tinh chỉnh kết quả tìm kiếm. Hầu hết các công cụ tìm kiếm hỗ trợ việc sử
dụng toán tử Boolean VÀ, HOẶC và KHÔNG để giúp người dùng cuối tinh chỉnh yêu cầu tìm kiếm của
họ.
Vì hầu hết các công cụ tìm kiếm trên Web là các dự án thương mại được hỗ trợ bởi doanh thu quảng
cáo (trong đó một số công cụ cho phép các công ty quảng cáo xếp hạng danh sách của họ cao hơn
trong kết quả tìm kiếm với một khoản phí) nên kết quả sẽ khác nhau, thậm chí xung quanh mức độ
liên quan.
Cho đến nay, công cụ tìm kiếm phổ biến

và dễ nhận biết nhất trên thế giới là
Google, thu hút 75% thị phần tìm kiếm.
Google, cũng như các công ty khác, cung
cấp các kết quả tùy chỉnh dựa trên lịch sử
hoạt động của người dùng. Vì lý do này,
các yêu cầu và kết quả của công cụ tìm
kiếm cung cấp cơ hội thu thập bằng
chứng cụ thể của người dùng. Google nêu rõ trong chính sách của họ rằng “Thông tin như vị trí của
bạn, lịch sử Tìm kiếm trước đây và cài đặt Tìm kiếm đều giúp chúng tôi điều chỉnh kết quả của bạn
cho phù hợp nhất và hữu ích nhất cho bạn trong thời điểm đó”.
YouTube cũng được coi là một công cụ tìm kiếm và cung cấp hơn 1 tỷ giờ video mỗi ngày. Vì Google
cũng sở hữu YouTube, tiềm năng tìm kiếm bằng chứng từ dữ liệu được lưu trữ của Google là rất lớn.

Thư điện tử (Email)
Email là một dịch vụ cho phép gửi các thông điệp điện tử qua Internet. Vì nó hiệu quả, không tốn
kém và kịp thời để phân phối thông tin trên toàn thế giới, email hiện là một phần thiết yếu của cuộc
sống. Điều quan trọng là các Điều tra viên Tội phạm Mạng phải hiểu cách thức thông tin liên quan
đến email có thể được sử dụng cho các mục đích điều tra vì ngày nay có hơn 300 tỷ email được gửi
và nhận mỗi ngày.
Địa chỉ Email

Mỗi chủ tài khoản email được chỉ định một tên duy nhất được gọi là địa chỉ email. Địa chỉ email
thường ở dạng tên người dùng và tên miền được phân tách bằng ký hiệu @ (at). Địa chỉ email không
phân biệt chữ hoa chữ thường và không được phép có khoảng trắng.
Hệ thống Email
Hệ thống email bao gồm ba cấu phần sau:
1. Máy chủ mail - Chức năng của máy chủ mail là nhận, lưu trữ và gửi email. Nếu máy chủ thư
gặp sự cố hoặc không hoạt động, các email có thể bị mất.
2. Hòm mail - Hộp thư thường là một thư mục chứa các email và thông tin về chúng.
3. Ứng dụng mail - Còn được gọi là chương trình thư, ứng dụng thư hoặc trình duyệt mail và
được sử dụng để quản lý, đọc và soạn e-mail.
Cấu phần của một Email

Một email bao gồm ba cấu phần quan trọng:
1. Phần phong bì (Envelope) - Phong bì là thứ mà người dùng email sẽ không bao giờ nhìn thấy
vì đây là một phần của quy trình nội bộ mà email được định tuyến.
2. Phần nội dung (Body) - Phần thân là phần nội dung thực của thư có trong email.
3. Phần tiêu đề (Header) - Tiêu đề được cho là phần khó khăn nhất đối với Điều tra viên trong
quá trình tìm hiểu.
Trong email, phần nội dung luôn được

thể hiện trước thông qua các dòng tiêu
đề. Bên cạnh các thông tin nhận dạng
bắt buộc (gửi từ đâu, đến đâu, ngày),
tiêu đề email cũng cung cấp thông tin
về lộ trình mà email thực hiện khi nó
được chuyển từ tài khoản này sang tài
khoản khác, được hỗ trợ bởi các đại lý
chuyển thư (MTA).
Mỗi khi MTA gửi hoặc chuyển tiếp một

email, email đó được đóng dấu ngày,
giờ và người nhận, tuy nhiên thông tin này là tùy chọn.
Chủ đề thư (subject) và đồng gửi (Cc) thực ra cũng là các
tiêu đề tùy chọn.
Các tiêu đề khác bao gồm dấu thời gian gửi và dấu thời
gian nhận của tất cả các MTA đã nhận và gửi thư. Điều

quan trọng cần hiểu là tiêu đề email phải luôn được đọc từ dưới lên trên.
Các dịch vụ email trực tuyến khác nhau giúp cho Điều tra viên hiểu nội dung siêu dữ liệu và thông tin
khác về email đang được điều tra. Một dịch vụ như ‘whatismyip.com’ cho phép Điều tra viên tội
phạm mạng đăng tải tiêu đề email lên chức năng Trace Email Analyzer để hiển thị siêu dữ liệu ở định
dạng dễ đọc hơn. Nó cũng cung cấp thông tin IP dễ đọc.
Phương tiện truyền thông mạng xã hội (Social Media)

Phương tiện truyền thông mạng xã hội là một công nghệ truyền thông điện tử tạo điều kiện cho việc
chia sẻ ý tưởng, suy nghĩ và thông tin thông qua việc xây dựng các mạng và cộng đồng ảo. Đối với
nhiều người, mạng xã hội là Internet.
Phương tiện truyền thông mạng xã hội bắt nguồn như một cách để tương tác với bạn bè và gia đình
nhưng nhanh chóng được phát triển bởi các doanh nghiệp muốn tận dụng sự phổ biến ngày càng
tăng của nó bằng cách nhắm mục tiêu vào khách hàng tiềm năng. Với hơn 3 tỷ người dùng mạng xã
hội, các Điều tra viên tội phạm mạng phải áp dụng các chiến lược điều tra xem xét tất cả các hình
thức truyền thông mạng xã hội. Các chiến lược đó phải bao gồm cách tận dụng thông tin thu thập
được trong quá trình điều tra tội phạm mạng.
Mạng xã hội đề cập đến việc tập trung thành nhóm các cá nhân và tổ chức lại với nhau thông qua
một số phương tiện, với mục đích chia sẻ suy nghĩ, sở thích và hoạt động. Các công ty truyền thông
xã hội đã tạo ra các công nghệ tạo ra sự thay đổi trong cách con người giao tiếp xã hội, cho dù điều
đó tốt hay xấu.
Trong khi phần lớn người dùng chắc chắn hài lòng khi sử dụng phương tiện truyền thông mạng xã
hội, sẽ luôn có những người tận dụng công nghệ theo những cách mà các nhà thiết kế và nhà phát
triển không lường trước được. Khi các nhà phát triển thích ứng với các mục đích sử dụng ngoài ý
muốn, các tác nhân khác sẽ tìm ra những cách mới để khai thác nền tảng mạng xã hội.
Bất kể quan điểm cá nhân của Điều tra viên tội phạm mạng hay mức độ tiếp nhận phương tiện
truyền thông mạng xã hội là gì, giá trị cung cấp thông tin tình báo của mạng xã hội là không cần bàn
cãi và cơ quan thực thi pháp luật phải đầu tư vào nhân sự và chiến lược để tránh bỏ lỡ các cơ hội và
thông tin quan trọng vào những thời điểm then chốt.
Có hàng trăm dịch vụ mạng xã hội dựa trên web và di động có sẵn, tuy nhiên Facebook, Twitter và
LinkedIn có mức sử dụng toàn cầu đáng kể. Ngoài 3 nền tảng hàng đầu này, hầu hết các nền tảng
khác đều có mức độ sử dụng khác nhau dựa trên vị trí. Các ứng dụng nhắn tin di động đa nền tảng
như LINE và WeChat rõ ràng chiếm ưu thế ở châu Á, tuy nhiên, chúng lại ít được chú ý ở Úc. Điều
quan trọng là các Điều tra viên tội phạm mạng phải xem xét tính chất quốc tế của cuộc điều tra để
đảm bảo không bỏ qua các ứng dụng không quen thuộc.
Dữ liệu truyền thông mạng xã hội có thể được thu thập và phân tích để khám phá thông tin tình báo
về vị trí. Các tọa độ GPS được nhúng và thông tin vị trí bổ sung khác như những lần đăng ký ngoài xã
hội, tìm kiếm vị trí theo ngôn ngữ tự nhiên (mã hóa địa lý) và thu thập hồ sơ có thể được cơ quan
thực thi pháp luật khai thác. Dấu chân địa lý xã hội là các bit kết hợp về thông tin vị trí mà người
dùng tiết lộ thông qua phương tiện truyền thông xã hội, cuối cùng tạo thành cái gọi là “dấu chân”
của người dùng.
Truyền thông xã hội đã thay đổi cách giao tiếp của các cá nhân và tổ chức lớn. Đối với những người
đóng góp nội dung, lợi ích của việc tham gia vào phương tiện truyền thông mạng xã hội không chỉ
đơn giản là chia sẻ để xây dựng danh tiếng, mang lại cơ hội nghề nghiệp và thu nhập bằng tiền.

Khối xây dựng phương tiện truyền thông mạng xã hội (Social Media Building Blocks)
Khi các chiến lược truyền thông xã hội đang thích ứng, các dịch vụ được xác định bởi bảy yếu tố
được gọi là “khuôn khổ tổ ong”:
1. Danh tính (Identity) - Mức độ mà người dùng

tiết lộ danh tính cá nhân hoặc nghề nghiệp của
họ.
2. Cuộc trò chuyện (Conversations) - Mức độ mà
người dùng giao tiếp với những người dùng
khác.
3. Chia sẻ (Sharing) - Mức độ mà người dùng trao
đổi, phân phối và nhận nội dung.
4. Hiện diện (Presence) - Mức độ mà người dùng
biết liệu những người dùng khác có khả dụng
hay không.
5. Quan hệ (Relationships) - Mức độ mà người
dùng có thể được kết nối với những người dùng khác.
6. Danh tiếng (Reputation) - Mức độ mà người dùng có thể xác định vị thế của những người
dùng khác.
7. Nhóm (Groups) - Mức độ mà người dùng có thể hình thành cộng đồng và cộng đồng con.
Các Điều tra viên tội phạm mạng có thể sử dụng khuôn khổ nêu trên như một công cụ để giúp hiểu
các hoạt động truyền thông xã hội và trong một số trường hợp, tận dụng nó với mục đích điều tra.

Học phần 4: Kiến thức căn bản về mạng
Mạng có thể là một lĩnh vực CNTT & Truyền thông rất phức tạp và tiên tiến. Thông thường, sẽ mất
vài năm để trở thành chuyên gia trong vai trò như Quản trị viên mạng và/hoặc Quản trị viên hệ
thống. Tuy nhiên, đối với Điều tra viên tội phạm mạng, điều quan trọng là phải nắm được kiến thức
căn bản về mạng, bao gồm việc làm quen với các cổng và giao thức mạng phổ biến, cũng như có thể
sử dụng các công cụ mạng dòng lệnh cơ bản.
Mạng (Network) là gì
Nói một cách đơn giản, mạng là một tập hợp các thiết bị (hai hoặc nhiều hơn) được kết nối với nhau
nhằm mục đích chia sẻ tài nguyên. Wikipedia cung cấp một định nghĩa kỹ lưỡng hơn, nhưng vẫn rất
hữu ích như sau:
“Mạng máy tính là một nhóm các máy tính sử dụng một tập
hợp các giao thức giao tiếp chung qua các kết nối kỹ thuật
số nhằm mục đích chia sẻ tài nguyên có vị trí ở hoặc được
cung cấp bởi các nút mạng..”
Bất kể chúng ta tìm định nghĩa nào, một mạng sẽ bao gồm:
(i) các thiết bị được kết nối và (ii) chia sẻ tài nguyên. Khi
điều tra tội phạm mạng (dù là tội phạm mạng thuần túy hay
tội phạm lợi dụng không gian mạng), chúng ta thường đang
điều tra một số hình thức hoạt động/hành động liên quan
đến việc truyền dữ liệu (tài nguyên) qua mạng thông qua tải
xuống/tải lên ( gọi là ‘chia sẻ’).
Các loại mạng
Mạng ngang hàng (Peer-to-Peer)

Mạng ngang hàng (P2P) là mạng không có
máy chủ chuyên dụng và mọi máy tính
đều hoạt động với vai trò là cả máy khách
và máy chủ. Hệ điều hành của mỗi máy
tính trên mạng chịu trách nhiệm kiểm
soát quyền truy cập vào tài nguyên của
nó, tức là không có quyền kiểm soát tập
trung.
Các máy tính, được gọi là nút hoặc máy

chủ, tạo thành một nhóm máy tính (và
người dùng) hợp lý, nơi chúng có thể chia
sẻ tài nguyên, nhưng cũng có thể ngăn
cản quyền truy cập vào tài nguyên. Mỗi người dùng máy tính có một tài khoản cục bộ, tài khoản này
chỉ hoạt động trên một máy tính đó.

Máy khách/máy chủ (Client/Server)
Loại mạng này được thiết kế để hỗ trợ một
số lượng lớn người dùng (máy khách) và sử
Yêu cầu
dụng một hoặc nhiều máy chủ chuyên dụng
để thực hiện điều này. Khách hàng đăng
nhập vào máy chủ để chạy ứng dụng hoặc
tải tệp. Ví dụ: một trình duyệt web (gọi là Phản hồi
‘ứng dụng máy khách’) đưa ra một yêu cầu
cho một trang web từ máy chủ web (gọi là Máy khách Máy chủ
‘ứng dụng máy chủ’) và máy chủ web phẩn
hồi, trả về dữ liệu được yêu cầu cho máy khách.
Mạng riêng ảo (VPN)

Mạng riêng ảo (VPN) là công nghệ tạo kết nối
an toàn và được mã hóa qua mạng kém an
toàn hơn, chẳng hạn như Internet. Khi được
sử dụng như một dịch vụ, VPN cung cấp cho
người dùng quyền riêng tư trực tuyến và mức
độ ẩn danh bằng cách tạo một mạng riêng từ
kết nối Internet công cộng.
VPN gây khó khăn cho kẻ tấn công trong việc

chặn bất kỳ dữ liệu (hoặc gói tin) nào đang
trong quá trình chuyển tiếp.
Hơn nữa, các dịch vụ VPN thiết lập các kết nối an toàn và được mã hóa để mang lại sự riêng tư thậm
chí còn cao hơn một điểm phát sóng Wi-Fi được bảo mật. Các nội dung về VPN sẽ được thảo luận chi
tiết hơn trong Học phần 8: Web ẩn (Dark Web).
Mạng LAN và mạng WAN

Mạng cục bộ (Mạng LAN)
Mạng LAN là một mạng máy tính
trải dài trong một khu vực tương
đối nhỏ, chẳng hạn như một văn
phòng hoặc tòa nhà văn phòng, và
thường cung cấp truyền thông tốc
độ cao.
Các mạng LAN có thể được kết nối

với các mạng LAN khác qua bất kỳ
khoảng cách nào thông qua
đường dây điện thoại, vệ tinh,
v.v., từ đó tạo ra một mạng WAN
(tức là Mạng diện rộng).
Hầu hết các mạng LAN ngày nay

đều sử dụng mạng máy tính có
dây (tức là Ethernet) hoặc kết nối Wi-Fi, hoặc kết hợp cả hai.

Một loại mạng phổ biến khác là Mạng Khu vực Cá nhân (PAN). PAN cho phép truyền dữ liệu giữa các
thiết bị trong không gian làm việc của một người như điện thoại thông minh, máy tính và máy tính
bảng. Các kết nối này có thể có dây hoặc không dây bằng Bluetooth, hồng ngoại, v.v.
Mạng diện rộng (Mạng WAN)

Mạng WAN là một mạng máy tính trải
dài trên một khu vực địa lý tương đối
rộng lớn. Thông thường, một mạng
WAN bao gồm hai hoặc nhiều mạng
LAN. Các máy tính kết nối với mạng
WAN thường được kết nối thông qua
các mạng công cộng, chẳng hạn như hệ
thống điện thoại, kênh thuê riêng, vệ
tinh hoặc các phương thức kết nối khác.
Các mạng LAN được kết nối có thể ở
trong một tòa nhà khác hoặc ở xa như ở
một quốc gia khác. Mạng WAN lớn nhất
đang tồn tại là Internet.
Hình ảnh bên phải cho thấy cấu hình

WAN cơ bản, trong đó nhiều mạng LAN
(mỗi mạng có máy chủ và máy trạm riêng) được kết nối.
Các cổng và giao thức mạng phổ biến

Cổng (port) được một ứng dụng sử dụng khi giao tiếp giữa máy khách và máy chủ. Mặc dù không cần
thiết phải ghi nhớ mọi giao thức và số cổng (vì có hàng nghìn!), Nhưng điều quan trọng là phải hiểu
rằng các cổng và giao thức là những yếu tố cho phép mọi diễn ra ra trên mạng.
Ví dụ: Điều tra viên tội phạm mạng cần phải biết rằng dữ liệu
có thể được truyền qua FTP (Giao thức truyền tệp) trên cổng
20 và 21 hoặc biết email có thể được truy xuất từ máy chủ
bằng giao thức POP (Giao thức Bưu điện) phiên bản 3 trên
cổng 110. Cũng cần hiểu việc sử dụng trình duyệt web qua
HTTP (Giao thức truyền siêu văn bản) sẽ xảy ra trên cổng 80,
nhưng quan trọng hơn là hiểu cách sử dụng kết nối HTTP an
toàn - được cung cấp bởi Lớp cổng bảo mật (SSL) hoặc Bảo
mật lớp truyền tải (TLS) - xảy ra trên cổng 443 tức là HTTPS.
Những kiến thức nói trên vượt quá mức độ của khóa đào tạo này, tuy nhiên nếu điều tra viên có thể
hiểu rõ về các cổng và giao thức mạng cơ bản, thì sự hiểu biết về các phương pháp tấn công sẽ tăng
lên. Các giao thức (và số cổng) phổ biến như sau:
Giao thức Loại Số cổng Giao thức Loại Số cổng

FTP TCP 20 & 21 TFTP UDP 69
SSH TCP 22 HTTP TCP 80
TELNET TCP 23 POP3 TCP 110
SMTP TCP 25 IMAP4 TCP 143
DNS TCP/UDP 53 SNMP UDP 161
DHCP UDP 67 HTTPS TCP 443

Phần cứng/Thiết bị mạng
Mạng máy tính có thể đơn giản hoặc phức tạp và có một số cấu phần phần cứng có thể được sử
dụng trong (i) nhà của một người, (ii) mạng Văn phòng tại nhà (SOHO) hoặc (iii) các môi trường mạng
LAN hoặc WAN quy mô lớn. Bất kể kích thước như thế nào, một số thiết bị quan trọng sẽ có mặt
trong hầu hết các mạng.
Thiết bị Modem
Một modem nhận thông tin từ Nhà cung cấp dịch vụ Internet (ISP) thông qua đường dây điện thoại,
cáp quang hoặc cáp đồng trục trong nhà hoặc văn phòng. Modem cho phép một máy tính hoặc một
thiết bị khác, chẳng hạn như bộ định tuyến hoặc bộ chuyển mạch, kết nối với Internet.
Thẻ giao diện mạng (NIC)

Thẻ Giao diện Mạng (NIC) là một bộ điều hợp
phần cứng chịu trách nhiệm truyền tín hiệu (có
dây hoặc không dây) đến mạng. Cần có NIC để các
thiết bị giao tiếp được trên mạng và NIC được xác
định bằng một số thập lục phân 12 chữ số được
gọi là địa chỉ Điều khiển truy cập phương tiện (Địa
chỉ MAC), còn được gọi là địa chỉ vật lý.
Địa chỉ MAC được sử dụng để xác định các thiết bị riêng lẻ trên mạng thông qua một công tắc và
thường được biểu hiển dưới dạng sáu nhóm gồm hai chữ thập lục phân (0-9, AF), được phân tách
bằng dấu hai chấm (:), dấu gạch ngang (-) hoặc không có dấu phân cách, ví dụ: 3F: 02: 4C: 81: BC: A9
hoặc 3F-02-4C-81-BC-A9.
Thiết bị chuyển mạch (Switch)

Bộ chuyển mạch (switch) được sử dụng để kết nối nhiều thiết
bị/máy tính với nhau trên cùng một mạng. Một bộ chuyển mạch
nhận dữ liệu đến từ một trong các cổng của nó và chuyển hướng
đến một cổng khác, hoặc nhiều cổng, tức là bộ chuyển mạch sẽ gửi
dữ liệu đến đích dự kiến của nó. Các thiết bị chuyển mạch gia đình
thường có 4-8 cổng Ethernet, trong khi các thiết bị chuyển mạch
cấp cao (hoặc doanh nghiệp) có thể có hơn 48 cổng. Một bộ
chuyển mạch chỉ hoạt động với các máy tính trong cùng một mạng
LAN. Các bộ chuyển mạch không đủ thông minh để gửi dữ liệu ra
Internet hoặc qua mạng WAN - các chức năng này yêu cầu thiết bị
định tuyến.

Thiết bị định tuyến (Router)
Bộ định tuyến là một thiết bị quản lý lưu
lượng giữa hai hoặc nhiều mạng và có
thể giúp tìm ra con đường tốt nhất để
lưu lượng truy cập từ mạng này sang
mạng khác. Bộ định tuyến có thể được
sử dụng trong mạng Văn phòng tại nhà
(Mạng SOHO) để kết nối mạng LAN gia
đình với Internet. Các bộ định tuyến cấp
công nghiệp có thể chia sẻ một số cổng
mạng, một cổng cho mỗi mạng mà nó
kết nối. Sự khác biệt chính giữa bộ định
tuyến và bộ chuyển mạch là bộ định
tuyến giống như một cổng giữa các mạng.
Hầu hết người dùng gia đình đều có bộ định tuyến tích hợp điểm truy cập không dây (WAP), tuy
nhiên các điểm truy cập độc lập vẫn phổ biến đối với các doanh nghiệp vì có thể ghép nối nhiều điểm
truy cập với nhau để mở rộng mạng trên một khu vực rộng lớn.
Tường lửa (Firewall)

Tường lửa được sử dụng để hạn chế quyền truy cập vào một mạng từ một mạng khác. Hầu hết các
công ty sử dụng tường lửa để hạn chế truy cập vào mạng của họ từ Internet, cũng như hạn chế một
phân đoạn mạng nội bộ truy cập vào một phân đoạn nội bộ khác.
Tường lửa phần cứng, như cái tên cho thấy, là một thiết bị vật lý được cài đặt giữa mạng máy tính và
Internet, hoặc ở rìa của mạng. Ưu điểm của việc sử dụng tường lửa phần cứng là: (i) một tường lửa
duy nhất có thể bảo vệ toàn bộ mạng của bạn và (ii) bạn ít bị tấn công hơn. Các nhà sản xuất tường
lửa phần cứng phổ biến nhất là Fortinet, Cisco, Forcepoint và SonicWall.
Tường lửa có thể là một máy chủ chạy sản phẩm phần mềm tường lửa hoặc một thiết bị phần cứng
chuyên dụng. Tường lửa giám sát các gói dữ liệu ra vào mạng mà nó đang bảo vệ. Tường lửa có thể
loại bỏ các gói dữ liệu, đóng gói lại hoặc chuyển hướng chúng, tùy thuộc vào cấu hình tường lửa. Các
gói tin được lọc dựa trên địa chỉ nguồn và địa chỉ đích của chúng, cũng như các cổng theo dịch vụ,
loại gói, loại giao thức, thông tin tiêu đề, bit trình tự, v.v. Có một số loại tường lửa cần lưu ý bao
gồm: tường lửa lọc theo gói tin, tường lửa hai chiều, proxy và tường lửa lọc gói động.
Trong nhiều trường hợp, các công ty sẽ thiết lập tường lửa để xây dựng ‘khu phi quân sự’ (DMZ), là
một phân đoạn mạng nằm giữa mạng được bảo vệ và mạng không được bảo vệ. Thông thường,
tường lửa phần cứng phổ biến hơn trong mạng SOHO và môi trường doanh nghiệp.
Thiết bị lưu trữ đính kèm/Máy chủ di động (NAS/Portable Servers)

Một thiết bị Lưu trữ đính kèm (NAS) về cơ bản là một máy chủ nhỏ/di động. Các công ty như QNAP
và Synology cung cấp các giải pháp NAS khác nhau, từ 2-8 ổ lưu trữ ổ cứng HDD (như các ví dụ dưới
đây), nếu sử dụng ổ cứng HDD 10 terabyte (TB) có thể chứa 20-80TB dung lượng lưu trữ.

Một giải pháp phần cứng NAS có thể không ấn tượng bằng một máy chủ doanh nghiệp quy mô lớn
hoặc thiết lập trung tâm dữ liệu mà chúng ta thường thấy trong phim ảnh, tuy nhiên phần cứng NAS
đang trở nên phổ biến hơn do tính thực tế của nó. Trong trường hợp môi trường quy mô lớn/môi
trường doanh nghiệp xuất hiện trong quá trình điều tra tội phạm mạng, hãy nhớ liên hệ với các
nhóm giám định hình sự kỹ thuật số hoặc ứng phó sự cố tại địa phương để được hỗ trợ chuyên môn.
Điều quan trọng là phải biết về phần cứng mạng nói trên vì các thiết bị này thường được bắt gặp tại
hiện trường trong quá trình thực hiện lệnh khám xét tại cơ sở dân cư.
Mạng không dây (Wireless Networking)

Wi-Fi
Mạng không dây cho phép máy tính giao tiếp mà không cần sử dụng cáp tiêu chuẩn 802.11 của Viện
Kỹ sư Điện và Điện tử (IEEE), còn được gọi là Wi-Fi. Kết nối được tạo từ một thiết bị (thường là máy
tính cá nhân, máy tính xách tay hoặc điện thoại di động) có thẻ giao diện mạng (NIC) và Điểm truy
cập (AP), hoạt động như cầu nối giữa các trạm không dây và Hệ thống phân phối (DS) hoặc mạng có
dây.
Có một số loại chuẩn IEEE 802.11, bắt nguồn từ những năm 1990 và tiếp tục phát triển cho đến ngày
nay. Các tiêu chuẩn mới được tạo ra khi có những cải tiến về thông lượng không dây, tốc độ và tần
số mới hơn.
Một số tiêu chuẩn mạng không dây như sau:
Tiêu chuẩn/Giao thức Tốc độ Tần số

802.11ax (Wi-Fi 6) 9.6 Gb/s 5 GHz and/or 2.4 GHz
802.11ac (Wi-Fi 5) 6.9 Gb/s 5 GHz
802.11n (Wi-Fi 4) 600 Mb/s 5 GHz and/or 2.4 GHz
802.11g (Wi-Fi 3) 54 Mb/s 2.4 GHz
802.11a (Wi-Fi 2) 54 Mb/s 5 GHz

802.11b (Wi-Fi 1) 11 Mb/s 2.4 GHz
Trong Học phần 3, học viên đã được giới thiệu về kết nối Internet và nhà cung cấp dịch vụ Internet
(ISP). Trong sơ đồ sau, chúng ta thấy thiết lập mạng không dây gia đình hoặc mạng SOHO tiêu chuẩn
sử dụng bộ định tuyến không dây, với sự kết hợp của máy tính, thiết bị di động và máy in được kết
nối cả không dây và có dây (thông qua cáp Ethernet). Bộ định tuyến được kết nối với một modem,
sau đó cho phép kết nối Internet thông qua ISP.
Xác thực và mã hõa – WEP và WPA/WPA2/WPA3

Có nhiều giao thức xác thực và mã hóa và/hoặc giải pháp cho mạng không dây như RADIUS (Quay số
xác thực từ xa trong dịch vụ người dùng) và TKIP (Giao thức bảo mật mạng không dây), tuy nhiên học
phần này chủ yếu quan tâm đến các chuẩn bảo mật wi-fi là WEP và WPA/WPA2/WPA3 như sau:
 Quyền riêng tư tương đương mạng có dây (WEP) - một thuật toán mã hóa bảo mật dễ bị bẻ
khóa. Vì lý do này, nó đã được thay thế bằng các công nghệ khác.
 WPA - tiêu chuẩn WPA ban đầu sử dụng Giao thức bảo mật mạng không dây TKIP, nhưng sau
đó được thay thế bằng WPA2 sử dụng thuật toán dựa trên Tiêu chuẩn mã hóa nâng cao có
độ an toàn hơn. WPA sử dụng khóa 256bit để mã hóa dữ liệu có thể được nhập dưới dạng
chuỗi hoặc dưới dạng mật khẩu từ 8 đến 63 ký tự - chúng ta sẽ thảo luận về mã hóa và mật
mã sau trong khóa học này. WPA/WPA2 vẫn dễ bị tấn công kiểu brute force khi sử dụng cụm
mật khẩu yếu.
 WPA3 được giới thiệu vào năm 2018 và cung cấp bảo mật cao hơn WPA2 khi bảo vệ các
mạng mở, ví dụ: an toàn hơn khi kết nối Wi-Fi mở và miễn phí tại quán cà phê địa phương.
WPA3 cung cấp các biện pháp bảo mật tuyệt vời chống lại các nguy cơ bảo mật đã biết như
tấn công từ điển (dictionary attack).
Bluetooth
Bluetooth (IEEE 802.15.1) là một đặc điểm kỹ thuật cho mạng khu vực cá
nhân không dây (PAN), tạo điều kiện trao đổi dữ liệu giữa các thiết bị điện
tử như điện thoại di động, máy tính xách tay, máy tính cá nhân, máy in và

máy ảnh kỹ thuật số. Các thiết bị kết nối với nhau bằng tần số vô tuyến tầm ngắn, với phạm vi tối đa
lý thuyết là 10 mét (hoặc 30 feet).
Hồng ngoại
Công nghệ hồng ngoại sử dụng chùm ánh sáng để truyền dữ liệu và sử dụng kết nối đường ngắm,
tức là các thiết bị giao tiếp với nhau phải có tầm nhìn không bị cản trở từ thiết bị này sang thiết bị
kia.
Giới thiệu hệ điều hành Linux

Các điều tra viên tội phạm mạng cần làm quen với hệ điều hành Linux vì “tin tặc và tội phạm mạng
chính hiệu” đều sử dụng Linux. Các Điều tra viên Tội phạm Mạng cũng sử dụng Linux để tiến hành
các cuộc điều tra trực tuyến bằng các công cụ có sẵn miễn phí cho Cơ quan Thực thi Pháp luật.
Linux là một hệ điều hành, giống như Microsoft Windows, về cơ bản Linux là phần mềm hỗ trợ các
chức năng cơ bản của máy tính, quản lý tài nguyên và hỗ trợ người dùng thực thi các ứng dụng.
Linux cũng là một hạt nhân, là bộ não của hệ điều hành và có toàn quyền kiểm soát những gì xảy ra
trong hệ thống. Nó quản lý sự tương tác giữa các ứng dụng và phần cứng. Cũng giống như Microsoft
Windows, chức năng của Linux phụ thuộc vào các thư viện và phần mềm đi kèm với hệ điều hành.
Trong khi hầu hết suy nghĩ về Linux là máy tính dựa trên thiết bị đầu cuối, thì Linux hiện đại đi kèm
với giao diện người dùng trực quan và đồ họa.
Linux được Linus Torvalds tạo ra vào năm 1991 chủ yếu vì ông muốn truy cập vào một hệ điều hành
miễn phí để sử dụng trong bất kỳ máy tính cá nhân nào. Hơn nữa, Torvalds muốn cung cấp mã
nguồn tự do cho người khác sử dụng và sửa đổi. Không phải tất cả các bản phân phối Linux đều miễn
phí. Linux Redhat Enterprise yêu cầu giấy phép trả phí, chủ yếu là do hỗ trợ dịch vụ rộng rãi được
cung cấp cho người dùng.
Bất kỳ ai cũng có thể tải xuống hệ điều hành Linux và mã nguồn hạt nhân (kernel source code). Các
nhà phát triển sau đó có thể sử dụng và thiết kế lại hệ điều hành này và nhân kernel để thực hiện các
chức năng theo ý tưởng hoặc nhu cầu riêng của họ. Các thiết kế Linux tùy chỉnh này có mục đích
chính và tập trung vào một chức năng hoặc tập hợp các chức năng. Hệ điều hành mới dựa trên Linux
này sau đó có thể được phân phối (hoặc bán) tự do cho người dùng. Các biến thể này của mã nguồn
ban đầu được gọi là bản phân phối Linux và thường được gọi là bản phân phối. Các bản phân phối
này là hạt nhân của hệ thống, cùng với các ứng dụng và môi trường máy tính để bàn bao gồm giao
diện người dùng đồ họa (GUI). Các bản phân phối Linux phổ biến bao gồm Ubuntu, Debian, Linux
Mint, Fedora, MX Linux và Manjaro. Bản phân phối dựa trên Debian Kali Linux (được hiển thị bên
dưới) được xây dựng nhằm mục đích kiểm tra thâm nhập và giám định hình sự kỹ thuật số, tuy nhiên
đây cũng là bản phân phối được tội phạm mạng lựa chọn.

Một tài nguyên hữu ích để tìm hiểu thêm về các bản phân phối Linux khác nhau là
www.distrowatch.com.
Linux rất linh hoạt, có khả năng chạy tương tự như nhau trên các máy tính cũ hoặc mới. Với hơn 300
nhà phát triển hỗ trợ cộng đồng phát triển Linux, hệ điều hành Linux được đánh giá là đáng tin cậy,
rộng rãi và an toàn.
Công cụ mạng sử dụng Giao diện dòng lệnh và Thiết bị đầu cuối
Một giao diện dòng lệnh (command-line interface ) xử lý các lệnh tới chương trình máy tính dưới
dạng dòng và văn bản. Chương trình xử lý giao diện được gọi là trình thông dịch dòng lệnh hoặc bộ
xử lý dòng lệnh. Điều tra viên tội phạm mạng nên nắm được: (i) cách truy cập vào giao diện dòng
lệnh của máy tính và (ii) thực hiện các lệnh để lấy một số thông tin mạng cơ bản. Trong các ví dụ sau,
khóa học sẽ tập trung vào các lệnh mạng cơ bản sử dụng hệ điều hành Microsoft Windows và Linux.
Trong Chương trình tập huấn về an ninh mạng Bậc 2 của CSA, học viên sẽ được tiếp xúc với nhiều
lệnh và chức năng mạng của Microsoft và Linux.
Lệnh CLI của Windows

Trong Học phần 3: Cơ bản về Internet, học viên đã được giới thiệu về địa chỉ IP, miền, v.v., cũng như
lý thuyết cơ bản về mạng trong Học phần này. Bây giờ chúng ta hãy xem nhanh một số lệnh mạng
hữu ích trong Microsoft Windows bằng cách nhấn tổ hợp Windows + R trên bàn phím, sau đó nhập
“cmd” để khởi chạy giao diện dòng lệnh Windows như được hiển thị bên dưới:
Sau đó, người dùng sẽ được hiển thị với giao diện dòng lệnh Windows tương tự như sau:

Có vô số lệnh hữu ích có thể được chạy từ giao diện dòng lệnh của Windows, tuy nhiên, phần dưới
đây sẽ cung cấp danh sách các lệnh phổ biến liên quan đến mạng. Hãy thử sử dụng chúng và xem
bạn khám phá được thông tin gì.
Lệnh
Mục đích
Windows
Được sử dụng để xem cài đặt mạng từ dòng lệnh. Nếu bạn nhập “ipconfig” bằng tổ
hợp “/ all” (ví dụ: “ipconfig / all”), nó sẽ hiển thị tất cả các cài đặt IP của bạn và các
ipconfig
thông tin hữu ích khác như địa chỉ MAC, thông tin hệ thống phân giải tên miền
(DNS), v.v.
Packet InterNet Groper (PING) xác minh kết nối giữa các thiết bị được nối mạng.
Định dạng tiêu chuẩn cho lệnh này là "ping" theo sau là địa chỉ IP hoặc tên máy chủ.
ping Nếu thành công, lệnh ping sẽ trả lại câu trả lời từ máy chủ từ xa cùng với thời gian
nhận được câu trả lời. Nếu không thành công, bạn có thể sẽ nhận được thông báo
lỗi. Đây là một công cụ rất quan trọng để xác định kết nối mạng giữa các máy chủ.
Một công cụ khắc phục sự cố cho phép bạn xem đường dẫn đến một máy chủ được
chỉ định. Lệnh này sẽ hiển thị có bao nhiêu mục nhập (hoặc 'bước nhảy') mà gói dữ
tracert
liệu phải di chuyển đến và mất bao lâu để di chuyển. Để sử dụng công cụ này, hãy
nhập “tracert” theo sau là địa chỉ IP hoặc tên miền.
Truy vấn máy chủ hệ thống phân giải tên miền (DNS) để biết tên máy và thông tin
nslookup địa chỉ. Để sử dụng nslookup, hãy nhập “nslookup” theo sau là địa chỉ IP, tên máy
tính hoặc tên miền.
Hiển thị các kết nối mạng (cả đến và đi), bảng định tuyến và một số thống kê về giao
netstat
diện mạng. Lệnh này cũng được sử dụng để tìm kiếm các vấn đề trong mạng.
Khắc phục sự cố kết nối giữa hai thiết bị giao tiếp bằng cách hiển thị số liệu thống kê
nbtstat
giao thức và những kết nối hiện tại.
Các lệnh đầu cuối của Linux

Nếu muốn thực hành với bản phân phối Linux, hãy mở Linux Shell hoặc “Terminal” và thử sử dụng
các lệnh sau. Bạn sẽ nhận thấy có một số điểm tương đồng với hệ điều hành Windows.
Lệnh Linux Mục đích
ifconfig Tương tự với lệnh ‘ipconfig’ trên Windows để tìm chi tiết mạng cơ bản.
ip Thực hiện nhiều tác vụ hơn và mạnh mẽ hơn lệnh ‘ifconfig’ cũ.

traceroute Tương tự như lệnh ‘tracert’ trên Windows để khắc phục sự cố mạng.
tracepath Tương tự như lệnh ‘traceroute’ nhưng không cần đặc quyền root.
ping Giống hệt lệnh 'ping' của Windows để kiểm tra kết nối giữa hai mạng.
Giống với lệnh ‘netstat’ trên Windows để hiển thị kết nối mạng, thông tin chi tiết về
netstat
cổng, v.v.
Giống với lệnh ‘nslookup’ trên Windows để truy vấn DNS để lấy tên miền, địa chỉ IP,
nslookup
v.v.
dig Phiên bản cập nhật của ‘nslookup’ để điều tra DNS.
host Hiển thị tên miền cho một địa chỉ IP hoặc địa chỉ IP cho một tên miền.
whois Lấy thông tin về một trang web, ví dụ: chi tiết người đăng ký.
Đây là phần giới thiệu để học viên làm quen với các chương trình giao diện dòng lệnh và các lệnh cơ
bản về mạng sử dụng Windows và Linux. Như đã đề cập trước đây, chúng tôi sẽ mở rộng việc sử
dụng các công cụ này trong các khóa tập huấn sau này, cũng như sử dụng các công cụ thu thập thông
tin như ‘whois.domaintools.com’, ‘centralops.net’, ‘whatismyipaddress.com’ và nhiều công cụ khác.

Học phần 5: Các loại tội phạm mạng và những
tác nhân đe dọa
Trong học phần này, học viên sẽ nghiên cứu những mối đe dọa phổ biến về tội phạm mạng và cả tội
phạm lợi dụng không gian mạng. Cụ thể, chúng ta tìm hiểu về những loại hình tấn công khác nhau và
những hoạt động gây hại khác thực hiện bởi tội phạm mạng, cũng như các xu hướng hiện tại liên
quan đến các loại tấn công kể trên, động cơ và phương thức của tội phạm. Học viên sẽ được làm
quen với những thuật ngữ được sử dụng trong lĩnh vực tội phạm mạng và an ninh mạng, và học cách
phân biệt những điểm khác biệt cơ bản giữa hacker mũ trắng, xám và đen.
Những mối đe dọa phổ biến

Trong bối cảnh chúng ta ngày càng phụ thuộc hơn vào dữ liệu và tập tin kỹ thuật số, khả năng xảy ra
các vụ tấn công mạng và tội phạm điện tử cũng ngày càng tăng. Như đã nhắc đến trong Học phần 1,
tội phạm mạng có thể được chia làm hai loại:
1. Tội phạm mạng đơn thuần – các loại tội phạm trực tiếp nhắm vào các máy tính bằng cách
phát tán virus (hoặc phần mềm độc hại), hack, và tấn công từ chối dịch vụ phân tán (DDOS)
... đây là những hoạt động chủ yếu tấn công vào máy tính hoặc các tài nguyên mạng.
2. Tội phạm lợi dụng không gian mạng – là những tội phạm trực tuyến sử dụng mạng máy tính
hoặc các thiết bị khác làm công cụ để thực hiện hành vi phạm tội như lạm dụng tình dục trẻ
em trên mạng, lừa đảo, đánh cắp danh tính bằng tấn công phi kỹ thuật, bắt nạt trên mạng,
theo dõi trên mạng, chiến tranh không gian mạng và các tội phạm khác. Tội phạm lợi dụng
không gian mạng bao gồm cả tuyên truyền quan điểm về mặt tư tưởng (cấp tiến, cực đoan,
chính trị) và đăng tải thông tin sai sự thật/tin giả.
Trong an ninh mạng, một vụ việc là một sự kiện an ninh gây ảnh hưởng đến tính toàn vẹn, bảo mật
hoặc độ sẵn có của hệ thống thông tin. Trên toàn cầu, số liệu cho thấy đánh cắp danh tính là loại vi
phạm về dữ liệu phổ biến nhất. Hiện nay, số lượng người dùng Internet đã lên đến 4.5 tỷ người, vậy
nên khả năng xảy ra tội phạm đánh cắp danh tính (và các loại tội phạm khác) cao hơn rất nhiều. Dịch
bệnh COVID-19 lại khiến cho tội phạm này càng dễ thực hiện do con người dành nhiều thời gian trên
mạng hơn cũng như phải dựa vào Internet để làm việc từ xa. COVID-19 đã cho phép tội phạm mạng
thay đổi cách tấn công bằng việc dùng COVID làm trung tâm hoặc mồi nhử.
Tội phạm truyền thống so với các loại tội phạm mạng tương tự
Trước khi tìm hiểu về các nguy cơ tội phạm mạng và các tác nhân, ta cần biết được tại sao Internet
và sự gia tăng người sử dụng Internet lại giúp cho các đối tượng thực hiện các tội phạm truyền
thống, nhưng trên nền tảng thế giới kỹ thuật số hiện nay. Bảng này cho thấy tội phạm truyền thống
đã chuyển mình sang tội phạm mạng như thế nào:
Tội phạm truyền thống Tội phạm mạng tương tự

Lừa đảo trên mạng thông qua gửi email rác và tấn công giả mạo, lừa
Lừa đảo
đảo email doanh nghiệp (BEC), lừa đảo tình cảm/hẹn hò/tiền mặt
Đột nhập, cố ý gây thiệt hại Hack qua mạng Internet, tấn công từ chối dịch vụ, dùng virus
Gạ gẫm trẻ em qua mạng, tiếp cận với những nội dung về lạm dụng
Tội phạm tình dục trẻ em
tình dục trẻ em, trả tiền để xem trẻ em bị lạm dụng...

Được thực hiện bằng cách lợi dụng hệ thống thanh toán trực tuyến,
Rửa tiền
tiền mã hóa, web ẩn (Dark web)
Đánh cắp danh tính, tấn công giả mạo vào các trang web ngân hàng,
Trộm cắp chiếm quyền kiểm soát phần mềm/phương tiện truyền thông, đánh
cắp thông tin thẻ ATM
Theo dõi trên không gian mạng, bắt nạt trên không gian mạng, các
Theo dõi
loại lạm dụng được công nghệ hỗ trợ
Tội phạm mạng đơn thuần: Các mối đe dọa phổ biến
Hàng ngày, chúng ta đều có thể bị tổn thương bởi các mối đe dọa từ tội phạm mạng đơn thuần. Các
mối đe dọa phổ biến sau có thể ảnh hưởng đến một người hoặc đến cả một tập đoàn lớn hay một tổ
chức toàn cầu.
Phần mềm độc hại (Malware)
Phần mềm độc hại (hay còn được gọi là ‘malware’)

được thiết kế để gây tổn hại, gián đoạn, chiếm và
duy trì quyền tiếp cận đến dữ liệu điện tử hoặc các
tài nguyên điện tử. Các loại phần mềm độc hại chính
là virus, sâu máy tính (worm), trojans và mã độc
tống tiền (ransomware). Thông thường, phần mềm
độc hại được tải về khi người dùng mở một email
hay ấn vào đường link đáng ngờ. Phần mềm độc hại
cũng có thể được dùng để ăn trộm tên người dùng,
mật khẩu và thu thập thông tin cá nhân để bán cho bên thứ ba với mục đích thực hiện tội phạm
khác, hoặc để lừa đảo bằng những thông tin chiếm đoạt được.
Hack
Hack là truy cập vào dữ liệu điện tử hoặc các tài nguyên điện tử bằng cách điều khiển hoặc vượt qua
những hoạt động thông thường của hệ thống hoặc máy tính, từ đó có được quyền truy cập vào hệ
thống hoặc thiết bị của bạn mà không cần bạn cho phép. Tin tặc (Hacker) có thể truy cập vào hệ
thống hoặc thiết bị của bạn thông qua các điểm yếu an ninh, lừa đảo giả mạo, hoặc dùng phần mềm
độc hại. Trong phần sau, chúng ta sẽ tìm hiểu về ba loại hacker.
Tấn công từ chối dịch vụ (DoS) hoăc Tấn công từ chối dịch vụ phân tán (DDoS)
Tấn công DoS hoặc DDoS khiến cho máy tính hoặc trang web bị ngập trong dữ liệu, từ đó không thể
hoạt động như bình thường. Hệ thống hay trang web đó bị quá tải đến nỗi phản hồi cực chậm hoặc
không thể phản hồi, sập hoặc trở nên vô dụng. Loại tấn công này thường nhằm vào các doanh
nghiệp hơn là cá nhân.
Tội phạm lợi dụng không gian mạng: Các mối đe dọa phổ biến
Tương tự như tội phạm mạng thuần túy, tội phạm lợi dụng không gian mạng cũng có nhiều loại. Việc
sử dụng phần mềm độc hại và lừa đảo giả mạo ngày càng gia tăng vì tội phạm có thêm nhiều động
cơ về tài chính.
Tấn công lừa đảo Email doanh nghiệp (BEC)
Tấn công lừa đảo Email doanh nghiệp (BEC)

thường bắt đầu bằng một email giả mạo. Kẻ tấn
công truy cập được vào hộp thư của người dùng
và từ đó can thiệp vào các trao đổi thông tin,

dùng hộp thư để thực hiện các cuộc tấn công khác hoặc lừa đảo liên hoàn. Kẻ tấn công giả mạo danh
tính của người dùng để lừa đảo doanh nghiệp.
Lừa đảo chuyển khoản (wire fraud)
Lừa đảo liên hoàn thường được gắn với tấn công lừa đảo email doanh nghiệp. Tội phạm can thiệp
vào chuỗi email, gửi những yêu cầu giả hay yêu cầu thay đổi thông tin ngân hàng. Lừa đảo chuyển
khoản cũng có thể được thực hiện qua hệ thống thư tín truyền thống.
Mã độc tống tiền (ransomeware)
Mã độc tống tiền đã tiến hóa nhanh chóng

trong vài năm qua. Trước đây, chúng
thường bắt nguồn từ các phần mềm độc
hại trên email. Gần đây, mã độc đã được
tội phạm cài đặt trên cả các hệ thống bị
xâm nhập. Các cuộc tấn công mã độc tống
tiền đã tăng lên cả về tần suất và giá trị, và
các vụ việc đánh cắp dữ liệu cũng diễn ra
thường xuyên hơn.
Khi tấn công bằng mã độc tống tiền được

thực hiện, dữ liệu của nạn nhân bị mã hóa
và giữ làm con tin, và chỉ khi nào nạn nhân
trả tiền thì kẻ tấn công mới cung cấp mã mở khóa.
Đôi khi kể cả có trả tiền, thông tin vẫn bị rò rỉ công khai. Khá phổ biến là khi nạn nhân đã trả tiền
chuộc, các đối tượng vẫn có thể không trả lại dữ liệu. Tất nhiên, tội phạm tấn công luôn hết sức hỗ
trợ nạn nhân trong việc thanh toán, đặc biệt thông qua tiền mã hóa/tiền ảo, ví dụ như viết từng
bước hướng dẫn thanh toán trong tin nhắn tống tiền.
Lừa đảo và gian lận
Lừa đảo trực tuyến hướng tới việc thao túng

và lừa người dùng tiết lộ thông tin cá nhân,
thông tin tài chính hay lừa lấy tiền mặt.
Lừa đảo giả mạo (phising)
Lừa đảo giả mạo là một loại đánh cắp danh

tính, trong đó kẻ lừa đảo dùng một email giả
doanh nghiệp nhưng nhìn như thật để lừa
người nhận tiết lộ thông tin nhạy cảm hay
thông tin tài chính.
Bắt nạt trên không giang mạng (Cyber Bullying)
Là bất cứ loại bắt nạt, xâm hại hay lạm dụng nào xảy ra trên mạng, ví dụ như qua mạng xã hội, email
hay trang web. Bắt nạt trên không gian mạng cực kỳ phổ biến trong độ tuổi từ 14 đến 18 tuổi.
Tống tiền tình dục (Sextortion)
Là sử dụng các thủ đoạn để lấy được nội dung nhạy cảm của một người, nhằm tống tiền, tài sải hoặc
dịch vụ từ nạn nhân. Nội dung nhạy cảm này có thể xuất phát từ mối quan hệ giả tạo mà đối tượng

thiết lập với nạn nhân qua mạng xã hội hoặc các trang web hẹn hò. Nội dung này cũng có thể bị đối
tượng đánh cắp nhờ hack vào máy tính hoặc điện thoại của nạn nhân để ăn trộm video, hình ảnh
hay sử dụng các file bị chỉnh sửa bằng phần mềm Deepfakes, sử dụng video, hình ảnh được lấy từ
mối quan hệ hiện tại hoặc quá khứ. Nội dung nhạy cảm sau đó được dùng để tống tiền và ép nạn
nhân làm theo yêu cầu của đối tượng.

Các tác nhân đe dọa
Công nghệ hiện đại đã tạo ra một nền tảng
mới để thực hiện các hành vi phạm tội
truyền thống bao gồm khủng bố, lừa đảo,
trộm cắp và rửa tiền. Một tác nhân đe dọa
(threat actor) là một người hoặc một nhóm
đứng đằng sau một sự việc có chủ ý, tức là
người đứng sau/chịu trách nhiệm về sự việc
đó. Từ góc độ tội phạm mạng, có nhiều loại
tác nhân đe dọa, từ tội phạm có tổ chức đến
những kẻ tấn công được nhà nước bảo trợ,
khủng bố mạng và nội gián (hoặc ngược lại,
vô tình giúp sức).
Tác nhân đe dọa có thể là 'kẻ xấu' bên ngoài khởi động chiến dịch lừa đảo qua email độc hại hoặc
một nhân viên vô tình để lại thông tin hoặc tài liệu nhạy cảm ở ghế sau ô tô của họ. Chúng ta hãy
xem xét một loạt loại hình tác nhân đe dọa phổ biến hơn.
Tội phạm có tổ chức

Các băng nhóm tội phạm có tổ chức rất tinh vi và được hưởng lợi từ hành vi phạm tội xuyên biên
giới và các khu vực tài phán khác nhau, tức là kẻ phạm tội không phải ở hoặc gần địa điểm mà hành
vi phạm tội đã xảy ra. Các cuộc tấn công của chúng là không biên giới. Các loại tội phạm mạng có tổ
chức phổ biến nhất bao gồm gian lận điện tử, mã độc tống tiền và đánh cắp danh tính.
Được nhà nước bảo trợ

Các cuộc tấn công do nhà nước bảo trợ cũng rất tinh vi và bắt nguồn từ những kẻ tấn công của Nhà
nước/Chính phủ, thường liên quan đến các cuộc tấn công có chủ đích (APT). Các kiểu tấn công phổ
biến do nhà nước bảo trợ bao gồm tấn công từ chối dịch vụ phân tán (DDoS), đánh cắp dữ liệu và
gián điệp thông qua việc sử dụng các cuộc tấn công khai thác lỗ hổng, lừa đảo trực tuyến và phần
mềm độc hại để xâm phạm mục tiêu.
Chủ nghĩa Tin tặc

Chủ nghĩa tin tặc (Hacktivism) là hành động của tin tặc nhằm
đề ra một lý tưởng hoặc một chương trình chính trị, để ảnh
hưởng đến một số thay đổi xã hội hoặc để phơi bày điều gì
đó mà họ cảm thấy là bất công chính trị.
Một số nhóm chủ nghĩa tin tặc nổi tiếng bao gồm
Anonymous, Chaos Computer Club, LulzSec, Legion of Doom,
Fancy Bear (hoặc Cozy Bear) và The Lazarus Group. Các loại
chủ nghĩa tin tặc phổ biến bao gồm hạ uy tín trang web, từ
chối dịch vụ, xâm nhập cơ sở dữ liệu và rò rỉ thông tin.
Những hoạt động này thường là bất hợp pháp về bản chất.
Hơn nữa, những người có quan điểm phi logic, theo chủ
nghĩa chính trị hoặc tôn giáo cực đoan thường sử dụng những lời nói xấu hoặc xuyên tạc/tin tức giả
làm công cụ trao đổi.

Khủng bố
Khi kẻ tấn công thực hiện hành vi khủng bố thông qua các phương tiện được hỗ trợ trên không gian
mạng, được gọi là 'khủng bố mạng'. Những kẻ khủng bố mạng cực kỳ nguy hiểm vì hành động của
chúng có thể ảnh hưởng đến cơ sở hạ tầng quan trọng bao gồm:
 Các nhà cung cấp tiện ích;

 Bệnh viện và an toàn công cộng;
 Nhà sản xuất và truyền tải điện;
 Xử lý nước thải;
 Đường ống dẫn khí đốt tự nhiên;
 Hệ thống quản lý giao thông; và
 Bất kỳ ai có hệ thống điều khiển có thể truy cập Internet
Khủng bố mạng còn có thể dẫn đến tài trợ khủng bố cũng như chiêu mộ khủng bố.
Tin tặc độc lập

Thường được biết đến với cái tên ‘Script Kiddie’ hoặc 'con sói đơn độc', những tác nhân đe dọa này
là những tên trộm vặt của thế giới mạng. Chúng đôi khi có thể liều lĩnh vì sự thiếu suy nghĩ hay vô
tình gây thiệt hại vì trình độ thấp, trái với mục đích ban đầu của chúng. Chúng thường tải xuống các
hình thức mã độc trên Internet và triển khai mà không hiểu đầy đủ về các tác động của nó. Các tin
tặc độc lập cũng có thể thuộc loại theo chủ nghĩa tin tặc.
Những người trong cuộc có ác ý

Thông thường, những người trong cuộc có ác ý dưới dạng những nhân viên bất mãn. Rất khó để
giám sát các hành vi của nhân viên, do đó khó có thể ngăn chặn các hoạt động gây hại do nhân viên
và những người khác có quyền truy cập và kiểm soát vào hệ thống nội bộ gây ra. Loại tác nhân đe
dọa này cũng bao gồm cả xâm nhập.
Người trong cuộc tình cờ giúp sức

Thông thường, những người trong cuộc tình cờ giúp sức không có ác ý, tuy nhiên theo thống kê, họ
chịu trách nhiệm cho khoảng một phần ba các vụ xâm phạm dữ liệu được báo cáo vào năm 2020.
Các hoạt động tình cờ có thể bao gồm:
 Chỉ nhấp vào một liên kết lừa đảo qua email;
 Thực hiện một hành động để tránh/né tránh việc hoàn thành nhiệm vụ, tức là đi đường tắt
và mắc lỗi;
 Gửi thông tin cá nhân hoặc thông tin được bảo vệ cho người nhận sai; và
 Không giám sát máy tính xách tay hoặc điện thoại có chứa thông tin bí mật.
Các loại tin tặc

Có ba (3) loại tin tặc khác nhau, tất cả đều đội những chiếc ‘Mũ’ khác nhau là đen, xám và trắng.
Luôn có một cuộc tranh luận về đạo đức xung quanh việc phân loại tin tặc, và cả việc hack có đạo
đức, tuy nhiên, điều quan trọng là chúng ta phải biết rằng có những người trong số chúng ta hướng
đến việc sử dụng các kỹ năng và kiến thức máy tính của họ với mục đích tốt và cũng có những kẻ sử
dụng chúng vào mục đích xấu. Hãy để chúng tôi giới thiệu về những điều này một cách chi tiết hơn.

Tin tặc mũ trắng
Được coi là những người tốt, những
người này được gọi là 'tin tặc có đạo
đức'. Thông thường, mũ trắng là các
nhà nghiên cứu bảo mật, nhà phân tích
bảo mật hoặc các chuyên gia xác định
các lỗi bảo mật để giúp bảo mật các tổ
chức và hệ thống. Mũ trắng được tôn
trọng và không sử dụng kiến thức và kỹ
năng của họ khi chưa được sự đồng ý
trước. Họ có thể được thuê hoặc được
các tổ chức trả công cho công việc của
họ trong việc xác định các lỗ hổng. Các
hoạt động liên quan đến việc xác định
các lỗ hổng hệ thống và mạng được gọi
là kiểm tra thâm nhập.
Tin tặc mũ xám

Mũ xám là loại tin tặc khó phân loại nhất, vì họ thường không tốt cũng không xấu. Họ là những cá
nhân có hành động đáng nghi vấn, mặc dù có động cơ hợp pháp. Nói chung, có hai loại hacker mũ
xám:
1. Những người chỉ đơn giản là tò mò về các công cụ và kỹ thuật hack; và
2. Những người cảm thấy họ có trách nhiệm (kể cả có không được cho phép) phải chứng minh cho
mọi người thấy các lỗi bảo mật trong hệ thống.
Cuối cùng, bất kỳ ai hack hệ thống hoặc tài khoản cá nhân của người khác mà không có sự cho phép
hoặc chỉ đạo rõ ràng trên thực tế là phạm tội. Mũ xám cũng bao gồm 'những người tìm kiếm cảm
giác mạnh', mặc dù có thể không có ý định xấu, theo đuổi để chứng minh khả năng của họ và làm nổi
bật các lỗ hổng để đạt được sự hài lòng cho cá nhân.
Tin tặc mũ đen

Được coi là 'kẻ xấu', những tin tặc này là những tên tội phạm khai thác các lỗ hổng bảo mật để thu
được lợi ích tài chính cho cá nhân, tống tiền người khác hoặc gây ra sự xáo trộn. Còn được gọi là
'crackers', mũ đen sử dụng bất hợp pháp các kỹ năng của họ cho mục đích xấu, bao gồm tìm cách
đánh cắp hoặc phá hủy dữ liệu và từ chối quyền truy cập vào hệ thống và tài nguyên. Những loại tin
tặc này mặc nhiên không yêu cầu sự cho phép hoặc đồng ý.
Xu hướng hiện tại

Mỗi năm, công ty bảo mật thông tin Verizon đưa ra Báo cáo điều tra xâm phạm dữ liệu (DBIR), báo
cáo phân tích nhiều sự cố dữ liệu và xâm phạm trên nhiều ngành và khu vực khác nhau. Trong DBIR
năm 2020 của Verizon, tổng số 157.525 sự cố và 3.950 vi phạm đã được phân tích.
Hình 1-5 cung cấp bản tóm tắt cấp cao về các phát hiện có trong Verizon 2020 DBIR, do đó cung cấp
cái nhìn tổng thể tuyệt vời về các xu hướng hiện tại đối với các kiểu tấn công, động cơ và phương
pháp hoạt động của tội phạm mạng hiện nay.

Do hack
Do lỗi
Tấn công xã hội
Mã độc
Sử dụng sai
Tác nhân vật lý
Hình 1. Các chiến thuật của tin tặc
Tác nhân bên ngoài
Tổ chức TP có tổ
chức
Tác nhân bên trong
Có 4 hoặc nhiều hơn các hành động tấn công
Tác nhân từ đối tác
Nhiều bên
Hình 2. Ai là kẻ đứng sau

những vụ vi phạm dữ liệu?

81% các vi phạm được ngăn chặn trong vài ngày hoặc ít hơn
72% vi phạm có nạn nhân là doanh nghiệp lớn
58% nạn nhân bị xâm nhập dữ liệu cá nhân
28% vi phạm có nạn nhân là doanh nghiệp nhỏ
Hình 3. Ai là nạn nhân?
86% vi phạm có động cơ tài chính
ứng dụng web liên quan tới 43%

vi phạm
37% vi phạm là ăn cắp hoặc sử dụng

thông tin đăng nhập
27% tấn công mã độc là

Ransomware
22 vi phạm liên quan đến tấn công giả mạo (Phising)
Hình 4. Các số liệu khác

TP có tổ chức
Liên quan đến nhà nước

86% vi phạm có động cơ tài chính
Khác
Admin hệ thống
Người dùng cuối
Không liên kết
Hình 5. Những tác nhân đe dọa hàng đầu
Thuật ngữ trong lĩnh vực tội phạm mạng và công nghệ thông tin/ an
ninh mạng
Trong thế giới của tội phạm mạng và an ninh mạng, có vô số kiểu tấn công, cách khai thác và thuật
ngữ mà bạn cần phải biết - quá nhiều nội dung để đưa vào học phần này. Học viên có thể tìm hiểu
thêm tại www.malwarebytes.com/cybersecurity, bao gồm các báo cáo về an ninh mạng và phần
mềm độc hại, blog giáo dục, định nghĩa (một số được liệt kê bên dưới), v.v. Bảng sau cung cấp một
bản tóm tắt rất ngắn gọn về các thuật ngữ phổ biến mà bạn nên làm quen.
Mã độc (Malware)
Virus
Được thiết kế để gây tổn hại, gián đoạn, chiếm
Phần mềm tự nhân lên bằng cách tự gắn các
và duy trì quyền truy cập vào dữ liệu hoặc tài
bản sao của mình vào các đoạn mã khác
nguyên điện tử
Sâu máy tính (worm) Trojan
Phần mềm độc hại tự nhân lên, sử dụng một Phần mềm độc hại có vẻ như là có thể thực hiện
mạng máy tính để gửi các bản sao của mình chức năng mà người dùng muốn, nhưng thật ra
vào các hệ thống khác mà không cần can thiệp lại bí mật thực hiện chức năng khác như đánh
từ con người cắp thông tin hoặc phá hoại hệ thống

Phần mềm gián điệp (Spyware)
Mã độc tống tiền (ransomeware) Phần mềm độc hại lây nhiễm vào máy tính hoặc
Phần mềm độc hại tống tiền bằng cách mã hóa thiết bị di động của bạn và thu thập thông tin
dữ liệu của nạn nhân và yêu cầu tiền chuộc về bạn như các trang web bạn truy cập, tên
dưới dạng tiền mã hóa người dùng và mật khẩu, thông tin thanh toán
và email đã gửi / nhận
Lừa đảo giả mạo (Phishing)
Phần mềm quảng cáo (Adware)
Hình thức đánh cắp danh tính trong đó kẻ lừa
Phần mềm có các quảng cáo được nhúng bên
đảo sử dụng email trông xác thực từ một doanh
trong - nó thường hiển thị quảng cáo ở dạng
nghiệp hợp pháp để lừa người nhận cung cấp
cửa sổ bật lên
thông tin cá nhân nhạy cảm
Tấn công phi kỹ thuật (Social Engineering) Mã độc Exploits
Thao túng tâm lý của mọi người để thực hiện Một loại phần mềm độc hại lợi dụng lỗi hoặc lỗ
các hành động hoặc tiết lộ thông tin bí mật, lừa hổng bảo mật mà tội phạm mạng sử dụng để
nạn nhân truy cập bất hợp pháp vào hệ thống
Mã độc Rootkit
Đánh hơi/Chụp gói
Phần mềm độc hại được thiết kế để cho phép
Ghi lại các gói dữ liệu khi chúng truyền qua dây
truy cập vào máy tính hoặc một khu vực phần
hoặc qua sóng, để xem lại thông tin được quan
mềm không được phép truy cập- loại phần
tâm
mềm này thường che giấu sự tồn tại của mình
Vi phạm dữ liệu
Thư rác (Spam)
Một sự kiện bảo mật dẫn đến sự xâm phạm
Bất kỳ loại giao tiếp kỹ thuật số không mong
hoặc nguy cơ xâm phạm tính bí mật hoặc tính
muốn, không được yêu cầu, thường là email,
toàn vẹn của thông tin được bảo vệ, gây ra bởi
được gửi đi hàng loạt
các tác nhân trái phép
Botnet
Từ chối dịch vụ phân tán (DDoS)
Nhóm máy tính bị xâm nhập được điều khiển
Một cuộc tấn công ngăn cản nạn nhân sử dụng
từ xa bởi tác nhân đe dọa độc hại (ví dụ: một
hoặc truy cập vào hệ thống hoặc mạng
người hoặc một nhóm)
Giả mạo
Khi ai đó giả danh người khác để cố gắng truy Người ở giữa - Man-in-the-Middle (MitM)
cập vào hệ thống và lấy cắp dữ liệu bằng các Kẻ tấn công âm thầm ngồi giữa hai điểm để
cuộc tấn công như giả mạo email, giả mạo ID đánh chặn dữ liệu
người gọi, giả mạo IP, giả mạo SMS
Cryptojacking Đánh cắp phiên làm việc
Là việc kẻ xấu cài đặt phần mềm khai thác tiền Kẻ tấn công đợi một phiên web bắt đầu, sau đó
mã hóa trên thiết bị của nạn nhân mà họ không sau khi xác thực (bởi nạn nhân) hoàn tất, kẻ tấn
biết, sau đó sử dụng các tài nguyên này để khai công sẽ nhảy vào và chiếm quyền điều khiển /
thác tiền mã hóa đánh cắp phiên đó
SQL Injection Quảng cáo độc hại
Loại tấn công mà tội phạm mạng khai thác lỗ Nhìn giống như quảng cáo trực tuyến hợp
hổng phần mềm trong các ứng dụng web nhằm pháp, tuy nhiên nó được sử dụng để phát tán
mục đích đánh cắp, xóa hoặc sửa đổi dữ liệu phần mềm độc hại và các mối đe dọa khác mà
hoặc giành quyền kiểm soát quản trị đối với hệ không cần hoặc không cần người dùng tương
thống đang chạy các ứng dụng bị ảnh hưởng tác
Pharming
Cửa sau Loại tấn công mạng liên quan đến việc chuyển
Một khả năng ẩn trong một hệ thống hoặc hướng lưu lượng truy cập web từ một trang
chương trình để vượt qua các hệ thống xác web hợp pháp sang một trang web giả mạo với
thực máy tính thông thường mục đích đánh cắp tên người dùng, mật khẩu,
dữ liệu tài chính, v.v.

Keylogger
Honeynet
Một loại phần mềm gián điệp có thể ghi lại và
Một mạng được triển khai như một cái bẫy để
đánh cắp các lần gõ phím liên tiếp (và nhiều
phát hiện, làm chệch hướng hoặc ngăn chặn
thôn tin hơn nữa) mà người dùng nhập vào
việc sử dụng trái phép hệ thống thông tin
thiết bị của họ
Honeypot Script Kiddie
Một máy chủ được thiết kế để thu thập dữ liệu Tin tặc không có kỹ năng và thường sử dụng
về hoạt động đáng ngờ các tập lệnh và công cụ của người khác
Những vụ xâm nhập dữ liệu và tấn công mã độc lớn

Với tư cách là Điều tra viên tội phạm mạng, điều quan trọng là phải nghiên cứu nhiều loại tội phạm
mạng thuần túy và tội phạm lợi dụng không gian mạng để hiểu rõ hơn về các thủ đoạn những kẻ tấn
công sử dụng và tìm hiểu cách thức cơ quan thực thi pháp luật bắt giữ hoặc triệt phá tội phạm.
Trong những năm qua, vô số vụ xâm phạm dữ liệu cao cấp đã được ghi lại và phân tích, cũng như các
cuộc tấn công bằng phần mềm độc hại lớn.
Dưới đây là danh sách các vụ xâm phạm dữ liệu nổi tiếng và các cuộc tấn công phần mềm độc hại.
Học viên được khuyến khích nghiên cứu một số (hoặc tất cả) trong số những vụ việc này.
Những vụ xâm phạm dữ liệu lớn

 Facebook (2019 & 2021)
 First American Financial (2019)
 Marriot (2018)
 Aadhaar (2018)
 Twitter (2018)
 Equifax (2017)
 Yahoo (2014 & 2017)
 Adult Friend Finder (2016) Rò rỉ dữ liệu: Facebook
Những vụ tấn công mã độc lớn

 Dridex (2020)
 Emotet (2018)
 Mirai (2016)
 Stuxnet (2010)
 Conficker (2008)
 Zeus (2007)
 StormWorm (2007)
 My Doom (2004)
 SQL Slammer (2003)
 ILOVEYOU (2000)
Malware: Dridex – Banking Trojan
 Melissa (1999)
Những mã độc tống tiền nổi tiếng

 CovidLock
 Locky
 Petya Mã độc tống tiền: WannaCry
 WannaCry

 GandCrab
 BadRabbit
 MBR
 WinLocker
Nghiên cứu thêm:

 Báo cáo điều tra vụ việc xâm phạm dữ liệu của Verizon (DBIR)
o https://enterprise.verizon.com/en-au/resources
 FireEye – Các chuyên gia an ninh mạng và nhà cung cấp giải pháp
o https://www.fireeye.com/current-threats/annual-threat-report.html

Học phần 6: Thông tin tình báo nguồn mở
Trong Học phần này, học viên sẽ nghiên cứu:
 Thông tin tình báo nguồn mở(OSINT) là gì

 Tại sao chúng ta lại thu thập OSINT
 Làm thế nào để chúng ta thu thập OSINT và nó mang lại lợi ích như thế nào cho các cuộc
điều tra của mình
 Nơi chúng ta có thể thu thập thông tin bổ sung trên các tài khoản mạng xã hội
 Ai có thể thu thập thông tin tình báo và bằng chứng từ Internet và mạng xã hội
Thông tin tình báo nguồn mở là gì (OSINT)?

Thông tin tình báo nguồn mở (OSINT) được thu thập từ các nguồn có sẵn công khai và thường có
trên Internet. Việc thu thập thông tin tình báo này sẽ hỗ trợ các cuộc điều tra về các hoạt động tội
phạm và thường chỉ là một phần trong cuộc điều tra phức tạp hơn của Cảnh sát. OSINT được thu
thập thông qua các phương tiện hợp pháp và không yêu cầu bất kỳ kỹ thuật thu thập bí mật nào.
Trong các cuộc điều tra của Cảnh sát, một số địa điểm phổ biến nhất mà OSINT được thu thập là:
 Các trang web truyền thông

 Cơ sở dữ liệu có sẵn công khai, ví dụ: danh bạ điện thoại, trang web đăng ký kinh doanh
 Mạng xã hội
 Thông tin doanh nghiệp
Tại sao chúng ta thu thập OSINT?

OSINT có thể giúp cung cấp cho ta thông tin về những gì tội phạm đang công bố hoặc chia sẻ
trên Internet. Ví dụ: các bài đăng trên Mạng xã hội có thể xác định:
 Vị trí
 Nhận dạng
 Địa chỉ
 Gia đình
 Những mối liên kết
 Tư duy
Chúng ta cũng có thể truy cập các cơ sở dữ liệu như

danh bạ điện thoại, khai sinh, chứng tử và đăng ký kết
hôn và có thể cả những thông tin khác có thể hỗ trợ
cho việc điều tra của mình.
Chúng ta thu thập OSINT như thế nào?

Điều quan trọng cần nhớ là thông tin từ Internet và Mạng xã hội có thể bị chủ sở hữu gỡ, thay đổi
hoặc xóa bất kỳ lúc nào. Với khả năng này, chúng ta cần đảm bảo rằng có thể nắm bắt/thu thập bất
kỳ thông tin nào liên quan cuộc điều tra của mình hoặc xác định các nghi vấn khác.

Với tư cách là Cơ quan điều tra tội phạm mạng, chúng ta cần xem xét ưu tiên thu thập của chúng ta
hiện tại là gì, cũng như những thông tin nào có thể được sử dụng cho Cơ quan điều tra tội phạm
mạng hoặc các cơ quan thực thi pháp luật khác trong tương lai.
Chúng ta nên làm việc với tư suy sau: Nếu tôi xem nội dung trực tuyến hôm nay, tôi cần thu thập
thông tin đó ngay hôm nay - nếu tôi đợi đến ngày mai, nội dung có thể bị thay đổi hoặc biến mất.
Điều này đặc biệt đúng đối với nội dung Truyền thông xã hội có thể bị phản đối - các công ty như
Facebook và Twitter có thể nhanh chóng xóa hình ảnh và nội dung khác vi phạm Điều khoản và Điều
kiện của họ. Khi nội dung có vấn đề đã bị xóa khỏi tài khoản mạng xã hội, nội dung đó có thể biến
mất vĩnh viễn! Hơn nữa, nếu tài khoản bị đóng băng, tạm ngưng hoặc thậm chí bị xóa, điều này có
thể cản trở việc điều tra tùy thuộc vào Biên bản ghi nhớ (MOU) được áp dụng.
Chụp màn hình

Cách nhanh nhất và hiệu quả nhất để nắm bắt thông tin công khai trên Internet là chụp ảnh màn
hình.
Có vô số chương trình phần mềm miễn phí và trả phí có thể được sử dụng để chụp thông tin. Trong
Chương trình Đào tạo Công nghệ cao Cấp 2 của CSA, chúng tôi sẽ cung cấp cho học viên thêm thông
tin chi tiết về phần mềm mà bạn có thể sử dụng, nhưng tóm lại, phần mềm có thể được chia thành
hai loại:
1. Chụp ảnh màn hình

2. Ghi lại màn hình thành clip
Có những mặt tích cực và tiêu cực cho cả hai lựa

chọn. Đối với cấp độ đào tạo này, chúng tôi sẽ giới
thiệu cho bạn Phần mềm Chụp ảnh Màn hình
miễn phí.
Nếu bạn đang sử dụng máy tính chạy Windows,

phần mềm này đã được cài đặt - Snipping Tool.
Công cụ Snipping Tool có thể được sử dụng để chụp ảnh màn hình (hoặc ảnh cắt) của bất kỳ thứ gì
trên màn hình của bạn bằng cách khởi chạy chương trình sau đó sử dụng chuột để vẽ một hộp xung
quanh khu vực bạn muốn chụp. Ảnh chụp màn hình sau đó có thể được lưu vào máy tính làm việc
của bạn để sử dụng làm bằng chứng hoặc thông tin tình báo.
Ghi lại thời gian và ngày tháng

Là một phần của việc thu thập bằng chứng từ Internet, cụ thể hơn là Mạng xã hội, chúng ta cần xem
xét những gì tòa án và công tố viên có thể yêu cầu. Ví dụ: ở Úc, để ảnh chụp màn hình được coi là
bằng chứng, Điều tra viên tội phạm mạng cần ghi lại thời gian và ngày chụp ảnh màn hình.
Để ghi lại Ngày và Giờ, chúng ta có thể sử dụng

phần mềm như Atom Time Pro. Đây là một
chương trình có sẵn miễn phí có thể được sử
dụng trong chụp ảnh màn hình để hiển thị ngày
và thời gian bằng chứng được thu thập.
Bạn nên tham khảo ý kiến với Văn phòng Công

tố địa phương để xác định xem hình thức ghi

ngày giờ này có phù hợp với thẩm quyền của bạn hay không.
Các công cụ OSINT để điều tra

Để hỗ trợ các cuộc điều tra của mình, ta có thể sử dụng một số trang web để hỗ trợ việc thu thập
bằng chứng và thông tin về tội phạm và hành vi phạm tội mà chúng ta đang điều tra.
Tìm kiếm nâng cao trên Google
Bằng cách sử dụng tab 'Nâng cao' khi thực hiện tìm kiếm trên Google, bạn có thể tinh chỉnh các
thông số tìm kiếm của mình và điều này có thể cung cấp cho bạn kết quả chính xác hơn.
Tìm kiếm ngược bằng hình ảnh
Tìm kiếm ngược bằng hình ảnh là một công cụ công

nghệ tìm kiếm lấy một tệp hình ảnh và nhập truy vấn
và trả về kết quả liên quan đến hình ảnh.
Kỹ thuật này có thể được sử dụng để xác định nguồn

gốc của hình ảnh hoặc các vị trí khác mà hình ảnh
được sử dụng. Điều này có thể đặc biệt hữu ích khi tìm
kiếm ảnh hồ sơ trên Mạng xã hội.
Tìm kiếm ngược bằng hình ảnh có thể được thực hiện
bằng các công cụ tìm kiếm như Google, Yandex và Tin
Eye.
Cơ sở dữ liệu số điện thoại
Một số trang web và ứng dụng di động có thể được sử dụng để tìm kiếm các liên kết đến các số điện
thoại.
Các trang web và ứng dụng di động này được liên kết với cơ sở dữ liệu như Google. Kết quả trả về sẽ
không phải là ‘người đăng ký’ của số điện thoại mà là tên đã được liên kết với số trong trang web.
Điều quan trọng là phải 'xác thực' thông tin do các trang web này cung cấp bằng các nguồn khác.
Công cụ lập bản đồ
Nếu bạn có thể xác định nơi mục tiêu có thể đang sống, làm việc hoặc gặp gỡ các đối tượng tội
phạm, bạn có thể sử dụng Công cụ lập bản đồ như Google Earth và Google Maps để hỗ trợ hiểu rõ
hơn về môi trường. Bạn có thể sử dụng Street view để có cái nhìn rõ hơn về vị trí và các khu vực
xung quanh.
Ai có thể thu thập thông tin và chứng cứ từ Internet

Điều quan trọng là mọi hoạt động thu thập bằng chứng được thực hiện trực tuyến phải được thực
hiện một cách an toàn. Các Điều tra viên Tội phạm mạng không nên sử dụng các tài khoản mạng Xã
hội cá nhân để thực hiện các cuộc tìm kiếm trực tuyến. Chúng ta sẽ thảo luận thêm về vấn đề này
trong Chương trình đào tạo an ninh mạng Bậc 2 của CSA.
Bạn nên thảo luận vấn đề này với Văn phòng Công tố viên địa phương, có quan có thẩm quyền trình
bày bằng chứng trước tòa.

Ví dụ, ở Úc, Cảnh sát có thể ra tòa và cung cấp bằng chứng. Tuy nhiên, điều này cũng áp dụng cho
các Sĩ quan không phải là Cảnh sát, những người có thể chịu trách nhiệm thu thập bằng chứng trực
tuyến và đã trải qua khóa đào tạo thích hợp. Các Sĩ quan Cảnh sát, Điều tra viên và Chuyên gia sau
khi được Tòa án công nhận là đủ tiêu chuẩn có thể cung cấp bằng chứng.
Các tài nguyên OSINT trên mạng

Có một số trang web có thể được sử dụng để hỗ trợ bạn trong việc thu thập OSINT. Các trang web
này có liên kết đến các công cụ khác nhau mà bạn có thể sử dụng như một phần công việc của mình.
Bạn cần lưu ý là một số công cụ miễn phí và một số công cụ yêu cầu thanh toán.
 https://osintframework.com/
 https://www.osintessentials.com/

Trang web sau có thể được sử dụng để lấy chi tiết liên hệ của nhiều Nhà cung cấp dịch vụ Internet
(ISP) như Google, Yahoo, Outlook cũng như nhiều công ty Mạng xã hội.
 https://www.search.org/resources/isp-list/

Nhiều công cụ / liên kết được liệt kê trong OSINT Framework và OSINT Essentials (trong số các trang
web khác) sẽ được sử dụng trong Chương trình đào tạo an ninh mạng Bậc 2 của CSA.

Học phần 7: Tiền mã hóa (tiền ảo)
Từ góc độ thực thi pháp luật, tiền mã hóa/tiền ảo (cryptocurrency) mang đến những thách thức
riêng. Có rất nhiều tội phạm liên quan đến tiền mã hóa bao gồm khủng bố, bóc lột trẻ em trực tuyến
hoặc lạm dụng tình dục trẻ em trực tuyến trực tuyến, buôn bán ma túy, rửa tiền và tất nhiên là tội
phạm mạng (ví dụ: mã độc tống tiền).
Trong học phần này, học viên sẽ được giới thiệu các khái niệm cơ bản về tiền mã hóa trong điều tra
tội phạm mạng, cũng như khám phá những kiến thức cơ bản về tiền mã hóa, công nghệ blockchain,
khóa công khai và khóa bí mật, ví điện tử và các nội dung cần cân nhắc về tịch thu.
Các Điều tra viên tội phạm mạng cần hiểu rằng các cuộc điều tra liên quan đến tiền mã hóa không
chỉ là tìm kiếm bitcoin hoặc cố gắng theo dõi địa chỉ bitcoin. Các cuộc điều tra này cần đến khả năng
chủ động nâng cao kiến thức và áp dụng kiến thức về tiền mã hóa trên tất cả các loại tội phạm.
Tiền mã hóa
Tiền mã hóa là một loại tiền kỹ thuật số được tạo ra bằng cách sử dụng toán học và khoa học máy
tính. Nó thường được coi là một loại tiền ảo vì bạn không thể chuyển nó hoặc sử dụng nó một cách
vật lý.
Tiền mã hóa nói chung dựa trên một mạng sử dụng các kỹ
thuật mã hóa và được phân phối trên một số lượng rất lớn
các máy tính. Cấu trúc này được phân cấp ở chỗ nó tồn tại và
hoạt động mà không có sự kiểm soát của chính phủ hoặc cơ
quan trung ương.
Người dùng có ví, cho phép họ quản lý quyền truy cập vào
tiền kỹ thuật số của họ. Sử dụng phần mềm, người dùng có
thể chuyển và nhận tiền kỹ thuật số. Giao dịch này được xác
minh bởi sự đồng thuận trong mạng, không phải một thực
thể duy nhất và sử dụng một quy trình gọi là khai thác, liên
quan đến việc giải các phép toán phức tạp bằng máy tính. Vì
quá trình này phát sinh chi phí, những người khai thác thành
công được thanh toán bằng cách nhận tiền tệ hoặc tài sản
mới.
Tiền mã hóa đại diện cho những thách thức đối với thực thi
pháp luật do tính ẩn danh của chúng vì tội phạm có thể
chuyển tiền trực tiếp giữa hai bên mà không cần bên thứ ba
đáng tin cậy như ngân hàng hoặc công ty phát hành thẻ tín
dụng. Một thách thức nữa là các giao dịch chuyển tiền này
được bảo mật bằng việc sử dụng các khóa công khai và bí
mật. Nhận thức và hiểu rõ về những thách thức này sẽ giúp
Điều tra viên tội phạm mạng xác định hướng điều tra trong
vụ việc liên quan đến tiền mã hóa.

Mật mã
Từ 'crypto' có nghĩa là được che giấu hoặc bí mật. Công nghệ mật mã đảm bảo các mức độ ẩn danh
khác nhau. Về nguyên tắc, mật mã đảm bảo tính bảo mật của các giao dịch và những người tham gia,
sự độc lập của các hoạt động với cơ quan trung ương và bảo vệ khỏi việc thanh toán gấp đôi vốn là
rủi ro khi một loại tiền kỹ thuật số có thể được sử dụng hai lần. Công nghệ mật mã được sử dụng để
đảm bảo an toàn cho các giao dịch khác nhau xảy ra trên mạng, để kiểm soát việc tạo ra các đơn vị
tiền tệ mới và để xác minh các giao dịch chuyển tiền kỹ thuật số.
Khóa mã hóa là khía cạnh quan trọng nhất của mật mã. Trong trường hợp tiền kỹ thuật số, quyền
truy cập vào khóa bí mật là cách duy nhất để mở khóa và sử dụng tiền kỹ thuật số.
Các loại tiền mã hóa

Tiền mã hóa dựa trên blockchain đầu tiên là Bitcoin (BTC), hiện vẫn là loại tiền mã hóa phổ biến nhất
và có giá trị nhất. Bitcoin được ra mắt vào năm 2009 bởi một cá nhân hoặc một nhóm được biết đến
với cái tên ‘Satoshi Nakamoto’. Bitcoin là một loại tiền tệ ngang hàng dựa trên Internet, có nghĩa là
tất cả các giao dịch diễn ra trực tiếp giữa những người tham gia mạng lưới bình đẳng, độc lập mà
không cần bất kỳ trung gian nào cho phép hoặc tạo điều kiện. Bitcoin được tạo ra để cho phép
'thanh toán trực tuyến được gửi trực tiếp từ bên này sang bên khác mà không cần thông qua tổ chức
tài chính.' Một số khái niệm cho một loại tiền mã hóa phi tập trung tương tự trước BTC, (chẳng hạn
như B-Money, Bit Gold và HashCash) nhưng
Bitcoin có sự khác biệt là tiền mã hóa đầu
tiên được sử dụng thực tế.
Tổng nguồn cung của Bitcoin bị giới hạn bởi

phần mềm của nó và sẽ không bao giờ vượt
quá 21.000.000 đồng tiền. Các đồng tiền mới
được tạo ra trong quá trình được gọi là
“đào”: khi các giao dịch được chuyển tiếp qua
mạng, chúng được những người đào tiền
chọn và đóng gói thành các khối, được bảo vệ
bằng các phép tính mật mã phức tạp. Như sự
đền bù cho việc chi tiêu tài nguyên tính toán của họ, các thợ đào sẽ nhận được phần thưởng cho mỗi
khối mà họ thêm thành công vào blockchain. Hiện tại, phần thưởng khối là 6,25 đồng mỗi khối và sẽ
giảm xuống 3,125 đồng mỗi khối vào ngày 8 tháng 5 năm 2024 trong một quá trình được gọi đơn
giản là giảm một nửa.
Bitcoin được thiết kế như một loại tiền tệ giảm phát. Giống như vàng, tiền đề là theo thời gian, việc
phát hành bitcoin sẽ giảm và do đó trở nên khan hiếm hơn theo thời gian. Khi Bitcoin trở nên khan
hiếm hơn, ý tưởng này là giá trị sẽ tăng lên. Điều này trái ngược với tiền tệ 'fiat' (tiền pháp định), là
bất kỳ loại tiền tệ nào mà chính phủ tuyên bố là đấu thầu hợp pháp, nhưng bản thân nó không có giá
trị (không giống như vàng chẳng hạn). Các loại tiền 'Fiat' có xu hướng giảm giá trị theo thời gian khi
các chính phủ in ngày càng nhiều tiền tệ hơn, trong khi các loại tiền tệ giảm phát như Bitcoin có xu
hướng tăng theo thời gian. Một ví dụ đơn giản là giá trị của một chiếc ô tô cổ, không còn sản xuất.
Như vậy, khi cầu tăng nhưng cung vẫn giữ nguyên, thì giá trị sẽ tăng.
Các loại tiền mã hóa cạnh tranh xuất hiện sau thành công của Bitcoin, được gọi là "altcoin". Nói
chung, bất kỳ loại tiền mã hóa nào không phải là Bitcoin đều được gọi là altcoin. Nhiều altcoin được
xây dựng dựa trên khung cơ bản do Bitcoin cung cấp. Do đó, hầu hết các altcoin là ngang hàng. Các
loại tiền này cố gắng đưa ra những cách hiệu quả và không tốn kém để thực hiện các giao dịch trên
Internet. Ngay cả khi có nhiều tính năng chồng chéo, các altcoin rất khác nhau và sẽ yêu cầu áp dụng

các phương pháp điều tra khác nhau. Ví dụ về các altcoin hàng đầu mà ta sẽ tiềm hiểu là Ethereum,
XRP và Tether.
Ethereum được ra mắt vào tháng 7 năm 2015, là một hệ thống blockchain mã nguồn mở phi tập
trung có tính năng tiền mã hóa của riêng nó, Ether (ETH). ETH hoạt động như một nền tảng cho
nhiều loại tiền mã hóa khác, cũng như để thực hiện các hợp đồng thông minh phi tập trung. Hợp
đồng thông minh là các chương trình máy tính tự động thực hiện các hành động cần thiết để thực
hiện thỏa thuận giữa một số bên trên Internet. Chúng được thiết kế để giảm nhu cầu về trung gian
đáng tin cậy giữa các nhà thầu, do đó giảm chi phí giao dịch đồng thời tăng độ tin cậy của giao dịch.
Ethereum đã sẵn sàng trở thành một nền tảng toàn cầu cho các ứng dụng phi tập trung, cho phép
người dùng từ khắp nơi trên thế giới viết và chạy phần mềm có khả năng chống lại sự kiểm duyệt,
thời gian chết và gian lận. Một trong những điểm khác biệt chính giữa Bitcoin và Ethereum là
Ethereum không giảm phát, tức là tổng nguồn cung của nó không bị giới hạn.
Trong khi các token XRP thường được gọi là 'Ripple', có sự khác biệt giữa XRP, Ripple và RippleNet.
XRP là tiền tệ chạy trên nền tảng thanh toán kỹ thuật số gọi là RippleNet, nằm trên cơ sở dữ liệu sổ
cái phân tán được gọi là XRP Ledger. Trong khi RippleNet được điều hành bởi một công ty có tên là
Ripple, XRP Ledger là mã nguồn mở và không dựa trên blockchain, mà là một cơ sở dữ liệu sổ cái
phân tán.
Tether, hay USDT là một stablecoin (tiền mã hóa có

giá trị ổn định) phản ánh giá của đô la Mỹ, được
phát hành bởi công ty Tether có trụ sở tại Hồng
Kông. Token được gắn với với USD đạt được thông
qua việc duy trì một lượng đô la dự trữ bằng với số
USDT đang lưu hành. Ra mắt vào tháng 7 năm 2014
với tên gọi Realcoin, một mã thông báo tiền mã hóa
lớp thứ hai được xây dựng trên blockchain của
Bitcoin thông qua việc sử dụng nền tảng Omni, sau
đó nó được đổi tên thành USTether và cuối cùng là
USDT. Cùng với Bitcoin, USDT sau đó đã được cập nhật để hoạt động trên các blockchain Ethereum,
EOS, Tron, Algorand và OMG. Sự biến động cao của thị trường tiền mã hóa có nghĩa là tiền mã hóa
có thể tăng hoặc giảm 10-20% trong vòng một ngày, khiến chúng không đáng tin cậy như một kho
lưu trữ giá trị. Mặt khác, USDT được bảo vệ khỏi những biến động này. Tính năng độc đáo của USDT
là thực tế là giá trị của nó được đảm bảo vẫn gắn liền với đô la Mỹ. Theo Tether, bất cứ khi nào nó
phát hành mã thông báo USDT mới, nó sẽ phân bổ cùng một lượng USD vào kho dự trữ của mình, do
đó đảm bảo rằng USDT được hỗ trợ đầy đủ bằng tiền và các khoản tương đương tiền.
Bản chất bán ẩn danh của các giao dịch tiền mã hóa khiến chúng rất phù hợp cho một loạt các hoạt
động bất hợp pháp. Tuy nhiên, một số loại tiền mã hóa mang tính riêng tư hơn những loại tiền khác.
Ví dụ, Bitcoin thực sự là một lựa chọn tương đối tồi để tiến hành hoạt động bất hợp pháp, vì việc
phân tích chuỗi khối Bitcoin đã giúp cơ quan thực thi pháp luật bắt giữ và truy tố nhiều tội phạm. Có
nhiều đồng tiền có xu hướng đến quyền riêng tư hơn, chẳng hạn như Dash, Monero hoặc ZCash, khó
theo dõi hơn nhiều.
Tiền mã hóa dựa vào Khai thác

Những đồng tiền này có một quy trình khai thác mà theo đó các đồng tiền mới được tạo ra bằng
cách giải quyết các thuật toán khó để mở khóa các khối. Chúng tương tự gần nhất với Bitcoin.
Ethereum là altcoin dựa trên khai thác nổi tiếng nhất.

Stablecoins (Tiền mã hóa có giá trị ổn định)
Những đồng tiền này tìm cách cải thiện Bitcoin bằng cách giảm sự biến động. Trên thực tế, sự ổn
định này đạt được bằng cách gắn giá trị của đồng tiền vào các loại tiền tệ hiện có. Các lựa chọn phổ
biến để hậu thuẫn altcoin bao gồm đô la Mỹ, đồng euro và vàng. Libra của Facebook là một
stablecoin nổi tiếng, trong khi USDT được đề cập ở trên là stablecoin đang dẫn đầu.
Không phải tiền mã hóa

Mặc dù về mặt kỹ thuật, Security token (Token chứng khoán) và Utility token (token tiện ích) không
phải là tiền mã hóa, nhưng ta cũng cần nghiên cứu chúng. Security token là phiên bản kỹ thuật số
của chứng khoán tài chính như cổ phiếu và trái phiếu. Chúng được liên kết với một doanh nghiệp và
chúng thường ra mắt trong đợt phát hành tiền ảo lần đầu (ICO). Mã này thường hứa hẹn một số loại
cổ tức như trả tiền hoặc quyền sở hữu trong một doanh nghiệp. Vì những thứ này đều có giá trị,
chúng ta phải cân nhắc điều tra trong quá trình phá án.
Token tiện ích (Utility token) là tài sản kỹ thuật số mà cung cấp yêu cầu về dịch vụ hoặc cung cấp
đảm bảo có thể tiêu thụ một số sản phẩm trong mạng lưới và đôi khi chúng được bán như một phần
của ICO. Utility token không cung cấp quyền sở hữu đối với một phần của công ty.
Filecoin là một ví dụ tuyệt

vời về token tiện ích được
cung cấp trong một ICO.
Filecoins được thiết kế để
có thể trao đổi cho không
gian lưu trữ tệp phi tập
trung. Một lần nữa, từ
góc độ thực thi pháp luật, việc tìm kiếm vị trí lưu trữ trong quá trình điều tra là một hoạt động cơ
bản, vì vậy việc hiểu vai trò của mã thông báo tiện ích giúp Điều tra viên tội phạm tìm hiểu những
nghi vấn chưa được giải đáp.
Điểm khác biệt giữa tiền mã hóa và tiền pháp định

Hầu hết tiền trên thế giới được gọi là tiền fiat (tiền pháp định), có nghĩa là nó được chấp nhận là tiền
vì chính phủ nói rằng nó là tiền hợp pháp và công chúng có đủ niềm tin và sự tự tin vào khả năng của
tiền để đóng vai trò như một phương tiện lưu trữ cho sức mua. Khác với vàng, chúng không có giá trị
nội tại.
Không giống như các loại tiền ở dạng vật chất, chẳng
hạn như Bảng Anh hoặc Đô la Mỹ, tiền mã hóa chủ
yếu tồn tại trong thế giới kỹ thuật số. Bất chấp sự
khác biệt này, tiền mã hóa có thể được chia thành
các đơn vị nhỏ hơn, giống như đồng bảng Anh được
chia thành pence và đô la thành cent. Trong trường
hợp của Bitcoin, đơn vị nhỏ nhất hiện có được gọi là
satoshi, được đặt theo tên của Satoshi Nakamoto và
đại diện cho một trăm phần triệu bitcoin. Những
mệnh giá nhỏ như vậy có thể khiến các giao dịch
bitcoin trở nên cực kỳ tốt, về lý thuyết, bạn có thể trả ít hơn 1 xu.
Tiền mã hóa có thể được sử dụng trong nhiều giao dịch so với một tờ tiền hoặc đồng xu vật lý vì
chúng chỉ có thể tồn tại ở một nơi tại một thời điểm duy nhất. Vì tiền kỹ thuật số không tồn tại trong
không gian vật lý, nên việc sử dụng nó trong giao dịch không xóa nó khỏi quyền sở hữu của ai đó.

Tiền mã hóa ở các nước ASEAN
Theo Chainalysis (một công ty chuyên
phân tích giao dịch blockchain), khu
vực Châu Á Thái Bình Dương có nhu
cầu rất lớn đối với tiền mã hóa. Trong
một nghiên cứu năm 2020 gần đây,
Việt Nam là quốc gia ASEAN dẫn đầu
về sử dụng tiền mã hóa, với
Indonesia, Thái Lan và Malaysia cũng
nằm trong Top 8. Điều thú vị là mặc
dù Việt Nam đứng đầu, nhưng tính
đến tháng 12 năm 2020, Ngân hàng
Nhà nước Việt Nam không coi tiền mã
hóa là phương tiện thanh toán hợp
pháp ở Việt Nam.
Chainalysis còn cho biết thêm rằng tổng cộng 13% tất cả các hoạt động không sử dụng dịch vụ trao
đổi tiền mã hóa được cho là do ‘Dịch vụ bất hợp pháp’, bao gồm lừa đảo trực tuyến, thị trường
Darknet và tiền bị đánh cắp.
Công nghệ chuỗi khối (Blockchain)

Blockchain là công nghệ đằng sau các loại tiền mã hóa như Bitcoin. Bitcoin là token kỹ thuật số và
blockchain là sổ cái theo dõi ai sở hữu token kỹ thuật số. Bạn không thể có Bitcoin mà không có
blockchain, nhưng bạn có thể có blockchain mà không có Bitcoin. Sổ cái chỉ đơn giản là một cơ sở dữ
liệu.
Blockchain là một danh sách các bản ghi liên tục phát triển, chỉ nối thêm, được gọi là các khối, được
liên kết và bảo mật bằng mật mã. Blockchains là phương pháp tổ chức để đảm bảo tính toàn vẹn của
dữ liệu đã giao dịch và là một thành phần thiết yếu của hầu hết các loại tiền mã hóa.
Điều tra viên cần phải hiểu Blockchain hoạt động như thế nào để định hướng cuộc điều tra và phân
tích dữ liệu từ blockchain, đồng thời có khả năng giải thích bằng chứng của mình trước tòa hoặc cho
Điều tra viên khác.
Khi các giao dịch bitcoin diễn ra, chúng được gộp lại với nhau thành các khối mà bạn có thể coi như
một chiếc hộp. Sau khi hộp đầy, nó sẽ được khóa bằng mật mã và gắn vĩnh viễn vào hộp đã khóa
trước đó theo kiểu dây chuyền. Sau khi được đính vào chuỗi, nó không thể được gỡ bỏ hoặc thay
đổi. Mỗi khối có một cấu trúc cụ thể và giữ trung bình khoảng 2000 giao dịch. Blockchain bitcoin có
thể được tải xuống tuy nhiên nó có dung lượng hơn 300GB.
Các loại tiền mã hóa khác nhau sử dụng các blockchain khác nhau. Ví dụ: nếu bạn đang điều tra
Ethereum hoặc Litecoin, bạn cần truy cập vào blockchain mà những đồng tiền đó sử dụng.
Cách đơn giản nhất để truy cập vào một blockchain là sử dụng trình duyệt của bạn và truy cập các
trang web như:
 www.blockexplorer.com
 www.blockchain.com
 www.blockcypher.com

Các trang web này và nhiều trang khác cho phép người dùng khám phá từng blockchain mà họ có
sẵn. Không phải tất cả các trang web đều cung cấp khả năng khám phá tất cả các blockchain. Bạn cần
hiểu rằng các giao dịch Ethereum không xuất hiện trên blockchain của Bitcoin, vì vậy phân tích
blockchain phải dựa trên loại đồng tiền bạn đang điều tra.
Dữ liệu được lưu trữ bên trong một khối phụ thuộc vào loại blockchain. Ví dụ, một Khối Bitcoin chứa
thông tin về Người gửi, Người nhận và số bitcoin sẽ được chuyển. Một khối cũng có một hàm băm
(hash). Hàm băm giống như một dấu vân tay kỹ thuật số là duy nhất cho mỗi khối. Nó xác định một
khối và tất cả nội dung của nó, và nó luôn là duy nhất, giống như một dấu vân tay. Vì vậy, khi một
khối được tạo, bất kỳ thay đổi
nào bên trong khối sẽ khiến
hàm băm thay đổi. Mỗi khối có
dữ liệu, hàm băm của nó và
một hàm băm của khối trước
đó. Kỹ thuật khối chứa hàm
băm của các khối trước đó là
một cách thức giúp cho blockchain trở nên an toàn.
Khóa công khai và khóa bí mật

Các khóa công khai và khóa bí mật tạo thành nền tảng cho mật mã khóa công khai, còn được gọi là
mật mã không đối xứng. Trong mật mã khóa công khai, mỗi khóa công khai chỉ khớp với một khóa bí
mật. Cùng nhau, chúng được sử dụng để mã hóa và giải mã. Nếu bạn mã hóa dữ liệu/văn bản thuần
túy bằng khóa công khai của một người, họ chỉ có thể giải mã bằng khóa bí mật phù hợp của họ.
Ngược lại, mã hóa đối xứng sử dụng cùng một khóa để mã hóa và giải mã. Loại mã hóa này sẽ không
hoạt động đối với tiền mã hóa, vì cùng một khóa để "gửi" đến ví sẽ được sử dụng để "chuyển" từ ví.
Nhiều giao thức Internet như SSH, SSL/TLS dựa trên mật mã không đối xứng để mã hóa và chữ ký số.
Nó cũng được sử dụng trong các chương trình phần mềm, chẳng hạn như trình duyệt, để thiết lập
các kết nối an toàn qua một mạng không an toàn như Internet. Các ứng dụng nổi tiếng khác sử dụng
khóa công khai và bí mật để bảo mật tin nhắn là WhatsApp và Signal.
Khóa công khai và khóa bí mật không thực sự là chìa khóa thật mà là các số nguyên tố rất lớn có liên
quan về mặt toán học với nhau.
Sử dụng một phương trình toán học và một số ngẫu nhiên rất lớn, các khóa sau đã được tạo ra:
Khóa bí mật định dạng Hexadecimal Format (64 kí tự [0-9A-F]):
B4D209348EFBCA16CC19CF0360F742C62E794D3974A7FFF264461496F2FF5EE
Khóa công khai (130 ký tự [0-9A-F]):
0407796BCDF0C7E5A2FD64FAAB452960B2F186B40FECEA890D654237F59A8A686CB28885
BDB40B2A7EE19DBFA9AD135879E1F97618D525BB903C90D4EFF78D06BA
“Có liên quan về mặt toán học” nghĩa là bất kỳ thứ gì được mã hóa bằng khóa công khai chỉ có thể
được giải mã bằng khóa bí mật liên quan.
Có một số thuật toán toán học nổi tiếng được sử dụng để tạo ra các khóa công khai và bí mật. Ví dụ
như RSA, DSS (Tiêu chuẩn Chữ ký Kỹ thuật số) và các kỹ thuật đường cong eliptic khác nhau. Tiền mã
hóa thường sử dụng mật mã đường cong eliptic.

Trong khi cả hai khóa đều quan trọng đối với Điều tra viên tội phạm mạng, việc tìm ra khóa bí mật là
rất quan trọng. Trong trường hợp tiền mã hóa, cách duy nhất để chiếm giữ tiền mã hóa là có quyền
truy cập vào khóa bí mật.
Khóa công khai sẽ xác định có bao nhiêu loại tiền kỹ thuật số được liên kết với khóa công khai đó;
tuy nhiên, tiền kỹ thuật số chỉ có thể được chuyển bằng khóa bí mật.
Vòng giao dịch giữa Amanda và Billy sử dụng mã hóa khóa bí mật và công khai là:
Billy lấy dữ liệu giao dịch bitcoin và khóa nó bằng khóa công khai của Amanda. Billy gửi dữ liệu được
mã hóa đến chuỗi khối dưới dạng một giao dịch. Giờ đây, Amanda là người duy nhất có thể mở khóa
giao dịch đó bằng khóa bí mật bí mật (hoặc duy nhất) của cô ấy được liên kết với khóa công khai
được Billy sử dụng cho giao dịch cụ thể đó.
Các địa chỉ tiền mã hóa

Một khóa bí mật ở định dạng thập lục phân phải được chuyển đổi trước khi nó có thể được sử dụng
trong các loại tiền mã hóa như Bitcoin. Wallet Import Format (WIF) là một cách mã hóa và nén khóa
bí mật. Khi khóa bí mật WIF được nhập vào phần mềm máy trạm, nó luôn tương ứng với chính xác
một địa chỉ BTC. Bất kỳ phần mềm nào thực hiện chuyển đổi đều có thể hiển thị địa chỉ BTC phù hợp,
định dạng này có chức năng tìm lỗi đề phòng trường hợp khóa sai địa chỉ.
Đối với địa chỉ bitcoin, không hề có địa chỉ bí mật nào, chỉ có chìa khóa WIF bí mật.
Khóa bí mật
5KBvPzkNepTM8ynNo5zafoLwYePwpvPHzf2EJF9P9GHgHA7xkKX
Khóa công khai được định dạng thập lục phân được băm và được hiển thị dưới dạng địa chỉ công
khai:
Địa chỉ công khai
15rGFUSo7gXrPdzzMa8CLYBVcqdMeWXUqx
Trên đây là một biểu diễn mã Tham chiếu nhanh (QR) của các khóa. Vì vậy, nói một cách đơn giản,
một địa chỉ Bitcoin chỉ là một khóa công khai. Địa chỉ bitcoin dài 26-35 ký tự, bao gồm các ký tự chữ
và số, và bắt đầu bằng “1”, “3” hoặc “bc1” như sau:
 1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2
 3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy
 bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq
Các điều tra viên tội phạm mạng cần phải tự làm quen với cách hiển thị và lưu trữ các địa chỉ khác
nhau, bởi vì khi tiến hành tìm kiếm, địa chỉ có thể được viết trên một mảnh giấy, ảnh chụp màn hình
hoặc được lưu ở đâu đó..

Ví tiền mã hóa
Ví tiền mã hóa/ví ảo là một chương trình phần mềm, nền tảng trực tuyến hoặc một thiết bị phần
cứng chứa các khóa bạn sử dụng để gửi và nhận các mã thông báo tiền mã hóa blockchain khác
nhau. Theo nghĩa đen, ví lưu trữ các khóa ‘bí mật’ và các khóa ‘công khai’ của bạn. Ví cung cấp một
cách an toàn để giao tiếp với sổ cái tiền mã hóa blockchain. Ví không chứa bất kỳ đồng tiền nào, nó
không gửi hoặc nhận tiền, nó chỉ là tập hợp các cặp khóa bí mật và công khai. Phần mềm này được
sử dụng để tạo các giao dịch trên blockchain.
Một số ví ảo:
 Ví online:
www.coinbase.com
www.blockchain.com (qua trao đổi)
 Ví trên thiết bị di động:

Các ứng dụng cho Android và IOS
 Ví trên máy tính:

https://bitcoin.org/en/choose-your-wallet
 Ví phần cứng:
Ledger, Trezor, Keepkey
 Ví giấy:
Đơn giản là tự viết các mã khóa lên giấy
Ví xác định phân cấp, là loại ví kỹ thuật số mới nhất tự động tạo cấu trúc dạng cây phân cấp của các
địa chỉ bí mật/công khai (hoặc khóa), do đó giúp người dùng đỡ phải tự tạo chúng. Trong mô hình
này, một máy chủ có thể được thiết lập để chỉ biết Mã khóa công khai chính (MPK) của một ví xác
định cụ thể. Điều này cho phép máy chủ tạo đủ khóa công khai để nhận quỹ.
Ví xác định phân cấp hiện đại hỗ trợ khóa bí mật mở rộng (xprv). Xprv là một khóa chính bắt nguồn
từ một hạt giống (seed) và được sử dụng để tạo một chuỗi các khóa bí mật và nhiều địa chỉ. Hạt
giống (seed) là một giá trị 128 bit ngẫu nhiên được trình bày cho người dùng dưới dạng một cụm
khoảng 12 đến 24 từ tiếng Anh thông dụng. Đây được gọi là những từ mật mã dễ nhớ. Cụm từ hạt
giống, cụm từ khôi phục hạt giống hoặc cụm từ hạt giống dự phòng có thể được sử dụng để khôi
phục tiền mã hóa, vì vậy chúng có thể rất hữu ích để xác định vị trí tiền mã hóa trong quá trình điều
tra. Cụm từ khôi phục cho ví phần cứng thường là một danh sách gồm 24 từ. Vì ví phần cứng lưu trữ

các khóa bí mật nên rất dễ bị chiếm đoạt, tuy nhiên, bất kỳ ai có cụm từ khôi phục đều có thể mua
một ví phần cứng khác và sử dụng các cụm từ khôi phục để truy cập tiền.
Sàn giao dịch

Các sàn giao dịch tiền mã hóa cho phép khách hàng giao dịch tiền mã
hóa lấy các tài sản khác, chẳng hạn như tiền pháp định thông thường
hoặc các loại tiền kỹ thuật số khác. Các sàn giao dịch có thể chấp nhận
thanh toán bằng thẻ tín dụng, chuyển khoản ngân hàng hoặc các hình
thức thanh toán khác để đổi lấy tiền kỹ thuật số hoặc tiền mã hóa. Các
sàn giao dịch này, ở nhiều quốc gia, không hoạt động theo các quy định
tài chính của chính phủ.
Các sàn giao dịch có thể gửi tiền mã hóa đến ví tiền mã
hóa cá nhân của người dùng. Một số có thể chuyển đổi số
dư tiền tệ kỹ thuật số thành thẻ trả trước ẩn danh có thể
được sử dụng để rút tiền từ máy ATM.
Những người tạo ra tiền kỹ thuật số thường độc lập với

sàn giao dịch tiền tệ kỹ thuật số tạo điều kiện thuận lợi
cho giao dịch tiền tệ. Khách hàng mua hoặc bán tiền kỹ
thuật số từ các sàn giao dịch tiền kỹ thuật số và sàn giao
dịch sẽ chuyển tiền kỹ thuật số vào hoặc ra khỏi tài khoản
của khách hàng.
Nhiều sàn giao dịch tiền kỹ thuật số là chỉ hoạt động kinh doanh trực tuyến và thường là đối tượng
của các cuộc tấn công mạng nhằm đánh cắp khóa bí mật. Vào tháng 2 năm 2014, sàn giao dịch có trụ
sở tại Nhật Bản, Mt Gox, là sàn giao dịch lớn đầu tiên “mất” một lượng đáng kể tiền mã hóa của
khách hàng.
Các sàn giao dịch thường được mô tả là các làn 'vào' và 'ra' trên đường cao tốc tiền mã hóa, do đó,
chúng mang lại cơ hội đáng kể cho Điều tra viên tội phạm mạng thực hiện điều tra tự như đối với
ngân hàng hoặc tổ chức tài chính.
Nghiên cứu thêm

Các trang web sau có thể được sử dụng để nghiên cứu thêm về tiền mã hóa, bao gồm tìm kiếm giao
dịch, thông tin ví, giá thị trường và phân tích blockchain:
www.e-cryptonews.com www.walletexplorer.com www.chainalysis.com
www.99bitcoins.com www.bitcoinblockhalf.com www.bitinfocharts.com
www.bitcoin.org www.electrum.org www.coin360.com

Học phần 8: Mạng ẩn (Dark Web)
Học phần này đề cập đến kiến thức cơ bản liên quan đến mạng ẩn (dark web), trước hết bằng cách
hiểu nó khác với Internet bình thường mà bạn sử dụng hàng ngày như thế nào, tức là Surface Web
(Web nổi). Các khái niệm chính khác được đề cập sẽ là Trình duyệt Tor và ‘Onion Routing’, ẩn danh
trực tuyến và giới thiệu cấp thấp về các dịch vụ ẩn và thị trường chợ đen. Điều tra viên cần nhận
thức được cách tội phạm sử dụng web ẩn để thực hiện các hoạt động tội phạm, đồng thời biết rõ
những khó khăn mà cơ quan thực thi pháp luật phải đối mặt khi điều tra ở nơi tối tăm nhất của
Internet..
Surface, Deep & Dark Web

Đầu tiên, bạn phải hiểu mạng ẩn (dark web) khác với mạng nổi (Surface Web) như thế nào, là mạng
Internet mà tất cả chúng ta đều quen thuộc và sử dụng hàng ngày.
Surface Web (web nổi)

Khu vực của World Wide Web (WWW) dành cho công chúng, cũng như
có thể tìm kiếm được bằng các công cụ tìm kiếm web tiêu chuẩn, được
gọi là ‘Surface Web’ (web nổi). Việc lập chỉ mục của WWW là trung tâm
của các công cụ tìm kiếm. Web nổi là mọi thứ bạn sử dụng trên Internet
hàng ngày. Đó là những thứ như Google, YouTube, Facebook, v.v. Mọi
thứ bạn có thể truy cập trực tiếp thông qua một liên kết sẽ được coi là
Surface Web.
Deep Web (web chìm)

Thuật ngữ ‘Deep Web’ thường mô tả nội dung không thể được truy cập
thông qua các công cụ tìm kiếm thông thường như Google, trong đó
các trang web và nội dung này chưa được lập chỉ mục. Người ta ước
tính web chìm chứa khoảng 96% toàn bộ nội dung của World Wide
Web (bao gồm cả ‘Dark Web’ khét tiếng). Nó bao gồm các trang web
của Chính phủ, cơ sở dữ liệu học thuật, hồ sơ tài chính, tài liệu pháp lý,
hồ sơ y tế, thông tin dựa trên đăng ký và danh sách tiếp tục. Thông thường, việc truy cập thông tin
yêu cầu đăng nhập tên người dùng và mật khẩu sẽ là một phần của web chìm, vì công cụ tìm kiếm
không thể truy cập nội dung này.
Deep web là một phần của Internet chứa những thứ riêng tư như email, tài khoản Dropbox, tin nhắn
Facebook, v.v. Về cơ bản, bất kỳ thứ gì có bảo mật hoặc cần xác thực nhất định để truy cập sẽ được
coi là một phần của Deep web. Như bạn có thể tưởng tượng, loại thông tin này sẽ chiếm phần lớn
Internet, vì không phải mọi thứ đều có thể truy cập công khai, tức là ẩn sau một số hình thức bảo
mật trên Internet. Lý do chính đáng cho Deep Web là bạn không muốn thông tin chi tiết cá nhân của
mình (chủ lao động nắm giữ) hoặc chi tiết tài khoản ngân hàng (ngân hàng của bạn nắm giữ) bị công
khai. Thông tin này cần được bảo mật.
Dark Web (mạng ẩn)

‘Dark Web’ là một phần của World Wide Web, và còn được gọi là web vô hình hay web ẩn. Nó là một
tập hợp các trang web tồn tại trên một mạng được mã hóa (Darknet) và có thể được truy cập thông
qua việc sử dụng phần mềm như Trình duyệt The Onion Router (Tor). Để truy cập phần này của

Internet, bạn cần có các công cụ/phần mềm đặc biệt, vì trong đó bạn không thể chỉ truy cập nội dung
dark web bằng máy tính bằng các trình duyệt web thông thường như Google Chrome hoặc Microsoft
Edge. Các trang dark web đều chặn các công ty hợp pháp khỏi việc lập chỉ mục các trang của họ để
tăng tính bảo mật của các hoạt động diễn ra trên chúng.
Dark web chứa những thứ đã được cố tình che giấu. Đó là nơi để ghé thăm các chợ đen trực tuyến,
mua vũ khí trái phép và ma tuý, chia sẻ/buôn bán tài liệu bóc lột trẻ em, thực hiện rửa tiền, thuê tin
tặc và thực hiện nhiều hoạt động bất chính khác. Người dùng truy cập các 'Dịch vụ ẩn' này thông qua
các URL với hậu tố '.onion' thay vì .com, .org, .net, v.v. Vì vậy, mặc dù dark web thực sự là một phần
của deep web, chúng ta giờ đây cần phân biệt chúng là hai thứ riêng biệt.
Mạng ẩn (Darknet)
Thuật ngữ ‘Darknet’ thường được sử dụng thay thế cho ‘dark web’. Như chúng ta đã thấy, dark web
là một tập hợp các trang web tồn tại trên một mạng được mã hóa, là Darknet. Trình duyệt Tor được
sử dụng để truy cập dark web, tuy nhiên có sẵn các công cụ / phần mềm và trình duyệt khác sử dụng
mạng được mã hóa Darknet.
Chúng ta sẽ không tìm hiểu thêm các phần khác của Darknet trong khóa học này, tuy nhiên bạn cần
phải biết về các trình duyệt và phần mềm khác sử dụng cơ sở hạ tầng Darknet như Freenet, Tor,
GNUnet, I2P, anoNet, OneSwarm và RetroShare.
Bạn cần gì để truy cập vào Dark web?

Để truy cập Surface Web, tất cả những gì bạn cần là một máy tính và một trình duyệt web (tức là
Chrome, Firefox, Edge), điều này rõ ràng là không có gì đặc biệt. Truy cập nội dung Deep Web thực
ra là quá trình giống như Surface Web, tuy nhiên, tất cả những gì bạn cần thêm vào chỉ là mật khẩu
hoặc xác thực để truy cập vào các liên kết riêng tư đó.
Dark weeb thì hơi khác một chút. Đầu tiên, bạn vẫn cần một máy tính để truy cập nó, tuy nhiên thay
vì sử dụng trình duyệt web thông thường, bạn yêu cầu một thứ gọi là trình duyệt web Tor. Hơn nữa,
nếu bạn muốn mua bất kỳ thứ gì trên dark web, bạn sẽ cần biết cách sử dụng tiền mã hóa (ví dụ:
Bitcoin, Ethereum, Ripple, v.v.) và cách mua hàng ẩn danh. Ngoài ra, nếu bạn muốn an toàn nhất có
thể, bạn có thể sử dụng bản phân phối Linux di động
(hoặc hệ điều hành) được gọi là 'Tails'.
Tóm tắt các thành phần cơ bản để truy cập dark web:
 1 x Tor - miễn phí và dễ dàng có sẵn

 1 x địa chỉ định tuyến Onion - không được lập chỉ
mục bởi Google
 Tiền tệ - thường là tiền mã hóa, ví dụ: Bitcoin
Tính ẩn danh trên Internet

Ẩn danh là sự kết hợp của (i) không được xác định, và (ii) không được liên kết với một hành động cụ
thể. Trong hầu hết các trường hợp, lý do tại sao mọi người muốn ẩn danh trực tuyến bao gồm
những lý do sau:
 Quyền riêng tư và tự do ngôn luận;

 Tránh bị định vị, tức là chặn địa chỉ IP của họ hoặc che giấu vị trí địa lý; và
 Che giấu các hoạt động tội phạm hoặc hành vi bất chính.

Bạn không bao giờ có thể đảm bảo 100% ẩn danh khi ở trên Internet. Một phần thông tin có thể
không nhận dạng được bạn, nhưng nó có thể được liên kết với thông tin tương tự khác có thể được
sử dụng để rút ra các suy luận về danh tính của một người. Tuy nhiên, các dịch vụ ẩn danh như Mạng
riêng ảo (VPN), cùng với việc sử dụng mạng được mã hóa (Darknet), sẽ làm tăng đáng kể sự riêng tư
và bảo mật trực tuyến của bạn.
Tìm hiểu sâu hơn về Mạng riêng ảo (VPN)

VPN cung cấp giao tiếp an toàn qua một mạng không
an toàn như Internet, nơi lưu lượng truy cập trực
tuyến được gói gọn trong một đường hầm được mã
hóa. Đây là một giải pháp hiệu quả với chi phí thấp để
cung cấp các lợi ích ẩn danh của dịch vụ proxy cũng
như tính bảo mật. Hầu hết các dịch vụ VPN không có
chính sách ghi nhật ký để bảo vệ tính bảo mật và danh
tính của khách hàng.
Nếu không sử dụng VPN, bất kỳ dữ liệu nào bạn truyền

hoặc yêu cầu nhận, ở cả dạng không được mã hóa và
con người đọc được, cộng với địa chỉ IP của bạn cũng
sẽ bị lộ. Khi sử dụng VPN, dữ liệu của bạn được mã hóa
và không thể đọc được, đồng thời địa chỉ IP của bạn được ẩn cũng như vị trí của bạn được thay đổi.
Từ góc độ thực thi pháp luật, nghi phạm có thể sử dụng dịch vụ VPN để (i) che giấu hoạt động của
mình khỏi sự giám sát của cơ quan thực thi pháp luật đối với các dịch vụ từ xa, (ii) che giấu hoạt
động của mình khỏi sự giám sát của cơ quan thực thi pháp luật đối với kết nối Internet cục bộ và (iii)
che giấu nội dung mình truyền khỏi kẻ khác ví dụ tin tặc/kẻ tấn công khác. Có rất nhiều VPN có sẵn,
bao gồm cả miễn phí và phải đăng ký. Một số VPN phổ biến trên thị trường là ExpressVPN, NordVPN,
PIA, Tunnelbear, CyberGhost, Surfshark và ProtonVPN.
Một phương pháp ẩn danh khác cần lưu ý là 'fast flux'. Fast flux (thông lượng nhanh) là một kỹ thuật
DNS được bot sử dụng để ẩn phần mềm độc hại hoặc các trang web lừa đảo hoặc để khiến chúng
khó tắt hơn. Các trang web phân phối này nằm sau một mạng lưới liên tục thay đổi gồm các máy chủ
bị xâm nhập hoạt động như proxy. Vì nó sử dụng DNS, một mạng Fast flux có thể nhanh chóng xoay
vòng qua một số bot khiến việc kiểm tra IP trở nên khó khăn do các máy chủ bị xâm nhập chỉ được
sử dụng trong một thời gian ngắn.
Trình duyệt Tor

Mặc dù trình duyệt Tor chưa được tạo ra hoàn chỉnh cho đến đầu những
năm 2000, nhưng ý tưởng về ‘Hành trình định tuyến’ đã được tạo ra bởi
Phòng thí nghiệm Nghiên cứu Hải quân Hoa Kỳ vào giữa những năm 1990.
Họ đã tạo ra ý tưởng về phân tuyến kiểu củ hành (Onion routing) để có thể
gửi thông tin liên lạc qua Internet một cách an toàn mà mọi người không thể chặn hoặc không biết ai
gửi và nơi gửi thông tin.
Ý tưởng Onion routing này được phát triển hơn nữa, khi bản đầu tiên của Tor được phát hành vào
ngày 22 tháng 9 năm 2002. Ngày 13 tháng 8 năm 2004, mã Tor được phát hành theo giấy phép miễn
phí, và sau đó vào năm 2006, Dự án Tor phi lợi nhuận chính thức được thành lập, chính là Tor mà

chúng ta biết và sử dụng ngày nay. Kể từ khi phát hành Dự án Tor, một số bản cập nhật cho trình
duyệt web Tor đã được phát hành.
Như đã đề cập trước đây, Tor là một trình duyệt ẩn danh mở ra nhiều khả năng. Nếu bạn sử dụng
trình duyệt Tor cùng với VPN, sự kết hợp này giúp bảo vệ quyền riêng tư trực tuyến của bạn cực kỳ
tốt. Trình duyệt Tor có sẵn tại www.torproject.com. Có các lựa chọn khác để truy cập nội dung trên
Dark web, tuy nhiên trình duyệt Tor là một trong những trình duyệt được sử dụng phổ biến nhất.
Khi chạy phần mềm trình duyệt web

Tor, người dùng thường sẽ thấy
màn hình ‘Trang chủ trình duyệt
Tor’ tương tự như hình ảnh hiển thị,
tùy thuộc vào phiên bản trình duyệt
Tor đang được sử dụng.
Tor là một phiên bản sửa đổi của

Mozilla Firefox được thiết kế đặc
biệt để sử dụng với Tor, do đó giao
diện và các điều khiển có thể trông
quen thuộc nếu bạn có kinh nghiệm
sử dụng trình duyệt web Firefox.
Theo mặc định, DuckDuckGo là công

cụ tìm kiếm mặc định được tích hợp
trong Gói trình duyệt Tor.
Cách Tor và Onion Routing hoạt động

Trình duyệt Tor cung cấp cho người dùng khả năng ẩn danh nhiều hơn bằng cách hướng dẫn lưu
lượng dữ liệu của họ thông qua các máy chủ khác nhau được đặt trên toàn thế giới. Điều này đảm
bảo địa chỉ IP của bạn thay đổi ở mọi máy chủ (hoặc node), khiến các trang web ngày càng khó truy
tìm lại nguồn gốc lưu lượng dữ liệu của bạn.
Trình duyệt Tor sử dụng mạng máy chủ rộng lớn trên toàn thế giới mà mạng Tor tạo nên. Như đã đề
cập trước đây, khi sử dụng trình duyệt, dữ liệu của bạn được chuyển tiếp qua các máy chủ Tor khác
nhau được gọi là các node, được điều hành bởi các tình nguyện viên. Khi người dùng gửi yêu cầu,
lưu lượng truy cập được mã hóa rất nhiều và từ từ được giải mã từng lớp một (tức là giống như một
củ hành) tại các node khác nhau cho đến khi nó đến máy chủ đích. Điều này có nghĩa là bất kỳ ai
đang cố gắng xác định bạn dựa trên lưu lượng truy cập trực tuyến của bạn sẽ chỉ thấy được máy chủ
cuối cùng mà lưu lượng dữ liệu của bạn đi qua, là node thoát (hoặc chuyển tiếp). Nói cách khác, trình
duyệt Tor gây khó khăn cho việc xác định người dùng khi sử dụng mạng Tor.

Ví dụ như trong sơ đồ trên, một người dùng chạy phần mềm trình duyệt Tor trên máy tính của họ và
vào mạng Tor thông qua node nhập / bảo vệ. Sau đó, yêu cầu được mã hóa được chuyển tiếp qua
mạng Tor (được gọi là 'mạch chuyển tiếp'), nơi nó được giải mã từng lớp một cho đến khi nó đến
node thoát. Sau đó, yêu cầu được giải mã hoàn toàn sẽ truy cập vào máy chủ đích để truy cập dữ
liệu mong muốn.
Đây là một cái nhìn tổng quan rất đơn giản về cách hoạt động của Tor. Phân tích sâu hơn về mạng
Tor, các node thoát, mã hóa / giải mã, v.v., sẽ được đề cập trong Chương trình Đào tạo công nghệ
cao Cấp 2 của CSA.
Dịch vụ ẩn
Thuật ngữ Dịch vụ ẩn (Hiden Service) là các dịch vụ được tìm thấy trên dark web bị ẩn vì chúng
không theo dõi địa chỉ IP của người dùng, cũng như không phát địa chỉ IP của chính nó. Dịch vụ ẩn
Tor là các trang nằm trong chính mạng Tor, cho phép người dùng xuất bản các trang web và các dịch
vụ khác mà không cần tiết lộ vị trí của trang. Các dịch vụ ẩn Tor thường được gắn nhãn địa chỉ web
gồm 16 ký tự với hậu tố là “.onion”.
Trong hầu hết các trường hợp, không có phương tiện sẵn có nào để xác định nơi các trang web /
dịch vụ này được lưu trữ trên thực tế. Tuy nhiên, cần phải lưu ý rằng, hầu hết những thiệt hại thực
sự xảy ra trong thế giới ngầm trực tuyến đều được thực hiện trên các diễn đàn hacker nói tiếng Nga
cấp cao, nhiều diễn đàn chưa từng sử dụng các trang của Onion.
Wiki ẩn
Wiki ẩn là một trang dark web nổi tiếng trong đó
có danh sách các trang web được biết đến / phổ
biến.
Thoạt nhìn, nó trông rất giống với Wikipedia, tuy

nhiên, trên Wiki ẩn, bạn tìm thấy các liên kết đến
các trang dark web đã được nhóm thành các danh
mục khác nhau. Điều này giúp mọi người định
hướng trong Dark web dễ dàng hơn.

Con đường tơ lụa (Silk Road)
Ra mắt vào tháng 2 năm 2011, Silk Road
được vận hành như một dịch vụ ẩn Tor
cho đến khi nó bị Cục Điều tra Liên bang
(FBI) đóng cửa vào tháng 10 năm 2013.
Có một số thị trường khác hoạt động trong

thời kỳ này, tuy nhiên Silk Road vẫn là thị
trường dark web nổi tiếng nhất do (i) mức
độ phổ biến và tác dụng của nó vào thời
điểm đó, và (ii) nó liên tục được nhắc đến
trong các phương tiện truyền thông. Con
đường tơ lụa đã mở đường cho bọn tội
phạm sử dụng tiền mã hóa (vừa được ra
mắt 10 năm trước) để mua ma tuý bất hợp pháp, vũ khí và các hàng hoá bất chính khác với sự ẩn
danh và thuận lợi.
Hầu như hàng ngày, các dịch vụ ẩn bị đóng cửa hoặc được mô
tả chính xác hơn là 'bị tịch thu'. Các cơ quan như FBI, Interpol
và Europol, và một số cơ quan khác đang liên tục tiến hành
các cuộc điều tra chung để theo dõi, đấu tranh và triệt phá
các dịch vụ ẩn bất chính.
Việc truy cập một dịch vụ ẩn thông qua địa chỉ web .onion chỉ
để tìm thấy thông báo “Trang web ẩn này đã bị thu giữ” là rất
phổ biến. (Như hình bên trái)
Các thị trường và dịch vụ ẩn khác

Các thị trường dịch vụ ẩn phổ biến đã bị thu giữ trong những năm gần đây bao gồm Silk Road 2.0 /
3.0, Black Market Reloaded, Sheep Marketplace, AlphaBay và Hansa. Một số thị trường thậm chí
không tồn tại được 12 tháng trước khi bị tịch thu.
Tại thời điểm viết bài, các thị trường thống trị có thể truy cập trên Dark Web bao gồm Dream
Market, Deep Sea Market, Empire Market, Dark0de Reborn, Hydra, Versus, and Cannazon.
Tại sao tội phạm sử dụng thị trường Dark Web và Darknet
Như đã nói trong học phần này, cộng đồng tội
phạm đã xác định dark web mang lại lợi ích đặc
biệt, vì phương pháp giao tiếp trong khi ẩn thông
tin đăng nhập khiến việc trốn tránh cơ quan thực
thi pháp luật và ẩn danh dễ dàng hơn.
Có rất nhiều lý do khiến bọn tội phạm sử dụng

thị trường trên Dark Web và Darknet cho các
mục đích bất hợp pháp. Như chúng ta đã biết,
dark web cho phép mua thuốc phiện / chất gây
nghiện, tuy nhiên dark web cũng thường được
sử dụng cho các hoạt động sau:

 Mua súng và vũ khí bất hợp pháp
 Lập kế hoạch và thực hiện các hành động khủng bố
 Sử dụng các dịch vụ hack để lấy thông tin chi tiết tài chính, cung cấp thông tin đăng nhập
giả, ăn cắp tiền, v.v.
 Phân phối / chia sẻ tài liệu lạm dụng trẻ em và các dịch vụ tình dục
 Mua kim loại quý và hóa chất
 Buôn lậu
 Dịch vụ rửa tiền và trộn tiền mã hóa
 Dịch vụ thuê giết người hoặc sát thủ
Như được trình bày trong Học phần 7, Bitcoin thống trị thị trường tiền mã hóa và cho đến nay vẫn là
phương thức thanh toán chính được sử dụng trên các thị trường dark web. Điều này làm cho nó trở
thành một trong những công cụ và khái niệm quan trọng nhất cần nắm rõ khi tìm hiểu về dark web,
cũng như tiền mã hóa nói chung.

Học phần 9: Các cân nhắc và khái niệm điều tra

Có một số cân nhắc và khái niệm mà Điều tra viên phải tính đến trong suốt quá trình điều tra. Học
phần này nghiên cứu sâu về các thành phần chính của quá trình điều tra, cũng như tầm quan trọng
của việc hiểu các kiến thức cơ bản và nguyên tắc của tất cả những thứ liên quan đến chứng cứ điện
tử.
Các học phần từ 1 đến 8 đã cung cấp một loạt các khái niệm kỹ thuật để xem xét, giờ là lúc tổng hợp
lại kiến thức cơ bản này nhằm rút ra cách tốt nhất để thực hiện các cuộc điều tra liên quan đến tội
phạm mạng. Chúng tôi sẽ sử dụng các ví dụ khác nhau để giúp giải thích các nội hàm của một cuộc
điều tra.
Tư duy điều tra

Trước khi bắt đầu, chúng ta hãy xem qua điều gì tạo nên một Điều tra viên giỏi:
 Một Điều tra viên giỏi là người tận tụy, ham học hỏi một cách tự nhiên và liên tục tham gia
vào quá trình học tập cá nhân và tổ chức;
 Họ áp dụng tư duy phản biện và đổi mới trong việc phát triển các chiến lược điều tra có khả
năng ứng dụng trong thực tế.
 Một Điều tra viên giỏi là một nhà lãnh đạo có trách nhiệm và một nhà giao tiếp xuất sắc,
người luôn đặt câu hỏi với sự tôn trọng.
 Họ xác định và sử dụng tất cả các nguồn lực sẵn có bao gồm cả kiến thức chuyên môn.
 Một Điều tra viên giỏi là người ngoan cường, hợp tác, can đảm và không ngừng tìm kiếm sự
thật mà vẫn linh hoạt.
 Họ luôn tuân thủ các luật liên quan, sự quản lý và các kỹ thuật điều tra.
 Một Điều tra viên giỏi là một người chấp nhận rủi ro có tính toán, người chịu trách nhiệm về
các hành động của họ và những quyết định của họ là hợp lý, tương xứng và cần thiết.
Điều tra là gì?

Điều tra là một cuộc tìm kiếm sự thật hoặc các chân lý (những điều đã biết hoặc được chứng minh là
đúng). Nó là một cuộc tìm kiếm câu trả lời cho các câu hỏi: ai, cái gì, khi nào, ở đâu, như thế nào và
tại sao. Tuy nhiên, nó phức tạp hơn thế nhiều.
Một cuộc điều tra có thể là một cuộc điều tra phản ứng (khi tội phạm và thiệt hại đã xảy ra, chẳng
hạn như trong một vụ giết người) hoặc một cuộc điều tra chủ động (khi một hành vi phạm tội đã bắt
đầu, nhưng tác hại chưa xảy ra như trong một vụ khủng bố chủ động hoặc có tổ chức điều tra tội
phạm). Các loại điều tra này có những điểm giống và khác nhau về cách quản lý.
Có nhiều khía cạnh đối với cuộc điều tra mà chúng ta có thể xem xét ngắn gọn, và một số khía cạnh
này là chung cho tất cả các cuộc điều tra, trong khi những khía cạnh khác khác nhau tùy theo loại
điều tra (mục đích của nó là gì, ai đang tiến hành và nơi nó diễn ra).
Ví dụ: trong một cuộc điều tra tội phạm ở Úc, mục đích 'thông thường' (chúng ta sẽ thảo luận thêm
về điều này sau, vì có thể có một số mục đích) là thu thập tất cả bằng chứng có liên quan và có thể

chấp nhận được liên quan đến một tội phạm cụ thể, nhằm giúp tòa án xác định các sự thật theo 'quy
định của pháp luật'. Mỗi tội phạm có một số yếu tố hoặc ‘bằng chứng’ cần được chứng minh với một
mức độ tin cậy nhất định, mà ở Úc được gọi là ‘vượt qua mức nghi ngờ hợp lý’ trong một vụ án hình
sự. Đối với loại điều tra tội phạm này, nhiều luật được áp dụng liên quan đến khả năng tiếp nhận
bằng chứng để duy trì 'pháp quyền' - đó là nguyên tắc mà tất cả mọi người và các tổ chức phải tuân
theo và chịu trách nhiệm trước cùng một luật được áp dụng và thực thi một cách công bằng. .
Vì vậy, ở Úc, nhiều luật liên quan đến chứng cứ

được áp dụng trong các vụ án hình sự, chẳng hạn
như Đạo luật Chứng cứ 1995 (Cth) áp dụng cho tất
cả các vụ án hình sự của Khối thịnh vượng chung.
Đạo luật này có nhiều phần xác định 'các quy tắc
về bằng chứng' (phải làm gì để bằng chứng được
chấp nhận) đối với các vấn đề hình sự của Khối
thịnh vượng chung, nhưng mục 138 đặc biệt quan
trọng vì nó quy định rằng tòa án có thể loại trừ
bằng chứng thu thập được một cách không chính
đáng hoặc không công bằng, ngay cả khi nó có thể
được chấp nhận và có liên quan. Ví dụ, nếu một
người thú nhận tội ác trong khi bị hành hung, lời
thú nhận có thể sẽ bị loại trừ khỏi bằng chứng.
Tuy nhiên, như đã nói, các quy tắc về bằng chứng

khác nhau tùy theo các điều tra cụ thể, mục đích
và thẩm quyền của nó.
Thẩm quyền (kết hợp từ 'luật pháp' trong tiếng Latinh + từ 'tuyên bố') là thẩm quyền thực tế được
cấp cho cơ quan pháp lý để giám sát công lý, như được định nghĩa theo loại vụ việc và vị trí của vấn
đề (vị trí của nó).
Nói chung, hậu quả của kết quả điều tra càng nghiêm trọng thì các quy tắc về chứng cứ càng trở nên
phức tạp. Tuy nhiên, không phải luôn luôn là như vậy.
Ngược lại với một vụ án hình sự, nếu Cơ quan Tình báo từ một quốc gia cụ thể đang cố gắng tìm ra ai
đang theo dõi đất nước của họ, thì họ sẽ hoạt động theo những luật rất khác. Các hoạt động thu
thập thông tin của họ sẽ không quan tâm đến việc họ đã thu thập thông tin một cách công bằng hoặc
hợp pháp như thế nào, vì điều này không cần phải được chấp nhận tại một tòa án hình sự, nhưng nó
vẫn phải chính xác và họ sẽ vẫn tìm kiếm những gì mà tất cả các Điều tra viên tìm kiếm: ai , cái gì, khi
nào, ở đâu, như thế nào và tại sao…
Quy trình điều tra

Quy trình điều tra có thể được coi là mô hình năm giai đoạn: lập kế hoạch - thu thập - phân tích /
xem xét - giải quyết - xử lý sau (mặc dù một số mô hình điều tra xem thu thập và xem xét / phân tích
là giai đoạn 'điều tra', vì vậy có bốn giai đoạn).
Đây là một quá trình liên tục và vòng tròn thay vì tuyến tính. Có nghĩa là, khi việc lập kế hoạch đã
được thực hiện và các hành động đã bắt đầu để thu thập thông tin, sau khi nó được phân tích và
xem xét, thì việc lập kế hoạch, thu thập và phân tích / xem xét nhiều hơn có thể xảy ra trước khi vụ

việc chuyển sang giai đoạn giải quyết. Ngay cả khi một giải pháp đã được thực hiện, điều này có thể
dẫn đến việc xác định các con đường tìm hiểu và điều tra khác cần được thực hiện, trước khi chuyển
sang giai đoạn xử lý sau.
Các giải pháp có thể bao gồm các sự kiện như nghi phạm bị bắt và hỏi cung, thu giữ các công cụ
phạm tội (chẳng hạn như máy tính trong tội phạm mạng) hoặc tiền do phạm tội mà có (chẳng hạn
như tiền hoặc tài sản khác) hoặc kết thúc một chiến dịch có kiểm soát. Các tùy chọn giải pháp sau
bao gồm tóm tắt về việc thu thập và nộp chứng cứ cũng như các hành động truy tố, nhưng những
điều này không phải lúc nào cũng xảy ra. Ngay cả khi việc truy tố xảy ra, điều này không nhất thiết có
nghĩa là kết thúc một vụ án.
Điều quan trọng đối với các Điều tra viên giỏi là phải luôn giữ đầu óc cởi mở, và đừng bao giờ nghĩ
rằng mình đã có tất cả các câu trả lời. Tất cả các hành động và quyết định được đưa ra cần phải
được đặt câu hỏi và xem xét lại, vì các cuộc điều tra và kết quả có thể rất chủ quan và sai lệch một
cách vô thức (hoặc có ý thức).
Thông tin, Tình báo hay Bằng chứng?

Ở giai đoạn này, điều quan trọng là phải nhận ra rằng, trong khi chúng ta thu thập thông tin, trên
thực tế, thuật ngữ 'thông tin' này là sự kết hợp cả thông tin tình báo và bằng chứng..
Thông tin có thể được định nghĩa là một tập hợp dữ liệu ở
dạng dễ hiểu có khả năng giao tiếp..
Thông tin tình báo là thông tin có giá trị cao hơn và có thể
được sử dụng cho một mục đích, chẳng hạn như cung cấp
thông tin chi tiết hoặc ảnh hưởng đến việc ra quyết định..
Bằng chứng là thông tin có liên quan và được chấp nhận

trong quá trình tố tụng tại tòa án và có khả năng chứng minh
hoặc bác bỏ "sự thật đang được đề cập".
Sự thật là một cái gì đó đã được biết đến hoặc được chứng

minh là đúng.
"Sự thật trong vấn đề" là một điều gì đó được thẩm vấn trong một phiên tòa (có thể là một "câu hỏi
về sự thật" hoặc "câu hỏi về luật").
Mục đích của cuộc điều tra

Trong một cuộc điều tra, mục đích tổng thể là xác lập sự thật/chân lý. Tuy nhiên, có thể có các yếu tố
khác cần được xem xét. Ví dụ, trong trường hợp cảnh sát điều tra, mục đích điều tra ‘thông thường’
là thu thập tất cả các bằng chứng có liên quan và có thể chấp nhận được, vì vai trò chính của cảnh
sát là: (i) đảm bảo sự bình yên, và (ii) giữ an toàn cho mọi người và mọi thứ. Trong quá trình điều tra
của cảnh sát, có thể phải đưa ra các quyết định theo đó, sự an toàn của người và vật được coi là
quan trọng hơn việc thu thập bằng chứng tốt nhất. Các quyết định như vậy phải được đưa ra dựa
trên đánh giá rủi ro toàn diện, còn được gọi là “rủi ro so với kết quả” - trong đó rủi ro là sự kết hợp
của khả năng xảy ra một sự kiện và hậu quả của sự kiện đó.

Như đã thảo luận, một cuộc điều tra luôn
cố gắng xác định 'ai, cái gì, khi nào, ở đâu,
như thế nào và tại sao' nhưng 'mục tiêu'
của nó thay đổi tùy theo loại điều tra, ai
đang tiến hành và thẩm quyền của nó..
Trong điều tra tội phạm, mục tiêu của

chúng ta bao gồm phòng ngừa, phát hiện,
ngăn chặn, đấu tranh, triệt xóa hoặc truy
tố' - với việc truy tố hình sự thành công
không phải lúc nào cũng là kết quả tối ưu,
vì an toàn luôn là yếu tố chúng ta cần ưu
tiên hàng đầu. Có thể có xung đột giữa
mục tiêu giữ an toàn cho mọi người và việc tìm kiếm bằng chứng có thể được chấp nhận, đặc biệt là
trong các trường hợp chủ động mà hành vi phạm tội gây hại chưa được thực hiện. Ví dụ, trong các
vụ khủng bố hoặc tội phạm dựa trên nạn nhân - chẳng hạn như lạm dụng trẻ em trực tuyến - đôi khi
có thể cần phải can thiệp sớm trong giai đoạn điều tra để ngăn chặn tội phạm tiềm ẩn. Khi chỉ có
thông tin và thông tin tình báo, thay vì đủ bằng chứng để thiết lập tất cả các yếu tố của một tội phạm
cụ thể, điều này là để ngăn chặn tổn hại thêm cho nạn nhân hoặc nạn nhân tiềm năng.
Ngoài ra, vì nhiều tội phạm được thúc đẩy bởi lợi nhuận, mục đích của một cuộc điều tra có thể là
triệt phá hoặc cản trở tổ chức tội phạm bằng cách đóng băng tài sản của chúng và nộp đơn ra tòa án
dân sự để tịch thu, thay vì truy tố hình sự. Ở Úc và các khu vực pháp lý khác của Khối thịnh vượng
chung, một trường hợp như vậy sẽ yêu cầu ít bằng chứng hơn một vụ án hình sự, vì quyết định của
tòa án trong các vụ án dân sự được xác định trên một mức độ hoặc tiêu chuẩn chứng minh được gọi
là 'cân bằng xác suất' (nhiều khả năng hơn là không ~ trên 50 %) so với tiêu chuẩn chứng minh của
vụ án hình sự ('vượt qua mức nghi ngờ hợp lý' ~ gần 100%).
Lập kế hoạch điều tra

Lập kế hoạch là phần bị đánh giá thấp trong các cuộc điều tra, nhưng chỉ có giá trị khi nỗ lực đáng kể
được thực hiện thay vì chỉ tuân theo một quy trình. Thường thì Điều tra viên chỉ lặp lại những việc cũ
mà không nghĩ đến các chi tiết cụ thể của cuộc điều tra cụ thể và những gì có thể được thực hiện
bằng cách khác trong một vụ án để có được thông tin/bằng chứng tốt nhất và hiệu quả nhất.
Các cân nhắc để lập kế hoạch bao gồm: mục tiêu và phạm vi điều tra; Luật pháp cho phép; sự an
toàn; tác động đến cộng đồng; chỉ huy và kiểm soát; rủi ro; tác động đến nạn nhân; các đối tác điều
tra (trong nước và quốc tế); chi phí và thời gian; sử dụng chuyên môn của chuyên gia; cấu trúc điều
tra được sử dụng; Báo cáo; các mốc thời gian; tiền do phạm tội mà có; phương tiện truyền thông;
tiết lộ; quản lý thông tin v.v.
Trong AFP, chúng tôi sử dụng Kế hoạch điều tra được định dạng trước, cung cấp các lĩnh vực cần cân
nhắc trong việc lập kế hoạch, và tất cả các điểm không phải là "đánh dấu và lướt qua" mà thực sự
xem xét chúng ta đang theo đuổi điều gì và làm cách nào để đạt được nó một cách hiệu quả nhất.
Theo Kế hoạch điều tra của AFP, việc lập kế hoạch bắt đầu bằng một bản tóm tắt nhanh về tình hình.
Sau đó, các thực thể quan tâm hoặc nghi ngờ được liệt kê. Sau đó, các hành vi phạm tội có thể xảy ra
và tiếp theo là tuyên bố nhiệm vụ điều tra. Ví dụ: một tuyên bố nhiệm vụ điều tra có thể được viết
là: Để xác định và thu thập bằng chứng một cách an toàn chống lại những người bị nghi ngờ tham gia

vào hành vi lạm dụng trẻ em trực tuyến ở Úc và Quốc gia X, bao gồm John Smith, sinh 1/1/75 nhằm
phát hiện, phá vỡ và/hoặc truy tố những kẻ tình nghi.
Sau đó, bạn phải xác định những việc bạn cần làm là gì, bao gồm trong các giai đoạn: thu thập; phân
tích / xem xét; giải pháp; và giải pháp sau.
Sau đó, xác định các chiến lược điều tra hoặc thu thập. Đó là, làm thế nào bạn sẽ thu thập tốt nhất
thông tin/bằng chứng có liên quan và có thể chấp nhận được trong trường hợp này.
Chiến lược điều tra (hoặc thu thập) có thể xem xét tất cả các nguồn thông tin khác nhau có sẵn và có
thể bao gồm: tình báo, đặc tình, các dự án đặc biệt, lệnh khám xét, bắt giữ, lấy lời khai nhân chứng
(bao gồm cả chiến lược từng cửa trong một số trường hợp), lấy lời khai nghi phạm, nguồn nhân lực ,
tài sản tội phạm, Internet/Bằng chứng điện tử, CCTV, Giám định hình sự, Giám định kỹ thuật số,
quản lý nạn nhân/FILO, chiến thuật, phương tiện truyền thông, v.v.
Những điều này sẽ thay đổi tùy theo cơ quan thu thập thông tin, năng lực và khả năng của họ cũng
như luật pháp mà họ đang sử dụng để thu thập thông tin.
Sau đó, một cấu trúc điều tra nên được thiết lập, nêu chi tiết ‘Chuỗi chỉ huy’ bao gồm người chịu
trách nhiệm về các khu vực cụ thể (hoặc các chiến lược điều tra), lưu ý rằng điều này có thể mở
rộng. Tức là một người có thể chịu trách nhiệm về nhiều lĩnh vực. Trong các cuộc điều tra nhỏ, Điều
tra viên thường chịu trách nhiệm về tất cả các khu vực, nhưng mỗi khu vực luôn phải được xem xét
trong quy hoạch.
Là một phần của quá trình lập kế hoạch này, cần xác định hệ thống quản lý thông tin hiệu quả, hệ
thống này phải bao gồm trình tự thời gian các sự kiện và ma trận bằng chứng.
Một ma trận bằng chứng tốt (còn được gọi là ma trận lập kế hoạch bằng chứng hoặc bảng tổng hợp
bằng chứng) khớp theo thứ tự thời gian thông tin chống lại các yếu tố vi phạm có thể xảy ra và chỉ ra
vị trí của các lỗ hổng bằng chứng. Trong quá khứ, đây chỉ đơn giản được gọi là dòng thời gian và
trình bày chi tiết những gì đã xảy ra 'trước, trong và sau' hành vi phạm tội.
Một phần của việc lập kế hoạch tốt cũng liên quan đến việc xác định và quản lý các rủi ro.
Quản lý rủi ro
Rủi ro được định nghĩa là một hàm của xác suất xảy ra một
điều gì đó (khả năng xảy ra) và hậu quả của sự kiện đó. Khả
năng xảy ra và hậu quả càng cao thì rủi ro càng cao.
Như đã đề cập trong phần Tư duy của Điều tra viên, Điều tra
viên giỏi chấp nhận rủi ro có tính toán.
Nhiều quốc gia và tổ chức có một ma trận rủi ro, xác định rủi
ro khi bạn nhập các mức khả năng xảy ra (thường là 5 mức từ
hiếm, không chắc, có thể, có khả năng đến 'gần như chắc
chắn') và hậu quả (thường là 5 mức, từ không đáng kể đến
thấp , trung bình, cao đến nghiêm trọng). Mỗi mức độ rủi ro
sau đó phải được xử lý theo một cách cụ thể cho đến khi có
một rủi ro tồn dư có thể chấp nhận được, với việc xử lý càng chi tiết và tốn nhiều nguồn lực thì rủi ro
càng cao.

Trong quá trình điều tra, khi gặp phải rủi ro, Điều tra viên giỏi cần tiến hành đánh giá rủi ro bằng
cách sử dụng một dạng ma trận rủi ro và xử lý rủi ro đó theo cách làm giảm rủi ro tồn đọng đến mức
có thể chấp nhận được. Với Quản lý rủi ro, thông thường rủi ro không thể được loại bỏ, đặc biệt là
trong quá trình chủ động điều tra, nhưng nó đã được xác định, xem xét, giảm thiểu và giảm thiểu
đến mức có thể chấp nhận được đối với Điều tra viên và tổ chức của họ.
Cũng như nhiều lĩnh vực điều tra, quản lý rủi ro có thể là một lĩnh vực chuyên biệt, nhưng tất cả các
Điều tra viên giỏi nên hiểu rủi ro và nhận ra rằng mọi quyết định đều liên quan đến việc quản lý rủi
ro theo cách hợp lý và chính đáng. Các rủi ro chiến lược cần được xem xét trong các cuộc điều tra
bao gồm: an toàn (của cộng đồng, tài sản, cơ quan điều tra và nghi phạm), rò rỉ phương pháp luận
của cảnh sát, thiếu kết quả chấp nhận được, phương tiện truyền thông bất lợi, tham nhũng, v.v.,
trong khi cũng có những rủi ro chiến thuật (chẳng hạn như hành vi phạm tội cơ hội và khả năng sử
dụng vũ khí) được xem xét trong quá trình đưa ra biện pháp chiến thuật như lệnh bắt giữ hoặc khám
xét.
Tiết lộ
Ở nhiều quốc gia, xem xét việc ‘tiết lộ’ trong giai đoạn lập kế hoạch điều tra là rất quan trọng. Ở Úc,
luật pháp quy định rằng bất cứ điều gì buộc tội (có xu hướng chứng minh hành vi phạm tội) hoặc
biện minh (có xu hướng bác bỏ hành vi phạm tội) phải được thừa nhận làm bằng chứng.
Tuy nhiên, luật cũng quy định rằng bất kỳ thông tin nào do Công tố viên sở hữu trái với vụ việc truy
tố, có thể hỗ trợ người bào chữa trong việc biện hộ hoặc liên quan đến sự tin cậy của nhân chứng -
phải được tiết lộ cho Người bào chữa trước khi kết luận truy tố. Cơ quan Công tố thực hiện điều này
hoặc vụ việc sau đó có thể bị kháng cáo nếu điều gì đó không được tiết lộ, sau này trở nên rõ ràng và
có thể đã ảnh hưởng đến kết quả.
Do đó, Điều tra viên phải xem xét chiến lược bảo vệ một số điểm nhạy cảm nhất định (như người
cung cấp thông tin bí mật hoặc biện pháp kỹ thuật nhạy cảm). Mặc dù tuyên bố về Quyền miễn trừ vì
lợi ích công cộng (PII) có thể bảo vệ việc tiết lộ một số thông tin nhất định, trong một số trường hợp,
có thể phải đưa ra quyết định rằng không có nghi phạm nào bị truy tố trong một trường hợp cụ thể,
vì làm như vậy sẽ tiết lộ một số thông tin nhạy cảm nhất định nếu được công khai , có thể gây nguy
hiểm cho nguồn nhân lực, làm tổn hại đến quan hệ đối tác hoặc ngăn cản cơ quan điều tra thực hiện
hiệu quả công việc của mình trong tương lai.
Ở Úc, có một số luật cho phép các khiếu nại PII này, chẳng hạn như điều 130 của Đạo luật Bằng
chứng 1995 (Cth) cho phép một số bằng chứng nhất định không được đưa ra trong một phiên tòa vì
những lý do bao gồm duy trì các mối quan hệ quốc tế, duy trì phương pháp luận , và bảo vệ nguồn
nhân lực.
Mặt khác, cách tiếp cận hợp lý để tiết lộ là tốt hơn nên tiết lộ một cái gì đó, nếu nó không thể được
bảo vệ bởi một nguyên đơn PII, thì hãy đưa nó trở lại sau như một vấn đề khiến cho kết luận của tòa
án bị lật lại khi kháng cáo.
Ra quyết định trong khi điều tra

Ra quyết định và ghi lại là một phần rất quan trọng của các cuộc điều tra hiệu quả. Nếu không có các
quyết định được suy nghĩ kỹ càng và được lập thành văn bản, thì cuộc điều tra có thể trở nên kém
hiệu quả, đồng thời rất khó để xem xét và cải tiến khi cần thiết vì người đánh giá không chắc chắn tại
sao lại đưa ra các quyết định cụ thể.

Một mô hình quyết định tốt sẽ bao gồm các khía cạnh sau:
 Tình huống (xác định những gì đã xảy ra)

 Mục tiêu hợp pháp
 Cân nhắc / lựa chọn
 Quyết định và lý do của quyết định đó (lý do)
 Ghi lại quyết định
 Truyền đạt quyết định
Lưu ý rằng trong quá trình đưa ra quyết định tốt, việc nhận biết và tránh thành kiến cá nhân và văn
hóa là điều bắt buộc. Tính khách quan và tư duy phản biện là rất quan trọng.
Như đã đề xuất trong phần Tư duy của Điều tra viên, các quyết định phải liên quan đến quản lý rủi ro
và chính đáng, hợp lý, tương xứng và cần thiết.
Chiến lược thu thập/điều tra

Chiến lược thu thập hoặc điều tra là cách Điều tra viên thu thập thông tin trong vụ án để đạt được
mục đích của cuộc điều tra.
Như đã thảo luận ở trên, điểm khởi đầu tốt của bất kỳ cuộc điều tra nào, đặc biệt cần thiết cho giai
đoạn thu thập và phân tích/xem xét, là thiết lập một mốc thời gian sự kiện (còn được gọi là trình tự
thời gian sự kiện hoặc ma trận/bảng tính quản lý bằng chứng hoặc tương tự) và đặt tất cả thông
tin/bằng chứng được thu thập theo trình tự thời gian. Sau đó, các yếu tố của các hành vi vi phạm có
thể đang được điều tra có thể được xem xét dựa trên thông tin/bằng chứng đã thu thập được và có
thể xác định được bất kỳ khoảng trống bằng chứng nào (khi thiếu các yếu tố hoặc thiếu ‘bằng
chứng’). Điều này cũng tương tự đối với các cuộc điều tra phi tội phạm, nhưng những lỗ hổng được
gọi là khoảng trống thông tin hơn là khoảng trống bằng chứng.
Việc liệt kê nguồn thông tin là rất quan trọng trong dòng thời gian hoặc bảng trình tự. Điều đó cho
phép thông tin được đánh giá về tính xác thực của nó và cũng cho phép tạo ra một bản tóm tắt bằng
văn bản (đôi khi được gọi là ‘Tóm tắt các sự kiện’), trong đó nêu chi tiết các sự kiện đã được chứng
minh bao gồm các nguồn của bằng chứng.
Các chiến lược sau đó có thể được xây dựng để thu thập các bằng chứng hoặc lỗ hổng thông tin. Các
chiến lược này đã được mô tả ở trên trong giai đoạn lập kế hoạch và bao gồm nhiều phương án điều
tra khác nhau có thể được thực hiện đồng thời (như một gói) để tạo ra kết quả tốt nhất có thể.
Ví dụ: một chiến lược bí mật - chẳng hạn như tiếp cận các nghi phạm bằng cách giả danh là nhân
viên chính phủ tham nhũng - có thể được sử dụng như một phần của chiến lược 'hoạt động có kiểm
soát' cung cấp một lô hàng trái phép chất ma túy (đã loại bỏ chất gây nghiện), cùng với một thông
cáo truyền thông chiến lược để thúc đẩy cuộc nói chuyện giữa các nghi phạm có thể được ghi lại một
cách hợp pháp (tùy thuộc vào luật của nơi mà hoạt động được tiến hành). Ở Úc, để tiến hành một
hoạt động có kiểm soát như vậy, cần có cơ quan quản lý được ủy quyền kiểm soát và lệnh có chữ ký
của quan chức tư pháp cấp cao (cả theo luật Liên bang) để cho phép các cơ quan chức năng / Điều
tra viên chặn và ghi lại các cuộc trò chuyện của nghi phạm một cách hợp pháp.
Việc thu thập sẽ tiếp tục cho đến khi đạt được mục đích của cuộc điều tra. Nếu điều này là để truy tố
các nghi phạm, thì việc giải quyết sẽ xảy ra khi đã thu thập đủ bằng chứng, hoặc dự kiến sẽ thu thập
được trong quá trình giải quyết, để kết tội thành công các nghi phạm. Hoặc cách khác, mục đích có
thể là làm gián đoạn các nghi phạm để họ không thể tiếp tục phạm tội liên quan đến việc làm hại

người khác - vì vậy, việc giải quyết sẽ xảy ra sớm hơn trong giai đoạn điều tra, có thể là trước khi thu
thập đủ bằng chứng để kết tội thành công các nghi phạm, vì mục đích là để ngăn chặn hậu quả hơn
là kết tội những kẻ tình nghi.
Như đã thảo luận, việc cân nhắc thu thập chứng cứ như thế nào là mục đích chính của cuộc điều tra.
Nếu mục đích là khởi tố vụ án, thì các quy tắc về chứng cứ là rất quan trọng trong cách thức thu thập
chứng cứ, và khi đã thu thập được, Điều tra viên cần duy trì tính liên tục của chứng cứ để khi chuyển
sang giai đoạn truy tố, tòa án. sẽ đồng ý rằng nó có thể được chấp nhận.
Tuy nhiên, việc nhấn mạnh vào việc thu thập bằng chứng có thể chấp nhận được có thể không quan
trọng bằng trong những trường hợp mục đích không phải là truy tố, mà là nhanh chóng xác định ai,
cái gì, khi nào, ở đâu, như thế nào và tại sao - và hành động để ngăn chặn thiệt hại xảy ra.
Một Điều tra viên giỏi cần phải biết tất cả các phương pháp thu thập truyền thống (chẳng hạn như
lấy lời khai nhân chứng/nghi phạm, nguồn lực con người, thực hiện lệnh khám xét, phân tích hiện
trường vụ án, video/CCTV, ảnh và các hoạt động có kiểm soát), cũng như cách sử dụng chuyên gia
hoặc các lĩnh vực kỹ thuật để thu thập bằng chứng có thể chấp nhận - bao gồm Giám định hình sự,
Giám định hình sự kỹ thuật số, đánh chặn bằng chứng điện tử, đặc tình chuyên gia, năng lực nhạy
cảm, v.v. Quan hệ đối tác, cả nội bộ và bên ngoài, đều rất quan trọng đối với các lựa chọn thu thập
bằng chứng.
Bằng chứng cũng có thể được chia thành bí mật và công khai. Một cuộc điều tra chủ động, trong
trường hợp tội phạm chưa được hoàn thành, sẽ cố gắng giữ bí mật (không cho công chúng hoặc nghi
phạm biết) cho đến khi Điều tra viên bắt đầu giai đoạn giải quyết bằng cách thực hiện lệnh khám xét
và lấy lời khai nghi phạm. Lưu ý rằng, ở một số quốc gia, lệnh khám xét bí mật hợp pháp có thể được
thực hiện trong một số cuộc điều tra nhất định, thường là rất nghiêm trọng (chẳng hạn như điều tra
chống khủng bố).
Ngoài ra, trong một cuộc điều tra phản ứng mà hành vi phạm tội đã được thực hiện và hiện trường
vụ án đã tồn tại và đã được công bố rộng rãi, tất cả các cuộc điều tra có thể bị lộ. Tuy nhiên, ngay cả
trong những cuộc điều tra công khai như vậy, đôi khi điều quan trọng là phải giữ bí mật ‘phương
thức thủ đoạn’ cụ thể (hoặc cách các đối tượng đã thực hiện hành vi phạm tội), để giúp xác định tội
phạm là ai. Điều này thường được chứng minh thông qua việc lấy lời khai nghi phạm được lên kế
hoạch và thực hiện tốt, vì việc thẩm vấn cẩn thận có thể cho thấy một nghi phạm biết những điều
mà chỉ người phạm tội mới có thể biết.
Phân tích/đánh giá

Như đã thảo luận, điểm khởi đầu tốt của bất kỳ cuộc điều tra nào là thiết lập một mốc thời gian sự
kiện (còn được gọi là ma trận/bảng tính quản lý bằng chứng hoặc tương tự), để xác định bất kỳ
khoảng trống bằng chứng nào (khi các bằng chứng/yếu tố còn thiếu). Điều này cũng tương tự đối với
các cuộc điều tra phi tội phạm, nhưng những lỗ hổng được gọi là khoảng trống thông tin hơn là
khoảng trống bằng chứng.
Các chiến lược thu thập hoặc điều tra sau đó có thể được đưa ra để thu thập các bằng chứng còn
thiếu.
Tuy nhiên, đôi khi bằng chứng 'còn thiếu' đã được thu thập nhưng vẫn ở dạng 'thông tin' và chưa
được công nhận là bằng chứng hoặc thông tin có giá trị, bởi vì cần phải phân tích thêm để hiểu rõ về
nó và chuyển nó thành thông tin có giá trị hoặc (thậm chí tốt hơn là) bằng chứng.

Một số hoạt động phân tích thông tin thu thập được có thể được thực hiện độc lập bởi các hỗ trợ
chuyên gia, đặc biệt là khi họ đang tìm kiếm bằng chứng phổ biến cho một số tội phạm nhất định. Ví
dụ, cuộc điều tra và phân tích vết máu do một chuyên gia giám định hình sự hỗ trợ điều tra một vụ
giết người.
Tuy nhiên, thông thường bằng chứng/thông tin đang được tìm kiếm là đặc biệt đối với vụ án, do
những khoảng trống bằng chứng/thông tin được xác định và do đó, Điều tra viên bắt buộc phải biết
rất rõ vụ việc của họ và có thể tóm tắt đầy đủ bất kỳ lĩnh vực chuyên môn nào đang tìm kiếm bằng
chứng trong số vô số thông tin thu thập được.
Để phân tích và tăng giá trị cho thông tin đòi hỏi các kỹ năng chuyên môn khi thông tin mang tính kỹ
thuật rất cao, nhưng ngay cả khi nó bằng ngôn ngữ đơn giản, bất kỳ Điều tra viên nào (bao gồm cả
Điều tra viên chuyên môn như Giám định hình sự) phải hiểu rõ về vụ việc.
Công nghệ và máy tính đã làm cho nhiệm vụ tìm kiếm và phân tích thông tin thu thập được dễ dàng
hơn nhiều, nhưng một chương trình (hoặc công cụ) tìm kiếm chỉ tốt khi đi đôi với Điều tra viên và
các cụm từ tìm kiếm.
Ví dụ: nếu hàng nghìn tài liệu có thể liên quan được thu thập như một phần của lệnh khám xét, thì
Điều tra viên sẽ cần phải tìm kiếm từng tài liệu riêng lẻ hoặc sử dụng chương trình tìm kiếm xác định
các từ và cụm từ quan trọng, sau khi các tài liệu đã được điện tử hóa. Dù bằng cách nào thì kết quả
cuối cùng sẽ chỉ tốt ngang với các cụm từ tìm kiếm do Điều tra viên cung cấp.
Tất cả các dữ liệu điện tử cũng vậy. Mặc dù các nhóm chuyên gia như Giám định viên kỹ thuật số
(DF) có thể giúp tìm kiếm và phân tích dữ liệu điện tử đã thu thập, nhưng việc tìm kiếm của họ sẽ chỉ
tốt ngang với thông tin tóm tắt mà Điều tra viên cung cấp cho họ. Các Điều tra viên sẽ biết những lỗ
hổng bằng chứng tốt hơn bất kỳ ai khác, và cũng sẽ biết những gì có liên quan - vì vậy họ không thể
giao việc cho DF mà không cung cấp đầy đủ hỗ trợ.
Tương tự, các bản ghi âm bị chặn được phân tích tốt nhất bởi Điều tra viên hoặc bởi các chuyên gia,
những người biết họ đang nghe ai và họ đang tìm kiếm điều gì, bao gồm cả các mật mã được sử
dụng. Nhiều trường hợp đã thu thập được bằng chứng rất mạnh mẽ trong các bản ghi âm (chẳng
hạn như thông qua thiết bị nghe hoặc điện thoại bị chặn), nhưng đã bị bỏ sót trong quá trình xem
xét ban đầu vì Điều tra viên hoặc giám sát thiếu kinh nghiệm không hiểu các mật mã, thứ có thể phổ
biến trong một loại tội phạm nhưng thường thay đổi theo thời gian hoặc giữa các nền văn hóa. Ví
dụ, đối với một số kẻ khủng bố, 'đám cưới' là mật mã mà chúng sử dụng để mô tả một cuộc tấn công
khủng bố có thể xảy ra.
Đánh giá chính thức khác với phân tích thông tin, nhưng đòi hỏi kỹ năng phân tích ở chỗ nó bao gồm
việc nhìn lại toàn bộ cuộc điều tra để đảm bảo rằng mọi thứ đã được xem xét cẩn thận một cách
khách quan, hợp pháp, hiệu lực và hiệu quả.
Đôi khi, ngay cả những Điều tra viên có kinh nghiệm cũng đưa ra quyết định hoặc kết luận sớm, dựa
trên thông tin có sẵn tại thời điểm đó, mà khi xem xét lại không phải là quyết định chính xác. Tuy
nhiên, quyết định này có thể đã đưa cuộc điều tra đi theo hướng dẫn đến việc coi những người
không chính xác trở thành nghi phạm. Do đó, trong một cuộc điều tra bắt buộc phải ghi lại tất cả các
quyết định quan trọng, bao gồm thông tin mà chúng dựa trên vào thời điểm đó, những cân nhắc và
cơ sở lý luận cho những quyết định đó. Bằng cách này, người đánh giá có thể xác định chính xác thời
điểm điều tra đi 'chệch hướng' và nó có thể được đưa trở lại thời điểm đó, nơi có thể bắt đầu một
cuộc điều tra mới, được nhắm mục tiêu khác.

Một ví dụ điển hình về điều này xảy ra trong cuộc điều tra về vụ phát tán bệnh than (khủng bố sinh
học) ở Washington trong năm 2001. Trong gần 5 năm, các Điều tra viên đã không xem xét một nghi
phạm chính vì họ quá tập trung vào một nghi phạm đã được xác định sớm. Khi cuộc điều tra được
chính thức xem xét vào năm 2005, người ta phát hiện ra rằng một nghi phạm chính đã không bị xem
xét vì anh ta là một nhà khoa học cấp cao được Chính phủ Hoa Kỳ tuyển dụng làm chuyên gia về
bệnh than. Tuy nhiên, anh ta được đề cập nhiều nhất trên các bài đăng về bệnh than (vì anh ta nhận
được hàng triệu đô la tài trợ khoa học sau sự kiện này), từng có tiền sử đe dọa làm hại đồng nghiệp
và 'ra đi trong ánh hào quang' và khi bị điều tra như là một nghi phạm, khoảng 05 năm sau khi tội ác
được thực hiện, bằng chứng đáng kể đã chỉ ra anh ta là kẻ phạm tội. Thật không may (cho anh ta và
công lý) nghi phạm đã tự sát và để lại nhiều câu hỏi chưa được giải đáp (mặc dù các Công tố viên
Hoa Kỳ tuyên bố anh ta là hung thủ).
Giải quyết
Hình thức giải quyết sẽ được xác định theo mục đích của cuộc điều tra và các yếu tố khác bao gồm
các nguồn lực sẵn có, quản lý rủi ro và áp lực thời gian (đôi khi được gọi là các khía cạnh của cuộc
điều tra: quy mô, thời gian, rủi ro, độ phức tạp).
Ở Úc, như đã nói, an toàn luôn được xem xét hàng đầu - vì vậy, đôi khi một cuộc điều tra sẽ được
giải quyết sớm hơn so với thời điểm mà Điều tra viên cho là tối ưu về mặt thu thập bằng chứng, để
đảm bảo an toàn cho nạn nhân (hiện tại hoặc tương lai), công chúng , cảnh sát và nghi phạm.
Các chiến lược giải quyết thường bao gồm việc bắt giữ và lấy lời khai các nghi phạm, và các chiến
lược lấy lời khai là quan trọng trong mọi trường hợp, nhưng đặc biệt với nhiều nghi phạm.
Lấy lời khai là một kỹ năng rất quan trọng đối với Điều tra viên, và ở Úc và các quốc gia khác có nhiều
cấp độ lấy lời khai khác nhau từ Cấp độ 1/cơ bản đến Cấp độ 4/Điều phối viên. Các kế hoạch lấy lời
khai có thể được điều chỉnh cho phù hợp với từng nghi phạm hoặc nhân chứng để có được thông tin
tốt nhất từ họ, theo hình thức có thể chấp nhận và hành động, mà không cần dùng đến các phương
pháp thẩm vấn trái pháp luật. Đây là một lĩnh vực chuyên môn, nhưng tất cả các Điều tra viên nên
biết những điều cơ bản về các cuộc lấy lời khai tốt thường dựa trên một mô hình như mô hình
PEACE: Chuẩn bị và lập kế hoạch; Tham gia và giải thích, Kê khai - làm rõ và thách thức; Kết thúc và
Đánh giá.

Sau giải quyết
Một lần nữa, các hành động sau giải quyết sẽ được xác định bởi mục đích của cuộc điều tra. Nếu
mục đích chính là, như trong hầu hết các cuộc điều tra tội phạm, là xác định và truy tố người phạm
tội, thì quá trình này sẽ bao gồm việc tổng hợp các bản tóm tắt bằng chứng. Đây là một kỹ năng quan
trọng khác của Điều tra viên, vì một bản tóm tắt tốt cần rất có hệ thống với bản tóm tắt sự kiện
(SOF), chỉ mục và danh sách nhân chứng/vật chứng được trình bày rõ ràng và dễ sử dụng. Ở một số
quốc gia, bản tóm tắt bằng chứng điện tử hiện được ưa chuộng hơn, theo đó mỗi mục bằng chứng
được siêu liên kết với SOF, chỉ mục và danh sách nhân chứng/vật chứng.
Điều quan trọng nữa là tất cả các bài học kinh nghiệm trong quá trình điều tra và tất cả thông tin thu
thập được phải được ghi lại và lưu giữ trong hệ thống quản lý thông tin theo cách cho phép tìm kiếm
và phổ biến thông tin một cách dễ dàng.
Ví dụ về các cuộc điều tra tội phạm mạng

Như đã thảo luận, các cuộc điều tra sẽ được tiến hành khác nhau tùy thuộc vào người tiến hành
chúng (cơ quan điều tra), nơi chúng được tiến hành (cơ quan tài phán) và tại sao (mục đích).
Ví dụ: nếu một doanh nghiệp ở bất kỳ quốc gia nào ở Đông Nam Á phát hiện ra rằng ai đó đã xâm
phạm tường lửa của họ và lấy cắp thông tin cá nhân bao gồm chi tiết thẻ tín dụng của khách hàng,
thì các tổ chức khác nhau có thể tiến hành điều tra với các mục đích khác nhau.
Bản thân doanh nghiệp có lẽ sẽ không muốn gặp phải dư luận bất lợi vì việc này, vì vậy họ thậm chí
có thể không báo cho cơ quan chức năng và chỉ tiến hành điều tra của riêng họ. Trong trường hợp
này, mục đích chính của họ sẽ là tìm hiểu xem hệ thống của họ đã bị vi phạm như thế nào và để ngăn
chặn điều này xảy ra trong tương lai đối với tổ chức của họ.
Tuy nhiên, nếu doanh nghiệp đã báo cáo vi phạm này bên ngoài tổ chức của họ và cơ quan thực thi
pháp luật đang tiến hành một cuộc điều tra như vậy, mục đích chính của họ sẽ là thu thập bằng
chứng về bất kỳ tội phạm nào và truy tố những đối tượng có liên quan. Điều này sẽ ngăn chúng làm
điều tương tự một lần nữa đối với tổ chức kinh doanh này và các tổ chức kinh doanh tương tự khác,
đồng thời ngăn chặn những tên tội phạm tiềm năng sử dụng cùng một phương thức.
Một tội phạm mạng khác, hay đúng hơn là tội phạm lợi dụng mạng, là lạm dụng trẻ em trực tuyến.
Đối với ví dụ của chúng tôi, chúng tôi sẽ đưa ra một tình huống mà thủ phạm ở Úc và nạn nhân ở
nước ngoài.
Tóm lại những gì chúng ta đang hướng đến trong cuộc điều tra này (và bất kỳ cuộc điều tra nào) là:
ai, cái gì, khi nào, ở đâu, như thế nào và tại sao; và để thiết lập những điều này thông qua một cuộc
điều tra với các giai đoạn vòng tròn (không tuyến tính): lập kế hoạch - thu thập - phân tích / xem xét
- giải quyết - sau giải quyết.
Giai đoạn 1 - Lập kế hoạch
Tất cả việc lập kế hoạch nên bắt đầu với các giai đoạn sau:
1. Tóm tắt tình hình hiện tại
2. Xác định bất cứ nghi phạm nào (ai)
3. Xác định loại tội phạm tiềm tàng (cái gì, khi nào, ở đâu, như thế nào và tại sao)
Lưu ý rằng tại thời điểm này, có đủ thông tin để bắt đầu tiến trình bằng chứng / bảng tính /
ma trận và trình tự thời gian của các sự kiện, điều này sẽ giúp Điều tra viên hình dung họ
đang theo đuổi điều gì và họ có thể thu thập như thế nào.

4. Tuyên bố nhiệm vụ điều tra (điều tra viên đang định làm gì và tại sao lại làm điều đó)
5. Xác định cách thức và vị trí bạn sẽ thực hiện và khi nào bạn sẽ làm điều đó bằng cách liệt
kê các giai đoạn và chiến lược điều tra với khung thời gian nhất định (đôi khi được gọi là 'cột
mốc quan trọng').
Điều này cần xem xét các cột mốc thu thập / phương thức điều tra có thể có, bao gồm:
 Trong nước Úc (ở đâu): nguồn nhân lực / nhân chứng ở Úc; trinh sát nội tuyến trực tuyến;
phương tiện truyền thông - thường là cách thủ phạm liên lạc với nạn nhân, hồ sơ của Chính
phủ - bao gồm tiền án tiền sự, hồ sơ thông tin và đi lại; đánh chặn trực tuyến - khi IP chính
xác đã được thiết lập (lưu ý rằng điều này có thể không hợp pháp ở một số quốc gia để làm
bằng chứng, mà chỉ dành cho mục đích thu thập thông tin).
 Ở nước ngoài (ở đâu): Cơ quan thực thi pháp luật và Cơ quan pháp lý trung ương thông qua
Hiệp ước Tương trợ Tư pháp (MLAT) hoặc thông qua Cảnh sát với Cảnh sát (nếu không sử
dụng quyền lực cưỡng chế); Nhà cung cấp Internet - thông qua các quy trình đã thỏa thuận;
các công ty truyền thông - thông qua lệnh lưu giữ; nguồn nhân sự / nhân chứng ở nước
ngoài; nạn nhân ở nước ngoài (sự an toàn của nạn nhân sẽ là ưu tiên chính, cao hơn việc thu
thập bằng chứng. Khi họ đã được xác định vị trí và an toàn, họ sẽ giao máy tính của mình cho
cơ quan thực thi pháp luật địa phương để kích hoạt hoạt động trinh sát nội tuyến trực
tuyến? Hay là họ sẵn sàng và có thể đưa ra bằng chứng xác thực về thủ phạm); hồ sơ tài
chính - hầu hết các vụ lạm dụng xảy ra do thủ phạm trả tiền cho nạn nhân hoặc người kiểm
soát nạn nhân (thật không may, đây là cha mẹ hoặc người giám hộ nghèo cần tiền).
Giai đoạn 2 - Thu thập

Một Điều tra viên giỏi cần biết tất cả các phương pháp thu thập truyền thống (chẳng hạn như lấy lời
khai nhân chứng / nghi can, nguồn lực con người, thực hiện lệnh khám xét, phân tích hiện trường vụ
án, video / CCTV / ảnh, hoạt động được kiểm soát), cũng như cách sử dụng chuyên gia hoặc chuyên
viên kỹ thuật cao các lĩnh vực cần thu thập (bao gồm Giám định hình sự, Giám định kỹ thuật số, đánh
chặn bằng chứng điện tử, chuyên gia bí mật, v.v.). Quan hệ đối tác, cả bên trong và bên ngoài, cũng
là những lựa chọn thu thập bằng chứng quan trọng.
Như đã thảo luận, bảng thu thập bằng chứng và trình tự thời gian của các sự kiện là rất quan trọng
đối với phần này của cuộc điều tra và cả hai đều cần được cập nhật liên tục và chính xác - bao gồm
cả nguồn thông tin mới được thu thập. Bất kỳ bằng chứng nào có nguồn gốc ở nước ngoài đều phải
được xem xét về tính hợp pháp của nó, tùy thuộc vào nơi tiến hành truy tố. Nếu việc truy tố diễn ra
ở Úc, nó sẽ phải được thu thập theo Đạo luật về bằng chứng nước ngoài năm 1994, và nếu việc truy
tố diễn ra ở nước ngoài, thì các phương pháp thu thập bằng chứng sẽ phải tuân thủ luật pháp của
quốc gia / khu vực tài phán có liên quan.
Giai đoạn 3 - Phân tính/Đánh giá

Khi chúng tôi đang cố gắng thiết lập ‘ai, cái gì, khi nào, ở đâu, như thế nào và tại sao’ - thì ma trận /
bảng tính bằng chứng sẽ chỉ ra đâu là khoảng trống. Một số mục bằng chứng nhất định có thể đã
được thu thập, mà Điều tra viên và / hoặc các nhóm chuyên gia như DF, cần phân tích thêm để thu
được tất cả bằng chứng giá trị.
Trong trường hợp như thế này, chủ yếu dựa vào bằng chứng điện tử được thu thập, được hỗ trợ bởi
lời khai của nhân chứng, điều này có thể bao gồm các trang cụ thể trên trang web truyền thông xã
hội hoặc video về hành vi phạm tội (do một số người phạm tội ghi lại và sau đó phát tán hành vi lạm

dụng con của họ) . Theo giá trị, đây có thể chỉ là những bức ảnh, nhưng việc phân tích bổ sung có thể
thu được nhiều thông tin / bằng chứng hơn.
Ví dụ: một bức ảnh có thể bị xóa địa chỉ IP, nhưng nó vẫn có thể chứa những thứ nhất định chỉ dẫn
đến một quốc gia hoặc khu vực cụ thể của một quốc gia. Nếu có bản ghi âm với hình ảnh, dấu trọng
âm có thể giúp bạn loại bỏ điều này. Hoặc, một mốc cụ thể trong nền hoặc một loại tòa nhà, phương
tiện hoặc nhà máy là duy nhất. Nếu ai đó nói tiếng Anh với giọng Cebuano và có một chiếc xe
Jeepney ở phía sau, thì rất có thể tội phạm đã xảy ra ở Philippines. Tính độc đáo và tính chất khu vực
cụ thể của đồ trang trí Jeepney cũng có thể hỗ trợ việc xác định chính xác nơi các nạn nhân có thể
sống.
AFP có một nhóm cụ thể được gọi là Nhóm Nhận dạng Nạn nhân làm việc để xác định nơi tội ác có
thể đã được thực hiện và nơi nạn nhân có thể đang sống.
Giai đoạn 4 - Giải quyết

Trong trường hợp này, chiến lược giải quyết có thể là xác định vị trí nạn nhân trước tiên, sau đó lấy
lời khai của họ và sau đó có thể tiến hành một hoạt động có kiểm soát bằng một cảnh sát ngụy trang
đóng giả là một nạn nhân trực tuyến tiềm năng.
Một số nguồn bằng chứng khác có thể được thu thập trong quá trình giải quyết vụ án này bao gồm:
 Nhân chứng dân sự - bao gồm các thành viên của hộ gia đình nơi nghi phạm sống để xác
định ai đã sử dụng máy tính khi tội phạm được thực hiện. Hàng xóm (thông qua kiểm tra
từng nhà) cũng có thể xác nhận ai khác sống ở đó hoặc đã đến thăm (hoặc không) vào những
thời điểm cụ thể khi tội ác xảy ra;
 Lệnh khám xét để thu giữ máy tính và điện thoại và bất kỳ nguồn bằng chứng nào khác bao
gồm cả phương tiện lưu trữ;
 Lấy lời khai/thẩm vấn nghi phạm;
 Nhân chứng cảnh sát bao gồm bất kỳ đặc vụ bí mật nào và Điều tra viên liên quan đến việc
giải quyết vụ việc; và
 Các chuyên gia giám định hình sự và giám định kỹ thuật số, những người có thể phân tích
bằng chứng thu giữ được.
Giai đoạn 5 - Sau giải quyết

Trong trường hợp này, vì mục đích của chúng ta là truy tố những đối tượng có liên quan, chúng ta sẽ
tập trung vào việc biên soạn một bản tóm tắt bằng chứng (BoE) bao gồm tất cả các yếu tố cần thiết
để chứng minh rằng các nghi phạm đã phạm tội vượt quá mức nghi ngờ hợp lý. Chúng ta sẽ làm việc
với các Công tố viên (luật sư truy tố) để đảm bảo rằng họ hài lòng với BoE, về nội dung và cách trình
bày.
Ngoài ra, chúng ta cũng cần xem xét:
 Xem xét vụ việc - xác định bất kỳ bài học kinh nghiệm nào và các quy trình cần cải thiện
 Chăm sóc/quản lý nạn nhân - điều quan trọng là phải đảm bảo rằng nạn nhân được chăm
sóc cả về tinh thần và thể chất, ngay cả khi họ không đưa ra bằng chứng về vấn đề này. Các
nhà cung cấp dịch vụ chăm sóc bao gồm các tổ chức chính phủ và phi chính phủ. Khi cảnh sát
làm việc với nạn nhân, phải đối xử với họ với sự tôn trọng và quan tâm đặc biệt đến tình
trạng của họ, và bất kỳ lời khai nào được ghi lại đều phải lưu ý đến điều đó.
 Kế hoạch truyền thông - quảng bá tích cực không chỉ nâng cao tinh thần của nhóm điều tra
và nạn nhân và gia đình nạn nhân, mà còn có tác dụng răn đe đối với những tội phạm tiềm

tàng khác. Ngoài ra, nó còn tốt cho các tổ chức liên quan (vì nó biện minh cho việc chi tiêu)
và cho các bên liên quan và đối tác khác nhau đã phối hợp trong vụ việc.
Tóm tắt các nội dung cần cân nhắc khi tiến hành cuộc điều tra
Khi có thể, Điều tra viên nên xem xét các yếu tố/ hành phần sau khi tiến hành điều tra:
 Mục tiêu / Kết quả có được - ví dụ: Phát hiện, ngăn chặn, đấu tranh, triệt phá, truy tố
 Trách nhiệm của cơ quan điều tra
 Khung pháp lý - quyền tài phán, tội phạm, quyền hạn, khả năng được chấp nhận
 Quan hệ đối tác - bên ngoài (Cơ quan thực thi pháp luật (LEA), LEA nước ngoài, Chính phủ,
Phi chính phủ, Học thuật, Công nghiệp) và nội bộ
 Các khía cạnh của một cuộc điều tra - quy mô, thời gian, rủi ro, độ phức tạp
 Các nguyên tắc của một cuộc điều tra - giá trị, quyền con người, kết quả, quản lý rủi ro, quản
lý thông tin, luật hiện hành
 Ra quyết định - cơ sở, mục tiêu, các lựa chọn / cân nhắc, quyết định, cơ sở lý luận, giao tiếp
 Lập kế hoạch - bao gồm tất cả các chiến lược điều tra
 Phân tích / Đánh giá
 Rủi ro trong điều tra bao gồm: an toàn (của công chúng, tài sản, cơ quan điều tra và nghi
phạm), rò rỉ phương pháp luận của cảnh sát, thiếu kết quả chấp nhận được, phương tiện
truyền thông bất lợi, tham nhũng, quan hệ đối tác, rò rỉ thông tin
 Quản lý và giám sát
 Ra lệnh và kiểm soát
 Cấu trúc và quản lý một cuộc điều tra lớn - bao gồm Cán bộ điều tra cấp cao (SIO), Trưởng
nhóm, Cán bộ phụ trách / Điều tra viên và các 'điều phối viên' khác nhau như Thông tin
giám định hình sự, Tiết lộ, Giám định hình sự, Công nghệ cao, thu thập thông tin, lấy lời khai,
Tài sản Hình sự, Truyền thông , Đầu mối liên lạc gia đình (FILO)
 Các phương thức truy vấn / nguồn thông tin có thể bao gồm: Hồ sơ chính phủ, Hồ sơ phi
chính phủ, Điện thoại (chỉ dành cho điện thoại - Hồ sơ cuộc gọi của khách hàng), Chặn điện
thoại (bao gồm cả vị trí), Thiết bị nghe, Máy tính, các thiết bị điện tử khác, Phương tiện
truyền thông, Giám sát , Hoạt động được kiểm soát (bao gồm trực tiếp và bí mật trực tuyến),
Nguồn nhân lực, cơ quan đối tác (quốc gia hoặc quốc tế), Lệnh khám xét, nhân chứng, nghi
phạm, CCTV / video, hiện trường vụ án, các vật dụng vật chất bao gồm - tài liệu, vũ khí, công
cụ, quần áo, giày
Tóm tắt các tài liệu để Điều tra viên sử dụng

 Kế hoạch điều tra
 Trình tự thời gian của sự kiện / thông tin kèm theo nguồn
 Ma trận / bảng thu thập bằng chứng - hiển thị bằng chứng được thu thập theo dòng thời
gian, bao gồm cả nguồn của nó chống lại các "yếu tố" của tội phạm để xác định bất kỳ lỗ
hổng bằng chứng nào
 Bản ghi chép quyết định
 Các báo cáo tình hình
 Bản tóm tắt sự việc (SoF)
 Danh sách nhân chứng/vật chứng

Tóm tắt học phần
Trong học phần này, học viên đã được giới thiệu (hoặc làm mới) các khái niệm cơ bản liên quan đến
một cuộc điều tra, đó là một cuộc tìm kiếm sự thật (hoặc chân lý). "Tư duy điều tra" đã được mô tả,
đó là trạng thái của tâm trí mà tất cả các điều tra viên giỏi nên có. Các giai đoạn của một cuộc điều
tra sau đó được thảo luận chi tiết - lập kế hoạch, điều tra (thu thập và phân tích), giải quyết và sau
giải quyết - và nhấn mạnh rằng đây không phải là một tuyến tính mà là một quá trình liên tục, vòng
tròn. Các ví dụ đã được đưa ra về các cuộc điều tra tội phạm mạng thực tế và các tài liệu hỗ trợ điều
tra hữu ích đã được thảo luận. Hoc phần kết thúc với một danh sách các lĩnh vực quan trọng cần
xem xét khi thực hiện một cuộc điều tra phức tạp.
Nghiên cứu thêm

 Viện Quản lý Cảnh sát Australia
o https://www.aipm.gov.au
 Cảnh sát liên bang Australia
o https://www.afp.gov.au
 Cyber Safety Pasifika
o https://www.cybersafetypasifika.org
Green, T., Ord, B., & Shaw, G. (2008). Investigative Interviewing Explained. LexisNexis Butterworths.

Chú giải
ACCCE Trung tâm Phòng chống bóc www.accce.gov.au
lột trẻ em Australia
ACSA Trung tâm An ninh mạng www.cyber.gov.au
Australia
AFP Cảnh sát Liên bang Australia www.afp.gov.au
AP Điểm truy cập Một thiết bị, chẳng hạn như bộ định tuyến không dây,
cho phép các thiết bị không dây kết nối với mạng
APNIC Trung tâm Thông tin Mạng www.apnic.net
Châu Á - Thái Bình Dương
APT Các mối đe dọa liên tục Một tác nhân đe dọa lén lút, thường là một nhà nước
nâng cao quốc gia hoặc nhóm được nhà nước bảo trợ, có quyền
truy cập trái phép vào mạng máy tính và không bị phát
hiện trong một thời gian dài.
ASEAN Hiệp hội các quốc gia Đông www.asean.org
Nam Á
BEC Lừa đảo email doanh Một hình thức tội phạm mạng sử dụng gian lận email để
nghiệp tấn công các tổ chức thương mại, tổ chức chính phủ và tổ
chức phi lợi nhuận nhằm đạt được một kết quả cụ thể
tác động tiêu cực đến mục tiêu
BTC Bitcoin Một loại tiền mã hóa phi tập trung được tạo ra vào năm
2008 bởi một nguồn không xác định sử dụng tên Satoshi
Nakamoto
BYOD Mang thiết bị của riêng Được phép sử dụng thiết bị thuộc sở hữu cá nhân, thay vì
mình đi làm bắt buộc phải sử dụng thiết bị được cung cấp chính thức
CCTV Camera giám sát Còn được gọi là giám sát video, là việc sử dụng máy quay
video để truyền tín hiệu đến một địa điểm cụ thể, trên
một bộ màn hình giới hạn
CERT Nhóm ứng phó sự cố bảo Đội CERT của Australia: www.austcert.org.au
mật máy tính
CSA Chương trình An toàn www.csaprogram.org
không gian mạng Châu Á
CSIRT Đội phản ứng nhanh các sự www.csirt.org
cố an ninh máy tính
CSP An toàn mạng Pasifika www.cybersafetypasifika.org
DBIR Báo cáo sự cố xâm phạm dữ Verizon DBIR hàng năm có thể được tìm thấy tại
liệu https://enterprise.verizon.com/en-au/resources
DDoS Từ chối dịch vụ phân tán Một dạng tội phạm mạng xảy ra khi nhiều hệ thống làm
ngập băng thông hoặc tài nguyên của một mục tiêu,
thường là một hoặc nhiều máy chủ web
DHCP Giao thức cấu hình động Giao thức quản lý mạng để chỉ định động một địa chỉ IP
máy chủ và các thông số cấu hình mạng khác cho từng thiết bị
trên mạng để giao tiếp với các mạng IP khác
DNS Hệ Thống Phân Giải Tên Hệ thống đặt tên phân cấp và phi tập trung cho máy tính,
Miền dịch vụ và các tài nguyên khác được kết nối với internet
trên mạng riêng
DSL Kênh thuê bao số Nhóm công nghệ được sử dụng để truyền dữ liệu kỹ

thuật số qua đường dây điện thoại
DSS Tiêu chuẩn chữ ký số Tiêu chuẩn Xử lý thông tin Liên bang chỉ định một bộ
thuật toán có thể được sử dụng để tạo chữ ký điện tử
ETH Ether Tiền mã hóa gốc của nền tảng Ethereum, một chuỗi khối
mã nguồn mở có chức năng thông minh
FILO Đầu mối liên lạc gia đình
FIRST Diễn đàn các nhóm ứng phó www.first.org
sự cố và an ninh
FTP Giao thức truyền tải tập tin Giao thức mạng tiêu chuẩn được sử dụng để chuyển các
tệp máy tính từ máy chủ đến máy trạm trên mạng máy
tính
HS Dịch vụ ẩn Một trang web hoặc dịch vụ sử dụng công nghệ Tor để
giữ an toàn và / hoặc ẩn danh, còn được gọi là Dịch vụ
Onion
HTML Ngôn ngữ đánh dấu siêu Ngôn ngữ đánh dấu tiêu chuẩn cho các tài liệu được thiết
văn bản kế để hiển thị trong trình duyệt web
HTTP Giao thức truyền tải siêu Một giao thức lớp ứng dụng cho các hệ thống thông tin
văn bản siêu phương tiện phân tán, cộng tác. Nó là nền tảng của
giao tiếp dữ liệu trên World Wide Web
HTTPS Giao thức truyền tải siêu Phần mở rộng của HTTP được sử dụng để giao tiếp an
văn bản bảo mật toàn qua mạng máy tính và được sử dụng rộng rãi trên
World Wide Web
ICANN Tập đoàn Internet cấp số và Chịu trách nhiệm phối hợp việc duy trì và các thủ tục của
tên miền một số cơ sở dữ liệu liên quan đến không gian tên và
không gian số của Internet
ICO Đợt phát hành coin lần đầu Nguồn vốn hoặc nguồn tài trợ cho các công ty mới thành
/Đợt phát hành tiền ảo lần lập, sử dụng tiền mã hóa
đầu
ICT Công nghệ thông tin và Thuật ngữ rộng hơn của Công nghệ thông tin (IT)
truyền thông
IEEE Hội kỹ sư điện và điện tử www.ieee.org
IMAP Giao thức truy cập tin nhắn Giao thức chuẩn internet do máy trạm email sử dụng để
Internet truy xuất email từ máy chủ gửi thư qua kết nối TCP / IP
IoT Internet vạn vật Mạng của các đối tượng vật lý hoặc 'vạn vật' được nhúng
với cảm biến, phần mềm và các công nghệ khác nhằm
mục đích kết nối và trao đổi dữ liệu với các thiết bị khác
qua internet
IP Giao thức Internet Giao thức truyền thông chính trong bộ giao thức Internet
để chuyển tiếp các biểu đồ dữ liệu qua các ranh giới
mạng. Nó có nhiệm vụ chuyển các gói tin từ nguồn đến
đích dựa trên địa chỉ IP
ISP Nhà cung cấp dịch vụ Một tổ chức cung cấp vô số dịch vụ để truy cập, sử dụng
Internet hoặc tham gia vào Internet.
LAN Mạng cục bộ Mạng máy tính kết nối các máy tính trong một khu vực
giới hạn như nơi ở hoặc tòa nhà văn phòng
LOCSA Lạm dụng tình dục trẻ em
trực tuyến
MAC Kiểm soát truy cập phương Là một định danh duy nhất được gán cho bộ điều khiển
tiện truyền thông giao diện mạng để sử dụng làm địa chỉ mạng trong giao
tiếp trong một phân đoạn mạng, có thể nhận dạng là sáu

nhóm gồm hai chữ số thập lục phân
MPK Khóa công khai tổng Là một khóa mật mã chỉ được sử dụng để bảo vệ các
khóa khác.
MTA Tác nhân chuyển thư/Tác Là phần mềm chuyển thư điện tử từ máy tính này sang
nhân chuyển tin nhắn máy tính khác bằng SMTP
NAS Thiết bị lưu trữ đính kèm Là một máy chủ lưu trữ dữ liệu máy tính ở cấp độ tệp
(trái ngược với cấp độ khối) được kết nối với mạng máy
tính cung cấp quyền truy cập dữ liệu cho một nhóm
khách hàng không đồng nhất
NIC Thẻ giao diện mạng Phần cứng máy tính kết nối máy tính với mạng
OSINT Thông tin tình báo nguồn Một phương pháp để thu thập, phân tích và đưa ra quyết
mở định về dữ liệu có thể truy cập được trong các nguồn có
sẵn công khai để sử dụng như thông tin có giá trị.
P2P Mạng ngang hàng Một kiến trúc ứng dụng phân phối phân vùng nhiệm vụ
hoặc khối lượng công việc giữa các ứng dụng ngang hàng.
Những người ngang hàng là những người tham gia có đặc
quyền như nhau trong ứng dụng
PAN Mạng khu vực cá nhân Một mạng máy tính kết nối các thiết bị điện tử với nhau,
tập trung vào không gian làm việc của một cá nhân
POP Giao thức bưu điện Giao thức chuẩn tầng internet ứng dụng được sử dụng
bởi ứng dụng email để truy xuất email từ máy chủ thư
QR Tham chiếu nhanh Một loại mã vạch ma trận, nó là một nhãn có thể đọc
được bằng máy có chứa thông tin về mặt hàng mà nó
được gắn vào
RADIUS Giao thức RADIUS (Remote Một giao thức mạng hoạt động trên các cổng 1812 và
Authentication Dial in User 1813 cung cấp xác thực tập trung, ủy quyền và tính cước
Service) cho người dùng kết nối và sử dụng dịch vụ mạng
RSA Hệ mã hóa RSA (Rivest– Hệ thống mật mã khóa công khai được sử dụng rộng rãi
Shamir–Adleman) để truyền dữ liệu an toàn. Từ viết tắt RSA xuất phát từ họ
của Ron Rivest, Adi Shamir và Leonard Adleman, người
đã mô tả công khai thuật toán vào năm 1977
SANS Viện SANS về bảo mật và www.sans.org
mạng
SMTP Giao thức SMTP Một giao thức truyền thông để truyền thư điện tử
SOHO Văn phòng nhỏ tại nhà Loại hình kinh doanh có từ một đến mười công nhân
SSH Môi trường an toàn Một giao thức mạng mật mã để vận hành các dịch vụ
mạng một cách an toàn qua một mạng không an toàn
SSL Lớp socket bảo mật Một giao thức mật mã được thiết kế để cung cấp bảo
mật thông tin liên lạc qua mạng máy tính, trong các ứng
dụng như email, nhắn tin và thoại qua IP
TCP Giao thức điểu khiển truyền Một giao thức cốt lõi của các giao thức internet, cho
vận phép chuyển các luồng bytes giữa các ứng dụng thông
qua mạng IP một cách đáng tin cập, đúng thứ tự và có
thể kiểm tra lỗi.
TCP/IP Giao thức điều khiển truyền Là bộ giao thức truyền thông chính của Internet và cung
nhận/giao thức liên mạng cấp giao tiếp dữ liệu đầu cuối, chỉ định cách dữ liệu được
đóng gói, xác định địa chỉ, truyền đi, định tuyến và nhận.
TKIP Giao thức bảo mật mạng Một giao thức bảo mật được sử dụng trong tiêu chuẩn
không dây mạng không dây IEEE 802.11.

TLS Bảo mật tầng giao vận Một giao thức mật mã để cung cấp bảo mật thông tin
liên lạc qua mạng máy tính
TOR Bộ định tuyến củ hành Phần mềm mã nguồn mở và miễn phí để cho phép giao
tiếp ẩn danh bằng cách hướng lưu lượng truy cập
internet thông qua mạng lớp ngụy trang miễn phí, tình
nguyện trên toàn thế giới nhằm che giấu vị trí và việc sử
dụng của người dùng
URI Định dạng tài nguyên thống Một chuỗi ký tự duy nhất xác định tài nguyên logic hoặc
nhất vật lý được sử dụng bởi công nghệ web
URL Định vị tài nguyên thống Còn được gọi là địa chỉ web, là một tham chiếu đến một
nhất nguồn web chỉ định vị trí của nó trên mạng máy tính và
cơ chế để truy xuất nó
USB Universal Serial Bus (chuẩn Một tiêu chuẩn công nghiệp thiết lập các thông số kỹ
kết nối tuần tự đa dụng thuật cho cáp và đầu nối và các giao thức để kết nối, giao
trong máy tính) tiếp và cung cấp điện giữa máy tính và thiết bị ngoại vi
USDT Tether Một loại tiền mã hóa có mã thông báo do Tether Limited
phát hành
VPN Mạng riêng ảo Mở rộng mạng riêng trên mạng công cộng và cho phép
người dùng gửi và nhận dữ liệu qua mạng chia sẻ hoặc
mạng công cộng như thể các thiết bị máy tính của họ
được kết nối trực tiếp với mạng riêng
WAN Mạng diện rộng Là mạng viễn thông mở rộng trên một khu vực địa lý rộng
lớn với mục đích chính là kết nối các máy tính
WEP Bảo mật tương đương Một thuật toán bảo mật cho mạng không dây IEEE 802.11
mạng có dây để cung cấp tính bảo mật dữ liệu tương đương với mạng
có dây truyền thống
WPA Chuẩn bảo mật wifi Chương trình chứng nhận bảo mật được phát triển bởi
Liên minh WiFi để bảo mật mạng máy tính không dây
WWW World Wide Web Thường được gọi là Web, là một hệ thống thông tin nơi
các tài liệu và các tài nguyên web khác có thể truy cập
được qua Internet
XPRV Khóa bí mật mở rộng Là sự kết hợp của khóa cá nhân và mã chuỗi, và có thể
được sử dụng để lấy khóa bí mật con

VIE - CSA Tier 1 Cyber Training Program - All Modules v3.1 - FINAL (VN)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

VIE - CSA Tier 1 Cyber Training Program - All Modules v3.1 - FINAL (VN)

Uploaded by

Copyright:

Available Formats

CƠ QUAN AN TOÀN KHÔNG GIAN MẠNG CHÂU Á (CSA)

CSA Chương trình đào tạo an ninh mạng Bậc 1 0|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 1|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 2|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 3|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 4|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 5|Trang

CSA Chương trình đào tạo an ninh mạng Bậc 1 6|Trang

Tổng quan về các Học phần khóa đào tạo

Học phần 1: Giới thiệu về tội phạm mạng

Học phần 2: Chứng cứ điện tử & Nhận thức về công nghệ

Học phần 3: Cơ bản về Internet

Học phần 4: Kiến thức căn bản về mạng

Học phần 6: Thông tin tình báo nguồn mở (OSINT)

CSA Chương trình đào tạo an ninh mạng Bậc 1 7|Trang

Học phần 8: Mạng ẩn (Dark Web)

Đánh giá trực tuyến

Các nguồn khác

 Trung tâm An ninh mạng Úc (ACSC)

CSA Chương trình đào tạo an ninh mạng Bậc 1 8|Trang

Tội phạm mạng là gì?

CSA Chương trình đào tạo an ninh mạng Bậc 1 9|Trang

Một quan điểm từ góc độ thực thi pháp luật

Nếu nhận được cuộc gọi phản hồi về sự cố tương

CSA Chương trình đào tạo an ninh mạng Bậc 1 10 | T r a n g

CSA Chương trình đào tạo an ninh mạng Bậc 1 11 | T r a n g

Dữ liệu công khai

Phương tiện truyền thông xã hội

CSA Chương trình đào tạo an ninh mạng Bậc 1 12 | T r a n g

Mạng nổi (Surface Web)

Mạng chìm (Deep Web)

Mạng ẩn (Dark Web)

Mạng ngang hàng (Peer-to-Peer - P2P)

CSA Chương trình đào tạo an ninh mạng Bậc 1 13 | T r a n g

 ‘Hệ thống’ tiền ảo là mạng ngang hàng P2P;

Hợp tác và phối hợp

CSA Chương trình đào tạo an ninh mạng Bậc 1 14 | T r a n g

Giám định hình sự kỹ thuật số

Âm thanh và hình ảnh giám định hình sự

Bộ phận phòng chống tội phạm mạng ASEAN

Nhóm ứng phó sự cố bảo mật máy tính (CSIRTs)

 Singapore – SingCERT  Lào – LaoCERT

CSA Chương trình đào tạo an ninh mạng Bậc 1 15 | T r a n g

Các nguồn khác

 Ủy ban Cạnh tranh & Người tiêu dùng Úc – Scamwatch

CSA Chương trình đào tạo an ninh mạng Bậc 1 15 | T r a n g

Bằng chứng điện tử là gì

Theo Wikipedia, bằng chứng điện tử là bất kỳ thông tin xác

CSA Chương trình đào tạo an ninh mạng Bậc 1 16 | T r a n g

Quy tắc bằng chứng tốt nhất

Bằng chứng điện tử ở đâu

Hoạt động kinh doanh ngày nay hầu như

CSA Chương trình đào tạo an ninh mạng Bậc 1 17 | T r a n g

Bằng chứng điện tử và Nhà cung cấp dịch vụ

Bằng chứng tiềm năng từ Nhà cung cấp dịch vụ thường

1. Thông tin thuê bao:

CSA Chương trình đào tạo an ninh mạng Bậc 1 18 | T r a n g

Quản lý bằng chứng điện tử

Ba lĩnh vực chính của quản lý bằng

1. Chuỗi hành trình

CSA Chương trình đào tạo an ninh mạng Bậc 1 19 | T r a n g

Quy trình (Workflow)

1. Những quy trình và kỹ thuật nào được thực hiện