Farm điện thoại: Từ “nghề tự do” đến tổ chức tội phạm xuyên quốc gia
Mai Phan Lợi
Series tổng hợp, phân tích 3 kỳ.
KỲ 1: BẮT ĐẦU TỪ 41 CHIẾC ĐIỆN THOẠI
“SEO cho cờ bạc” — và bức tranh tội phạm ẩn sau một công ty truyền thông bình thường ở Hà Nội
Sáng ngày 2 tháng 6 năm 2026, Công an TP Hà Nội công bố triệt phá một đường dây mà về mặt hình thức trông không khác gì một công ty digital marketing bình thường: Công ty TNHH Dịch vụ Truyền thông Siêu Thị SEO, giám đốc là Phạm Ngọc Mạnh, sinh năm 1995. Văn phòng, nhân viên, hóa đơn dịch vụ, hợp đồng khách hàng — đủ cả.
Nhưng trong số tang vật thu giữ, bên cạnh 29 máy tính và hơn 10 tỷ đồng tiền mặt lẫn tài sản số, có một chi tiết kỹ thuật đáng chú ý: 41 chiếc điện thoại di động.
Không phải điện thoại của nhân viên. Không phải điện thoại demo. Đây là một dàn thiết bị vận hành song song, mỗi máy mang một danh tính số giả, cùng thực hiện một nhiệm vụ: tạo ra lưu lượng truy cập giả mạo, đẩy thứ hạng tìm kiếm trên Google cho 22 website cờ bạc tiếng Việt hoạt động chui.
41 chiếc điện thoại đó chính là trái tim kỹ thuật của toàn bộ đường dây.
Cơ chế: “SEO mũ đen” vận hành thế nào
Để hiểu vụ án, cần hiểu cách Google xếp hạng một trang web.
Thuật toán của Google, đơn giản hóa, đánh giá độ uy tín của một website dựa trên hai yếu tố chính: có bao nhiêu trang khác dẫn liên kết về nó (backlink), và có bao nhiêu người thực sự truy cập và ở lại đó (traffic + thời gian ở lại trang). Một website được nhiều nơi nhắc đến và nhiều người ghé thăm sẽ được đẩy lên đầu kết quả tìm kiếm. Ngôn ngữ bình dân gọi là "ăn đề xuất".
Nhóm Phạm Ngọc Mạnh khai thác chính xác hai yếu tố này theo cách làm giả có hệ thống:
Mũi một — Mạng lưới backlink ảo (PBN): Dựng hàng loạt website vệ tinh, blog, diễn đàn, trang tin nhái. Mỗi site này đặt liên kết trỏ về 22 website cờ bạc. Google “nhìn thấy” hàng trăm nguồn khác nhau nhắc đến những địa chỉ này — hiểu nhầm là uy tín thật — và đẩy thứ hạng lên.
Mũi hai — Dàn điện thoại tạo traffic ảo: Đây là chỗ 41 chiếc điện thoại phát huy tác dụng. Mỗi máy chạy phần mềm tự động, truy cập lặp đi lặp lại các website cờ bạc, mô phỏng hành vi người dùng thật: vào trang, dừng lại, click vào mục, cuộn trang, thoát ra sau vài phút. Google nhìn thấy “hàng nghìn lượt người dùng” với hành vi tự nhiên — và tiếp tục đẩy thứ hạng lên cao hơn.
Kết quả: người dùng Việt Nam gõ “tài xỉu online”, “casino uy tín”, “lô đề uy tín” vào Google — và thấy ngay trang 1 là những website cờ bạc bất hợp pháp đã được nhóm Mạnh “đánh bóng” kỹ thuật số.
Theo kết quả điều tra ban đầu, từ đầu năm 2026 đến khi bị phát hiện, đường dây thu lợi khoảng 3,7 tỷ đồng — riêng trong vài tháng. Tổng tài sản thu giữ gồm hơn 7 tỷ đồng tiền mặt và tài sản quy đổi từ tiền điện tử, cộng một sổ tiết kiệm 3 tỷ đồng.
Cấu trúc tội phạm: Công ty hợp lệ làm bình phong
Điều khiến vụ Siêu Thị SEO đáng chú ý không chỉ là quy mô, mà là cấu trúc tổ chức. Đây không phải một nhóm cá nhân tự phát vận hành mấy chục điện thoại trong nhà kho. Đây là một công ty hợp lệ, đăng ký kinh doanh đúng ngành nghề “tăng thứ hạng tìm kiếm và lưu lượng truy cập website” — một ngành nghề hoàn toàn hợp pháp.
Bình phong đó cho phép họ:
• Ký hợp đồng dịch vụ với khách hàng (chủ 22 website cờ bạc) như một giao dịch thương mại bình thường.
• Tuyển dụng nhân viên công khai, phân công vai trò rõ ràng.
• Che giấu dòng tiền: thanh toán đầu vào qua 41 ví điện tử nhận USDT (stablecoin), trả lương ra bằng tiền mặt — hai lớp che phủ cắt đứt dấu vết tài chính.
Ngày 29/4/2026, Cơ quan Cảnh sát điều tra Công an TP Hà Nội khởi tố vụ án theo tội danh “Đưa trái phép thông tin mạng máy tính, mạng viễn thông” (khoản 2, Điều 288 BLHS), bắt tạm giam Phạm Ngọc Mạnh cùng 17 quản lý và nhân viên, đồng thời tạm hoãn xuất cảnh 15 người còn lại.
Tổng cộng: 33 người trong đường dây.
Nạn nhân thật — những người không có tên trong hồ sơ vụ án
Hồ sơ khởi tố liệt kê rõ tội danh và bị can. Nhưng có một nhóm nạn nhân không có tên trong đó: những người chơi cờ bạc online đã được đẩy vào 22 website kia bởi kết quả tìm kiếm được thao túng.
Người dùng gõ từ khóa, thấy kết quả trang 1, tin tưởng vì “Google đã xếp hạng cao” — và nạp tiền. Đây không phải suy luận: đó là mục tiêu kinh doanh mà nhóm Mạnh đã được thuê để thực hiện. Thiệt hại kinh tế của nhóm này không thể thống kê từ hồ sơ, nhưng chắc chắn nhiều lần lớn hơn con số 3,7 tỷ mà đường dây thu về.
Google — với tư cách hệ thống bị thao túng — cũng là nạn nhân, dù ít ai nhìn nhận theo góc độ đó.
41 điện thoại — và một hệ sinh thái toàn cầu đằng sau nó
Khi đọc tin về vụ Siêu Thị SEO, người làm báo quen với mảng tội phạm công nghệ sẽ nhận ra ngay: 41 chiếc điện thoại trong vụ này là phần nổi của một tảng băng chìm.
Đây không phải lần đầu, không phải vụ lớn nhất, và chắc chắn không phải cuối cùng.
Để hiểu tại sao, cần lội ngược dòng — về lịch sử hình thành của ngành công nghiệp phone farm toàn cầu, và cách Việt Nam trở thành một trong những địa chỉ trung tâm của nó.
Đó là câu chuyện của Kỳ 2: Từ “cày like” thủ công đến công nghiệp gian lận kỹ thuật số — lịch sử hình thành và du nhập của phone farm vào Việt Nam.
*
KỲ 2: CÔNG NGHIỆP “ĐÀO LỬA” — LỊCH SỬ HÌNH THÀNH VÀ DU NHẬP
Từ những thanh niên ngồi click Facebook thuê, đến dàn 10.000 điện thoại chạy AI — hành trình 15 năm của một ngành tội phạm
Ảnh chụp trong cuốn sách ảnh Beggar’s Honey của nhiếp ảnh gia người Anh Jack Latham — xuất bản năm 2019, chụp tại Việt Nam — gây chú ý trên toàn thế giới: những căn phòng tối tăm, kệ nhựa kín từ sàn đến trần, mỗi kệ gắn hàng trăm chiếc điện thoại smartphone đang sáng màn hình. Dây cáp chằng chịt. Không có người ngồi trực — hệ thống tự chạy 24/7. Ở góc phòng, một màn hình máy tính hiển thị bảng điều khiển theo dõi trạng thái từng thiết bị.
Đó là hình ảnh đầu tiên mà phần lớn thế giới nhìn thấy về phone farm — hay còn gọi là click farm, view farm, và trong tiếng lóng của giới vận hành người Việt: “đào lửa”.
Nhưng câu chuyện bắt đầu trước đó cả một thập kỷ, và khởi nguồn không phải từ công nghệ — mà từ kinh tế.
Giai đoạn 1 (2009 - 2014): Bấm tay đổi tiền
Facebook ra mắt nút “Like” vào tháng 2 năm 2009. Chỉ vài tháng sau, trên các diễn đàn tìm việc làm thêm ở Việt Nam, Philippines, Bangladesh và Ấn Độ, đã xuất hiện những tin rao: “Cần người click Like cho fanpage, 1.000 like = 50.000 đồng”.
Đây là click farm thế hệ 0: thuần thủ công. Một người ngồi một máy tính, mở hàng chục tab Facebook với nhiều tài khoản, click like theo lệnh. Không cần kỹ năng, không cần vốn, chỉ cần thời gian và kết nối internet.
Tại thời điểm đó, đây là hình thức “làm thêm online” phổ biến trong sinh viên Việt Nam, tương tự data-entry hay dịch thuật vi mô trên các nền tảng như Amazon Mechanical Turk.
Không ai coi đó là tội phạm. Kể cả người dùng Facebook mua dịch vụ cũng không nhận thức rõ hành vi của mình vi phạm điều khoản nền tảng.
Giai đoạn 2 (2015 - 2018): Tự động hoá và chuyên nghiệp hoá
Khi Facebook và Google siết thuật toán, đòi hỏi tương tác “thật” hơn — click đơn giản không còn đủ; nền tảng cần thấy người dùng ở lại trang, xem video, cuộn nội dung — ngành click farm buộc phải tiến hoá.
Phần mềm tự động hoá hành vi di động (mobile automation) — ban đầu được viết cho mục đích kiểm thử ứng dụng, như Appium hay Android Debug Bridge — bắt đầu bị tái mục đích cho phone farm. Thay vì mười người ngồi click, một người có thể quản lý một dàn 50 - 100 thiết bị chạy tự động.
Chi phí điện thoại Android cũ tại thị trường Đông Nam Á trong giai đoạn này rơi xuống mức 200.000 - 500.000 đồng/máy cho các model cũ 3 - 4 năm tuổi nhưng vẫn đủ chạy ứng dụng. Điện giá rẻ. Một dàn 200 điện thoại có thể vận hành với vốn đầu tư ban đầu dưới 150 triệu đồng — và thu về lợi nhuận nhiều lần con số đó mỗi tháng nếu chạy đủ công suất.
Đây là giai đoạn phone farm trở thành kinh doanh thực sự, không còn là “làm thêm”. Các cơ sở vận hành có chủ, có nhân viên kỹ thuật, có quy trình vận hành.
Giai đoạn 3 (2019 - 2022): YouTube, TikTok và cuộc bùng nổ
Sự ra đời và mở rộng của các chương trình kiếm tiền từ nội dung — YouTube Partner Program, TikTok Creator Fund, Facebook In-stream Ads — tạo ra nguồn lợi nhuận mới và lớn hơn nhiều so với bán like.
Logic đơn giản: một video đạt 1 triệu lượt xem trên YouTube có thể tạo ra hàng triệu đồng doanh thu quảng cáo cho chủ kênh. Nếu có thể tạo ra 1 triệu lượt xem giả với chi phí thấp hơn mức doanh thu nhận được — đó là mô hình kinh doanh có lợi nhuận.
Phone farm Việt Nam trong giai đoạn này không chỉ phục vụ khách hàng trong nước. Dịch vụ được rao bán công khai trên các diễn đàn quốc tế: “Vietnam view farm — 1000 YouTube views = $2”. Khách hàng từ khắp thế giới có thể thuê dàn điện thoại Hà Nội để đẩy view cho kênh YouTube của mình ở Mỹ, Đức, Thái Lan.
Theo các báo cáo ngành công nghệ, Việt Nam nổi lên trong giai đoạn 2018 - 2022 như một trong ba trung tâm phone farm lớn nhất châu Á, bên cạnh Bangladesh và một số vùng của Ấn Độ, với lợi thế cạnh tranh rõ ràng: chi phí nhân công thấp, kỹ năng kỹ thuật cao trong lực lượng lao động trẻ, và môi trường pháp lý chưa có định nghĩa rõ ràng về hành vi này.
Giai đoạn 4 (2023 - nay): X, AI và sự chuyên nghiệp hoá cấp độ tội phạm
Đây là giai đoạn mà “đào lửa” dứt khoát rời khỏi vùng xám pháp lý và bước vào lãnh thổ tội phạm rõ ràng.
Sự kiện then chốt: năm 2023, Elon Musk ra mắt chương trình Creator Revenue Sharing trên X (Twitter cũ) — trả tiền trực tiếp cho tài khoản có nhiều tương tác. Đây là cơ hội mà các team vận hành phone farm chuyên nghiệp không bỏ qua.
Nhưng để nhận tiền từ X, cần tài khoản ngân hàng Mỹ hợp lệ. Cần danh tính Mỹ. Cần tài khoản X vượt qua xác minh. Đây không còn là “bán view” thủ công — đây là gian lận danh tính có tổ chức xuyên quốc gia.
Đó là nơi câu chuyện dẫn đến tám người ở Hà Nội — và một bộ luật chống mafia của Mỹ.
8 người Hà Nội và đạo luật dành cho băng đảng
Tháng 5 năm 2025, X Corp đệ đơn kiện tại Tòa án Liên bang Bắc Texas, nhắm vào tám người Việt Nam tại Hà Nội. Cáo buộc: vận hành một “tổ chức tội phạm” sử dụng bot và công cụ tự động để thao túng chỉ số tương tác trên X, đánh cắp doanh thu từ những người sáng tạo nội dung hợp lệ.
Cơ chế hoạt động được mô tả trong hồ sơ kiện là: dùng danh tính bị đánh cắp lập hàng trăm tài khoản X giả, dùng phần mềm tự động tạo bài đăng và đẩy tương tác qua likes và reposts. X chi trả doanh thu cho các tài khoản này như thể chúng là creator thật. Tiền chảy qua 125 tài khoản ngân hàng Mỹ — tất cả được mở bằng danh tính giả — rồi được chuyển về Việt Nam qua 1.700 giao dịch tại 9 ngân hàng Việt Nam.
Nhóm này còn đóng gói công cụ tự động của mình thành sản phẩm thương mại — đặt tên là XGPT Tool — và bán kèm video hướng dẫn cho người khác trên toàn cầu, biến đường dây thành cả nhà cung cấp công nghệ tội phạm.
X kiện theo đạo luật RICO — Racketeer Influenced and Corrupt Organizations Act — một điều luật ban đầu được thiết kế để truy tố mafia, sau được mở rộng áp dụng cho mọi tổ chức tội phạm có cơ cấu.
Lựa chọn đó không phải ngẫu nhiên: RICO cho phép X yêu cầu bồi thường gấp ba lần thiệt hại thực tế, và điều quan trọng hơn — nó gắn nhãn pháp lý rõ ràng: đây không phải vi phạm điều khoản dịch vụ. Đây là tội phạm có tổ chức.
Cùng bản chất, khác địa bàn: Châu Âu cũng đang đối mặt
Mô hình tội phạm phone farm không phải đặc sản Đông Nam Á. Châu Âu đang đối mặt với biến thể riêng của nó — SIM farm.
Tháng 10 năm 2025, Europol phối hợp với cảnh sát Latvia, Áo, Estonia và Phần Lan triệt phá một mạng lưới cung cấp SIM card giả cho tội phạm trên toàn châu lục trong chiến dịch mang tên Operation SIMCARTEL. Thu giữ: 1.200 thiết bị SIM box, 40.000 SIM card đang hoạt động, bắt 7 nghi phạm.
Mạng lưới này cung cấp số điện thoại đăng ký bằng danh tính của công dân từ hơn 80 quốc gia — phục vụ các nhóm tội phạm dùng để qua xác minh 2 bước, lập tài khoản giả mạo trên nền tảng số, và thực hiện lừa đảo điện thoại quy mô lớn trên khắp châu Âu.
SIM farm và phone farm là hai nhánh của cùng một thân cây: cơ sở hạ tầng danh tính số giả phục vụ tội phạm mạng có tổ chức.
Tại sao Việt Nam hút phone farm?
Câu hỏi này có câu trả lời kinh tế rõ ràng, không cần lý giải văn hoá hay đạo đức.
Thứ nhất, chi phí vận hành thấp: điện thoại Android cũ, điện rẻ, nhà xưởng giá rẻ ngoài nội đô, nhân công kỹ thuật có tay nghề nhưng thiếu việc làm chính thức phù hợp.
Thứ hai, năng lực kỹ thuật cao: tỷ lệ kỹ sư phần mềm và kỹ thuật viên trẻ tốt nghiệp mỗi năm tại Việt Nam thuộc hàng cao nhất khu vực. Khoảng cách giữa năng lực kỹ thuật và mức lương chính thức tạo ra lực kéo về phía hoạt động phi chính thức có lợi nhuận cao.
Thứ ba, khoảng trống pháp lý kéo dài: trong nhiều năm, không có điều luật Việt Nam nào định nghĩa rõ ràng hành vi vận hành phone farm để gian lận hệ thống quảng cáo của nền tảng nước ngoài là tội phạm. Đây là điểm mà luật Việt Nam đi sau thực tế tới một thập kỷ.
Thứ tư, môi trường thực thi yếu: ngay cả khi có cơ sở pháp lý, áp lực thực thi từ các nền tảng nước ngoài lên pháp luật Việt Nam vốn dựa vào kênh ngoại giao và hợp tác tư pháp quốc tế — vốn chậm và phức tạp.
Bước ngoặt
Năm 2026, bốn yếu tố trên đang thay đổi đồng thời — và sự thay đổi đó đến từ bên ngoài lẫn bên trong.
Từ bên ngoài: X Corp kiện RICO. USTR điều tra Điều 301. Europol tổng kết năm 2025 về mức thiệt hại của tội phạm số có tổ chức đang leo thang. Áp lực quốc tế lên Việt Nam về IP và cyber enforcement chưa bao giờ cao như thế này.
Từ bên trong: vụ Siêu Thị SEO — lần đầu tiên cảnh sát hình sự Hà Nội phối hợp với Cục An ninh mạng Bộ Công an phá một đường dây sử dụng phone farm như công cụ trung tâm, và truy tố hình sự toàn bộ đường dây, từ giám đốc đến nhân viên.
Liệu đó có phải dấu hiệu của sự thay đổi thực chất — hay chỉ là một vụ án đơn lẻ?
Câu trả lời nằm ở câu hỏi cuối cùng: Việt Nam đang đứng ở đâu trong bức tranh toàn cầu, và cái giá của việc không thay đổi là bao nhiêu?
Đó là nội dung của Kỳ 3: Bài toán quốc gia — Điều 301, RICO và cái giá của việc dung thứ tội phạm mạng. Bao gồm bổ sung: nhà mạng trong lộ trình cải cách.
*
KỲ 2 (PHỤ LỤC): KHI NHÀ MẠNG TRỞ THÀNH MẮT XÍCH
* PPPoE đa phiên, IP xoay và câu hỏi không thể né tránh: ai chịu trách nhiệm về hạ tầng của tội phạm?
Một bạn đọc đặt câu hỏi sau khi đọc Kỳ 2: "Bài phân tích sẽ vẫn thiếu nếu chưa đề cập đến vai trò của nhà mạng internet khi cung cấp các gói cước đa phiên — một tài khoản PPPoE qua cấu hình có thể quay đồng thời nhiều phiên để từ đó có số lượng IP WAN tương ứng, giúp vượt qua cơ chế phát hiện của các ứng dụng mạng xã hội và nền tảng MMO".
Bạn đọc đó hoàn toàn đúng. Và câu trả lời từ thực tế còn đi xa hơn nhiều so với điều họ mô tả.
Và đó là lý do phần "Phụ lục" cho kỳ 2 được kéo dài trước khi kỳ 3 được công bố.
Kỹ thuật nền: PPPoE đa phiên hoạt động thế nào
Trong hạ tầng internet FTTH phổ biến tại Việt Nam, kết nối từ nhà thuê bao ra internet đi qua giao thức PPPoE (Point-to-Point Protocol over Ethernet) — một chuẩn xác thực đã có từ thời ADSL, nay vẫn được các nhà mạng lớn như Viettel, VNPT, FPT duy trì do tính linh hoạt trong quản lý thuê bao.
Trong cấu hình thông thường: một tài khoản PPPoE = một phiên kết nối = một địa chỉ IP công cộng (IP WAN). Toàn bộ thiết bị trong nhà đó chia sẻ cùng một IP ra bên ngoài.
Nhưng kiến trúc PPPoE cho phép — nếu nhà mạng đồng ý cấp phép — một tài khoản quay nhiều phiên đồng thời trên cùng một dây vật lý, mỗi phiên nhận một IP WAN riêng biệt từ pool địa chỉ động của nhà mạng.
Kết quả: một địa điểm vật lý duy nhất, nhưng xuất hiện với 5, 15, hay 30 địa chỉ IP khác nhau trước mắt các nền tảng.
Với một farm điện thoại, giá trị của điều này là rõ ràng và trực tiếp: thay vì 41 điện thoại đều xuất hiện từ cùng một IP — dấu hiệu bất thường dễ phát hiện — mỗi nhóm thiết bị, hoặc thậm chí mỗi thiết bị, ra ngoài qua một IP khác nhau. Kết hợp với rotation tự động (ngắt phiên và quay lại để nhận IP mới từ pool động), hệ thống liên tục thay đổi dấu vân tay mạng, mô phỏng hàng chục người dùng thật ở hàng chục địa điểm khác nhau.
Đây là lớp ngụy trang chi phí thấp nhất, hiệu quả nhất trong toàn bộ chuỗi kỹ thuật của phone farm — và nó được cung cấp bởi chính nhà mạng.
Không phải lỗ hổng: đây là sản phẩm được bán công khai
Đến đây, người ta có thể lập luận rằng đây chỉ là một lỗ hổng kỹ thuật bị lợi dụng — nhà mạng không biết, không có ý định hỗ trợ tội phạm.
Lập luận đó sụp đổ khi đối chiếu với thực tế tìm kiếm được từ chính trang thông tin bán hàng, ví dụ như hình ảnh trong bài là của các đại lý uỷ quyền Viettel, có các gói tương tự được quảng bá công khai của VNPT và FPT.
Gói cước F120 và F180 — được xác nhận là “hai gói chính thức của Viettel cho MMO” — được mô tả trên các kênh bán hàng uỷ quyền với ngôn ngữ hoàn toàn tường minh về mục đích sử dụng:
“Cung cấp nhiều địa chỉ Proxy IP động trên cùng một đường truyền FTTH, hỗ trợ quay PPPoE, chuyển đổi IP thông minh, giúp tránh tình trạng quét và chặn IP.”
“Đối tượng phù hợp sử dụng gói cước F180 Viettel: các khách hàng chuyên nuôi nick Facebook, chạy quảng cáo, cày lượt view, like, và tương tác”.
Và câu mở đầu phần giới thiệu sản phẩm, đáng được ghi lại nguyên văn: “Bạn đang dùng gói cước của gia đình và cá nhân để quay PPPoE (Cheat PPPoE), xoay IP và đã bị quét ngăn chặn. Hãy để Viettel giúp bạn tối ưu hóa hoạt động của mình”.
Thông số kỹ thuật của F180: băng thông 500 Mbps, tối đa 30 phiên đồng thời, IP động xoay tự động, giá 1.200.000 đồng/tháng. Hỗ trợ kỹ thuật 1:1 qua nhóm Telegram/Zalo riêng cho khách hàng lớn.
Đây không phải sản phẩm bị lợi dụng ngoài ý muốn. Đây là sản phẩm được thiết kế, đặt tên, định giá và quảng bá nhắm vào đúng nhu cầu của người vận hành farm tương tác. Ngôn ngữ marketing nêu thẳng mục đích. Khách hàng mục tiêu được mô tả không vòng vo.
Điều nhà mạng đã biết — và đã chọn làm gì?
Thú vị hơn nữa là bằng chứng từ chính cộng đồng người dùng. Trên các diễn đàn kỹ thuật như VOZ, nhiều thành viên chia sẻ trải nghiệm nhận cuộc gọi từ bộ phận hỗ trợ Viettel hoặc VNPT chủ động hỏi về hành vi quay nhiều phiên PPPoE trên tài khoản của họ.
Một thành viên ghi lại: “Vừa rồi nó gọi hỏi quay nhiều phiên PPPoE để làm gì”. Thành viên khác: “Support Viettel gọi báo mình quay PPPoE nhiều phiên, bắt tắt đi”.
Điều đó có nghĩa là: nhà mạng hoàn toàn có năng lực kỹ thuật giám sát và phát hiện hành vi đa phiên từ hệ thống RADIUS logging — theo dõi số phiên xác thực đồng thời từ cùng một tài khoản.
Nhà mạng biết.
Câu hỏi không phải là năng lực phát hiện. Câu hỏi là: sau khi biết, nhà mạng đã làm gì?
Câu trả lời thực tế tồn tại song song: một bộ phận kỹ thuật chặn và yêu cầu tắt phiên dư khi phát hiện bất thường; trong khi đó, một bộ phận kinh doanh khác — thông qua kênh đại lý uỷ quyền chính thức — đóng gói chính xác nhu cầu đó thành sản phẩm, thu phí gấp 4–6 lần gói gia đình thông thường, và bán kèm hỗ trợ vận hành.
Không phải mâu thuẫn nội bộ. Đây là hai bộ phận đang làm đúng nhiệm vụ của mình trong một tổ chức chưa có chính sách thống nhất về vấn đề này — bởi vì chưa có quy định pháp luật nào yêu cầu họ phải có.
Ranh giới pháp lý: nhà mạng đứng ở đâu?
Đây là câu hỏi pháp lý chưa có câu trả lời rõ ràng trong hệ thống luật Việt Nam hiện tại — và đó chính là vấn đề.
Nhà mạng cung cấp hạ tầng kết nối. Họ không vận hành phone farm. Họ không viết phần mềm tự động click. Về nguyên tắc, họ là nhà cung cấp dịch vụ trung gian — một vị trí mà cả luật Việt Nam lẫn nhiều khung pháp lý quốc tế truyền thống đều dành cho mức độ miễn trách nhiệm đáng kể.
Nhưng ranh giới đó bắt đầu mờ đi khi nhà cung cấp dịch vụ đồng thời: (1) biết rõ mục đích sử dụng — không phải suy đoán, mà được ghi thẳng vào tài liệu marketing; (2) thiết kế sản phẩm để tối ưu hoá cho mục đích đó — tính năng “tránh quét và chặn IP” không có ứng dụng hợp pháp phổ biến nào ngoài việc vượt qua cơ chế phát hiện bất thường của nền tảng; và (3) thu lợi nhuận trực tiếp và định kỳ từ việc cung cấp hạ tầng đó.
Trong luật hình sự Việt Nam, “đồng phạm giúp sức” (Điều 17 BLHS) không đòi hỏi người giúp sức phải trực tiếp thực hiện hành vi phạm tội — chỉ cần cố ý tạo điều kiện thuận lợi. Khi marketing sản phẩm mô tả tường minh đối tượng khách hàng là “chuyên nuôi nick Facebook, cày view, like” — đây là bằng chứng nhận thức mà một công tố viên có thể khai thác.
Liệu đó có đủ để cấu thành “cố ý” trong nghĩa pháp lý không? Đó là câu hỏi mà cơ quan lập pháp và tư pháp Việt Nam chưa từng được yêu cầu trả lời — vì chưa có vụ án nào truy ngược chuỗi trách nhiệm lên đến nhà mạng.
So sánh: Châu Âu đã đi đến đâu?
Trong vụ SIMCARTEL tháng 10/2025, Europol và cảnh sát Latvia không chỉ bắt người vận hành thiết bị cuối. Họ phá vỡ mạng lưới cung cấp hạ tầng — những người bán SIM card và SIM box cho tội phạm dùng.
Logic truy cứu: nếu anh biết sản phẩm của mình được dùng để thực hiện tội phạm, và anh tiếp tục cung cấp, anh là một phần của chuỗi tội phạm đó.
Đây không phải lý thuyết pháp lý mới — đây là án lệ đã được toà tuyên.
Liên minh châu Âu đang đi xa hơn với gói lập pháp e-evidence 2026, xây dựng nghĩa vụ pháp lý rõ ràng cho nhà cung cấp dịch vụ internet trong việc hợp tác điều tra và báo cáo các mẫu lưu lượng bất thường liên quan đến tội phạm mạng có tổ chức.
Việt Nam chưa có khung tương đương — nhưng đây là khoảng trống mà các nhà làm luật có thể lấp trong lần sửa đổi tiếp theo của Luật An ninh mạng và Luật Viễn thông.
Câu hỏi sau khi đọc xong
Vụ Siêu Thị SEO kết thúc với 33 người bị xử lý. 41 chiếc điện thoại bị tịch thu. 3,7 tỷ đồng bị thu hồi.
Nhưng đường truyền internet đa phiên mà farm đó dùng vẫn đang hoạt động. Gói F120 và F180 vẫn đang được bán. Trang marketing vẫn đang mô tả đối tượng khách hàng là “chuyên nuôi nick Facebook, cày view, like”.
Khi cơ quan điều tra phá một farm điện thoại, họ tịch thu phần cứng và bắt người vận hành. Nhưng họ không chạm đến lớp hạ tầng kết nối — thứ cho phép farm đó vô hình trước mắt các nền tảng (nhất là các nền tảng xuyên quốc gia từ Mỹ, đang đứng sau cuộc điều tra 301 rất mạnh mẽ).
Đó là lý do tại sao, theo nghĩa đen, một farm mới có thể đặt thuê mặt bằng ngay ngày hôm sau, ký hợp đồng gói F180, và bắt đầu vận hành — mà không cần thay đổi bất cứ điều gì trong môi trường pháp lý và kinh doanh hiện tại.
Câu hỏi không phải là nhà mạng có “xấu” hay không. Câu hỏi là: một nền kinh tế số nghiêm túc có thể tiếp tục để tình trạng này tồn tại không được định danh, không được điều chỉnh, không được đặt vào đúng vị trí trong bức tranh trách nhiệm pháp lý?
*
KỲ CUỐI: BÀI TOÁN QUỐC GIA — KHI TỘI PHẠM MẠNG TRỞ THÀNH VẤN ĐỀ NGOẠI GIAO
Từ 41 điện thoại ở Hà Nội đến điều tra thương mại của Washington — và bài toán mà Việt Nam không thể tiếp tục trì hoãn
Có một cách nhìn về vụ Siêu Thị SEO hoàn toàn khác với cách báo chí đưa tin hằng ngày về tội phạm mạng.
Không phải câu chuyện về một kẻ xấu bị bắt. Mà là một triệu chứng chẩn đoán được — về một khoảng trống pháp lý, về một năng lực thực thi còn thiếu, và về một nguy cơ địa chính trị đang ngày một cụ thể hơn.
Ba sự kiện, một mạch logic
Đặt ba sự kiện gần đây cạnh nhau:
- Tháng 5/2025 — X Corp kiện tám người Việt Nam tại Hà Nội theo đạo luật RICO của Mỹ, cáo buộc vận hành tổ chức tội phạm có cơ cấu để gian lận hệ thống doanh thu của nền tảng, rửa tiền qua 125 tài khoản ngân hàng Mỹ giả, chuyển về Việt Nam qua 9 ngân hàng nội địa trong 1.700 giao dịch.
- Tháng 4 - 5/2026 — Đại diện Thương mại Mỹ (USTR) xếp Việt Nam vào danh sách “Quốc gia Ưu tiên Ngoại quốc” trong Báo cáo Special 301 — danh sách ngắn nhất, nặng nề nhất, chỉ dành cho những quốc gia bị đánh giá là “thất bại dai dẳng trong bảo vệ sở hữu trí tuệ”.
Tiếp theo đó, USTR chính thức khởi động điều tra theo Điều 301 Đạo luật Thương mại 1974. USTR khẳng định: các hành động hoặc thiếu hành động của Việt Nam đang “gây thiệt hại đáng kể cho các ngành phụ thuộc vào sở hữu trí tuệ không chỉ tại Việt Nam mà còn ở các thị trường khác”. Đầu tháng 6, USTR xếp Việt Nam vào nhóm 45 nền kinh tế sẽ bị đánh thuế 12,5% về lao động cưỡng bức.
- Tháng 6/2026 — Công an TP Hà Nội phối hợp Bộ Công an triệt phá Siêu Thị SEO — đường dây đầu tiên bị xử lý hình sự toàn diện với phone farm là công cụ trung tâm, 33 người trong lưới.
Ba sự kiện này không phải ngẫu nhiên xảy ra gần nhau. Chúng thuộc về cùng một mạch logic: áp lực quốc tế leo thang, phản ứng nội địa còn chưa tương xứng.
Điều 301 không chỉ về bản quyền phim
Khi người ta nghe “điều tra vi phạm sở hữu trí tuệ”, thường nghĩ đến phim lậu, sách scan, nhạc crack. Đó là phần nhìn thấy được.
Nhưng từ góc nhìn kinh tế số, gian lận hệ thống quảng cáo và kiếm tiền của các nền tảng Mỹ — YouTube, Meta, X, TikTok — cũng là một hình thức lấy đi tài sản trí tuệ: lấy đi doanh thu mà các nền tảng đó phân bổ cho người sáng tạo nội dung hợp lệ.
Khi các farm điện thoại Việt Nam đánh cắp doanh thu từ chương trình Creator Revenue của X hay YouTube Partner Program, họ đang chuyển tiền từ hệ sinh thái kinh tế số Mỹ ra ngoài theo con đường gian lận.
Đây là lý do tại sao X lựa chọn RICO chứ không chỉ kiện dân sự đơn giản. Đây cũng là lý do tại sao USTR, trong cùng bối cảnh đàm phán thương mại Việt - Mỹ căng thẳng, lại chọn đúng thời điểm này nâng Việt Nam lên hạng “ưu tiên” trong danh sách theo dõi IP, đồng thời chặn các IP Việt Nam truy cập tra cứu sở hữu trí tuệ với cùng lý do.
Cái giá vô hình
Ngoài rủi ro từ Washington, phone farm đang tạo ra những thiệt hại nội địa mà ít ai nhìn thấy đủ rõ.
- Với creator Việt Nam: Hàng chục nghìn người làm nội dung đang cạnh tranh trên các nền tảng trong một môi trường bị méo bởi tương tác giả. Việc này các toà báo chân chính hiểu rõ hơn cả; bỏ nhiều chi phí sản xuất nội dung, khi vừa xuất bản thì các page, kênh thi nhau lấy cắp và đạt lượng view "khủng" nhờ các farm này.
Thuật toán của các nền tảng không phân biệt được người thật hay bot — nó chỉ ưu tiên tương tác cao. Kết quả: creator trung thực thua cuộc trong cuộc đua giành phân phối, không phải vì nội dung kém mà vì không chịu — hoặc không biết — mua view ảo.
- Với hệ thống ngân hàng Việt Nam: Mô hình tài chính trong vụ X — tiền chảy qua 125 tài khoản Mỹ giả về 9 ngân hàng Việt Nam trong 1.700 giao dịch — có đủ đặc điểm của rửa tiền theo định nghĩa FATF. Việt Nam vừa thoát danh sách xám của FATF năm 2023 sau nhiều năm nỗ lực. Để tái xuất hiện trên danh sách đó vì các vụ án mà hệ thống ngân hàng được dùng làm kênh rửa tiền cho tội phạm mạng xuyên quốc gia là một hậu quả không thể chấp nhận được.
- Với hình ảnh kinh tế số: Việt Nam đang trong quá trình định vị như một trung tâm kinh tế số khu vực, thu hút FDI công nghệ, mở rộng fintech và thương mại điện tử xuyên biên giới. Mỗi vụ kiện RICO từ một tập đoàn công nghệ Mỹ nhắm vào công dân Việt Nam, mỗi báo cáo quốc tế đặt Hà Nội trong danh sách điểm nóng click farm toàn cầu, là một gạch chân tiêu cực trong hồ sơ đó — được các nhà đầu tư nước ngoài đọc kỹ hơn bất kỳ thông cáo báo chí nào từ phía chính quyền.
Bài học từ châu Âu: Không ai miễn nhiễm, nhưng có thể học cách đối phó
Chiến dịch SIMCARTEL của Europol tháng 10/2025 không chỉ đáng chú ý vì quy mô — 40.000 SIM card, 1.200 thiết bị, khách hàng tội phạm ở 80 quốc gia. Đáng chú ý hơn là mô hình phối hợp thực thi: cảnh sát Latvia, Áo, Estonia, Phần Lan cùng Europol hành động đồng thời trên cơ sở chia sẻ tin tình báo theo thời gian thực.
Và quan trọng hơn: họ truy tố không chỉ người vận hành cuối, mà truy ngược lên cả nhà cung cấp hạ tầng — những người bán SIM box biết rõ khách hàng của mình là ai. Đây là tiền lệ pháp lý mà các nhà mạng Việt Nam có thể và cần học từ từ.
Lộ trình khả thi — bốn tầng, không phải ba
Vụ Siêu Thị SEO cho thấy Việt Nam có năng lực kỹ thuật và năng lực điều tra để xử lý các vụ phone farm. Điều còn thiếu nằm ở tầng pháp lý và chính sách. Với bổ sung từ Phụ lục Kỳ 2, lộ trình cần thiết không phải ba tầng mà là bốn:
Tầng 1 — Pháp lý hình sự: Tội danh “Đưa trái phép thông tin mạng máy tính” (Điều 288 BLHS) là điều khoản phù hợp nhất hiện tại — nhưng không được thiết kế cho các mô hình gian lận hệ thống quảng cáo xuyên biên giới, gian lận danh tính kỹ thuật số tổ chức, hay rửa tiền qua crypto. Cần bổ sung hoặc sửa đổi để hình sự hoá rõ ràng các hành vi này, học từ mô hình RICO về cách truy cứu cả cơ cấu tổ chức chứ không chỉ từng cá nhân.
Tầng 2 — Hợp tác nền tảng: Thiết lập kênh chia sẻ dữ liệu gian lận trực tiếp với Google, Meta, X, TikTok — mô hình này đã hoạt động hiệu quả ở Malaysia và Philippines, giúp cảnh sát địa phương xác định đường dây trước khi nền tảng khởi kiện dân sự.
Tầng 3 — Tài chính: Yêu cầu báo cáo giao dịch bất thường liên quan đến thanh toán từ nền tảng nước ngoài chuyển về tài khoản cá nhân — đây là mắt xích dễ truy vết nhất trong toàn bộ chuỗi tội phạm.
Tầng 4 — Nhà mạng và hạ tầng kết nối: Đây là tầng mới, được nhận diện nhờ ý kiến bạn đọc, và có lẽ là tầng ít tốn kém nhất để triển khai.
Bộ Thông tin và Truyền thông, giờ là Bộ Khoa học Công nghệ, với tư cách cơ quan quản lý viễn thông, cần:
(a) Ban hành quy định rõ ràng về điều kiện cung cấp gói cước đa phiên PPPoE — bao gồm yêu cầu khai báo mục đích sử dụng và nghĩa vụ lưu log giao dịch;
(b) Quy định nghĩa vụ báo cáo khi hệ thống RADIUS phát hiện mẫu đa phiên bất thường kéo dài — tương tự nghĩa vụ báo cáo giao dịch đáng ngờ trong lĩnh vực ngân hàng;
(c) Xem xét trách nhiệm pháp lý của nhà mạng khi sản phẩm được quảng cáo công khai với mục đích vi phạm điều khoản dịch vụ của nền tảng.
Điều cần nhấn mạnh: đây không phải yêu cầu nhà mạng trở thành cảnh sát mạng. Đây là yêu cầu nhà mạng ngừng bán công khai công cụ mà họ biết rõ đang được dùng để vận hành tội phạm — và đưa ra được một quy trình minh bạch khi cơ quan điều tra yêu cầu dữ liệu về tài khoản bất thường.
Tự dọn sân, hay để người khác dọn hộ?
Giám đốc 31 tuổi của Siêu Thị SEO hiện đang bị tạm giam ở Hà Nội. Tám người ở Hà Nội khác đang đối mặt với một vụ kiện RICO tại Texas.
Hai vụ án, hai hệ thống pháp lý, cùng một bản chất: phone farm là công cụ tội phạm, không phải nghề tự do.
Câu hỏi không còn là “có nên xử lý hay không”. Câu hỏi là: Việt Nam sẽ xử lý theo cách của mình — chủ động, có hệ thống, trên cơ sở lợi ích quốc gia lâu dài — hay sẽ để các vụ kiện từ Texas, các báo cáo từ Washington, và các điều tra từ Brussels tiếp tục vẽ bức chân dung của Việt Nam trên bản đồ tội phạm mạng toàn cầu?
Câu trả lời không nằm trong một vụ bắt giữ đơn lẻ, dù ấn tượng đến đâu.
Và nó chắc chắn không nằm ở chỗ để một nhà mạng nhà nước tiếp tục bán gói F180 với dòng quảng cáo “Hãy để Viettel giúp bạn tối ưu hoá” — gửi đến những người đang vận hành gian lận quảng cáo quy mô công nghiệp.
Toàn bộ chuỗi — từ dàn điện thoại, qua đường truyền đa phiên, đến tài khoản crypto che giấu dòng tiền — cần được nhìn nhận là một hệ thống. Và xử lý hệ thống đòi hỏi phản ứng có hệ thống, không phải từng mảnh rời.
Thời gian không còn nhiều để xây dựng từ tốn nữa. Tăng trưởng hai con số với doanh số xuất khẩu gần 200 tỷ USD vào Mỹ cần câu trả lời!
---
Nguồn tham khảo chính:
Hồ sơ khởi tố Công an TP Hà Nội (29/4/2026); VnExpress, VOV, Tuổi Trẻ, Đại Đoàn Kết (2/6/2026); Hồ sơ kiện X Corp v. Nguyen et al., N.D. Tex. (tháng 5/2025); Báo cáo Special 301 USTR (30/4/2026); Europol — Operation SIMCARTEL (tháng 10/2025); Trang sản phẩm gói F180/F120 — Viettel (netviettel, viettelvt, viettelcare, 2024–2025); Diễn đàn VOZ — thảo luận gói cước đa phiên (2024).
M.P.L.
Nguồn: FB Lợi Phan Mai