Cảnh báo rủi ro sớm dành cho nhà đầu tư toàn cầu: Phát hiện mạng lưới lừa đảo đa cấp mới nổi

Mặc dù chưa ghi nhận các khiếu nại công khai quy mô lớn, chúng tôi đã xác định một cụm các nền tảng đầu tư đáng ngờ có sự phối hợp chặt chẽ, bộc lộ rõ những đặc điểm của một tổ chức lừa đảo bài bản.

Các nền tảng này hoạt động trên cả thị trường Anh, Đức và Trung Quốc, sử dụng các câu chuyện về giao dịch AI (trí tuệ nhân tạo), sự kiện ICO (phát hành tiền ảo lần đầu) và xây dựng thương hiệu cộng đồng tinh hoa để thu hút nhà đầu tư. Cấu trúc vận hành, mô hình đăng ký tên miền, kiến trúc kỹ thuật và hành vi trên mạng xã hội cho thấy đây là một hệ thống lừa đảo được chuẩn bị kỹ lưỡng, hiện đang trong giai đoạn đầu của chu kỳ thu hoạch (early harvesting stage).

Báo cáo này được đưa ra nhằm mục đích cảnh báo rủi ro một cách chủ động, trước khi xảy ra các vụ việc gây thiệt hại trên diện rộng.

Đặc điểm chung của hoạt động lừa đảo

Hạ tầng tên miền tập trung

Một điểm đáng chú ý là phần lớn các tên miền đều được đăng ký thông qua Gname.com Pte. Ltd., một công ty đăng ký tên miền được ICANN công nhận, có trụ sở tại Singapore và được thành lập vào tháng 5 năm 2020.

Các đặc điểm kỹ thuật chính bao gồm:

• Đăng ký hàng loạt tên miền thông qua một nhà cung cấp duy nhất.
• Sử dụng rộng rãi cấu trúc H5 trên di động, theo dạng: web.xxx.com/#/
• Ký tự “#/” trong đường dẫn cho thấy việc sử dụng định tuyến băm (hash routing) – đặc trưng của các ứng dụng trang đơn (SPA) thường được xây dựng bằng Vue hoặc React.
• Các mô-típ giao diện (template) có tính mô-đun hóa cao, cho phép thay thế logo và thương hiệu một cách nhanh chóng.

Điều này chứng minh đây là một quy trình lừa đảo có tính mở rộng (scalable fraud factory), vận hành dựa trên các mẫu giao diện có sẵn, thay vì các doanh nghiệp độc lập, riêng lẻ.

Chiến lược nhắm mục tiêu đa ngôn ngữ

Khác với các mô hình lừa đảo truyền thống thường chỉ nhắm vào cộng đồng nói tiếng Trung, mạng lưới này cho thấy một cấu trúc tinh vi và phát triển hơn:

• Ngôn ngữ nền tảng (gốc) là tiếng Trung (bản hoàn chỉnh và trôi chảy nhất).
• Mục tiêu thu hoạch chính là thị trường Anh ngữ.
• Nhắm mục tiêu chính xác vào nhà đầu tư Đức thông qua các tên miền nội địa hóa (.de).
• Một số trang web tự động chuyển sang tiếng Đức khi truy cập.
• Hỗ trợ đa ngôn ngữ: Anh, Đức, Trung, và đôi khi có cả tiếng Pháp, Ý.

Đây là một mô hình lừa đảo chính xác, nâng cấp và nhắm mục tiêu toàn cầu (globally targeted precision scam model).

Các “mồi câu” tiếp thị cốt lõi

Các câu chuyện phổ biến xuất hiện trên hầu hết các nền tảng bao gồm:

• Hệ thống giao dịch định lượng bằng AI.
• Bán các công cụ giao dịch AI.
• Cơ hội tham gia ICO.
• Sàn giao dịch Web3.
• Giao dịch hợp đồng đòn bẩy cao.
• Staking và khai thác tiền ảo (mining).
• “Cộng đồng tinh hoa” và “nhóm đồng học tập”.
• Các hoạt động từ thiện, “phúc lợi công cộng”.

Để thúc đẩy quá trình nạp tiền, nhiều nền tảng sử dụng các chương trình khuyến khích cực lớn như xổ số trúng thưởng với các giải thưởng như:

• iPhone 17 Pro Max
• Vàng vật chất 5 ounce
• Quỹ giải thưởng 10.000 Bitcoin

Điều này cho thấy một sự thay đổi chiến thuật: thay vì đặt “bẫy” sau đó trong các nhóm giao dịch, chúng chủ động sàng lọc và thúc đẩy mạnh mẽ các mục tiêu có tiềm lực tài chính cao ngay từ đầu.

Mạng lưới tên miền đáng ngờ đã xác định với 40 nền tảng

Dưới đây là các nền tảng có cấu trúc tương đồng và các dấu hiệu phối hợp rõ ràng:

Sàn giao dịch / Trung tâm giao dịch

• HJC Exchange – https://hjccoins.cc/
• PulseSun Exchange – https://web.pulsesun.com/#/
• Liexs Digital Asset Center – https://web.liexs.com/#/
• Beuce Digital Asset Center – https://web.beuce.com/#/
• Ksaok Digital Asset Center – https://web.ksaok.com/#/
• Chobes Digital Asset Center – https://web.chobes.org/#/
• Ktrowe Digital Asset Center – https://web.ktrowe.com/#/
• ZEAKS Trading Center – https://web.zeaks.org/#/
• LEXINOVA Trading Center – https://web.lexinova.com/#/
• EMERALDWISDOM Trading Center – https://web.emeraldwisdom.com/#/
• HIGHTITAN Trading Center – https://web.hightitan.com/#/
• DURALUMEN Trading Center – https://web.duralumen.com/
• Quantum Vault Trading Center – https://web.qvtcoinese.com/#/
• AIXEBIT Exchange – https://web.aixebit.com/#/
• Yeahchain Exchange – https://web.yeahchain.com/#/

Liên minh đầu tư

• ProfitShock Investment Alliance – https://profitshock.com/
• Miqesia Investment Alliance – https://miqesia.com/
• Eramls Investment Alliance – https://eramls.com/
• Acenix Investment Alliance – https://acenix.com/
• Searel Investment Alliance – https://searel.com/
• Atrish Investment Alliance – https://atrish.com/
• Scatil Investment Alliance – https://scatil.com/
• Prometheus Investment Alliance – https://prometheus-alliance.de/
• Tethys Investment Alliance – https://tethys-alliance.de/
• EraMix Financial Union – https://eramix.com/
• DualHeart Financial Association – https://dualheart.com/
• WelcomeVille Investment Association – https://welcomeville.com/
• Mindzo Investment Union – https://mindzo.com/

Mô hình Hội / Cộng đồng

• Harborstone Society – https://harborstonesociety.com/
• Oakstone Society – https://oakstonesociety.com/
• Boiling Point Society – https://boilingpointsociety.com/
• Inningz Wealth Circle – https://inningz.com/

Thương hiệu theo dạng Tập đoàn / Vốn / Thịnh vượng

• Goldmanre Prosperity Group – https://goldmanre.com/
• Elitepalace Prosperity Group – https://elitepalace.com/
• Nalera Prosperity Group – https://nalera.com/
• Gainstra Capital – https://gcgcgc.com/
• Neoster Global – https://www.neoster.com/#/
• NOVA COLLECTIVE INVEST – https://novacollfdn.com/
• Wellington Harbor Cap – https://web.wellingtonharborcap.cc/#/

Lưu ý: NOVA COLLECTIVE INVEST xuất hiện nhiều lần trong các tài liệu quan sát được.

Cụm “Society.com” - Che giấu địa chỉ tại Mỹ

Ví dụ:

• Harborstone Society: 100 N Howard St Ste R, Spokane, WA
• Oakstone Society: 3400 Capitol Blvd SE Ste 101, Tumwater, WA

Các địa chỉ này dường như được sao chép từ các doanh nghiệp không liên quan và có thể tương ứng với các văn phòng ảo (virtual offices).

Quy trình vận hành điển hình:

1. Tham gia cộng đồng.
2. Mua công cụ giao dịch AI.
3. Tham gia xổ số giá trị cao.
4. Thắt chặt tình cảm thông qua “vòng tròn tinh hoa”.

Cụm liên minh nhắm vào thị trường Đức với tên miền .de

• Prometheus Investment Alliance
• Tethys Investment Alliance

Đặc điểm:

• Các trang web đa ngôn ngữ.
• Tuyên bố: “Là công ty Mỹ phục vụ thị trường Đức, do đó không yêu cầu mã số VAT của Đức”.
• Mô hình giao dịch dưới sự hướng dẫn của người cố vấn (mentor).
• Quy trình khai thác ba giai đoạn:

1. Khóa học tính phí.
2. Tham gia từ thiện.
3. Nộp “thuế” trước khi rút tiền.

Kịch bản này phù hợp với các kịch bản “cắt tiết” (pig-butchering) dựa trên sự tin tưởng và định hướng mối quan hệ.

Mạo danh các tổ chức tài chính lớn

Một số nền tảng cố gắng đánh cắp uy tín bằng cách bắt chước các tổ chức tài chính lâu đời, chẳng hạn như:

• Goldman Sachs
• Wellington Management

Ví dụ:

• Goldmanre Prosperity Group
• Wellington Harbor Cap

Các địa chỉ thực tế được cung cấp thường tương ứng với không gian văn phòng dùng chung (shared office spaces).

Chiến thuật này dựa trên sự nhầm lẫn thương hiệu và lòng tin của nhà đầu tư vào các tên tuổi được công nhận toàn cầu.

Giai đoạn khai thác thứ cấp: Lừa đảo phục hồi tài sản

Kể từ cuối tháng 1, đã xuất hiện thêm nhiều tài khoản trên các nền tảng xã hội tự xưng là:

• “Chuyên gia chống lừa đảo”.
• “Chuyên gia thu hồi vốn”.

Một số thậm chí còn vận hành các trang web như:

• https://tracingfrauds.com/

Họ tuyên bố có các kênh nội bộ để lấy lại số tiền bị đóng băng, nhưng thay vào đó lại yêu cầu nạn nhân thanh toán:

• Phí xử lý.
• Phí phần mềm.
• Phí bảo lãnh pháp lý.

Đây là dấu hiệu rõ ràng của một chiến dịch lừa đảo thu hồi tài sản (recovery scam) giai đoạn hai, nhắm vào chính những nạn nhân trước đó.

Mô hình “cắt tiết” bốn giai đoạn được quan sát

• Giai đoạn 1: Tạo khách hàng tiềm năng
• Quảng cáo trên mạng xã hội (mạo danh người nổi tiếng).
• Tiếp cận qua Instagram, Telegram, WhatsApp.
• Cuộc gọi lạnh AI (AI voice cold calls).
• Trang web tặng sách / khuyến nghị cổ phiếu miễn phí.
• Mạo danh hồ sơ hấp dẫn được sao chép từ các nền tảng khác.
• Mời tham gia các nhóm đầu tư.
• Giai đoạn 2: Xây dựng lòng tin
• Giao dịch cổ phiếu đầu cơ với tỷ lệ thắng cao.
• Các lớp học chứng khoán/ngoại hối trực tiếp.
• Dần dần giới thiệu các nền tảng “độc quyền”.
• Giai đoạn 3: Ủy thác vốn lớn
• Kế hoạch “giao dịch theo hợp đồng ủy thác”.
• Hứa hẹn lợi nhuận gấp 2–3 lần vốn gốc trong vòng 3 tháng.
• Nếu thành công, chia sẻ 10% lợi nhuận.
• Việc rút tiền bị chặn bởi các lý do: “nộp thuế”, “xem xét tuân thủ”, “kiểm toán chống rửa tiền”.
• Nạn nhân được hướng dẫn vay tiền; số tiền vay được ghi nhận trực tiếp vào số dư trong ứng dụng giao dịch giả mạo.
• Giai đoạn 4: Giao dịch nội bộ chiết khấu khối lượng lớn
• “Hợp đồng tương lai vàng/dầu nội bộ ưu đãi”.
• Giao dịch từ 1000 hợp đồng trở lên.
• Các lý do bổ sung để chặn rút tiền: gây áp lực từ thiện, yêu cầu nộp thuế, tuyên bố đang bị cơ quan quản lý xem xét.

Kết luận

Sự tương đồng về cấu trúc trong việc đăng ký tên miền, kiến trúc kỹ thuật, mô-típ thương hiệu, chiến lược nhắm mục tiêu đa ngôn ngữ và kịch bản kỹ thuật xã hội (social engineering scripts) cho thấy rõ đây là một mạng lưới lừa đảo có tổ chức, có khả năng mở rộng và đang trong giai đoạn đầu của chu kỳ thu hoạch.

Mặc dù chưa xảy ra các vụ lừa đảo công khai trên diện rộng, nhưng các mô hình hành vi này hoàn toàn trùng khớp với các đường dây “cắt tiết” tinh vi đã được ghi nhận trước đây.

Các nhà đầu tư được khuyến cáo mạnh mẽ:

• Tự mình xác minh độc lập các giấy phép quản lý.
• Tránh xa các nền tảng hứa hẹn lợi nhuận cao bất thường hoặc chắc chắn có lãi.
• Thận trọng với các đợt chào bán công cụ giao dịch AI kết hợp với lời kêu gọi đầu tư.
• Xem các “chuyên gia thu hồi vốn” yêu cầu phí trả trước là có rủi ro cao.
• Không bao giờ gửi tiền đến các sàn giao dịch tiền ảo hoặc nền tảng ICO chưa được xác minh.

Nhận thức sớm là biện pháp bảo vệ hiệu quả nhất.