"Vụ lừa đảo thú vị nhất năm 2023": Cú lừa triệu đô bị lật tẩy nhờ một đặc điểm cơ bản của Excel, đại gia JPMorgan Chase tức tốc đâm đơn kiện nữ founder 9X

Tháng 1 vừa qua, JPMorgan Chase, một ngân hàng lớn của Mỹ đã đâm đơn kiện vì dính phải một 'cú lừa' triệu đô không ngờ từ một nữ founder 9X. Năm 2023 mới chỉ bắt đầu được vài tháng nhưng người theo dõi đã bình luận rằng 'đây có khi là vụ lừa đảo hay ho nhất của năm'.

Mồi câu kho dữ liệu 4 triệu người dùng

Charlie Javice, sinh năm 1993, từng xuất hiện trong danh sách những người dưới 30 tuổi có tầm ảnh hưởng nhất của Forbes vào năm 2019. Năm 2017, Charlie Javice thành lập Frank, một start-up cung cấp nền tảng hỗ trợ tài chính cho sinh viên Mỹ. Cô giới thiệu rằng nó đã giúp cả triệu sinh viên xin được hàng tỉ đô la học bổng và hỗ trợ tài chính chỉ sau 4 năm hoạt động.

Năm 2021, Charlie Javice tiếp cận ngân hàng JPMorgan để chào bán công ty Frank, với tuyên bố start-up rất được sinh viên tin dùng và đã có 4,265,086 người dùng. Vừa hay đây lại là thị trường trọng điểm của JPMorgan. Đánh giá cao tốc độ phát triển cũng như tiềm năng của start-up này, JPMorgan bèn tiến hành mua lại nhằm mục đích gia tăng kết nối với nhóm khách hàng trẻ tuổi, hay nói cách khác, để khai thác cơ sở dữ liệu 4 triệu người dùng quý giá ấy.

Trong quá trình thẩm định dự án, JPMorgan yêu cầu Charlie Javice trình bày cơ sở dữ liệu 4 triệu người dùng đó. Charlie Javice đã cho ngân hàng này xem, dĩ nhiên là không có các cột thông tin cụ thể như email với lý do bảo mật quyền riêng tư.

Ký kết hợp đồng xong xuôi, vài tháng sau, JPMorgan yêu cầu Charlie Javice gửi dữ liệu đầy đủ để tiến hành một cuộc marketing, vừa để kiểm tra chất lượng dữ liệu, vừa để điều tra thái độ người dùng sản phẩm. Cô này cũng gửi một file có chứa thông tin email cho đội marketing.

Đến đây thì các dấu hiệu lừa đảo mới bắt đầu lộ ra. Hóa ra Charlie Javice đã hoàn toàn 'chém gió' về start-up và lừa ngân hàng này một vố đau.

Thấy nghi ngờ nhờ có... Excel

Khi đưa file vừa nhận vào chạy, một nhân viên của JPMorgan thấy hơi 'sai sai' vì danh sách có đúng 1.048.575 người dùng. Nó vừa kém xa con số 4 triệu được tuyên bố, đồng thời nếu thêm cả 1 dòng tiêu đề vào thì tất cả sẽ gồm 1.048.576 - số dòng tối đa mà 1 file Excel cho phép.

Có thể bên Frank chưa gửi hết, cũng có thể đây là trùng hợp, nên JPMorgan vẫn tặc lưỡi bỏ qua và tiến hành chiến dịch marketing bằng cách chọn ngẫu nhiên 400.000 email. Ngân hàng đã 'ngã ngửa' ra khi thấy hơn 70% số email bị thông báo là không gửi được. Chính xác là chỉ có 28% email thông báo gửi thành công, 1% thông báo là email đã được mở. Trong khi đó, trong mọi chiến dịch khác của JPMorgan, tỉ lệ gửi thành công thường là 99% và tỉ lệ email được mở là 30%.

Sau khi kiểm tra thêm, JPMorgan xác định mình đã bị lừa, bèn quyết định kiện Charlie Javice lên tòa án bang vào tháng 1 năm 2023 và đóng cửa trang web của Frank. Đơn kiện có tường thuật lại mánh khóe lừa đảo của Charlie Javice theo điều tra của JPMorgan.

Lật tẩy 2 lần ngụy tạo dữ liệu giả

Hồi còn đang thảm định, JPMorgan yêu cầu Charlie Javice trình bày cơ sở dữ liệu 4 triệu người dùng của Frank. Dĩ nhiên kho dữ liệu này không tồn tại nên Charlie Javice đã yêu cầu kỹ sư trưởng dùng thuật toán để tạo thông tin khách hàng giả mạo. Kỹ sư trưởng đã từ chối và chỉ gửi cho Javice cơ sở dữ liệu thật với chỉ khoảng 300.000 tài khoản.

Nhưng rồi Charlie Javice lại tìm được một kỹ sư dữ liệu khác ở một trường đại học nọ để tạo ra hơn 4 triệu tài khoản với email hoàn toàn giả mạo. Mỗi tài khoản đều có tên, địa chỉ, ngày sinh và các thông tin cá nhân khác. Cơ sở dữ liệu này được đưa vào hồ sơ năng lực để tăng tính thuyết phục cũng như qua mặt đội ngũ thẩm định.

JPMorgan tìm được những đoạn email trò chuyện giữa người kỹ sư giấu tên này và Charlie Javice làm bằng chứng. Theo đó, Charlie Javice từng hỏi kỹ sư rằng: ' Emails giả nhìn qua có phân biệt được không nhỉ, hay là ta nên dùng ID độc nhất ?' hay yêu cầu ' tỉ lệ trùng lặp số điện thoại không được quá 5%-7% '. Sở dĩ JPMorgan đọc được những email này vì công ty đã mua lại các hệ thống công nghệ của Frank và có quyền truy cập. Đây là lần lừa đảo thứ nhất.

Lần lừa đảo thứ hai là sau khi ký hợp đồng, JPMorgan yêu cầu Charlie Javice gửi cơ sở dữ liệu đầy đủ. Để đối phó, cô này đã đi mua một kho dữ liệu người dùng giả từ bên ngoài và gửi cho JPMorgan. File này cũng có khả năng được tạo hay tổng hợp tự động từ thuật toán nên khi lấp đầy hết 1.048.576 dòng trong Excel thì ngừng. JPMorgan sau đó cũng yêu cầu gửi thêm vì nghĩ đây chắc chỉ là một phần dữ liệu.

Một kỹ sư của Frank có gửi thêm một file khác nhưng chỉ với vỏn vẹn 135.000 người dùng. Hóa ra, file 135.000 người này mới là dữ liệu thật, và kỹ sư nọ ' cũng không rõ file lớn đầu tiên lấy ở đâu ra ' và ' tưởng file nhỏ này (dữ liệu thật) là phần còn lại của file lớn (dữ liệu giả) ' nên gửi nốt.

JPMorgan cáo buộc rằng hành vi gian lận này đã gây thiệt hại không dưới 175 triệu USD cho ngân hàng.

Charlie Javice ‘phản pháo’ ra sao?

Alex Spiro, luật sư của Charlie Javice nói với tờ Wall Street Journal rằng JPMorgan đã 'bịa lý do' để đuổi việc cô này nhằm 'bùng' khoản tiền triệu đô phải trả để mua Frank. Charlie Javice cũng kiện ngược lại công ty và yêu cầu bồi thường chi phí kiện tụng. Luật sư của cô này nói: ' Sau khi vội vã mua lại được start-up đang lớn mạnh nhanh chóng của Charlie, JPMorgan mới phát hiện ra rằng mình không lách được luật về quyền riêng tư hiện hành (để khai thác cơ sở dữ liệu) nên mới định thỏa thuận lại. Charlie không đồng ý nên họ mới kiện .'

Lời kết

Cho dù kết quả của vụ kiện này đi đến đâu, đây vẫn là một câu chuyện không mấy vẻ vang của JPMorgan cũng như Jamie Dimon, giám đốc điều hành hiện tại. Để cạnh tranh được với các đối thủ, trong suốt vài năm gần đây ngân hàng này đã mua lại nhiều công ty fin-tech (công nghệ tài chính). Jamie Dimon đã rất quyết liệt bảo vệ các khoản đầu tư này dù chưa rõ hiệu quả mang lại đến đâu.

Việc một nhà sáng lập trẻ tuổi làm giả hàng triệu dữ liệu để qua mắt được cả một ngân hàng lớn khiến người ta thật sự băn khoăn về mức độ nghiêm ngặt trong quy trình thẩm định của JPMorgan.

Tham khảo từ: CNBC, Unicourt, Wall Street Journal