Trang web giả mạo visa Anh làm lộ 100.000 hộ chiếu trên AWS

Trang web giả mạo visa Anh làm lộ 100.000 hộ chiếu trên AWS

Một trang web lừa đảo giả dạng cổng thông tin visa chính thức của Anh đã để lộ ảnh quét hộ chiếu và ảnh tự sướng của ít nhất 100.000 người dùng trên máy chủ Amazon AWS có thể truy cập công khai, không có biện pháp kiểm soát truy cập thực sự nào. Trang web do một công ty đăng ký tại UAE vận hành, và dữ liệu thu thập được, bao gồm các giấy tờ tùy thân nhạy cảm và thông tin vị trí địa lý, đã bị bỏ ngỏ cho bất kỳ ai biết nơi để tìm. Vụ lộ danh tính cổng visa chính phủ giả mạo này là lời nhắc nhở rõ ràng về mức độ nguy hiểm khi nộp tài liệu sinh trắc học lên các nền tảng trực tuyến chưa được xác minh.

Trang web giả mạo visa Anh đã thu thập và để lộ những gì

Cổng thông tin lừa đảo này đã thu thập chính xác loại dữ liệu mà quy trình xin visa hợp pháp yêu cầu: ảnh quét hộ chiếu, ảnh chụp khuôn mặt (ảnh tự sướng) và dữ liệu vị trí địa lý. Bằng cách bắt chước giao diện và ngôn ngữ của một dịch vụ chính thức của chính phủ Anh, trang web này đã thuyết phục hàng chục nghìn người dùng tự nguyện tải lên một số tài liệu cá nhân nhạy cảm nhất của họ.

Sau khi thu thập, dữ liệu đó được lưu trữ trên máy chủ Amazon AWS được cấu hình để truy cập công khai. Không có bảo vệ bằng mật khẩu, không có lớp xác thực nào và dường như không có nỗ lực bảo mật bucket nào sau khi phát hiện ra sự việc. Điều này có nghĩa là bất kỳ ai có URL trực tiếp đều có thể tự do duyệt hoặc tải xuống các tệp tin, tạo ra nguy cơ khổng lồ về hành vi đánh cắp danh tính, lừa đảo và làm giả giấy tờ.

Việc đơn vị vận hành được đăng ký tại UAE càng làm tăng thêm mức độ phức tạp. Các nạn nhân muốn tìm kiếm biện pháp pháp lý hoặc xóa dữ liệu phải đối mặt với những rào cản đáng kể về thẩm quyền pháp lý, và không có gì đảm bảo dữ liệu đã được xóa hoặc hủy hoàn toàn.

Ai có nguy cơ và trang web lừa đảo này vận hành như thế nào

Nạn nhân ở đây là những du khách và người xin visa đã tin tưởng một dịch vụ có vẻ liên kết với chính phủ hợp pháp. Các cổng xin visa lừa đảo như thế này thường xuất hiện thông qua quảng cáo tìm kiếm trả phí, các bài đăng gây nhầm lẫn trên mạng xã hội hoặc các liên kết được chia sẻ trong các diễn đàn du lịch và nhóm Facebook. Chúng được thiết kế để trông có vẻ uy tín, thường sử dụng biểu tượng chính thức, bảng màu và ngôn ngữ hành chính để giảm bớt sự cảnh giác của người dùng.

Những người có nguy cơ cao nhất là những ai không quen với cách thức tổ chức trực tuyến của các dịch vụ chính phủ Anh chính thức, bao gồm cả những du khách quốc tế lần đầu, những người đang tìm hiểu các quy trình nhập cư phức tạp bằng ngôn ngữ thứ hai và những người phát hiện ra trang web qua liên kết của bên thứ ba thay vì qua tham chiếu từ chính phủ. Sự khẩn cấp thường xoay quanh các đơn xin visa – thời hạn chót, ngày đi du lịch cận kề – tạo ra áp lực khiến cho việc xác minh cẩn thận trở thành một thứ xa xỉ thay vì là điều cần thiết.

Đối với bất kỳ ai có ảnh quét hộ chiếu và ảnh tự sướng hiện đang nằm trong bộ dữ liệu bị lộ này, rủi ro không chỉ là lý thuyết. Các tài liệu này đủ để cố gắng thực hiện hành vi gian lận danh tính, mở tài khoản tài chính hoặc tạo ra các tài liệu du lịch giả mạo.

Tại sao khách du lịch lại đặc biệt dễ bị tổn thương trước các cổng thông tin chính phủ lừa đảo

Đơn xin visa chiếm một không gian trực tuyến đặc biệt nguy hiểm. Quy trình này thường gây bối rối, liên quan đến nhiều đối tác bên thứ ba hợp pháp (như các trung tâm tiếp nhận hồ sơ visa) và đòi hỏi phải nộp các tài liệu hết sức nhạy cảm. Sự mập mờ về cấu trúc đó tạo điều kiện cho những kẻ lừa đảo có dư địa hoạt động.

Cũng đáng để hiểu rõ hơn về cơ chế hoạt động của các kế hoạch thu thập danh tính. Khi một trang web yêu cầu bạn tải lên hộ chiếu và chụp ảnh tự sướng, nó đang thực hiện một hình thức xác minh danh tính sinh trắc học, cùng một quy trình hiện được sử dụng bởi các hệ thống xác minh độ tuổi và các nền tảng dịch vụ tài chính. Như đã giải thích trong cách xác minh độ tuổi trực tuyến hoạt động, các hệ thống này thu thập và lưu trữ dữ liệu sinh trắc học cá nhân cao, có nghĩa là việc trao dữ liệu đó cho một nhà điều hành chưa được xác minh, ngay cả khi trang web trông có vẻ chính thức, có thể gây ra những hậu quả kéo dài hơn bất kỳ giao dịch đơn lẻ nào.

Những du khách sử dụng Wi-Fi công cộng để hoàn thành các đơn xin visa phải đối mặt với rủi ro chồng chất. Ngay cả khi một trang web hợp pháp, việc gửi tài liệu qua mạng không bảo mật cũng khiến dữ liệu đó dễ bị đánh chặn. Nhưng khi chính trang web đích là lừa đảo, vấn đề tồn tại bất kể bạn đang sử dụng mạng nào.

Cách xác minh các trang web visa chính thức và bảo vệ giấy tờ tùy thân trực tuyến

Tin tốt là việc xác minh rất đơn giản khi bạn biết cần kiểm tra những gì. Dưới đây là các bước mọi du khách nên thực hiện trước khi gửi bất kỳ giấy tờ tùy thân nào trực tuyến:

Kiểm tra kỹ tên miền. Tất cả các dịch vụ chính thức của chính phủ Anh đều được lưu trữ trên các tên miền kết thúc bằng .gov.uk. Bất kỳ trang web nào sử dụng biến thể của tên miền này, chẳng hạn như .com, .org hoặc tên miền có gạch nối như uk-visa-portal.com, đều nên bị nghi ngờ cho đến khi được chứng minh là ngược lại.

Bắt đầu từ nguồn chính thức. Thay vì nhấp vào liên kết từ kết quả tìm kiếm hoặc bài đăng trên mạng xã hội, hãy gõ trực tiếp gov.uk vào trình duyệt và điều hướng đến phần visa từ đó. Quảng cáo tìm kiếm trả phí có thể và thường xuyên quảng bá các trang web lừa đảo.

Tìm chính sách quyền riêng tư và chi tiết về thời gian lưu giữ dữ liệu. Cổng thông tin chính phủ hợp pháp và các trung tâm tiếp nhận hồ sơ visa được ủy quyền công bố thông tin rõ ràng về cách họ xử lý dữ liệu của bạn, nơi dữ liệu được lưu trữ và thời gian lưu giữ. Một trang web bỏ qua thông tin này hoặc làm cho thông tin khó tìm là một dấu hiệu cảnh báo.

Xác minh các đơn vị xử lý bên thứ ba. Nếu một trang web tuyên bố là trung tâm tiếp nhận hồ sơ visa được ủy quyền, hãy kiểm tra chéo tên của nó với danh sách được công bố trên trang web chính thức của chính phủ Anh. Các trung tâm được ủy quyền được liệt kê rõ ràng và bạn không cần phải tìm thấy chúng qua công cụ tìm kiếm.

Sử dụng VPN trên các mạng công cộng. Nếu bạn phải thực hiện bất kỳ công việc nhạy cảm nào liên quan đến danh tính khi đang đi du lịch, VPN sẽ mã hóa kết nối của bạn và ngăn dữ liệu bị đánh chặn ở cấp độ mạng. Nó không bảo vệ bạn khỏi một trang web đích lừa đảo, nhưng nó đóng một lỗ hổng riêng biệt và thực tế.

Điều này có ý nghĩa gì với bạn

Nếu bạn đã sử dụng một trang web liên quan đến visa Anh gần đây và không chắc liệu nó có chính thống hay không, hãy kiểm tra email xác nhận của bạn. Các dịch vụ hợp pháp sẽ gửi thư từ địa chỉ .gov.uk hoặc từ một đối tác được ủy quyền có tên rõ ràng. Nếu xác nhận của bạn đến từ một tên miền chung chung hoặc một công ty bạn không thể xác minh, hãy cân nhắc đặt cảnh báo lừa đảo với ngân hàng và theo dõi hồ sơ tín dụng của bạn.

Sự việc này cũng là một bài học lớn hơn về rủi ro khi gửi dữ liệu sinh trắc học lên bất kỳ nền tảng chưa được xác minh nào. Các cơ chế xác minh danh tính tương tự mà các trang visa lừa đảo khai thác hiện đang phổ biến trên khắp web, từ kiểm tra độ tuổi đến quy trình mở tài khoản tài chính. Hiểu cách thức xác minh danh tính và thu thập dữ liệu sinh trắc học thực sự hoạt động là bối cảnh cần thiết cho bất kỳ ai được yêu cầu cung cấp ảnh quét hộ chiếu hoặc ảnh tự sướng trực tuyến.

Trước khi bạn gửi các tài liệu nhạy cảm ở bất kỳ đâu trực tuyến, hãy dành hai phút để xác nhận trang web đó là thật. Bước nhỏ đó là biện pháp bảo vệ hiệu quả nhất hiện có, và không có công nghệ nào thay thế được.