💬 Мошенничество в крипто-приложениях никогда не было выше

Мошенничество в крипто-приложениях никогда не было выше

Недавний опрос, проведенный Pew Research, показал, что более 86 % американцев в настоящее время осведомлены о криптовалюте, а количество пользователей криптовалюты оценивается в более чем 300 миллионов. Рост осведомленности также привлек внимание мошенников, пик мошенничества с криптовалютой пришелся на последний год. Благодаря большому количеству мошеннических приемов и креативных мошеннических приемов мошенники успешно не только получают доступ и снимают средства с крипто-счетов жертв, но и открывают новые счета для отмывания денег.

Мошенничество в крипто-приложениях никогда не было выше

Преступность, связанная с криптовалютой, выросла в 2021 году на 79 %, при этом более 14 млрд долларов средств, размещенных в криптовалютных кошельках, связаны с преступной деятельностью. В недавнем интервью через Telegram мошенники признались, что ежемесячно открывали от 1 500 до 2 000 аккаунтов на криптобиржах с использованием синтетических идентификаторов.

Это поддельные удостоверения личности, созданные на основе украденной личной информации, и такие учетные записи используются для отмывания денег или других видов прибыльных преступлений. Сегодня на профессиональных хакерских форумах можно купить синтетическую подтвержденную учетную запись криптобиржи за 150 долларов и прочитать советы и рекомендации по открытию новой учетной записи с использованием поддельной синтетической личности.

Знай своего клиента (KYC) и правила по борьбе с отмыванием денег (AML) требуют, чтобы организации, предоставляющие финансовые услуги, проверяли личность клиентов. В рамках открытия нового счета; однако сегодняшнее обнаружение мошенничества оставляет дверь открытой для мошенников в крипто-приложениях. Соблюдение баланса между потребностью в безопасности и поимкой мошенников у входной двери — непростая задача, когда вы пытаетесь как можно быстрее подключить новых пользователей.

В настоящее время одним из обязательств KYC для криптобирж является проверка адреса в соответствии с Законом о банковской тайне (BSA). Кроме того, криптобиржи должны иметь Программу идентификации клиентов (CIP), и одной из частей информации, требуемой в CIP, является адрес и подтверждение адреса.

Андре Ферраз, соучредитель и генеральный директор Incognia, обеспечивает простую мобильную аутентификацию для банков, криптобирж, финансовых технологий и кошельков, чтобы увеличить доход от мобильных устройств и уменьшить потери от мошенничества. Говорит: "В Incognia мы внимательно изучили 19 мобильных криптоприложений, чтобы понять, как они уравновешивают безопасность и трудности, проанализировав их процесс регистрации, чтобы увидеть, как адрес пользователя проверяется в рамках проверки личности".

Мошеннические методы, используемые для проверки адреса при открытии новой учетной записи, включают:-

Поддельные и искусственные идентификаторы. Синтетический идентификатор состоит из комбинации украденных фрагментов личной информации и поддельной информации, например, украденного SSN, адреса, имени, поддельных водительских прав. Отдельные элементы удостоверения личности могут быть настоящими, украденными или купленными в Даркнете, они могут даже исходить от разных людей и объединяться для создания синтетической идентичности. Используя этот синтетический идентификатор, можно пройти проверку документов с помощью составных документов и обмануть менее сложные системы распознавания лиц.

Настоящие удостоверения личности и лица. Мошенники платят всего 7 долларов США за людей, желающих пройти проверку на криптобирже, используя свою настоящую личность, настоящие документы, удостоверяющие личность, а также лицо и выставить аккаунт на продажу.

Подмена местоположения. При наборе учеников для подделки документов, удостоверяющих личность, профессиональные мошенники объясняют еще один популярный и обычно эффективный способ подделки соответствия: подделка местоположения мобильного телефона. В части инструкций на форумах даркнета говорится, что злоумышленники должны использовать виртуальную частную сеть (VPN) для маскировки IP-адреса, чтобы они могли подделать свое местоположение при открытии учетной записи. Таким образом, любой мошенник на другом конце земного шара может открыть учетную запись с поддельным удостоверением личности и притвориться, что он, например, находится в Нью-Йорке.

Спуфинг местоположения является ключевым моментом в фабриках по открытию аккаунта, поскольку успешное обнаружение спуфинга местоположения — это быстрый способ обнаружить мошенника. Если пользователь подделывает свой адрес, это является большим красным флажком во время проверки личности.

Во время адаптации протестированные криптографические приложения использовали несколько методов для проверки нового адреса пользователя и проверки соответствия стране проживания. Наиболее распространенные методы включают в себя:-

Проверка адреса с использованием загруженных документов. Требование от пользователя загрузить удостоверение личности или документ для проверки с помощью оптического распознавания символов (OCR) для сопоставления загруженных данных с информацией, предоставленной во время регистрации. Информация в идентификаторе может иметь перекрестные ссылки со статическими базами данных, такими как DMV или бюро.

Одна из проблем, связанных с эхо-тестированием статических баз данных, заключается в том, что базы данных адресов могут отсутствовать в Интернете во многих международных юрисдикциях. Даже там, где базы данных адресов существуют, они могут быть неполными и иногда содержать устаревшую информацию.

Большая проблема заключается в том, что большая часть этих статических баз данных просочилась в прошлом, и данные доступны для покупки на онлайн-форумах, что позволяет мошенникам легко использовать эту информацию для создания учетных записей с использованием поддельных или синтетических идентификаторов.

IP-адрес. Это один из наиболее распространенных способов, с помощью которых мобильные приложения все еще могут определить, открывает ли человек новую учетную запись из той страны, в которой он заявляет, будь то страна проживания или почтовый индекс. Информация, введенная пользователем, сопоставляется с местоположением IP-адреса.

Сегодня местоположение подделывают с помощью различных методов. Существует пять распространенных методов, которые мошенники используют для подделки своего местоположения, включая VPN, прокси, приложения для подмены GPS, эмуляторы, инструменты и подделку приложений. VPN и прокси-серверы — это решение, которое мошенники используют для проверки местоположения по IP-адресу.

В недавнем исследовании Incognia мы обнаружили, что текущие методы проверки адресов, используемые девятнадцатью ведущими мобильными криптоприложениями, являются одной из самых уязвимых форм KYC во время адаптации. Десять из четырнадцати бирж требовали от нового пользователя ввода объявленной адресной информации, а четыре приложения требовали ввода страны проживания или почтового индекса.

Тем не менее, ни одно из девятнадцати приложений не требовало подтверждения адреса с помощью геолокации или загруженных документов, таких как счет за коммунальные услуги или выписка по кредитной карте. В других странах, таких как Великобритания, требуется загрузка документа для подтверждения адреса, но в США он обычно не запрашивается, предположительно потому, что это усложняет регистрацию.

Из десяти приложений, требующих информации об адресе, только в пяти требовалось изображение водительского удостоверения, которое в качестве альтернативы можно было использовать для проверки адреса с помощью OCR и сопоставления данных со статической базой данных, например базой данных DMV. Обычно статическая информация в базах данных является неполной или устаревшей.

Требования правил KYC и AML являются основным источником разногласий при регистрации на криптобиржах. И это основная причина, по которой большинство приложений используют процесс мягкой адаптации. Это также называется прогрессивной регистрацией — подходом, при котором самая тяжелая часть проверки личности остается, когда пользователь делает свою первую попытку внести средства или обменять криптовалюту. Примечательно, что две биржи, не поддерживающие прогрессивную адаптацию и требующие сканирования удостоверения личности, также вызвали наибольшие трения во время регистрации.

Чтобы узнать больше о методах, используемых ведущими криптоприложениями для проверки личности при регистрации, а также о том, какие мобильные приложения создавали больше неудобств для пользователей, загрузите отчет Incognia Crypto Mobile App Friction — Onboarding.

Этот блог содержит выдержки из отчета Incognia Crypto Mobile App Friction Report — Onboarding. Чтобы загрузить полный отчет, нажмите здесь.