Мошенничество в крипто-приложениях никогда не было выше

Недавний опрос Pew Research показало, что более 86% американцев сейчас осведомлены о криптовалюте, а число пользователей криптовалюты сейчас оценивается более чем в 300 млн. Рост осведомленности также привлек внимание мошенников, пик мошенничества с криптовалютой пришелся на последний год. Благодаря обильному набору методов мошенничества и творческих махинаций мошенники успешно не только получают доступ и снимают средства с крипто-счетов жертв, но и открывают новые счета для использования в целях отмывания денег. 

Мошенничество в крипто-приложениях никогда не было выше

 Преступность, связанная с криптовалютой, выросла 79% в 2021, при этом более 14 миллиардов долларов средств, размещенных в криптокошельках, связаны с преступной деятельностью. В недавнем интервью через Telegram мошенники признались во вскрытии между От 1,500 до 2,000 аккаунтов в месяц на криптобиржах с использованием синтетических идентификаторов. 

Это поддельные личности, созданные из украденной личной информации, и такие учетные записи используются для отмывания денег или других видов прибыльных преступлений. Сегодня на профессиональных хакерских форумах можно купить синтетическую проверенную учетную запись криптобиржи за 150 долларов и прочитать советы и рекомендации по открытию новой учетной записи с использованием поддельной синтетической личности.

Знай своего клиента и своего мошенника 

Правила «Знай своего клиента» (KYC) и правила по борьбе с отмыванием денег (AML) требуют, чтобы организации, предоставляющие финансовые услуги, проверяли личность клиентов. В рамках открытия нового счета; однако сегодняшнее обнаружение мошенничества оставляет дверь открытой для мошенников в крипто-приложениях. Соблюдение баланса между потребностью в безопасности и поимкой мошенников у входной двери является сложной задачей при попытке как можно быстрее подключить новых пользователей. 

В настоящее время одним из обязательств KYC для криптобирж является проверка адреса. Закон о банковской тайне (БСА). Кроме того, криптобиржи должны иметь Программу идентификации клиентов (CIP), и одной из частей информации, требуемой в CIP, является адрес и подтверждение адреса.

Андре Ферраз, соучредитель и генеральный директор Incognia, обеспечивает беспрепятственную мобильную аутентификацию для банков, криптобирж, финансовых технологий и кошельков, чтобы увеличить доход от мобильных устройств и уменьшить потери от мошенничества. Говорит: «В Incognia мы внимательно изучили 19 мобильных криптографических приложений, чтобы увидеть, как они уравновешивают безопасность и трения, просмотрев их процесс регистрации, чтобы увидеть, как адрес пользователя проверяется в рамках проверки личности».

Мошеннические методы, используемые для проверки адреса при открытии новой учетной записи, включают:

Поддельные и синтетические идентификаторы – Искусственный идентификатор состоит из комбинации украденных фрагментов личной информации вместе с поддельной информацией – например, украденный SSN, адрес, имя, поддельные водительские права. Отдельные элементы удостоверения личности могут быть настоящими, украденными или купленными в Даркнете, они могут даже исходить от разных людей и объединяться для создания синтетической идентичности. Используя этот синтетический идентификатор, можно пройти проверку документов с помощью составных документов и обмануть менее сложные системы распознавания лиц.

Реальные идентификаторы и лица — Мошенники платят всего 7 долларов за людей, желающих пройти проверку на криптобирже, используя свою настоящую личность, настоящие документы, удостоверяющие личность, а также лицо и выставить учетную запись на продажу. 

Подмена местоположения – При наборе учеников для подделки документов, удостоверяющих личность, профессиональные мошенники объясняют еще один популярный и обычно эффективный способ подделки соответствия: подделка местоположения мобильного телефона. В части инструкций на форумах даркнета говорится, что злоумышленники должны использовать виртуальную частную сеть (VPN) для маскировки IP-адреса, чтобы они могли подделать свое местоположение при открытии учетной записи. Таким образом, любой мошенник на другом конце земного шара может открыть счет с поддельным удостоверением личности и притвориться, что он, например, находится в Нью-Йорке.

Подделка местоположения является ключевой частью фабрик по открытию счетов, поскольку успешное обнаружение подмены местоположения — это быстрый способ обнаружить мошенника. Если пользователь подделывает свой адрес, это большой красный флаг во время проверки личности.

Проверка адреса нужна не только для соблюдения KYC, но и для предотвращения мошенничества

Во время регистрации протестированные криптоприложения использовали несколько методов для проверки нового адреса пользователя и проверки соответствия стране проживания. Наиболее распространенные используемые методы включают в себя:

Проверка адреса с помощью загруженных документов – Требование от пользователя загрузить удостоверение личности или документ для проверки с помощью оптического распознавания символов (OCR) на соответствие загруженных данных информации, предоставленной во время регистрации. Информация в идентификаторе может иметь перекрестные ссылки со статическими базами данных, такими как DMV или бюро.

Одна из проблем, связанных с эхо-тестированием статических баз данных, заключается в том, что во многих международных юрисдикциях базы данных адресов могут отсутствовать в Интернете. Даже там, где базы данных адресов существуют, они могут быть неполными и иногда содержать устаревшую информацию. 

Более серьезная проблема заключается в том, что большая часть этих статических баз данных просочилась в прошлом, и данные доступны для покупки на онлайн-форумах, что позволяет мошенникам легко использовать эту информацию для создания учетных записей с использованием поддельных или синтетических идентификаторов.

IP-адрес – Это один из наиболее распространенных способов, которые до сих пор используются мобильными приложениями, чтобы определить, открывает ли человек новую учетную запись, откуда он заявляет, будь то страна проживания или почтовый индекс. Информация, введенная пользователем, сопоставляется с местоположением IP-адреса.

Сегодня местоположение обычно подделывают с использованием различных методов. Существует пять распространенных техник мошенники используют для подделки своего местоположения, включая виртуальные частные сети, прокси-серверы, приложения для спуфинга GPS, эмуляторы, инструментальные средства и подделку приложений. Виртуальные частные сети и прокси — это решение, которое мошенники используют для проверки местоположения IP-адреса. 

В недавнем исследовании Incognia мы обнаружили, что текущие методы проверки адреса, используемые девятнадцатью ведущими мобильными криптоприложениями, являются одной из самых уязвимых форм KYC во время регистрации. Десять из четырнадцати бирж требовали от нового пользователя ввода объявленной адресной информации, а четыре приложения требовали ввода страны проживания или почтового индекса.

Тем не менее, ни одно из девятнадцати приложений не требовало подтверждения адреса с помощью геолокации или загруженных документов, таких как счет за коммунальные услуги или выписка по кредитной карте. В других странах, таких как Великобритания, требуется загрузка документа для подтверждения адреса, но в США он обычно не запрашивается, по-видимому, потому, что это создает трудности при регистрации.

Из десяти приложений, требующих информации об адресе, только пяти требовалось изображение водительского удостоверения, которое в качестве альтернативы можно было использовать для проверки адреса с помощью OCR и сопоставления данных со статической базой данных, такой как база данных DMV. Обычно статическая информация в базах данных является неполной или устаревшей. 

Требования правил KYC и AML являются основным источником трений при регистрации на криптобиржах. И это основная причина, по которой большинство приложений используют процесс мягкой адаптации. Это также называется прогрессивной регистрацией — подходом, при котором самая тяжелая часть проверки личности остается, когда пользователь делает свою первую попытку внести средства или обменять криптовалюту. Примечательно, что две биржи, не поддерживающие прогрессивную адаптацию и требующие сканирования идентификатора, также были теми, с которыми возникали наибольшие трения во время регистрации.

Чтобы узнать больше о методах, используемых ведущими криптографическими приложениями для проверки личности при регистрации, а также о том, какие мобильные приложения создают больше проблем для пользователей, загрузите Отчет о трениях в мобильном приложении Incognia Crypto — адаптация.

Этот блог содержит выдержки из отчета Incognia Crypto Mobile App Friction Report — Onboarding. Чтобы скачать полный отчет, нажмите здесь..