KYC - تحرير المفهوم و تنوير العقول

السلام عليكم, هذا الموضوع هو ترجمة للعمل المميز للعضو1miau حيث قام بجهد كبير في تبسيط المفاهيم و كتابة الموضوع بطريقة مبسطة جدا تسمح لأي قارئ فهم عمق المشكل بسهولة.

كلنا نخاف من فقدان أموالنا سواء عن طريق الإختراق, النصب, أخطاء نقوم بها أو حتى خيارات خاطئة (شراء عملات بلا قيمة, بيع العملات في وقت متأخر أو مبكر جدا). أغلب المواضيع تتخدث عن هذا الجانب.
عندما يتعلق الأمر بالخسائر, وجب أن ندرك أن هناك ما هو أهم من الخسائر المالية. بهذا, أنا أتكلم عن سرقة الهوية و يشمل ذلك جميع أنواع المعطيات الشخصية. الحفاظ على هذه البيانات و الإهتمام بالخصوصية يجب أن يحظى بأهمية لا تقل قيمة عن تلك التى نعطيها لسلامة أموالنا.في النهاية, المال يمكن أن يعوض فهو لا يمثل 'إلا' خسارة مالية. لكن بمجرد سرقة هويتك فلا يمكنك إسترجاعها أبدا.

هنا تبدأ المشكلة. من أفضل الطرق لحماية نفسك من سرقة الهوية هو فهم الإدعائات الخاطئة بخصوص الKYC.
بعض الخدمات المتعلقة بالعملات الإلكترونية تطلب من مستخدميها إجتياز إختبار KYC المشهور. KYC "تعني "إعرف عميلك "know your customer" يفرص على المستخدمين إرسال وثائق شخصية إلى شركة أو مؤسسة. أصبح هذا الأمر يشكل إشكالية حيث أن بعض الشركات صارمة جدا و لا تسمح بإستعمال خدماتها, حتى و لو لشراء بعض العملات التى لا تتجاوز قيمتها مئات الدولارات.

الغرض الأساسى من هذا الإختبار هو التصدى لغسل الأموال AML "مكافحة غسل الأموال" "Anti Money Laundering" و تمويل الإرهاب. تم إدراج هذا الأمر بشكل صارم من قبل الولايات المتحدة الأمريكية بعد أحداث 9/11 و العديد من الدول تبنت ذلك بما أنها تخضع لل SEC Securities and Exchange Comission). مكافحة غسل الأموال كانت موجودة من قبل و لكن مقتصرة فقط على المؤسسات و الكميات الكبيرة من الأموال. تأثر العملاء العاديون فقط بعد القيود التى تم فرضها من قبل الSEC.
للوهلة الأولى, يبدو أن إثبات الهوية إختبار ناجح في التصدى و إيقاف الأنشطة الإجرامية. للأسف, هذا مخالف تماما للواقع. إثبات الهوية في مجال العملات الرقمية لا يساعد بالضرورة على إيقاف غسل الأموال أو تقليل الأنشطة الإجرامية" كما أنه لا يساعد على منع تمويل الإرهاب. على العكس - الKYC يهدد الخصوصية و يحث على الأنشطة الإجرامية ( عبر نصب KYC, سرقة الهوية و غيرها من الوسائل ).

الKYC يشجع على سرقة الهوية

عندما يقوم شخص بإجتياز الإختبار فهو مجبر على تسليم جزء من هويته الشخصية لطرف ثالث ( منصة تبادل, حملات بيع العملات, إلخ). بعد هذه المرحلة, لن يكون لديه أي تأثير على العملية و تصبح البيانات الحساسة معرضة تماما للطرف الثالث للتعامل معها بأمان. إذا ما حصل أي إختراق, لن يتمكن المتضرر من فعل أي شيئ.

يتم إستبعاد كل من لديهم مخاوف بخصوص سلامة بياناتهم و رفضوا تقديم معلوماتهم الشخصية في إختبار إثبات الهوية.

من الواضح أن المخاطر التي يتعرض لها المستخدمون أمر محتوم عندما يجبرون على تقديم معطياتهم الشخصية لأشخاص مجهولة أو لخدمة مركزية. ببساطة, لا يوجد أي ضمان أن بياناتنا الشخصية آمنة هناك و حتى الشركات الكبيرة التى تتمتع بمعايير أمنية عالية يمكن إحتراقها بشكل ضار.

ذلك هو الحال في العالم الرقمي, الشركات/ المنظمات التى تجمع البياتات الشخصية تكون عرضة للإختراق. سابقا, حينما تم إختراق شركات كبيرة مثل Binance, تمكن المخترقون من سرقة عدد كبير من البيانات الشخصية.

في الواقع, هذا لا يمثل فقط إلا الأحداث التي تم الإبلاغ عنها. لذلك, من الراجح أنها تمثل فقط جزء صغير من واقع لم يتم بعد الإعتراف به علنا, لأن معلومة كهذه ستظر حتما بصفة كبيرة أعمال منصات التبادل أو مقدمي خدمات إثبات الهوية. لا يوجد مجال للشك, أن المخترقون المحترفون بصدد تطوير طرق مختلفة تسمح لهم الوصول بنجاح لبيانات الشخصية يمكن إستعمالها لإجتياز إختبار إثبات الهوية.

هذا يؤدي إلى مشكلة أخرى, مع فرض إثبات الهوية في كل مكان, أصبحت البيانات الشخصية سلعة ثمينة في السوق السوداء و يوجد بالفعل حافز كبير لإختراق أو سرقة الهويات. لذلك, ليس من الغريب ظهور سوق سوداء ضخمة لبيع الهويات إذا تواصل فرض الKYC في كل مكان.
جميع المستخدمين الذين يضطرون لإجتياز أي إختبار من هذا النوع يواجهون خطر وصول بياناتهم الشخصية للبيع في السوق السوداء. و هذا بدوره يسهل على المجرمين شراء 'دفتر هوية' متكون من إختراقات في السوق السوداء تحتوي على جميع البيانات الازمة لإنتحال صفة أي مستخدم سرقت بياناته, مما يفتح الطريق لفتح حساب بإسمه و الذي من خلاله يقومون بشتى الأنشطة الغير قانونية.

Quote

منذ يومين, نشرت ccn.com مقالا بعنوان "بيانات شخصية مخترقة من منصة رائدة في العالم للبيع على الدارك ويب؟" و ذلك في السوق المسماة "Dread" بائع يحمل إسم يحاول
يقوم ببيع بيانات مستخدمين من إختبار "إعرف عميلك" الذي تتطلبه أفضل منصات التبادل و أغلب السلطات القضائية. "ExploitDOT"

إتصل زميلي اليوم بالبائع الذي عرض عليه مبلغ 15 دولارا على الوثيقة الواحدة (جواز سفرأو بطاقة هوية, إثبات للعنوان, صورة سلفي), بمجموع 45 دولارا لكل شخص. و الصفقة لا تتم إلا بشراء ما لا يقل عن 100 هوية (4500 دولار). أظهر البائع إستعدادا لإستعمال خدمة ضمان موثوقة عبر معاملة بإستعمال العملات الإلكترونية مما يعني أن هذا العرض يمكن أن يكون جدي

المصدر

الهويات المخترقة تعد قيمة جدا بالنسبة للمجرمين, خاصة إذا كان بالإمكان ربط الهوية بتفاصيل أخرى متصلة بإثبات جرائم ضد الشخص المتضرر. يشمل ذلك:

الإسم و العنوان الشخصي (من مخلف الوثائق و الفواتير)
هوية حكومية, جوازات سفر أو سلفي
البيانات البيومترية (بصمة الإصبع, مسح للوجه أو القزحية)
بيانات مختلفة من فواتير الخدمات, مصدر الثروة, المشغل, الحساب المصرفي
كلمات العبور, البريد الإلكتروني
عناوين المحافظ الرقمية المستخدمة بما في ذلك الأموال المودعة و المسحوبة (مع إمكانية ربط عناوين ذات صلة عن طريق البحث في البلوكتشاين

بإمكان المجرمين إستخدام هذه البيانات بعدة طرق ملتوية

يمكنهم إستخدامها للقيام بأنشطة إجرامية. ببساطة, بإنتحال صفة أي مستخدم أخترقت بياناته و ذلك عن طريق فتح حساب بإسمه الذي يتيح لهم القيام بأنشطة غير قانونية

بإمكان المجرمين إستعمال جزء من البيانات للولوج لحسابات أخرى للمستخدم:
- إعادة ضبط الحساب عبر البريد الإلكتروني
- إعادة ضبط الحساب عبر البيانات البيومترية
- محاولة إختراق مواقع أخرى بإستخدام نفس كلمة المرور

أسوأ السيناريوهات هو إستحواذ المجرم على ما يكفي من البيانات المخترقة حول مستخدم و بذلك يتمكن من تقييم مدى ربحية السرقة
- العنوان الشخصي للضحية (مستخرج من وثيقة شخصية) و
- معلومات حول ثروتهم ( مستخرجة من الأموال المودعة و المسحوبة المتصلة بعناوين المحافظ الإلكترونية أو وثائق مثل مصدر الدخل, مصدر الثروة, إلخ)
هذه البيانات وحدها كافية لتقييم الضحية قبل السرقة, حتى إذا كان الهاكر من بلد أخر, بإمكانه بيع معلومات بعنوان "سرقة واعدة" للمجرمين من نفس بلد الضحية

أيضا, متاح للمجرمين جمع بيانات و مطابقتها مع بيانات أخرى مخترقة لجعل البيانات بقيمة أعلى عند البيع

الKYC يشجع على الإحتيال

بالإضافة إلى سرقة الهوية, يوفر الإختبار عائد جديد مربح بالنسبة للمحتالين, و يتمثل ذلك في إستراتجية جديدة رائجة مسماة ب"نصب KYC" و التي يتم تنفيذها كالتالي:

يقوم المستدم بإيداع عملات على منصة لا تتطلب إثبات الهوية
بعد تجاوز عدد كافي من المستخدمين, يعلن الموقع أن إثبات الهوية أصبح إجباري و يتم تجميد كل الأموال
يقوم الموقع بإبتزاز المستخدمين و يجبرهم على إجتياز الإختبار و في حالة الرفض, يفقد المعني بالأمر جميع عملاته و تستولي عليهم المنصة. في حال إذا كانت المنصة نصابة, أصبح لديهم الأن وثائق قيمة بإمكانهم إستعمالها بشتى الطرق الملتوية كما سبق الذكر
لا يملك المستخدم أي فرصة للدفاع عن تفسه

يتم إستخدام نفس الإستراتجة من قبل حملات الباونتي, بالأخص المرتبطة بالعملات البديلة لحملات البيع التي لا تملك أدنى قيمة. لذلك, وجب الإنتباه من هذا النوع من النصب. في الغالب, يحدث ذلك مع المنصات المجهولة و حملات الباونتي الرخيصة. من المستحسن إستعمال المنصات المعروفة التي تتمتع بمصدقية عالية و لا يمكن أن تخاطر بفقدانها عبر تدبير عملية من هذا النوع.

لا يجب تحت أي ظرف, إلتزام المستخدم بإثبات الهوية في مثل هذا النوع من النصب. المنصات الجدية تستخدم دائما الشروط و الأحكام التي بموجبها قام المستخدم بإيداع أمواله, و يتم الإعلام عبر إشعار بإدراج الKYC مع ترك الحرية للمستخدمين لسحب أموالهم لكن بسقف محدد. هكذا, بإمكان المستخدم سحب أمواله دون التعرض لعملية نصب.

الKYC يساعد المحتالين على البقاء في الخفاء

يحظى الإختبار بقدر عالي من قبل جميع أنواع المحتالين كيف لا و هو يتيح للمجرمين البقاء في الخفاء و بهذا مواصلة أعمالهم الخبيثة من خلال إستعمال هويات مسروقة أو مخترقة لإجتياز الKYC. عندما يتعلق الأمر بأموال طائلة لن يوقفهم شيئ:

هنالك بالفعل عدد كبير من مجموعات بيع الهويات في السوق السوداء, أغلبها من إختبارات نظمت أو أخترقت من قبل الهاكرز. كلما كانت مجموعة البيانات أكثر إكتمالا كلما زادت قيمتها. لإجتياز الKYC, يحتاح المجرمون فقط الحصول على سجلات البيانات اللازمة في السوق السوداء
أيضا, بإمكان المحتالين تنظيم أيكو أو فتح منصة لغاية النصب عن طريق طلب إثبات الهوية. بإمكانهم تحديد البيانات اللازمة التي يحتاجونها بناءا على ما ينوون القيام به لاحقا. مما يتيح للمجرمين الحصول على بيانات بعينها لإستعمالها في أيكو أو منصة محددة

بطريقة غير متوقعة, يقترح بعض "الخبراء" إعادة هيكلة الإختبار و تعزيزه عبر إدراج أكثر بيانات بما في ذلك البيانات البيومترية. منحى هذا التفكير خاطئ تماما لأن مثل هذه التدابير من المحتمل أن تعرض سلامة المستخدمين إلى مخاطر أكبر:

البيانات البيومترية( بصمة الإصبع, مسح الوجه أو القزحية), يمكن أيضا إستخدامها لأغراض غير مشروعة إذا ما تم إختراقها. ربما يكون الضرر الحاصل للمتضررين أسوأ عدة أضعاف لأن البيانات البيومترية تعد من أكثر البياتات حساسية إذا ما تم الكشف عنها
التحسين في جودة البيانات المقدمة يعني فقط إتاحة فرصة أكثر للمخترقين في الحصول على بيانات أكثر دقة و بالتالي أكثر قيمة. هذا الفعل يسهل على المجرمين إنتحال صفة الأخرين
بدأ المجرمون بشكل متازيد في إعادة بناء الأجزاء المفقودة بناءا على الKYC التي تمت سرقتها بالفعل. تشهد طرق التحايل على إثبات الهوية عن طريق الفيديو مثل "deep-fake videos" تطور سريع. تصنيع "الأقنعة الواقعية", و التي يصعب تمييزها عن الإشخاص الحقيقيين, تعد طريقة أخرى لفبركة عملية التثبت. تم عرض هذه الطرق سابقا في 2018 35c3 in Leipzig, و التي من خلالها تم التحايل على إجراءات التثبت عن طريق الفيديو.

صحيح أن هذه التقنيات مازالت في مرحلة مبكرة جدا, و تأثيرها ليس مثالي, لكن من حيث المبدأ فقد أصبحت ممكنة بالفعل. إن أفاق زيادة الربح في ظل ما يحصل من فرض لإثبات الهوية في كل مكان يحفز المحتالين بشكل كبير على تطوير أساليب لتزوير الKYC بشكل أسوأ بكثير

من حيث المبدأ, يحتاج الأمر لعدد قليل من المجرمين, الذين بإمكانهم تفعيل الحسابات خبر بيانات مسروقة أو مخترقة و يمكن بيع هذه الخدمة لكافة المجرمين عبر الدارك ويب. و هذا فقط من شأنه إبطال عملة الKYC بالكامل.

بالتالي, إذا كان الهدف من وراء إعتماد الKYC هو التصدي للمجرمين و منعهم من القيام بأعمالهم, فقد فشلت فشلا ذريعا في ذلك. وارد جدا وجود ملايين من بيانات الإختبار في السوق السوداء, و هذا الرقم في تزايد مستمر كلما زاد فرض إثبات الهوية في كل مكان

مع أحدث التقنيات الناشئة في التلاعب بجميع إجرائات إثبات الهوية, فإن العصابات الإجرامية في وضع يسمح لهم بإثبات الحسابات و بيعها للمجرمين بأسوام مرتفعة في السوق السوداء. بدلا من ذلك, بإمكانهم ببساطة إختراق حسابات مفعلة تم بيعها.

لذلك, فإن المجرمين أصحاب النوايا الخبيثة متاح لهم عدد كبير من الخيارات و الطرق تمكنهم من التحايل على معظم أنواع إثبات الهوية

الخلاصة: الKYC بلا جدوى

النتيجة الأولية لهذا التقييم واضحة: الإختبار ليس فقط بلا جدوى بل أكثر من ذلك فهو يشجع على ما وجد لمنعه. فهو يصنع مجالات جديدة للجرائم ( تبادل هويات المستخدمين) و يعزز مجالات الجريمة الموجودة ( بإمكان المجرمين الأن التخفي وراء هويات المستخدمين الأبرياء). كما أنه يعرض بشكل صارخ خصوصية و أمن جميع العملاء.

بالتالي, واضح جدا أن الفاعلية المروجة لعملية إثبات الهوية في مجال العملات الرقمية ليس لها وجود إلا في العالم النظري.لذلك, ينبغي على مجتمع الكريبتو الإسراع في إدراك هذه الحقيقة. بعد كل ما يجري من بيع للوثائق الشخصية و حتى تزييفها بواسطة الذكاء الإصطناعي لم تعد الKYC تثبت أي شيئ بعد الأن.

في الحقيقة, بالإضافة إلى التشجيع على التحيل و الجريمة, فإن إثبات الهوية يعرض خصوصية و أمن جميع العملاء للخطر. كل هذا يتسبب في تواجد دينامكية خطيرة على المستخدمين الذين يجبرون على إجتياز الإختبار: عدد هائل من الوثائق الشخصية يتم جمعها من قبل المجرمين و من المرجح أن يزيد الأمر في الإنتشار إلى حد لم نره من قبل.