Bitcoin Forum
July 18, 2019, 08:04:37 AM *
News: Latest Bitcoin Core release: 0.18.0 [Torrent] (New!)
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Securite : les dangers du KYC  (Read 214 times)
kenzawak
Hero Member
*****
Offline Offline

Activity: 658
Merit: 847



View Profile
November 22, 2018, 05:50:25 PM
Last edit: November 23, 2018, 01:22:32 PM by kenzawak
Merited by Halab (3), JeremyB (1), F2b (1), Yaplatu (1), ginette (1)
 #1

Ceci est la traduction d'un post trouve sur reddit :

https://www.reddit.com/r/CryptoCurrency/comments/9zehgn/warning_kyc_procedure_with_passport_scan_and/

De plus en plus d'ICOs demandent aux gens de passer un KYC avant de leur envoyer des tokens (gratuitement ou pas).

Pour ce faire, il faut souvent envoyer un scan de son passeport et / ou un selfie.

Sachez que le prix moyen d'un scan de passeport sur le dark web est de 14,71$. Si vous ajoutez a cela une preuve de residence ou d'identite (selfie, facture, permis de conduire...), le prix moyen monte a 61,27$.

Voici deja un moyen pour certains de se faire de l'argent en utilisant vos donnees personnelles. Mais cela peut aller encore plus loin s'ils utilisent ces infos pour voler les fonds que vous detenez sur des plateformes d'echange.

Ex :

Vous possedez un compte sur un exchange. Vous avez mis en place le systeme 2-fa afin qu'un code soit envoye sur votre telephone pour permettre de verifier vos identifiants.

Par divers moyens, un scammer pourra trouver votre mot de passe (par le phishing par exemple ou bien en utilisant le meme mdp qui a servi a vous inscrire a un autre ICO). Le 2-fa empeche malgre tout au scammer d'aller plus loin. Par contre, rien ne l'empeche de contacter l'exchange et de pretendre qu'il a perdu son telephone et ne peut donc pas obtenir le code 2-fa.

La l'exchange demandera a ce que lui soit envoye un scan d'une piece d'identite afin de resetter le 2-fa. Un selfie sera souvent demande, d'ou le prix plus eleve evoque plus haut.

Il suffira au scammer d'apporter quelques modifs au scan pour repondre aux demandes specifiques d'identification de l'exchange, comme par exemple l'ajout de la date et du nom de l'exchange.

Apres avoir recu les preuves d'identification, l'exchange resettera le 2-fa (ou le retirera), ce qui permettra un acces complet a votre compte par le scammer qui n'aura plus qu'a modifier votre mdp.


NOTA : Un des intervenants au topic reddit suggere d'aposer un watermark a ses scans.
1563437077
Hero Member
*
Offline Offline

Posts: 1563437077

View Profile Personal Message (Offline)

Ignore
1563437077
Reply with quote  #2

1563437077
Report to moderator
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1563437077
Hero Member
*
Offline Offline

Posts: 1563437077

View Profile Personal Message (Offline)

Ignore
1563437077
Reply with quote  #2

1563437077
Report to moderator
1563437077
Hero Member
*
Offline Offline

Posts: 1563437077

View Profile Personal Message (Offline)

Ignore
1563437077
Reply with quote  #2

1563437077
Report to moderator
1563437077
Hero Member
*
Offline Offline

Posts: 1563437077

View Profile Personal Message (Offline)

Ignore
1563437077
Reply with quote  #2

1563437077
Report to moderator
asche
Hero Member
*****
Offline Offline

Activity: 574
Merit: 635


I forgot more than you will ever know.


View Profile
November 23, 2018, 02:43:26 PM
 #2

D'une part un watermark est utile. Sur le selfie avec CI j'ajoute aussi généralement la date et le pourquoi du selfie. Le site par exemple.

La plupart des échanges le demandent de toutes façons et ça mettrait la puce à l'oreille de n'importe quel échange.

Enfin mot de passe phishé ou pas, il faut aussi que l'attaquant ait accès a ton adresse mail.

Le maitre mot reste donc : sécuriser l'accès à son adresse mail, et aussi varier les adresses mail utilisées.

Par exemple si tu donnes un mail A pour ton SHIT KYC, et que ton adresse pour tes échanges est différente, l'attaquant ne connaîtra pas ton login.

Les gens oublient trop souvent que pour s'identifier il faut un couple identifiant/mot de passe.
La confidentialité du couple garantira votre sécurité. A partir du moment ou l'un des deux est compromis ça devient coton Smiley

ZeChris
Jr. Member
*
Offline Offline

Activity: 81
Merit: 1


View Profile WWW
November 23, 2018, 03:56:43 PM
 #3

Je trouve que si l'exchange ne s'assure pas de l'intégrité de son client il ne devrait pas reset...

De plus les utilisateurs devraient aussi prendre les précautions nécessaire avec de faire une sauvegarde des 16 Chiffres du 2FA cela évitera ce genre de problème ...
TomCrypto
Full Member
***
Offline Offline

Activity: 588
Merit: 202


View Profile
November 23, 2018, 05:00:35 PM
Merited by Halab (2)
 #4

Je savais que ca pouvait rapporter mais je pensais pas autant. Ca peut vite chiffrer si une ICO revend tout ses KYC!
En tout cas, dans mon cas j'appose toujours une watermark sur les documents demandés en utilisant par exemple ce genre de site pour générer un fichier .png que je merge avec mon passeport ou ma preuve de domicile.
Dans le watermark je mets toujours "For XXXX ICO Only, MM/DD/YYYY"
asche
Hero Member
*****
Offline Offline

Activity: 574
Merit: 635


I forgot more than you will ever know.


View Profile
November 23, 2018, 05:24:34 PM
 #5

Je savais que ca pouvait rapporter mais je pensais pas autant. Ca peut vite chiffrer si une ICO revend tout ses KYC!
En tout cas, dans mon cas j'appose toujours une watermark sur les documents demandés en utilisant par exemple ce genre de site pour générer un fichier .png que je merge avec mon passeport ou ma preuve de domicile.
Dans le watermark je mets toujours "For XXXX ICO Only, MM/DD/YYYY"

Oui enfin c'est pas mieux. Là c'est le site qui récupère ta photo sans le watermark lol.

TomCrypto
Full Member
***
Offline Offline

Activity: 588
Merit: 202


View Profile
November 23, 2018, 07:43:30 PM
 #6

Ah non mais je génère juste le png avec le texte Smiley après je fusionne les deux sur mon pc.
Ca peut être fait sur gimp, Photo shop, paint, PowerPoint ou plein d'autres logiciels.
asche
Hero Member
*****
Offline Offline

Activity: 574
Merit: 635


I forgot more than you will ever know.


View Profile
November 23, 2018, 08:45:01 PM
 #7

Ah non mais je génère juste le png avec le texte Smiley après je fusionne les deux sur mon pc.
Ca peut être fait sur gimp, Photo shop, paint, PowerPoint ou plein d'autres logiciels.

Autant faire direct le filtre avec GIMP.

ZeChris
Jr. Member
*
Offline Offline

Activity: 81
Merit: 1


View Profile WWW
November 23, 2018, 08:48:24 PM
 #8

oui c'est sur mais certain prestataires refusent les fichiers retouchés, donc avant tout s'assurer à qui on envoie ses documents il me semble que c'est le plus important.
asche
Hero Member
*****
Offline Offline

Activity: 574
Merit: 635


I forgot more than you will ever know.


View Profile
November 23, 2018, 08:53:05 PM
 #9

oui c'est sur mais certain prestataires refusent les fichiers retouchés, donc avant tout s'assurer à qui on envoie ses documents il me semble que c'est le plus important.

Si tu fais ça tu ne fais aucun KYC, car tu ne sais jamais à qui tu les envoie.

ZeChris
Jr. Member
*
Offline Offline

Activity: 81
Merit: 1


View Profile WWW
November 23, 2018, 09:12:21 PM
 #10

c'est grave alors ....
F2b
Full Member
***
Offline Offline

Activity: 644
Merit: 222


46 32 62


View Profile WWW
November 28, 2018, 11:05:23 AM
Last edit: November 28, 2018, 07:55:44 PM by F2b
 #11

c'est grave alors ....
C'est bien de s'en rendre compte.

Malheureusement le KYC est maintenant obligatoire presque partout.
Même sur localbitcoins maintenant ils te demandent tes papiers, c'est dire (edit : sauf pour les échanges physiques visiblement, mais pour trouver quelqu'un en dehors des capitales c'est galère).

Merci d'avoir mis ça en lumière.

Je vais sûrement déterrer un de mes anciens topics bientôt à ce propos... si j'oublie pas d'ici-là Grin

Il vaut mieux pomper même s'il ne se passe rien que de risquer qu'il se passe quelque chose de pire en ne pompant pas.
https://www.whoismrrobot.com     https://www.e-corp-usa.com/about.html     https://www.e-coin.com     https://www.red-wheelbarrow.com     https://yd9xldsr.bxjyb2jvda.net/
ZeChris
Jr. Member
*
Offline Offline

Activity: 81
Merit: 1


View Profile WWW
November 28, 2018, 07:21:39 PM
 #12

oui mais localbitcoins tu sais qui c'est donc ça va.
F2b
Full Member
***
Offline Offline

Activity: 644
Merit: 222


46 32 62


View Profile WWW
November 28, 2018, 07:50:19 PM
 #13

oui mais localbitcoins tu sais qui c'est donc ça va.
Ben non justement.

Il vaut mieux pomper même s'il ne se passe rien que de risquer qu'il se passe quelque chose de pire en ne pompant pas.
https://www.whoismrrobot.com     https://www.e-corp-usa.com/about.html     https://www.e-coin.com     https://www.red-wheelbarrow.com     https://yd9xldsr.bxjyb2jvda.net/
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!