Trafiłem ostatnio na wątek, którego po prostu nie potrafiłem zostawić bez przeniesienia na polski lokal. Zapraszam do lektóry nie tylko nowicjuszy w krypto ale i starych wyjadaczy. Warto.
Oryginał -
Why KYC is extremely dangerous – and uselessAutor -
1miauMi przypadł zaszczyt tłumaczenia
Wszyscy obawiamy się utraty pieniędzy z powodu ataków hakerskich, oszustw czy z powodu własnych błędów lub złych decyzji które podjęliśmy (kupowanie bezużytecznych shitcoinów, zbyt późne lub zbyt wczesne sprzedawanie monet itp.). W większości tematów na bitcointalku pojawiają się takie problemy. Jeśli chodzi o straty, należy pamiętać, że można utracić coś więcej niż tylko pieniądze. Mam na myśli kradzież tożsamości, czyli wszelkiego rodzaju dane osobowe. Ochrona tych danych i dbałość o prywatność powinna mieć co najmniej taki sam priorytet, jak ochrona Twoich pieniędzy. W końcu pieniądze można wymienić: to „tylko” strata finansowa. Jednak po kradzieży naszej tożsamości nie ma szans na jej cofnięcie.
Tutaj zaczyna się problem. Jednym z najlepszych sposobów ochrony przed kradzieżą tożsamości jest zrozumienie fałszywych założeń KYC. Niektóre usługi krypto wymagają od użytkowników poddania się tak zwanemu „KYC” tzn. „poznaj swojego klienta”. Niektóre firmy zmuszają użytkowników do wysyłania do siebie skanów dokumentów osobistych. To już staje się problemem, ponieważ, gdy nie chcesz przejść KYC, firmy nie pozwolą ci korzystać z ich usług, nawet jeśli chcesz tylko kupić krypto warte zaledwie kilkaset dolarów.
Głównym celem KYC powinno być zapobieganie praniu pieniędzy (znane jako AML -anti-money laundering - przeciwdziałanie praniu pieniędzy) i finansowaniu terroryzmu. Stosowanie KYC i AML zostało wprowadzone głównie przez USA po 11 września, a wiele krajów kieruje się zaleceniami SEC przy ustalaniu KYC jako wymogu. AML istniało wcześniej, ale tylko dla instytucji i dużych kwot pieniędzy. Przeciętni klienci zostali nim dotknięci dopiero po wprowadzeniu ograniczeń wprowadzonych przez SEC.
Na pierwszy rzut oka KYC nadaje się do walki z działalnością przestępczą. Niestety w rzeczywistości wygląda to zupełnie inaczej. KYC w krypto niekoniecznie pomaga powstrzymać pranie pieniędzy, ograniczyć działalność przestępczą czy zapobiegać finansowaniu terroryzmu. Wręcz przeciwnie - KYC zagraża naszej prywatności i zachęca do działań przestępczych (poprzez oszustwa KYC, kradzież tożsamości i inne).
KYC zachęca do kradzieży tożsamościKiedy robimy KYC, jesteśmy zmuszeni do przekazania części swojej tożsamości osobie trzeciej (np. giełdzie, ICO itp.). Wtedy to ta trzecia strona jest odpowiedzialna za nasze dane. Jeżeli serwis zostanie zhakowany, my już nic nie możemy z tym zrobić.
Każdy, kto ma obawy co do bezpieczeństwa swoich danych i nie poda ich w KYC, jest wykluczony z korzystania z usługi.
Oczywistym jest, że ryzyko dla zwykłych użytkowników jest nieuniknione, gdy są oni zmuszeni do przekazania swoich danych osobowych nieznanym osobom lub scentralizowanej usłudze. Po prostu nie ma gwarancji, że nasze dane osobowe są tam bezpieczne, a nawet duże firmy o wysokich standardach bezpieczeństwa mogą zostać zhakowane.
Wszystkie Firmy / organizacje zbierające KYC są podatne na włamania. Przykładowy hack na Binance i ryzyko kradzieży dużej liczby materiałów z KYC.
To tylko zdarzenia, które zostały zgłoszone. Możliwe jest, że to dopiero wierzchołek góry lodowej i takich działań było więcej, jednak nie zostały one upublicznione z obawy przed zaszkodzeniem giełdą czy samym dostawcom KYC. Nie ma wątpliwości, że profesjonalni hakerzy opracowują sposoby hakowania i uzyskiwania danych osobowych niezbędnych do przejścia KYC.
Prowadzi to do innego problemu: dokumenty osobiste pozyskane z KYC stają się cennym towarem na czarnym rynku. Jest to ogromna zachęta dla oszustów do włamywania się lub kradzieży tożsamości. Dlatego, gdy KYC będzie dalej wymagane, powstanie ogromny nielegalny rynek tożsamości.
Wszyscy użytkownicy, którzy są zmuszeni do przeprowadzania weryfikacji KYC ryzykują, że ich dane osobowe trafią do sprzedaży na czarnym rynku. Tam przestępcy mogą zakupić „pakiety tożsamości”, które zawierają wszystkie dane potrzebne im do podszywania się pod innego użytkownika i otwarcia konta pod ich nazwą, za pomocą którego mogą wykonywać nielegalne operacje.
Dwa dni temu ccn.com opublikował artykuł „Zhakowane dane klientów z wiodących na świecie giełd kryptowalut na sprzedaż w Dark Webie?” gdzie na Dark Net o nazwie „Dread” sprzedawca przechodzący przez „ExploitDOT” próbuje sprzedać dane użytkowników z KYC, o które proszą najlepsze giełdy kryptowalut, wymagane przez większość jurysdykcji.
Dzisiaj mój kolega skontaktował się ze sprzedawcą, który zaproponował mu cenę 15 USD za każdy dokument (paszport lub dowód osobisty, dowód adresu, zdjęcie selfie), łącznie 45 USD za osobę. Konieczne jest zakupienie co najmniej 100 tożsamości KYC (razem za 4500 USD). Sprzedawca był skłonny skorzystać z zaufanego pośrednika , co oznacza, żeta oferta może być godna zaufania.
Źródło Zhakowane tożsamości mogą być bardzo cenne dla przestępców, zwłaszcza jeśli można je powiązać z innymi szczegółami dotyczącymi przestępstw przeciwko osobie, której dotyczą. Niektóre z nich obejmują:
- imię i nazwisko oraz adres (z różnych dokumentów lub rachunków),
- dowód osobisty, paszporty, zdjęcia lub selfie,
- dane biometryczne (odcisk palca, skan twarzy lub tęczówki),
- różne dane z rachunków za media, źródła majątku, pracodawcy czy konta bankowego,
- hasła, używany adres e-mail,
- używane adresy kryptograficzne, w tym wpłaty / wypłaty (+ łączenie innych powiązanych adresów za pomocą blockchaina).
Przestępcy mogą wykorzystywać te dane na różne sposoby:
- Mogą go użyć ich do popełnienia przestępstw, podszywając się pod osobę, której dane zostały zhakowane i otworzyć konto pod tym nazwiskiem, za pośrednictwem którego mogą wykonywać nielegalne działania.
- Przestępcy mogą wykorzystać niektóre dane, aby uzyskać dostęp do innych kont osoby, której dane zostały zhakowane:
- resetowanie kont poprzez adres e-mail,
- resetowanie kont za pomocą danych biometrycznych,
- próby włamania się do innych witryn przy użyciu tego samego hasła.
- Jednym z najgorszych aspektów takiej sytuacji byłaby możliwość zebrania przez przestępcę wystarczającej liczby zhakowanych danych o osobie, aby ocenić, jak opłacalny byłby napad. Wymagałoby to:
- adres fizyczny ofiary (uzyskany z dokumentu osobistego),
- informacje o ich majątku (uzyskane z wpłat / wypłat na konto z powiązanych adresów kryptograficznych lub dokumentów zawierających źródło dochodu itp.).
Taki zestaw danych mógłby wystarczyć do oceny ofiary pod kątem opłacalności rabunku. Nawet jeśli oszuści znajdują się w innym kraju, mogą sprzedawać informacje o „obiecujących celach kradzieży” innym przestępcom w kraju pochodzenia ofiary.
- Ewentualnie przestępcy mogą zbierać i dopasowywać dane do innych danych, które zostały zhakowane, aby zwiększyć wartość zbioru danych do odsprzedaży.
KYC zachęca do oszustwOprócz kradzieży tożsamości, KYC oferuje nowy zysk dla oszustów, który jest obecnie rozwijającą się strategią oszustwa zwaną „oszustwami KYC”, które są wykonywane w następujący sposób:
- Użytkownicy wpłacają krypto w serwisie bez konieczności posiadania KYC.
- Po zebraniu wystarczającej liczby osób witryna ogłasza, że KYC jest teraz obowiązkowe, a wszystkie fundusze są zamrożone.
- Witryna szantażuje użytkowników do wykonania KYC. Jeśli użytkownik nie chce tego zrobić, jego krypto zostaje utracone, zajęte przez giełdę. Jeśli giełda jest skamem, dodatkowo posiada cenne dokumenty tożsamości swoich klientów, które mogliby sprzedać lub wykorzystać dla siebie.
- Użytkownicy nie mają szans się bronić.
Ta sama strategia jest również używana przy bounties, zwłaszcza bounties shitcoinów z ICO. Dlatego ważne jest, aby zdawać sobie sprawę z oszustw KYC. Dzieje się tak zwłaszcza w przypadku nieznanych giełd lub bounties z shitcoinami. Zaleca się korzystanie tylko z wiarygodnych, dużych giełd, które nie mogą pozwolić sobie na utratę wiarygodności poprzez utratę danych swoich klientów z KYC.
W żadnym wypadku użytkownicy nie powinni wykonywać KYC dla oszustów KYC. Renomowana giełda zawsze będzie stosować się do warunków, na których użytkownik wpłaci swoje pieniądze i wyśle powiadomienie o wdrożeniu KYC, podczas gdy użytkownicy nadal mogą wypłacać środki ograniczone limitem. W ten sposób użytkownicy mogą mieć szansę na wycofanie swoich kryptowalut bez bycia oszukanym.
KYC pomaga oszustom pozostać niezłapanymKYC jest bardzo cenione przez wszelkiego rodzaju oszustów, ponieważ przestępcy mogą pozostać niewykryci i kontynuować nielegalne działania, używając tylko zhakowanych lub skradzionych tożsamości do przechodzenia KYC. Gdy w grę wchodzi dużo pieniędzy, nic ich nie powstrzyma:
- Na czarnym rynku jest już dostępna duża pula zestawów tożsamości, głównie z innych KYC hostowanych lub zhakowanych przez oszustów. Im bardziej kompletne są zbiory danych, tym bardziej zyskują na wartości. Aby zdać KYC, przestępcy muszą jedynie zdobyć odpowiednie dane na czarnym rynku.
- Ponadto oszuści mogą również sami zorganizować ICO lub założyć giełdę i tam poprosić użytkowników o KYC. Mogą określić, jakich danych potrzebują, na podstawie tego, co zamierzają z nimi zrobić później. Umożliwiłoby to przestępcom uzyskanie określonych danych KYC dla wybranego ICO lub giełdy.
Nieco sprzecznie z intuicją niektórzy „eksperci” proponują teraz egzekwowanie jeszcze bardziej przesadnej procedury KYC, której muszą przestrzegać klienci usług krypto, w tym przesyłanie skanów lepszej jakości lub większej ilości danych, w tym danych biometrycznych. Ten sposób myślenia jest całkowicie błędny, ponieważ takie środki mogą jeszcze bardziej zagrozić bezpieczeństwu użytkowników:
- Dane biometryczne (odciski palców, skan twarzy lub tęczówki) mogą być również wykorzystywane do nielegalnych celów, gdy zostaną zhakowane przez przestępców. Szkody poniesione przez osoby zhakowane mogą być kilkakrotnie większe, ponieważ dane biometryczne należą do najbardziej wrażliwych, jakie można ujawnić.
- Poprawa jakości przekazywanych danych oznacza jedynie, że hakerzy mogą otrzymywać jeszcze dokładniejsze, a tym samym cenniejsze dane. Ten ulepszony poziom jakości ułatwia przestępcom podszywanie się pod innych.
- Przestępcy coraz częściej zaczynają odbudowywać brakujące części na podstawie istniejących, skradzionych rekordów KYC. Metody omijania identyfikacji wideo, takie jak „głębokie fałszywe filmy wideo (deep-fake videos)”, szybko się rozwijają. Produkcja realistycznych masek, które trudno odróżnić od prawdziwych ludzi, to kolejny sposób na oszukanie procesu identyfikacji. Metody zostały już zaprezentowane na targach 2018 35c3 w Lipsku , dzięki którym wykazano obejście procedur identyfikacji wideo.
Techniki te mogą być na bardzo wczesnym etapie, a ich wyniki nie są doskonałe, ale w zasadzie są już możliwe. Perspektywa wzrostu rentowności w przypadku egzekwowania KYC wszędzie w nadmiernym stopniu zachęca oszustów do rozwijania metod fałszowania KYC w jeszcze większym stopniu.
Zasadniczo potrzebnych jest tylko kilku przestępców - tych, którzy są w stanie zweryfikować konta za pomocą zhakowanych danych. Ta usługa mogłaby zostać sprzedana innym przestępcom za pośrednictwem sieci darknet, która sama w sobie umożliwiłaby całkowite podważenie procesu KYC.
Dlatego, jeśli KYC zostało zaprojektowane, aby powstrzymać przestępców przed wykonywaniem swojej pracy, już przyniosło odwrotny skutek. Prawdopodobnie na czarnym rynku istnieją miliony zestawów z danymi z KYC, a liczba ta rośnie każdego dnia, gdy egzekwowanie zasad KYC staje się coraz bardziej powszechne.
Dzięki najnowszym technikom manipulowania procedurami KYC gangi przestępcze są dobrze przygotowane do weryfikowania kont i sprzedawania ich innym przestępcom po wysokiej cenie na czarnym rynku. Alternatywnie mogą po prostu zhakować już zweryfikowane konta i je sprzedać.
Dlatego przestępcy o złych zamiarach mają do wyboru wiele opcji umożliwiających obejście większości rodzajów praktyk KYC.
Wniosek: KYC jest bezużytecznePodstawowy wynik tej oceny jest oczywisty: KYC jest nie tylko bezużyteczne, ale ostatecznie zachęca do tego, czemu ma zapobiegać. KYC tworzy nowe obszary przestępczości (handel tożsamością prawdziwych użytkowników) i wzmacnia istniejące obszary przestępczości (przestępcy mogą teraz pozostać niewykrywani poprzez nadużywanie tożsamości niewinnych użytkowników). Stanowi również rażące zagrożenie dla prywatności i bezpieczeństwa wszystkich klientów.
Dlatego reklamowana skuteczność cyfrowego KYC w krypto istnieje niestety tylko w teorii. Byłoby lepiej, gdyby społeczność uznała, że KYC jest nie tylko bezużyteczne, ale także niebezpieczne i sprzyja przestępczości. Ponieważ dokumenty KYC są nielegalnie sprzedawane w sieci lub nawet fałszowane przez sztuczną inteligencję, KYC tak naprawdę niczego już nie udowadnia.
W rzeczywistości KYC zachęca do oszustw i przestępstw, a także zagraża prywatności i bezpieczeństwu wszystkich klientów poprzez kradzież ich tożsamości. Stwarza to niebezpieczną dynamikę dla użytkowników, którzy są zmuszeni do sprawdzenia KYC: tony dokumentów osobistych są zbierane przez przestępców i prawdopodobnie zostaną upublicznione w przyszłości w stopniu, jakiego wcześniej nie widzieliśmy.
Jak chronić się przed KYC?Zachowaj ostrożność i spróbuj ocenić, czy korzystanie z usługi jest naprawdę warte ryzyka kradzieży tożsamości, w tym wszystkich związanych z tym negatywnych konsekwencji. Pamiętaj również o adresach, które łączysz z kontem, gdyby zostało ono zhakowane. Powiązanie Twojej tożsamości z adresami bitcoin / altcoin nie może zostać cofnięte, jeśli ktoś wie, jak je powiązać.
Zaleca się korzystanie z zaufanych usług bez KYC, takich jak
giełdy P2P lub możesz handlować tutaj na forum za pomocą zaufanego pośrednika.
Unikaj KYC do wszystkiego innego:
- Nie dla KYC w bounties lub w airdropach, w przypadku których właściciele są prawdopodobnie oszustami lub niekompetentnymi.
- Nie dla KYC w gównianych giełdach, których właściciele są prawdopodobnie oszustami lub są niekompetentni.
- Nie dla KYC za niskie kwoty pieniędzy, gdy nie jest to warte ryzyka (prawdopodobnie obejmuje to wszystko, co nie czyni Cię bogatym).
Ważne jest, aby zwrócić uwagę na niebezpieczeństwa związane z KYC jako środek zapobiegawczy. W końcu to tylko kwestia czasu, zanim poważny skandal związany z KYC uświadomi ludziom, jak niebezpieczne i bezużyteczne jest KYC. Niestety, będzie to za późno, a szkody będą już wyrządzone. Zachęcamy do umieszczania linków do tego tekstu, aby jak najwięcej użytkowników (i dostawców) było świadomych wad KYC.
W szczególności dostawcy, którzy nadużywają bezpieczeństwa użytkowników, aby wypełnić własne kieszenie, powinni być świadomi swojego nieodpowiedzialnego zachowania.
Zaleca się korzystanie z usługodawcy, który nie żąda informacji KYC (lub którego ograniczenia są uzasadnione). Ma to na celu nie tylko ochronę nas samych, ale także wsparcie dostawców, którzy chronią swoich klientów.
Uwaga końcowa: piszę ten tekst już od jakiegoś czasu, od początku 2019 r. Od czasu, gdy początkowo podsumowałem większość znanych mi faktów, w Internecie opublikowano kilka artykułów informacyjnych, które szczegółowo analizują problemy KYC.
Kwestie, które zebrałem do tej pory, zostały nie tylko potwierdzone podczas lektury tych artykułów, ale muszę przyznać, że zdecydowanie nie doceniłem niebezpieczeństwa i bezużyteczności KYC w mojej oryginalnej wersji.
Technologia i rynek przestępczy dla KYC są już znacznie bardziej zaawansowane, niż się obawiałem i prawdopodobnie staną się jeszcze bardziej dochodowe z powodu coraz bardziej nadmiernego egzekwowania KYC.
Oszuści kryminalni odkryli KYC dla własnych korzyści, aby popełnić nową strategię przestępstw (takich jak oszustwo KYC), przeprowadzać transakcje tożsamościami użytkowników, a jednocześnie kontynuować swoją działalność przestępczą.
Byłoby użyteczne dla bezpieczeństwa, ochrony danych i zapobiegania przestępczości, gdyby opinia publiczna szybko zdała sobie sprawę, że cyfrowe KYC nie jest rozwiązaniem, ale ryzykiem zagrażającym każdemu niewinnemu użytkownikowi.Pamiętaj:Cyfrowy świat nie jest tak prosty, jak wielu ludzi sądzi. Jako przeciętny użytkownik krypto możesz popełnić wiele błędów, ale wystarczy jeden zły ruch, aby spowodować ryzyko, nawet jeśli wszystko inne jest idealne.
Oszuści są często inteligentni, ukrywają ślady swojej działalności i wykorzystują luki. Jedną z nich jest KYC dla usług scentralizowanych, które często są łatwe do ataku i ominięcia.
Jeśli my, zwykli użytkownicy, nie dbamy o naszą prywatność, nie będziemy się uczyć lub nie będziemy rościć sobie prawa do ochrony przed przestępcami w sieci, możemy bardzo szybko wpaść w kłopoty. Prywatność oznacza ochronę przed takimi oszustami i jest cennym dobrem, do którego każdy z nas ma prawo się ubiegać. Prywatność nie jest przestępstwem, to nasza ochrona w sieci przed przestępcami i prawo osobiste, które powinniśmy starać się zabezpieczyć, gdy tylko jest to możliwe.
Nie wahaj się udostępnić tego artykułu lub przetłumaczyć go na swojej lokalnej tablicy (możesz zarezerwować tłumaczenie przez PM, aby uniknąć podwójnego tłumaczenia). Istnieje wiele dezinformacji promujących KYC, ale jeśli ludzie przyjrzą się szczegółom, pomoże to w zapobieganiu wielu przestępstwom i oszustwom.
Interesujące artykuły wskazujące na niebezpieczeństwo KYC:
https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3bhttps://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2behttps://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee
Translations
