Для законопослушных пользователей Криптовалюта верификация для торговли на бирже — это кропотливый процесс. Они должны предоставить массу персональных данных, включая домашний адрес, сканы ID, выданного правительством, а также фото или видео селфи.

Для преступников все проще. Они могут заплатить всего 150 долларов на черном рынке за готовый к использованию, проверенный аккаунт на чье-то имя на Coinbase Pro, Binance US, Kraken или многочисленных других биржах, как показало расследование CoinDesk .

Для ясности: «проверенный» в этом контексте не означает законный. Подпольные торговцы создают эти аккаунты с чужими личностями или под вымышленными именами, обманывая биржи, чтобы те верифицировали их как действительных пользователей. Затем они рекламируют эти проверенные аккаунты для продажи на интернет-форумах и в Telegram.

Помимо Криптo бирж, поставщики также предлагают мошеннически созданные учетные записи для использования с основными платежными системами, такими как Square Cash App и Transferwise.

«Мы создаем от 1500 до 2000 синтетических верифицированных аккаунтов каждый месяц», — рассказал оператор ONE из таких сервисов в интервью CoinDesk через приложение для обмена сообщениями Telegram.

Этот сервис имеет несколько сотрудников и даже «отделы» в рамках бизнеса, сказал человек, который отказался назвать свое имя. И у него нет недостатка в конкурентах, как показало расследование CoinDesk.

Репортер CoinDesk рассмотрел выборку Криптo и платежных аккаунтов, которые были куплены у нескольких поставщиков на черном рынке. В ходе проверки выяснилось, что эти поставщики во многих случаях занимаются торговлей конфиденциальной информацией о людях, которые, вероятно, не знают, что их имена указаны на счетах.

Это также показало, как люди, которые по какой-либо причине T хотят раскрывать свою настоящую личность или опасаются, что им T одобрят открытие счета, могут обойти процедуры проверки клиентов в отрасли — по крайней мере, до определенного момента.

Хотя оценить масштабы этого рынка сложно (преступники обычно T афишируют свои доходы), судя по всему, он процветает.

«Мы наблюдали ошеломляющее количество злоумышленников, рекламирующих и предоставляющих мошеннические аккаунты как для Криптo бирж, так и для платежных сервисов», — сказал Эндрю Ганн, старший аналитик по анализу угроз в ZeroFox, фирме по кибербезопасности из Балтимора.

По словам Ганна, за последние 12 месяцев ZeroFox обнаружила более ONE сообщений на форумах и в группах мессенджера Telegram, рекламирующих аккаунты для продажи.

Тот факт, что можно купить поддельную цифровую личность примерно за 200 долларов, поднимает новые вопросы об эффективности политики «знай своего клиента» (KYC), реализуемой Криптo по всему миру. В то время как обычные пользователи часто должны предоставлять одну и ту же информацию несколько раздля перепроверки иждать для недели или месяцев к отзыватьих деньги (дажеМарта Стюарт(как сообщается, ждали две недели, чтобы пройти проверку), мошенники могут легко проникнуть внутрь.

На виду

Черные Рынки процветают как на так называемых темная паутина, доступ к которому осуществляется через анонимный браузер Tor, а также в открытом Интернете или поверхностном Интернете — той части Интернета, которую большинство из нас просматривает каждый день.

Здесь, на виду, живые форумы, населенные профессиональными хакерами, мошенниками всех мастей и продавцами нелегальных товаров. Назовем некоторые русскоязычные форумы, такие какВер. SC(сокращение от «Проверено») иCCCC.сбсосредоточены на незаконных услугах, связанных с идентификацией, таких как «кардочесание» (торговля украденными или поддельными номерами кредитных карт).

На этих платформах ONE легко найти выставленные на продажу аккаунты для использования на самых разных Криптo биржах и платежных сервисах: от одноранговой торговой платформы Localbitcoins до профессиональной торговой площадки Coinbase Pro и популярных платежных сервисов CashApp, Transferwise и Revolut.

Цены, варьирующиеся от 150 до 500 долларов, сообщаются потенциальному покупателю в личном чате или публикуются в прайс-листе, подобном тому , что представлен на этой веб-странице <a href="https://www.notion.so/55af0fcb9926406b8f590e7de09dc77d">https://www.notion.so/55af0fcb9926406b8f590e7de09dc77d</a> . Чтобы купить аккаунт, ONE Свяжитесь с нами с продавцом (часто через Telegram), заплатить Криптo (обычно Bitcoin) и получить запрошенные данные аккаунта.

Иногда аккаунты изначально были зарегистрированы законными клиентами и были взломаны хакерами. (Для покупателя такого аккаунта всегда есть риск, что его настоящий владелец заметит что-то странное и сообщит об этом администратору платформы.) Иногда продавцы создают аккаунты с нуля, используя украденные или поддельные данные. Иногда пользователи регистрируют аккаунты на свои собственные имена, а затем передают их продавцам для продажи.

Согласно сообщениям на форумах и разговорам с некоторыми продавцами, они проходят процесс верификации бирж, чтобы открыть счета, и контролируют счета до тех пор, пока они не будут проданы. Люди, чья информация используется для регистрации на сервисах, могут даже не знать о существовании этих счетов.

На тех же форумах, где некоторые поставщики предлагают эти мошеннические аккаунты, другие ищут «дропов» или людей, готовых предоставить свои личные данные для регистрации аккаунта. Между тем, люди, желающие занять эту должность, ищут «вакансии». Также есть несколько предложенийподдельные удостоверения личности.

Одолжи мне свое лицо

Работа капли хорошо объяснена недавним диалогом наCCCC.сбфорум (сообщения переведены с русского).

«Ищу работу по отмыванию денег. Пишите предложения в ЛС», — ONE пользователь написалв июле.

«Капли», — поправил другой пользователь в ответе перед тем, как описать роль: «Нужно только ваше лицо. Для прохождения видеоверификации через WhatsApp. От 1500 до 2000 рублей [$20-$28] за пропуск, можно делать несколько пропусков в день».

«Задача — пройти верификацию на бирже в режиме реального времени. Можно использовать паспорт/водительские права/загранпаспорт. Также нужно будет сделать селфи. После успешной верификации вы получаете 500 рублей [около 7 долларов]», — говорит другойпочтанаBhf.им форуме, добавив, что «соискателю работы» нужно будет просто указать полное имя и дату рождения, а затем нажать на LINK. Автор поста использовал фотографию рэпера Lil' Pump в качестве своей аватарки.

Чаще всего продавцы не публикуют точные цены на такие услуги в объявлениях, а сообщают их лично в чате.

Некоторые поставщики выступают в качестве посредников, предлагая связать пользователей с дропсами, подобно тому, как приложение для совместных поездок сводит пассажиров с водителями. ONE реклама хвастается, что дропсы готов работать в любое время.

Но иногда для подтверждения аккаунта даже T нужны настоящие личные данные, сказал поставщик, говоривший с CoinDesk : «Вы можете все выдумать».

«Это уязвимость систем KYC. Если вы знаете, как генерировать [синтетические] данные, вы их используете. Системы KYC — это не таможенный контрольно-пропускной пункт с общей базой данных и проверенной информацией о любом потенциальном пользователе», — заявили они.

«Полный»

Покупатели могут приобретать учетные записи, зарегистрированные под любыми именами, имеющимися у продавцов, или заказывать индивидуальные учетные записи на основе персональных данных («fullz»), которые они сами получили любым способом.

Некоторые поставщики обещают провести все необходимые исследования реальных людей, чьи данные используются, включая проверку кредитоспособности и биографических данных.

Если ничего не помогает, они готовы искать людей с такими же именами, даже если указанный человек старше 90 лет, говорят продавцы в рекламных объявлениях.

«Сотрудничество с нами означает, что мы сделаем все возможное для проверки аккаунтов: выберем модель подходящего возраста, найдем однофамильцев и постараемся добиться результатов», — написал ONE из поставщиков в Telegram. почтапроиллюстрировано дерзким мемом.

В другомпочта, поставщик описывает программное обеспечение, позволяющее создавать поддельные селфи, в том числе видео.

«Мы делаем живые селфи. Для нас доступна 3D-биометрия. Фотографируйте с удостоверениями ID . Распечатывайте любые документы. Мы можем быть кем угодно», — рекламировал тот же продавец на платном форуме. Вер. SC.

Некоторые из этих продавцов просто время от времени публикуют информацию о том, что у них есть хороший аккаунт на продажу или они хотят его купить. Другие управляют обычными магазинами с выделенными командами и поддержкой клиентов через Telegram. За их публикациями следуют отзывы довольных клиентов.

Образец

CoinDesk рассмотрел выборку аккаунтов на биржах Бинанс US, Coinbase Pro и Kraken, а также платежные сервисы Cash App и Wirex, которые можно было купить на черном рынке. Аккаунты были выставлены на продажу несколькими разными продавцами. Цены на эти аккаунты варьировались от 170 до 250 долларов, все оплачивались в Bitcoin.

Вместе с учетными данными для входа эти учетные записи содержали личные данные предполагаемых владельцев учетных записей, все из которых, по-видимому, были настоящими резидентами США или Европейского Союза. Данные включали даты рождения, адреса проживания и, в случае резидентов США, номера социального страхования.

Большинство учетных записей поставлялись с инструкциями по использованию виртуальной частной сети (VPN) для маскировки IP-адреса, чтобы биржа думала, что пользователь заходит, скажем, из Майами, а не из Москвы. В некоторых случаях поставщики включали учетные данные для учетной записи Gmail (сGoogle Голосномер телефона), предположительно длямногофакторная аутентификация(MFA) при входе в финансовый сервис, а также резервный адрес электронной почты на случай, если Google запросит подтверждение.

После проверки счетов CoinDesk связался с Криптo и платежными сервисами, чтобы проверить их подлинность. Ни одна из компаний не сказала, были ли счета подлинными, объяснив это тем, что они T могут комментировать отдельные счета.

Бинанс США отправили CoinDesk электронное письмо, подписанное «Binance US PR», в котором говорилось, что компания «считает, что это поддельный аккаунт». Биржа не ответила на последующий вопрос о том, имел ли представитель в виду под «поддельным» тот факт, что аккаунт не существует или был создан мошенническим путем.

CoinDesk провел поиск в онлайн-базах данных, таких как Spokeo, SearchPeopleFree и ClustrMaps, и нашел четырех человек, чьи имена, годы рождения и города совпадали с именами на счетах черного рынка. У двух из этих людей также совпадали адреса улиц.

Попытки связаться с этими и другими лицами, чьи имена были указаны в проверенных аккаунтах, по телефону, электронной почте и в социальных сетях не увенчались успехом, и CoinDesk отправил им письма, чтобы предупредить о том, что их данные потенциально используются несанкционированно.

Мы также позвонили на номера телефонов, которые использовались для регистрации аккаунтов — все они, за исключением ONE , оказались номерами Google Voice, то есть это виртуальные номера, сгенерированные Google. Пользователи могут регистрировать виртуальные номера телефонов, не заключая контракты с мобильным оператором. Это сделало номера Google Voice удобный инструмент для мошенников.

Адреса электронной почты, связанные с учетными записями, не соответствовали именам, под которыми были зарегистрированы учетные записи, а вместо этого содержали, казалось бы, случайные комбинации имен и цифр.

Сделано на заказ

«Довольно сложно оценить общий объем этого рынка, поскольку мы, вероятно, являемся единственным публичным примером такого бизнеса с отделами и оптимизированными процессами», — сказал поставщик, говоривший с CoinDesk .

«Наши коллеги, которые управляют аналогичным бизнесом, либо управляют очень маленькими предприятиями, либо продают аккаунты реальных людей, которые либо переживают трудные времена, либо были обмануты», — добавили они.

Однако Ганн из ZeroFox заявил, что рынок таких аккаунтов для продажи огромен, а некоторые каналы Telegram насчитывают тысячи участников.

«Огромное количество злоумышленников, специализирующихся на этом, даже привело к снижению цен до весьма разумных уровней (от 50 до 300 долларов за счет, в зависимости от биржи или сервиса)», — сказал Ганн.

Хотя исследования Ганна сосредоточены на Восточной Европе, он отметил, что украденные, взломанные или искусственно созданные аккаунты в платежных сервисах или на Криптo биржах продаются по всему миру и рекламируются на нескольких языках.

По словам Ганна, в дополнение к готовым к использованию счетам поставщики услуг на черном рынке предлагают «услуги по запросу, практически a la carte, в зависимости от потребностей клиентов».

Они могут помогать своим «клиентам» регистрировать мошеннические учетные записи, продавая скомпрометированные персональные данные или «предлагая поддержку на любом этапе процесса проверки», включая цифровую визуализацию лиц для прохождения фото- и видеоверификации, которую часто требуют крупные Криптo биржи.

«Иди сюда, нажми сюда»

ZeroFox выявил по крайней мере ONE случай, когда группа нанимала людей на платформе фриланс-работы для создания и проверки учетных записей, а затем передавала эти учетные записи всего за 5–10 долларов за каждый пропуск, сказал Ганн. Группа давала точные инструкции людям, желающим выполнить работу: «идите сюда, нажмите на это, используйте этот ID», — сказал Ганн.

Дальнейшее расследование показало, что группировке удалось создать и продать «тысячи проверенных аккаунтов» на одной платформе, сказал он. Ганн не назвал эту платформу.

Получение мошеннических аккаунтов — это верный шанс для преступных групп, сказал Ганн. «Эти аккаунты очень легко получить, они относительно дешевы и одноразовы, поэтому в криминальном подполье очень просто купить столько, сколько нужно. А если вы потеряете ONE аккаунт, вы просто купите ONE», — сказал он.

Ганн отметил, что для служб обнаружение и закрытие мошеннических аккаунтов может оказаться чрезвычайно сложной задачей.

«Некоторые из этих счетов неактивны, пока через них не пройдут деньги, и если бы их проверил реальный человек, как бы они узнали об этом?» — сказал он. «Меры безопасности [реализуемые платформами] довольно хороши, но всегда есть способ обойти их».

Неясно, как долго такие аккаунты остаются работоспособными, пока сервис не заметит что-то подозрительное и не закроет их. Срок жизни аккаунта зависит от того, как он используется, сообщил CoinDesk продавец на черном рынке.

«Мы предоставляем учетную запись, которая по сути ничем не LOOKS от ONE зарегистрировали бы вы или ваш друг. Они полностью соответствуют требованиям KYC, за исключением того, что они полностью синтетические», — сказал этот человек, добавив, что собственное безрассудное поведение пользователей, а не качество учетной записи, может вызвать оповещения бирж о мошенничестве.

Ганн согласился, что покупатель синтетического аккаунта может остаться незамеченным. «Если бы они приняли меры предосторожности, чтобы не выделяться среди обычных людей (не превышали суммы транзакций и ETC.), использовали бы резидентные прокси-серверы, сопоставляя информацию и геолокацию жертвы, и это лишь некоторые из пунктов, аккаунты могли бы существовать бесконечно», — сказал он.

Торговля на Криптo — это всего лишь часть более крупного глобального черного рынка ID . Согласно данным за 2020 год отчетПо данным компании по кибербезопасности Digital Shadows, в мире выставлено на продажу более 15 миллиардов учетных данных, и наиболее ценными из них являются «банковские и другие финансовые счета», которые продаются в среднем по $70,91 за штуку. Это не идет ни в какое сравнение только с ценами на доступ администратора домена к корпоративным системам, где цена может достигать $140 000, сообщает Digital Shadows.

Судя по всему, незаконный доступ к Криптовалюта сервисам оценивается где-то посередине: некоторые аккаунты продаются по цене до 500 долларов за штуку.

Контрмеры

Некоторые платформы, с которыми связался CoinDesk, подтвердили, что им известно о черном рынке для их счетов.

«У нас есть команда, которая занимается мониторингом темной паутины на предмет аккаунтов, украденных с помощью вредоносного ПО или фишинга, а также «аккаунтов-мулов», которые выставляются на продажу в качестве прикрытия для преступников для отмывания денег», — сообщил представитель Kraken CoinDesk по электронной почте. «В зависимости от ситуации мы можем либо восстановить аккаунт законному владельцу, либо немедленно отключить его и предпринять соответствующие действия по мере необходимости».

В Coinbase группа по анализу угроз «отслеживает Рынки даркнета и другие форумы киберпреступников», рассказала CoinDesk старший менеджер по коммуникациям биржи, котирующейся на Nasdaq, Жаклин Сэйлс.

«Как и любое другое финансовое учреждение, Coinbase реализует меры по защите счетов от мошенников. По соображениям безопасности мы не раскрываем подробности этих мер, так как не хотим предоставлять мошенникам информацию, которая может быть использована для обхода этих мер контроля».

Бинанс СШАПресс-секретарь компании сообщил CoinDesk по электронной почте, что компания внимательно следит за тем, как пользователи входят в свои учетные записи каждый раз, когда они ими пользуются.

«Наша система управления рисками собирает широкий спектр сигналов во время открытия счета, последующих входов в систему и во время каждого взаимодействия со счетом, и мы отслеживаем эти сигналы, чтобы выявлять потенциально высокорисковые счета или связанную с ними активность и предотвращать вредоносное поведение», — сообщил представитель CoinDesk.

Представитель CashApp сообщил, что компания также отслеживает поведение пользователей для выявления потенциального мошенничества. «В дополнение к нашим стандартным программам по сбору информации о клиентах и ​​их проверке мы используем различные поведенческие сигналы, информацию, предоставленную нашими клиентами и различными поставщиками, а также шаблоны транзакций для анализа и выявления случаев, когда учетные записи могут быть подозрительными на предмет различной недобросовестной деятельности, включая мошенничество и кражу личных данных», — говорится в письменном заявлении компании для CoinDesk.

Компания Ганна ZeroFox помогает компании Wirex, производящей платежные приложения, «отслеживать и блокировать попытки выдать себя за Wirex, а также тех злоумышленников, которые заявляют, что продают учетные записи Wirex в даркнете», — сообщила CoinDesk по электронной почте менеджер по коммуникациям Wirex Лотти Уэллс.

По ее словам, приношения обильны.

«С начала июня по [сентябрь] мы отследили около 400 000 ссылок, аккаунтов и постов, мы выявили и исправили (заблокировали, сняли, удалили и ETC.) более 1500 единиц контента. Фактически, 32% из них были именно из даркнета», — сказал Уэллс.

По словам Уэллса, для предотвращения мошенничества Wirex применяет «комплекс мер по обеспечению соответствия, технологий и безопасности» в зависимости «от профиля риска пользователя, характера транзакций и наших сторонних партнеров, которые поддерживают нас в оценке внешних условий».

«Мы также тесно сотрудничаем с регулирующими органами, чтобы снизить риски захвата аккаунтов, и сообщаем о них при необходимости», — добавила она. «Любые клиентские аккаунты, которые могут быть скомпрометированы, быстро блокируются и защищаются, в то время как наша служба поддержки клиентов работает с нашими клиентами, чтобы защитить их аккаунты».

CoinDesk также попросил прокомментировать ситуацию Криптовалюта биржу Huobi, а также платежные сервисы Transferwise и Revolut. Все они упоминаются в объявлениях, размещенных продавцами мошеннических аккаунтов.

Представитель TransferWise Крис Монтейро заявил, что компания сотрудничает с правоохранительными органами «для предотвращения дальнейшей незаконной деятельности», когда узнаёт о «конкретных случаях организованного мошенничества».

«Если наши клиенты считают, что стали жертвой мошенничества, они должны немедленно сообщить об этом в полицию, и мы призываем их немедленно Свяжитесь с нами с нами», — добавил Монтейру.

Huobi отказалась от комментариев. Revolut не ответила на момент публикации.

Горькая пилюля

По словам Ганна, целевой аудиторией этих выставленных на продажу аккаунтов являются люди, занимающиеся другой преступной деятельностью.

«Злоумышленники, покупающие созданные и проверенные аккаунты, используют их для любой преступной деятельности, которую они совершают, будь то кардинг, продажа вредоносного ПО или мошенничество с подарочными картами», — сказал он. «Это ONE из частей процесса, которая помогает им оставаться анонимными, а не иметь Криптo на свои имена на этих биржах».

Поставщик, общавшийся с CoinDesk, использовал более деликатные выражения, заявив, что пользователи пользуются его услугами, чтобы избежать «налоговых рисков».

Поскольку правоохранительные органы по всему миру принимаютпрограммное обеспечение для блокчейн-детективов, преступникам становится еще разумнее заметать следы, покупая и продавая Криптo через счета, зарегистрированные на чужие имена, сказал Ганн.

Сергей Менделеев, основатель зарегистрированной в Эстонии Криптo биржи Garantex и генеральный директор инвестиционной платформы InDeFi, объяснил CoinDesk , как эти «аккаунты мулов» могут использоваться для сокрытия связи между Криптo и ее фактическим владельцем.

«Если вы покупаете Monero за фиат, а затем снимаете его и потом вносите через другой счет, вы можете продать его за Bitcoin и получить чистые, биржевые Bitcoin, не связанные с предыдущими транзакциями. Эта схема довольно популярна, и есть десятки других», — сказал Менделеев.

Другая причина спроса на синтетические счета может быть очень простой: люди, проживающие в странах, на которые наложены санкции США и ЕС или в которых действуют запретительные антикриптовалютные правила, T могут зарегистрироваться под своими настоящими именами на основных Криптo биржах.

Сергей Жданов, главный операционный директор зарегистрированной в Лондоне Криптo EXMO, рассказал CoinDesk, что его компания поймала некоторых пользователей на подделке своих данных KYC. Пользователи объяснили, что находятся на территориях, находящихся под международными санкциями, поэтому T смогут зарегистрироваться со своими настоящими удостоверениями личности, сказал он.

«Некоторые пользователи просто честно признались, что они находятся в ДНР [Донецкая Народная Республика, спорная территория на юго-востоке Украины] или Северной Корее, поэтому они купили свои документы [для регистрации]. Мы блокируем такие аккаунты», — сказал Жданов.

Китай, который вел себя агрессивновытеснение Криптo из страны, по-видимому, является новым растущим рынком для бизнеса поддельных ID личности. Дови Ван, основатель Криптo Primitive Ventures, сообщил CoinDesk, что рынок верифицированных аккаунтов для китайских пользователей «живой».

Поставщики «рекламируются в группах Telegram как «услуга KYC»», — сказал Ван, добавив, что «вы просто спрашиваете в группах Telegram (в основном китайских) «Я хочу услугу KYC», [и] люди появляются».

Поставщик CoinDesk , с которым мы говорили, подтвердил, что их сервис становится популярным в Китае: «В настоящее время мы видим интерес к нашим сервисам со стороны китайцев. Думаю, объяснять не нужно. :)»

Марк Хохштейн,Дэнни Нельсон и Дэниел Кунвнес вклад в отчетность