Man
Professional
- Messages
- 3,108
- Reaction score
- 670
- Points
- 113
На фоне эскалации войны на Украине западные страны стремятся ужесточить санкции против связанных с Россией организаций. Но санкции могут быть введены только в том случае, если будет четко определена граница между разрешенной и незаконной финансовой деятельностью. И как объясняет Тимур Юнусов в этой гостевой статье, изобретательным хакерам несложно обойти правила.
Работая исследователем в области информационной безопасности, я тестирую системы банков и финансовых учреждений, чтобы проверить, насколько они надежны.
Организаторы недавней конференции по безопасности Hackron, состоявшейся на Тенерифе, попросили меня подготовить презентацию о предложениях преступников в даркнете, связанных с банковскими счетами, открытыми с использованием поддельных удостоверений личности. Эта статья представляет собой резюме моих выводов.
***Предупреждение*** не делайте ничего из того, что я описываю ниже дома! Если вы это сделаете, вы можете потерять свой кредитный рейтинг, свои банковские счета и привлечь внимание властей.
Наиболее популярными предложениями киберпреступников являются продажа данных украденной кредитной или дебетовой карты (номер карты, дата истечения срока действия и код CVV) для покупки чего-либо за чужие деньги.
Вы можете купить такую украденную информацию о карте на сайтах даркнета. Предложение изощренное: при покупке данных карты вы даже можете искать конкретный банк, конкретное местоположение или дату открытия счета.
Украденные данные карт продаются в даркнете
Существует хорошая защита от подобного рода мошенничества: 3-D Secure, при которой вам необходимо подтвердить транзакцию после получения SMS-сообщения, отправленного на ваш телефон.
Но в США кассир может дать вам возможность ввести данные карты на платежном терминале, и вы сможете совершить покупку. Подобные мошенничества были и на розничных сайтах, таких как Amazon.
Другая популярная схема мошенничества включает клонирование магнитной полосы законной карты, ее копирование на дубликат карты и использование этого дубликата для снятия наличных в банкомате или совершения покупок в магазине. Опять же, этот тип мошенничества зависит от продавца, использующего старые платежные системы (те, которые не используют форму безопасности под названием EMV).
Но в этой статье я хочу сосредоточиться на виде мошенничества, которое на первый взгляд сложнее понять. Оно заключается в создании дебетовой карты в финансовом учреждении с поддельным удостоверением личности и без денег на счете, по крайней мере, на начальном этапе.
В текущей войне для многих людей единственный способ совершать транзакции в иностранной валюте в России или из России (поскольку теперь практически невозможно хранить и перемещать валюту внутри страны) — это создавать такие фейковые счета. Вот почему спрос на такие услуги недавно резко возрос и, вероятно, вырастет еще больше.
Новые требования к банковским счетам в ЕС
Реклама в русскоязычном даркнете обещает создать поддельные удостоверения личности с любым именем, которое вам нравится. Они продают карты на основе этих удостоверений личности, выпущенные различными известными западными финтехами, включая Monzo, Revolut, Starling, Blackcatcard, Uphold и Cashapp. Затем продавцы даркнета обещают доставить карты в любую точку мира.
Это может показаться мелким мошенничеством. Но двое людей, недавно обвиненных в США в попытке отмывания доходов от взлома почти 120 000 биткоинов с криптовалютной биржи Bitfinex в 2016 году, по-видимому, пользовались такими услугами. И хотя власти США изъяли 4 млрд долларов из 5 млрд долларов украденных биткоинов, оставшийся миллиард все еще не найден.
Таким образом, Лихтенштейн и Морган, по-видимому, отмыли около 25 000 украденных биткоинов за последние пять лет, используя различные методы сокрытия следов — от поддельных удостоверений личности до конвертации украденных монет в другие цифровые валюты.
Предложение поддельных удостоверений личности на российском сайте даркнета
Как эти продавцы в даркнете и их клиенты обходят правила финансовых учреждений «знай своего клиента» (KYC) и «противодействие отмыванию денег» (AML), которые должны гарантировать, что только реальные, законопослушные люди могут иметь с ними дело?
Чтобы лучше понять, как это происходит, мы изначально хотели купить эти карты у преступников. Но оказалось, что это может повлечь за собой судебные иски против нас. Поэтому вместо этого мы нашли финтех-стартап, который согласился добавить эти чеки в наше предложение по моделированию мошенничества.
Затем я провел эксперимент. Я подделал версию своего удостоверения личности и попытался открыть счета с его помощью.
Прежде чем рассказать вам, что произошло, вот наиболее распространенные этапы KYC в цифровую эпоху.
Сначала новый клиент проходит проверку на живость. Это означает, что изображение клиента должно быть записано с помощью живого захвата с телефона в момент открытия счета, а не с прошлых записей или фотографий.
В-третьих, сотрудники и программное обеспечение провайдера KYC гарантируют, что не было подделки документов. Кроме того, данные клиента проверяются по черным спискам.
В-четвертых, поставщик KYC может просматривать аккаунты в социальных сетях. Если у вас нет присутствия, скажем, в Twitter, Instagram или Facebook, или если вы открыли свой аккаунт вчера, это черная метка.
Затем есть принцип прогрессивного KYC. Если вы хотите провести транзакцию на сумму менее, скажем, £100, чеки могут быть ограничены. Если сумма составляет £100-£1000, вам нужно будет показать одну форму удостоверения личности, например, водительские права или паспорт. А если больше, вам, вероятно, понадобится другой документ, например, подтверждение адреса.
Как мошенники могут обойти эти правила? Они могут использовать фотошоп для подделки удостоверений личности. Они могут избавиться от любых доказательств подделки. Они могут подделать пластик или голограммы, используемые в документах, удостоверяющих личность. И весьма полезно начать с базы данных украденных имен и адресов. Это означает, что вы создадите поддельное удостоверение личности на основе другого реального человека — без его ведома.
Итак, вот что я сделал. Используя Photoshop, я взял свои настоящие водительские права Великобритании и подделал их, чтобы изменить свое имя. В частности, я удалил несколько символов в конце имени и фамилии, оставив остальные поля документа без изменений.
Тимур Юнусов становится Тиму Юнусом
Я не мог себе представить, что это позволит мне открыть счет в финтехе. Но это произошло!
По окончании упражнений по моделированию мошенничества я получил электронное письмо о том, что мой аккаунт заблокирован.
Хуже того, некоторое время спустя я получил письмо от одной из фирм, в которой у меня был настоящий счет, под моим настоящим именем, в котором говорилось, что меня выгнали из их систем. Из-за моей попытки открыть счет с поддельным удостоверением личности я, должно быть, попал в черный список — существует всего несколько поставщиков KYC.
Этот опыт может свидетельствовать о том, что иногда системы KYC работают так, как и должны, предотвращая проникновение в систему недобросовестных лиц.
Но, создав пробные учетные записи у поставщиков KYC и поэкспериментировав с входными данными, используемыми для их проверок (помните, я делал это для клиентов, которые просили меня протестировать их системы), я обнаружил, что могу обойти большинство из них.
Например, я использовал мобильный телефон с root-доступом, чтобы подменить данные, используемые поставщиком KYC при проверке активности.
Поставщики KYC проверяют так называемые метатеги EXIF при проверке изображений. Например, эти метатеги указывают марку и модель телефона, дату изменения изображения и GPS-координаты места, где была сделана фотография. Я удалил эти теги, которые теоретически должны были вызвать подозрение, но все равно прошли проверки KYC.
Наконец, XML-теги, связанные с изображением, показывают, было ли оно отредактировано в Adobe или Photoshop. Признаки редактирования должны снова вызывать опасения, но мне удалось обойти проверку KYC с отредактированным изображением.
Тиму Юнус получает добро на процедуру KYC
О чем все это нам говорит? Крайне легко обойти проверки KYC в Великобритании, Европе и особенно в США, где распространено так называемое мошенничество с синтетическими идентификационными данными.
Эти фальшивые аккаунты являются последней милей для тех, кто пытается вывести из системы отмытые деньги.
Трудно сказать точно. Но судя по скриншоту, который я сделал на прошлой неделе у продавца в даркнете, предлагающего за 250 долларов верификацию аккаунтов на основе поддельных удостоверений личности в ряде учреждений, от криптовалютных бирж до Revolut и Airbnb, это все еще реальная проблема.
Поддельные учетные записи ID были выставлены на продажу на прошлой неделе
Финансовые учреждения не должны забывать, что преступники наиболее активны во времена потрясений и неопределенности. Многие кампании по финансовой поддержке Украины уже были использованы преступниками.
Представьте себе, как легко выдать себя за украинца, используя описанные выше приемы, и получить 50 долларов на популярной криптовалютной платформе?
FTX раздает по 50 долларов каждому «украинскому пользователю»
Что могут сделать компании? Они могут помешать преступникам получить начальный доступ к системам, требуя более строгого KYC даже для небольших сумм. Например, Samsung Pay+ не требует никаких документов, пока вы не потратите свои первые 100 фунтов стерлингов.
Вы буквально отправляете свое имя и адрес с помощью телефона Samsung, и карта будет отправлена через несколько дней. Только когда ваши транзакции превысят £100, они попросят предоставить дополнительную информацию об удостоверении личности.
И, конечно, обмен данными и черными списками между различными поставщиками KYC (и между странами) может помочь искоренить отмывание денег и другие финансовые преступления. Смешно, что правительство одной европейской страны не может немедленно проверить, верны ли водительские права гражданина другой страны.
Конечно, проблема поддельных удостоверений личности не ограничивается отдельными лицами. Существует огромная проблема с компаниями, отмывающими деньги. Почти половина учреждений электронных денег (EMI), созданных в Великобритании, были отмечены надзорным органом за риски финансовых преступлений.
Поддельные бизнес-аккаунты стоят дороже, но принцип тот же
А отмыватели денег, должно быть, смеются над правилами Великобритании, требующими раскрытия информации об истинных владельцах компаний, поскольку мошенники так явно нарушают их безнаказанно. Но это уже другая история.
Источник
Работая исследователем в области информационной безопасности, я тестирую системы банков и финансовых учреждений, чтобы проверить, насколько они надежны.
Организаторы недавней конференции по безопасности Hackron, состоявшейся на Тенерифе, попросили меня подготовить презентацию о предложениях преступников в даркнете, связанных с банковскими счетами, открытыми с использованием поддельных удостоверений личности. Эта статья представляет собой резюме моих выводов.
***Предупреждение*** не делайте ничего из того, что я описываю ниже дома! Если вы это сделаете, вы можете потерять свой кредитный рейтинг, свои банковские счета и привлечь внимание властей.
Наиболее популярными предложениями киберпреступников являются продажа данных украденной кредитной или дебетовой карты (номер карты, дата истечения срока действия и код CVV) для покупки чего-либо за чужие деньги.
Вы можете купить такую украденную информацию о карте на сайтах даркнета. Предложение изощренное: при покупке данных карты вы даже можете искать конкретный банк, конкретное местоположение или дату открытия счета.
Украденные данные карт продаются в даркнете
Существует хорошая защита от подобного рода мошенничества: 3-D Secure, при которой вам необходимо подтвердить транзакцию после получения SMS-сообщения, отправленного на ваш телефон.
Но в США кассир может дать вам возможность ввести данные карты на платежном терминале, и вы сможете совершить покупку. Подобные мошенничества были и на розничных сайтах, таких как Amazon.
Другая популярная схема мошенничества включает клонирование магнитной полосы законной карты, ее копирование на дубликат карты и использование этого дубликата для снятия наличных в банкомате или совершения покупок в магазине. Опять же, этот тип мошенничества зависит от продавца, использующего старые платежные системы (те, которые не используют форму безопасности под названием EMV).
Но в этой статье я хочу сосредоточиться на виде мошенничества, которое на первый взгляд сложнее понять. Оно заключается в создании дебетовой карты в финансовом учреждении с поддельным удостоверением личности и без денег на счете, по крайней мере, на начальном этапе.
Зачем кому-то это нужно? Отмывание денег! Или уклонение от санкций — как хотите, так и называйте.
В текущей войне для многих людей единственный способ совершать транзакции в иностранной валюте в России или из России (поскольку теперь практически невозможно хранить и перемещать валюту внутри страны) — это создавать такие фейковые счета. Вот почему спрос на такие услуги недавно резко возрос и, вероятно, вырастет еще больше.
Новые требования к банковским счетам в ЕС
Реклама в русскоязычном даркнете обещает создать поддельные удостоверения личности с любым именем, которое вам нравится. Они продают карты на основе этих удостоверений личности, выпущенные различными известными западными финтехами, включая Monzo, Revolut, Starling, Blackcatcard, Uphold и Cashapp. Затем продавцы даркнета обещают доставить карты в любую точку мира.
Это может показаться мелким мошенничеством. Но двое людей, недавно обвиненных в США в попытке отмывания доходов от взлома почти 120 000 биткоинов с криптовалютной биржи Bitfinex в 2016 году, по-видимому, пользовались такими услугами. И хотя власти США изъяли 4 млрд долларов из 5 млрд долларов украденных биткоинов, оставшийся миллиард все еще не найден.
Согласно обвинительному заключению, Илья Лихтенштейн и Хизер Морган посетили Киев в 2019 году. Находясь там, они, по-видимому, получили посылки от российских торговцев даркнета. Эти торговцы предлагали предоставить поддельные украинские паспорта и счета мобильных телефонов, а также дебетовые карты, выпущенные для поддельных удостоверений личности.
Таким образом, Лихтенштейн и Морган, по-видимому, отмыли около 25 000 украденных биткоинов за последние пять лет, используя различные методы сокрытия следов — от поддельных удостоверений личности до конвертации украденных монет в другие цифровые валюты.
Предложение поддельных удостоверений личности на российском сайте даркнета
Как эти продавцы в даркнете и их клиенты обходят правила финансовых учреждений «знай своего клиента» (KYC) и «противодействие отмыванию денег» (AML), которые должны гарантировать, что только реальные, законопослушные люди могут иметь с ними дело?
Чтобы лучше понять, как это происходит, мы изначально хотели купить эти карты у преступников. Но оказалось, что это может повлечь за собой судебные иски против нас. Поэтому вместо этого мы нашли финтех-стартап, который согласился добавить эти чеки в наше предложение по моделированию мошенничества.
Затем я провел эксперимент. Я подделал версию своего удостоверения личности и попытался открыть счета с его помощью.
Прежде чем рассказать вам, что произошло, вот наиболее распространенные этапы KYC в цифровую эпоху.
Сначала новый клиент проходит проверку на живость. Это означает, что изображение клиента должно быть записано с помощью живого захвата с телефона в момент открытия счета, а не с прошлых записей или фотографий.
Во-вторых, ключевые данные клиента, такие как имя, фамилия и дата рождения, извлекаются с помощью оптического распознавания символов (OCR) из документа, удостоверяющего личность.
В-третьих, сотрудники и программное обеспечение провайдера KYC гарантируют, что не было подделки документов. Кроме того, данные клиента проверяются по черным спискам.
В-четвертых, поставщик KYC может просматривать аккаунты в социальных сетях. Если у вас нет присутствия, скажем, в Twitter, Instagram или Facebook, или если вы открыли свой аккаунт вчера, это черная метка.
Затем есть принцип прогрессивного KYC. Если вы хотите провести транзакцию на сумму менее, скажем, £100, чеки могут быть ограничены. Если сумма составляет £100-£1000, вам нужно будет показать одну форму удостоверения личности, например, водительские права или паспорт. А если больше, вам, вероятно, понадобится другой документ, например, подтверждение адреса.
Как мошенники могут обойти эти правила? Они могут использовать фотошоп для подделки удостоверений личности. Они могут избавиться от любых доказательств подделки. Они могут подделать пластик или голограммы, используемые в документах, удостоверяющих личность. И весьма полезно начать с базы данных украденных имен и адресов. Это означает, что вы создадите поддельное удостоверение личности на основе другого реального человека — без его ведома.
Итак, вот что я сделал. Используя Photoshop, я взял свои настоящие водительские права Великобритании и подделал их, чтобы изменить свое имя. В частности, я удалил несколько символов в конце имени и фамилии, оставив остальные поля документа без изменений.
Тимур Юнусов становится Тиму Юнусом
Я не мог себе представить, что это позволит мне открыть счет в финтехе. Но это произошло!
По окончании упражнений по моделированию мошенничества я получил электронное письмо о том, что мой аккаунт заблокирован.
Хуже того, некоторое время спустя я получил письмо от одной из фирм, в которой у меня был настоящий счет, под моим настоящим именем, в котором говорилось, что меня выгнали из их систем. Из-за моей попытки открыть счет с поддельным удостоверением личности я, должно быть, попал в черный список — существует всего несколько поставщиков KYC.
Этот опыт может свидетельствовать о том, что иногда системы KYC работают так, как и должны, предотвращая проникновение в систему недобросовестных лиц.
Но, создав пробные учетные записи у поставщиков KYC и поэкспериментировав с входными данными, используемыми для их проверок (помните, я делал это для клиентов, которые просили меня протестировать их системы), я обнаружил, что могу обойти большинство из них.
Например, я использовал мобильный телефон с root-доступом, чтобы подменить данные, используемые поставщиком KYC при проверке активности.
Затем я использовал виртуальную камеру в браузере настольного компьютера, чтобы обмануть поставщика услуг KYC, заставив его подумать, что изображение делается в реальном времени.
Поставщики KYC проверяют так называемые метатеги EXIF при проверке изображений. Например, эти метатеги указывают марку и модель телефона, дату изменения изображения и GPS-координаты места, где была сделана фотография. Я удалил эти теги, которые теоретически должны были вызвать подозрение, но все равно прошли проверки KYC.
Наконец, XML-теги, связанные с изображением, показывают, было ли оно отредактировано в Adobe или Photoshop. Признаки редактирования должны снова вызывать опасения, но мне удалось обойти проверку KYC с отредактированным изображением.
Тиму Юнус получает добро на процедуру KYC
О чем все это нам говорит? Крайне легко обойти проверки KYC в Великобритании, Европе и особенно в США, где распространено так называемое мошенничество с синтетическими идентификационными данными.
Эти фальшивые аккаунты являются последней милей для тех, кто пытается вывести из системы отмытые деньги.
Насколько это серьезная проблема?
Трудно сказать точно. Но судя по скриншоту, который я сделал на прошлой неделе у продавца в даркнете, предлагающего за 250 долларов верификацию аккаунтов на основе поддельных удостоверений личности в ряде учреждений, от криптовалютных бирж до Revolut и Airbnb, это все еще реальная проблема.
Поддельные учетные записи ID были выставлены на продажу на прошлой неделе
Финансовые учреждения не должны забывать, что преступники наиболее активны во времена потрясений и неопределенности. Многие кампании по финансовой поддержке Украины уже были использованы преступниками.
Представьте себе, как легко выдать себя за украинца, используя описанные выше приемы, и получить 50 долларов на популярной криптовалютной платформе?
FTX раздает по 50 долларов каждому «украинскому пользователю»
Что могут сделать компании? Они могут помешать преступникам получить начальный доступ к системам, требуя более строгого KYC даже для небольших сумм. Например, Samsung Pay+ не требует никаких документов, пока вы не потратите свои первые 100 фунтов стерлингов.
Вы буквально отправляете свое имя и адрес с помощью телефона Samsung, и карта будет отправлена через несколько дней. Только когда ваши транзакции превысят £100, они попросят предоставить дополнительную информацию об удостоверении личности.
Лучшее обнаружение аномалий конечных точек может помочь. Например, большинство из нас быстро вводят дату рождения или номер социального страхования на веб-сайтах (поскольку мы их помним). Если кто-то вводит информацию медленно или с паузами, это может быть обнаружено алгоритмами KYC/AML, и учетная запись может быть подвергнута дополнительным проверкам. Этими примерами поделился Ури Ривнер несколько лет назад.
И, конечно, обмен данными и черными списками между различными поставщиками KYC (и между странами) может помочь искоренить отмывание денег и другие финансовые преступления. Смешно, что правительство одной европейской страны не может немедленно проверить, верны ли водительские права гражданина другой страны.
Конечно, проблема поддельных удостоверений личности не ограничивается отдельными лицами. Существует огромная проблема с компаниями, отмывающими деньги. Почти половина учреждений электронных денег (EMI), созданных в Великобритании, были отмечены надзорным органом за риски финансовых преступлений.
Поддельные бизнес-аккаунты стоят дороже, но принцип тот же
А отмыватели денег, должно быть, смеются над правилами Великобритании, требующими раскрытия информации об истинных владельцах компаний, поскольку мошенники так явно нарушают их безнаказанно. Но это уже другая история.
Источник
Last edited:
