Neue Untersuchungen von Cybersicherheitsjournalisten bei 404 Media haben ein neues Tool namens OnlyFakes aufgedeckt, das zuverlässig gefälschte Ausweise generiert, mit denen sich die KYC-Prüfungen der Anbieter relativ einfach umgehen lassen.
Gefälschte Dokumente können mit oder ohne Hintergrund erstellt werden, was darauf hindeutet, dass es sich um ein frisch aufgenommenes Bild eines Benutzers handelt, der einen Identitätsprüfungsprozess durchläuft. Man geht davon aus, dass mit Excel-Batches mehrere Hundert gefälschte Dokumente auf einmal erstellt werden können.
OnlyFakes erklärt, dass es gegen illegale Aktivitäten ist
Laut der Website dürfen ihre Dienste nur als Requisiten in Filmen usw. verwendet werden, wobei die Nutzung der Plattform zum Bestehen von KYC-Prüfungen „ausdrücklich verboten“ ist. Nicht lange nach der Veröffentlichung des Artikels , in dem die Website verurteilt wurde, „ erinnerte “ der Gründer der Website – der sich unter dem Pseudonym John Wick versteht – seine Community an diese Klausel.
Allerdings deuten Rückmeldungen zu verbundenen Telegram-Gruppen darauf hin, dass der Eigentümer der Plattform sich des Zwecks, für den sie genutzt wird, durchaus bewusst ist.
John Wick sagte auch auf Telegram, dass es bereit sei, echte ID-Scans von Benutzern für jeweils 100 US-Dollar zu kaufen, um die Plattform zu verbessern und US-amerikanischen und europäischen IDs Vorrang einzuräumen.
Bedauerlicherweise werden seit Jahren Dritte eingesetzt, die ihre Dokumente für KYC-Zwecke einreichen und in Entwicklungsländern Mitarbeiter für nur 10 US-Dollar einstellen , um Betrügern den Zugang zu Krypto-Plattformen zu erleichtern.
Bemerkenswert robust
Das neue Tool kann jedoch zuverlässig Zugriff auf eine Reihe gefälschter Dokumente aus Ländern mit geringem Risiko ermöglichen. Benutzer können ihre eigenen Fotos hochladen oder aus einer auf der Website bereitgestellten Galerie auswählen. Es werden auch Standard-Hintergrundbilder bereitgestellt. OnlyFakes entfernt auch die EXIF-Daten – einschließlich Zeit, Ort und Gerät, mit denen das Bild erstellt wurde – der Originalfotos und ersetzt sie, um eine Erkennung zu vermeiden.
Laut Nutzern des Dienstes sind Plattformen wie Airbnb, Revolut, Wise und Payoneer allesamt von der Echtheit des Dokuments überzeugt. Berichten zufolge wurden auch die Kryptowährungsbörsen Huobi, Coinbase, Binance, Kraken und OKX mit diesen gefälschten Dokumenten gehackt.
Hier ist der Prozess, der es mir ermöglicht, die Identitätsprüfung auf OKX erfolgreich zu umgehen, einer Kryptowährungsbörse, die meiner Meinung nach von Kriminellen genutzt wird
– Fragt nach Ihrem Reisepass
– Ich habe ein Foto von meinem gefälschten britischen Pass gemacht, den ich zuvor gemacht habe (ich musste ihn nicht in der Hand haben) https://t.co/hCjHWbKJPf pic.twitter.com/69PvbincUP– Joseph Cox (@josephfcox) 5. Februar 2024
OKX, das kürzlich Ziel eines Schweineschlachtbetrugs wurde, bei dem den Nutzern möglicherweise fast 40 Millionen US-Dollar gestohlen wurden, setzt Jumio für KYC-Zwecke ein.
Als Herr Cox ihn kontaktierte, sagte Stuart Wells, CTO von Jumio, dass seine Plattform eine Reihe von Tools verwendet, um ein hervorragendes KYC bereitzustellen.
„Unser fortschrittlicher Identitätsüberprüfungsprozess nutzt mobile oder Webcam-Tools zum Scannen von Dokumenten, die es Sicherheitsteams ermöglichen, diese mit vertrauenswürdigen Quellen abzugleichen und die Anzahl gefälschter Profile und böswilliger Aktivitäten zu verringern. Letztendlich schützen diese zusätzlichen Maßnahmen zur Identitätsprüfung die Benutzer besser, indem sie Betrugsversuche bereits in der Benutzer-Onboarding-Phase verhindern.“
Auf die Frage nach dem jüngsten Verstoß sagte Wells, er könne sich zu den Vorgehensweisen von OKX nicht äußern.
Die Behauptung der KI könnte falsch sein
Laut der Plattform OnlyFakes wird für die Erstellung der Bilder künstliche Intelligenz eingesetzt. Diese Behauptung wird jedoch von Cybersicherheitsexperten bestritten, da KI derzeit dazu neigt, Texte in Dokumenten zu verschlüsseln, die absolut klar und eindeutig sein sollten.
Die erzeugten Bilder sind außerdem bemerkenswert frei von jeglichen Anzeichen von „Halluzinationen“, also Artefakten, die auftreten, wenn eine KI nicht sicher ist, wie sie ein unbekanntes Objekt wiedergeben soll.
Der Beitrag Neue Plattform ermöglicht betrügerisches KYC für nur 15 US-Dollar und zielt auf Krypto-Plattformen ab: Der Bericht erschien zuerst auf CryptoPotato .