Uma pesquisa recente realizada por Pew Research mostrou mais de 86% dos americanos que agora estão cientes da criptomoeda, e o número de usuários de criptomoeda agora é estimado em mais de 300 milhões. O crescimento da conscientização também atraiu a atenção dos fraudadores, com a fraude de criptomoedas atingindo o pico no ano passado. Com um conjunto abundante de técnicas de fraude e golpes criativos, os fraudadores tiveram sucesso não apenas em acessar e retirar fundos das contas de criptomoedas das vítimas, mas também em abrir novas contas para serem usadas na lavagem de dinheiro.
Fraude em aplicativos de criptografia nunca foi tão alta
Cresceu o crime relacionado a criptomoedas 79% em 2021, com mais de US$ 14 bilhões dos fundos depositados em carteiras de criptomoedas vinculados a atividades criminosas. Em recente entrevista via Telegram, fraudadores admitiram a abertura entre 1,500 a 2,000 contas por mês em trocas de criptografia usando identidades sintéticas.
Essas são identidades falsas construídas a partir de informações pessoais roubadas e essas contas são usadas para lavagem de dinheiro ou outros tipos de crimes lucrativos. Hoje, em fóruns de hackers profissionais, é possível comprar uma conta sintética de troca de criptografia verificada por US $ 150 e ler dicas e conselhos sobre como abrir uma nova conta usando uma identidade falsa e sintética.
Conheça seu cliente e seu fraudador
Os regulamentos Conheça seu cliente (KYC) e Anti-Money Laundering (AML) exigem que as organizações de serviços financeiros verifiquem a identidade dos clientes. Como parte da nova abertura de conta; no entanto, a detecção de fraudes de hoje está deixando a porta aberta para fraudadores em aplicativos de criptografia. Equilibrar a necessidade de segurança e pegar os fraudadores na porta da frente é um desafio ao tentar integrar novos usuários o mais rápido possível.
Atualmente, uma das obrigações KYC para trocas de criptomoedas é a verificação de endereço, de acordo com o Lei de sigilo bancário (BSA). Além disso, as Crypto Exchanges devem ter um Programa de Identificação do Cliente (CIP), e uma das informações exigidas no CIP é o endereço e um comprovante de endereço.
Andre Ferraz, cofundador e CEO da Incognia fornece autenticação móvel sem atrito para bancos, exchanges de criptomoedas, fintech e carteiras para mais receita móvel e menos perdas por fraude. Diz: “Na Incognia, analisamos de perto 19 aplicativos de criptografia móvel para ver como eles estavam equilibrando segurança e atrito, revisando seu processo de integração para ver como o endereço do usuário é verificado como parte da verificação de identidade”.
As técnicas fraudulentas usadas para passar na validação de endereço na abertura de uma nova conta incluem:-
IDs falsos e sintéticos – Um ID sintético é composto de uma combinação de informações de identificação pessoal roubadas junto com informações falsas – por exemplo, um SSN roubado, endereço, nome, carteira de motorista falsa. Itens de identificação individual podem ser reais, roubados ou comprados na Dark Web, podem até ser originários de pessoas diferentes e são combinados para criar uma identidade sintética. Usando esse ID sintético, é possível passar na verificação de documentos com documentos reunidos e enganar sistemas de reconhecimento de rosto menos sofisticados.
IDs e rostos reais – Os fraudadores pagam apenas US$ 7 para pessoas dispostas a passar na verificação em uma exchange de criptomoedas usando sua própria identidade real, documentos de identificação reais e rosto e entrega da conta para venda.
Falsificação de local – Ao recrutar aprendizes para falsificar uma verificação de identidade, os fraudadores profissionais explicam outra maneira usual e geralmente eficaz de falsificar a conformidade: falsificar a localização do celular. Parte das instruções nos fóruns da dark web afirma que os criminosos devem usar uma rede virtual privada (VPN) para disfarçar um endereço IP para permitir que eles falsifiquem sua localização ao abrir a conta. Assim, qualquer fraudador do outro lado do globo pode abrir uma conta com uma identidade falsa e fingir que está, por exemplo, na cidade de Nova York.
A parte de falsificação de local das fábricas de abertura de conta é fundamental, pois detectar com sucesso a falsificação de local é uma maneira rápida de detectar um fraudador. Se um usuário estiver falsificando seu endereço, isso será uma grande bandeira vermelha durante a verificação de identidade.
A verificação de endereço não é apenas para conformidade com KYC, mas também é uma ferramenta poderosa para evitar fraudes
Durante a integração, os aplicativos de criptografia testados empregaram várias técnicas para verificar um novo endereço de usuário e verificar a conformidade com o país de residência. As técnicas mais comuns usadas incluem: -
Verificação de endereço usando documentos carregados – Exigir que o usuário carregue um ID ou documento para verificar, por meio de reconhecimento óptico de caracteres (OCR), para corresponder os dados carregados com as informações fornecidas durante a integração. As informações no ID podem ser cruzadas com bancos de dados estáticos, como o DMV ou agências.
Um problema em confiar em bancos de dados estáticos de ping é que pode não haver bancos de dados de endereços disponíveis online em muitas jurisdições internacionais. Mesmo onde existam bancos de dados de endereços, eles podem estar incompletos e, às vezes, fornecer informações datadas.
O maior problema é que a maioria desses bancos de dados estáticos vazou no passado, e os dados estão disponíveis para compra em fóruns online, tornando mais fácil para os fraudadores usarem essas informações para criar contas usando identidades falsas ou sintéticas.
Endereço IP – É uma das maneiras mais comuns ainda em vigor para aplicativos móveis determinarem se uma pessoa está abrindo uma nova conta de onde está reivindicando, seja país de residência ou CEP. As informações preenchidas pelo usuário correspondem à localização do endereço IP.
Hoje, a localização é rotineiramente falsificada usando uma variedade de técnicas. Existem cinco técnicas comuns fraudadores usam para falsificar sua localização, incluindo VPNs, proxies, aplicativos de falsificação de GPS, emuladores, instrumentações e adulteração de aplicativos. VPNs e proxies são a solução preferida do fraudador contra a verificação da localização do endereço IP.
No recente estudo da Incognia, descobrimos que as técnicas atuais de verificação de endereço usadas por dezenove principais aplicativos móveis de criptografia são uma das formas mais frágeis de KYC durante a integração. Dez das quatorze exchanges exigiam que o novo usuário inserisse informações de endereço declaradas e quatro aplicativos exigiam a inserção do país de residência ou CEP.
Ainda assim, nenhum dos dezenove aplicativos exigia comprovante de endereço usando geolocalização ou por meio de documentos carregados, como uma conta de luz ou extrato de cartão de crédito. Em outros países, como o Reino Unido, é necessário fazer o upload de um documento para comprovar o endereço, mas nos EUA isso normalmente não é solicitado, provavelmente porque adiciona atrito à integração.
Dos dez aplicativos que exigem informações de endereço, apenas cinco exigiam uma foto da carteira de motorista, que poderia ser usada para verificar o endereço via OCR e combinar os dados com um banco de dados estático, como o banco de dados do DMV. Normalmente, as informações estáticas nos bancos de dados estão incompletas ou datadas.
Os requisitos dos regulamentos KYC e AML são a principal fonte de atrito para integração em exchanges de criptomoedas. E esta é a principal razão pela qual a maioria dos aplicativos usa um processo de integração suave. Isso também é chamado de integração progressiva, uma abordagem na qual a parte mais pesada da verificação de identidade é deixada para quando o usuário faz sua primeira tentativa de depositar fundos ou negociar criptomoedas. Notavelmente, as duas exchanges que não suportam integração progressiva e exigem uma verificação de identidade também foram as que tiveram maior atrito durante a integração.
Para saber mais sobre as técnicas utilizadas pelos principais aplicativos de criptografia para verificação de identidade no onboarding e também quais foram os aplicativos móveis que apresentaram mais atrito para os usuários, baixe o Relatório de atrito do aplicativo móvel Incognia Crypto – Integração.
Este blog contém trechos do Relatório de atrito do aplicativo móvel Incognia Crypto – Onboarding. Para baixar o relatório completo, clique aqui.
Fonte: https://www.cryptonewsz.com/fraud-in-crypto-apps-has-never-been-higher/