Pages:
Author

Topic: [Tradução] Por que o KYC é extremamente perigoso - e inútil - page 2. (Read 411 times)

hero member
Activity: 1498
Merit: 557
Achei um tópico (Why KYC is extremely dangerous – and useless) do 1miau extremamente interessante sobre KYC. Tendo no texto um reflexo do mesmo entendimento e conceito do processo e que (como originalmente objetivado pelo próprio autor) pode ajudar os novatos, achei que seria bacana traduzi-lo para o nosso idioma. Não esqueçam de dar uma força para ele no post original!  Smiley



Por que o KYC é extremamente perigoso - e inútil

Todos nós temos medo de perder dinheiro devido a hacks, fraudes, nossos próprios erros ou até decisões erradas (comprando shitcoins inúteis, vendendo moedas muito tarde ou muito cedo, etc.). A maioria dos tópicos aborda questões como essas. Mas quando se trata de perdas, você deve estar ciente de que mais do que dinheiro que pode ser perdido. Por isso, estou falando sobre roubo de identidade de dados pessoais de qualquer tipo. Proteger esses dados e prestar atenção à privacidade deve ter ao menos a mesma prioridade que proteger seu dinheiro. Afinal, o dinheiro é substituível; é "apenas" uma perda financeira. Uma vez que a identidade é roubada, no entanto, não há chance de sua destruição.

É aqui que o problema começa. Uma das melhores maneiras de se proteger contra roubo de identidade é entender as falsas suposições do KYC. Alguns cripto serviços exigem que seus usuários passem pelo chamado "KYC" atualmente. KYC significa Know Your Customer ("Conheça Seu Cliente") e força os usuários a enviar documentos pessoais para uma empresa ou organização. Isso já está se tornando um grande problema, pois algumas empresas são muito rígidas e não permitem que você use seus serviços, mesmo que você queira apenas comprar criptomoedas no valor de apenas algumas centenas de dólares.

O objetivo oficial do KYC deve ser evitar a lavagem de dinheiro (conhecida como AML, anti-money laundering - ou anti-lavagem de dinheiro) e o financiamento do terrorismo. KYC e AML estritos foram introduzidos principalmente pelos EUA após o 11 de setembro e muitos países são guiados pela SEC ao estipular o KYC como um requisito. A AML existia antes, mas apenas para instituições e grandes quantias de dinheiro. Os clientes médios foram afetados somente após as restrições introduzidas pela SEC.

À primeira vista, o KYC parece bom para encerrar atividades criminosas. Infelizmente, isso parece muito diferente na realidade. O KYC nas criptomoedas não ajuda necessariamente a parar a lavagem de dinheiro ou reduzir a atividade criminosa; nem ajuda a impedir o financiamento do terrorismo. Pelo contrário - o KYC põe em risco nossa privacidade e incentiva atividades criminosas (através de golpes de KYC, roubo de identidade e outros meios).



O KYC está incentivando o roubo de identidade

Quando alguém faz o KYC, é forçado a entregar partes de sua identidade pessoal a terceiros (como uma exchange, ICO, etc.). Após esse ponto, eles não estão mais no controle do processo e estão totalmente expostos a terceiros para manipular seus dados confidenciais com segurança. Se algo for hackeado, as pessoas afetadas não podem fazer nada.

Todos os que tiverem preocupações com a segurança de seus dados e não enviarão as informações pessoais necessárias para o KYC serão excluídos do uso do serviço.

É claro que os riscos para usuários normais são inevitáveis quando são forçados a fornecer seus dados pessoais a pessoas desconhecidas ou a um serviço centralizado. Simplesmente não há garantia de que nossos dados pessoais estejam seguros ali e mesmo grandes empresas com altos padrões de segurança podem ser hackeadas.

Como todas as coisas em um mundo digitalizado, as empresas/organizações que coletam KYC são vulneráveis a hacks. Vimos que, quando grandes empresas como a Binance são hackeadas, os hackers conseguem roubar um grande número de conteúdo do KYC.

Estes são apenas os eventos que foram reportados. Portanto, não é improvável que essa seja apenas a ponta de um iceberg de hackers de KYC que ainda não foram reconhecidos publicamente, porque esse conhecimento, é claro, prejudicaria muito os negócios de exchanges ou os próprios fornecedores de KYC. Não há dúvida de que hackers profissionais estão desenvolvendo maneiras de invadir e obter dados pessoais relevantes para a aprovação do processo.

Isso leva a outro problema: com a aplicação do KYC em todos os lugares, os documentos pessoais estão se tornando uma mercadoria valiosa do mercado negro e já existe um grande incentivo para invadir ou roubar identidades. Portanto, é inevitável que um enorme mercado ilegal de identidades surja se o KYC for aplicado em todos os lugares.

Todos os usuários que são forçados a executar um KYC de qualquer tipo correm o risco de que seus dados pessoais acabem à venda no mercado negro. Isso, por sua vez, facilita aos criminosos a compra de "pacotes de identidade" compostos por hacks neste mesmo mercado, que contêm todos os dados necessários para representar o usuário cujos dados foram invadidos e para abrir uma conta sob seu nome, através da qual eles podem realizar atividades ilegais.

Quote
Há dois dias, a ccn.com lançou um artigo “Dados hackeados de clientes das principais exchanges de criptomoedas do mundo à venda na Dark Web?”, onde no mercado darknet chamado “Dread”, um fornecedor passando por “ExploitDOT” está tentando vender dados de KYC de usuários das principais exchanges de criptomoedas, que são exigidos pela maioria das jurisdições.

Hoje, meu colega entrou em contato com o vendedor que lhe ofereceu o preço de US$ 15 por cada documento (passaporte ou documento de identidade, comprovante de endereço, foto tipo selfie), totalizando US$ 45 por pessoa. É necessário comprar ao menos 100 identidades KYC (juntas por US$ 4500). O vendedor estava disposto a usar um serviço de escrow confiável para uma transação em criptomoedas, o que significa que esta oferta pode ser confiável.

Identidades hackeadas podem ser muito valiosas para criminosos, especialmente se a identidade puder ser vinculada a outros detalhes relevantes para crimes contra o indivíduo afetado. Alguns destes incluem:

  • nome e endereço físico (de vários documentos ou contas)
  • identificação do governo, passaportes, fotos ou autorretratos
  • dados biométricos (impressão digital, digitalização de face ou íris
  • vários dados de contas de serviços públicos, fonte de riqueza, empregador ou conta bancária
  • senhas, endereço de e-mail utilizado
  • cripto endereços utilizados, incluindo depósitos/saques (+ vinculando outros endereços relacionados por meio de pesquisa em blockchain)

Os criminosos podem usar esses dados de várias maneiras desagradáveis:

  • Eles podem utilizá-lo-lo para cometer atividades criminosas simplesmente personificando a pessoa cujos dados foram hackeados e abrir uma conta em seu nome, através da qual eles podem realizar atividades ilegais.

  • Os criminosos podem usar alguns dos dados para acessar outras contas da pessoa cujos dados foram invadidos:
    • redefinindo contas via endereço de e-mail
    • redefinindo contas por meio de dados biométricos
    • tentando invadir outros sites usando a mesma senha

  • Um dos piores aspectos disso seria a possibilidade de um criminoso coletar dados hackeados suficientes sobre uma pessoa para avaliar quão lucrativo seria um roubo. Isso exigiria:
    • o endereço físico da vítima (obtido de um documento pessoal) e
    • informações sobre sua riqueza (obtidas de depósitos / saques na conta de cripto endereços vinculados ou documentos como fonte de renda, fonte de riqueza, etc.).
    Esse conjunto de dados pode ser suficiente para avaliar uma vítima para um possível roubo. Mesmo que os golpistas estejam localizados em um país diferente, eles podem vender informações sobre "alvos promissores para roubos" a outros criminosos no país de origem da vítima.

  • Alternativamente, os criminosos podem coletar e combinar dados com outras informações provenientes de outros hacks para tornar o conjunto de dados mais valioso para revenda.



O KYC está incentivando fraudes

Além do roubo de identidade, o KYC oferece uma nova receita de lucro para os golpistas, que é uma estratégia de golpes em ascensão atualmente denominada "golpes KYC", que são executados da seguinte maneira:

  • Os usuários depositam criptomoedas em um serviço sem exigir KYC.
  • Depois que um número suficiente de pessoas depositou, o site anuncia que o KYC agora é obrigatório e todos os fundos estão congelados.
  • O site chantageia os usuários para que executem um KYC. Se um usuário não quiser fazer isso, suas criptomoedas serão perdidas, apreendidas pela exchange. Se a exchange for uma farsa, eles também terão valiosos documentos de identidade de seus clientes, que poderão vender ou usar por si próprios.
  • Os usuários não têm chance de se defender.

A mesma estratégia também é usada para bounties (recompensas), especialmente aqueles para bounties de altcoins, ICOs de shitcoin. Portanto, é importante estar ciente dos golpes com o KYC. Isso acontece especialmente com exchanges desconhecidas ou bounties para shitcoins. Recomenda-se usar apenas exchanges grandes e confiáveis que não podem perder sua credibilidade ao usar um esquema KYC.

Sob nenhuma circunstância os usuários devem realizar o KYC para golpistas. Uma exchange respeitável sempre usará os termos e condições sob os quais o usuário depositou seu dinheiro e enviará uma notificação de implementação do KYC enquanto os usuários ainda poderão sacar fundos em limites mais baixos. Dessa forma, os usuários podem ter a chance de retirar suas criptomoedas sem serem enganados.



O KYC ajuda os golpistas a não serem detectados

O KYC é muito apreciado por todos os tipos de golpistas, porque os criminosos podem permanecer sem serem detectados e continuar suas atividades ilícitas usando apenas identidades hackeadas ou roubadas para passar no KYC. Quando há muito dinheiro envolvido, nada os impede:

  • Já existe um grande conjunto de identidades disponíveis no mercado negro, principalmente de outros KYCs hospedados ou invadidos por golpistas. Quanto mais completos os conjuntos de dados, mais valiosos eles ficam. Para passar um KYC, os criminosos só precisam adquirir os registros de dados relevantes no mercado negro.
  • Adicionalmente, os golpistas também podem organizar uma ICO ou abrir uma exchange falsa e solicitar um KYC lá. Eles podem determinar os dados necessários com base no que pretendem fazer com eles posteriormente. Isso possibilitaria aos criminosos obter dados KYC específicos para uma ICO ou exchange selecionada.

De maneira um pouco contra-intuitiva, alguns "especialistas" agora estão propondo impor um procedimento KYC ainda mais excessivo que os clientes de cripto serviços devem aderir, incluindo o envio de verificações de melhor qualidade ou mais dados, incluindo dados biométricos. Essa linha de pensamento está totalmente errada, porque essas medidas provavelmente colocam em risco ainda mais a segurança dos usuários:

  • Os dados biométricos (impressão digital, digitalização de face ou íris) também podem ser usados para fins ilícitos, uma vez que acabem sendo invadidos por criminosos. O dano às pessoas afetadas é talvez várias vezes pior, já que os dados biométricos estão entre os mais sensíveis que podem ser divulgados.
  • Uma melhoria na qualidade dos dados enviados apenas significa que os hackers podem receber dados ainda mais precisos e, portanto, mais valiosos. Esse nível aprimorado de qualidade facilita a personificação de criminosos por outros criminosos.
  • Os criminosos estão cada vez mais começando a reconstruir as peças ausentes com base nos registros KYC roubados e existentes. Métodos para contornar a identificação de vídeo, como "vídeos falsos", estão se desenvolvendo rapidamente. A produção de máscaras realistas, que dificilmente podem ser distinguidas de pessoas reais, é outra maneira de enganar o processo de identificação. Os métodos já foram apresentados no 2018 35c3 em Leipzig, através do qual os procedimentos de identificação por vídeo foram demonstrados sendo contornados.

    Essas técnicas podem estar em um estágio muito inicial e seus resultados não são perfeitos, mas, a princípio, elas já são possíveis. As perspectivas de aumento da lucratividade no caso do KYC ser aplicado em todos os lugares incentivam excessivamente os golpistas a desenvolver métodos de falsificação em um grau ainda maior.

    A princípio, são necessários apenas alguns criminosos: aqueles capazes de verificar contas com dados invadidos. Este serviço pode ser vendido a outros criminosos via darknet, o que por si só tornaria possível minar completamente um processo KYC.

Portanto, se o KYC foi projetado para impedir que criminosos realizem seu trabalho, ele já falhou miseravelmente. Provavelmente, existem milhões de conjuntos de dados KYC no mercado negro, com esse número aumentando diariamente à medida que a aplicação do KYC se torna mais generalizada.

Com as mais recentes técnicas emergentes para manipular todos os procedimentos on-line de KYC, as quadrilhas de criminosos estão bem posicionadas para verificar contas e vendê-las a outros criminosos a um preço alto no mercado negro. Como alternativa, eles poderiam simplesmente invadir contas já verificadas e vendê-las.

Portanto, criminosos com más intenções têm um grande número de opções para contornar a maioria dos tipos de práticas do KYC.



Conclusão: KYC é inútil

O resultado primário dessa avaliação é aparente: o KYC não é apenas inútil, mas, em última análise, incentiva o que deve impedir. O KYC cria novas áreas de crime (negociação de identidades de usuários reais) e aumenta as áreas de crime existentes (agora os criminosos podem passar despercebidos abusando das identidades de usuários inocentes). Também põe em risco a privacidade e a segurança de todos os clientes.

Portanto, infelizmente, a eficácia anunciada do KYC digital nas criptomoedas existe apenas na teoria. A comunidade seria melhor em reconhecer o fato de que não apenas o KYC é inútil, mas também é perigoso e promove o crime. Como os documentos para o KYC são vendidos ilegalmente na web ou até são falsificados por inteligência artificial, o KYC na verdade não prova mais nada.

Na verdade, o KYC está incentivando fraudes e crimes, além de comprometer a privacidade e a segurança de todos os clientes por meio de roubo de identidade. Isso cria uma dinâmica perigosa para os usuários que são forçados a executar uma verificação KYC: toneladas de documentos pessoais estão sendo coletados por criminosos e provavelmente serão divulgados no futuro em um grau que nunca vimos antes.



Como se proteger do KYC?

Tenha cuidado e tente avaliar se vale a pena arriscar o uso do serviço, incluindo todas as consequências negativas associadas. Também lembre-se de quais endereços você vincula a uma conta, caso ela seja hackeada. Vincular sua identidade a endereços de bitcoin / altcoin não pode ser desfeito se alguém souber como associá-los.

Recomenda-se o uso de serviços confiáveis sem KYC, como url=https://bitcointalk.org/index.php?topic=5180421.0]Exchanges P2P[/url] ou você pode negociar aqui no fórum usando um escrow confiável.

Evite o KYC para todo o resto:

  • Nenhum KYC para bounties ou airdrops de altcoins / shitcoins em que os proprietários provavelmente são golpistas ou incompetentes.
  • Nenhum KYC para exchanges de baixa qualidade em que os proprietários provavelmente são golpistas ou incompetentes.
  • Nenhum KYC para quantias baixas de dinheiro, onde simplesmente não vale o risco (isso provavelmente inclui tudo o que não o tornará rico)

É importante destacar os perigos do KYC como uma medida preventiva. Afinal, é apenas uma questão de tempo até que um grande escândalo com KYC conscientize o público em geral sobre o quão perigoso e inútil o KYC realmente é. Infelizmente, será tarde demais quando isso acontecer e o dano já estará feito. Você pode vincular este texto para que o maior número de usuários (e provedores) esteja ciente das falhas deste processo quanto possível.

Em particular, os provedores que abusam da segurança dos usuários para preencher seus próprios bolsos devem estar cientes de seu comportamento irresponsável.

É recomendável usar um provedor que não solicite informações de KYC (ou cujos limites sejam justificados). Isso não é apenas para nos proteger, mas também para oferecer suporte a provedores que protegem seus clientes.


Aviso final: estou escrevendo este texto há algum tempo, desde o início de 2019. Desde o início, quando resumi a maioria dos fatos conhecidos, houve vários artigos informativos publicados na internet que analisam os problemas do KYC em detalhes o desmerecendo.
Os argumentos que fiz até agora não foram apenas confirmados ao ler esses artigos, mas devo admitir que subestimei de longe seu perigo e  inutilidade em minha versão original. A tecnologia e o mercado criminoso de KYC já são muito mais avançados do que eu temia e provavelmente se tornarão ainda mais lucrativos devido à sua aplicação cada vez mais excessiva. Os fraudadores criminosos descobriram no KYC uma oportunidade para seu próprio benefício, para cometer uma nova estratégia de crimes (como a fraude do mesmo), para realizar transações de identidade e, ao mesmo tempo, para continuar suas atividades criminosas despercebidas, com a utilização de identidade de usuários inocentes.
Seria útil para segurança, proteção de dados e prevenção ao crime se fosse rapidamente reconhecido pelo público que o KYC digital não é uma solução, mas um risco que atinge todo usuário inocente.



Lembre-se:

O mundo digital não é tão simples como muitas pessoas acreditam. Como um usuário comum de criptomoedas ou da Internet, você pode cometer muitos erros, mas apenas um único movimento errado será suficiente para causar riscos, mesmo que todo o resto seja perfeito.
Os golpistas geralmente são inteligentes, ocultando traços de suas atividades e aproveitando os conceitos errados. Um desses equívocos é o KYC para serviços centralizados, que geralmente são fáceis de atacar e invadir.
Se nós, usuários comuns, não nos importamos com nossa privacidade, não nos educamos ou não reivindicamos nosso direito de proteção contra criminosos na Web, podemos ter problemas muito rapidamente. Privacidade significa proteção contra esses golpistas e é um bem valioso que todos nós temos o direito de reivindicar. Privacidade não é crime, é nossa proteção na Web contra criminosos e um direito pessoal que devemos tentar proteger sempre que possível.

Sinta-se livre para compartilhar este artigo ou traduzi-lo para o seu fórum local (você pode reservar uma tradução via MP para evitar traduções duplas). Há muita desinformação promovendo uma necessidade inexistente de KYC, mas se as pessoas analisarem os detalhes, isso ajudará na prevenção de muitos crimes e fraudes.




Mais alguns aritgos interessantes que apontam o perigo do KYC:

https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be

https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee
Pages:
Jump to: