Ovo je prijevod jedne zanimljive objave na forumu autora 1miau, koja analizira problematiku cijelog KYC koncepta koji je poznat svima koji su imali ikakve veze sa kriptovalutama. Iskusniji članovi foruma vjerojatno znaju za navedenu problematiku, ali noviji članovi koji o KYC-u možda znaju samo što skraćenica predstavlja, mogli bi iz ovakvih objava saznati i ružniji (i opasniji) aspekt tog segmenta trgovanja kriptovalutama.

Originalna objava se nalazi ovdje: https://bt.irlbtc.com/view/5221497.0

---

Svi se mi bojimo gubitka novca zbog hakiranja, prijevara, vlastitih pogrešaka ili loših odluka (kupnja beskorisnih valuta (shitcoin), prekasna ili prerana prodaja itd.). Postoji mnogo tema koje pokrivaju takva i slična pitanja. Ali što se tiče gubitaka, treba biti svjestan da je moguće izgubiti više od novca, također su moguće krađe svih vrsta osobnih podataka i identiteta. Zaštita takvih podataka i obraćanje pažnje na privatnost trebali bi imati isti prioritet kao zaštita vašeg novca. Novac je zamjenjiv, on je "samo" financijski gubitak, ali oporavak od krađe identiteta je puno teži.
Tu kreće problem. Jedan od najboljih načina zaštitite od krađe identiteta je razumijevanje lažnih pretpostavki koje postavlja KYC. Neke kripto usluge zahtijevaju od svojih korisnika da prođu takozvani KYC. KYC (Know Your Customer - poznavanje svog kupca) prisiljava korisnike da privatne dokumente pošalju tvrtki ili organizaciji, što postaje problem zbog strogih pravila nekih tvrtki koje ne dopuštaju korištenje njihovih usluga, čak i ako samo želite kupiti kripto u vrijednosti nekoliko stotina dolara.

Službena svrha KYC-a trebala bi biti sprječavanje pranja novca (AML, anti-money laundering) i financiranje terorizma. Sjedinjene Američke Države su uvele KYC i AML nakon 9/11, a SEC je mnoge druge zemlje uvela u postavljanje KYC-a kao obvezu. AML je postojao i prije, ali samo za institucije i velike novčane iznose, prosječni kupci pogođeni su tek nakon ograničenja koja je uveo SEC.
Na prvi pogled KYC se čini kao dobar način za sprječavanje kriminalnih radnji, ali nažalost u stvarnosti je to vrlo drugačije. U kriptu KYC ne mora nužno pomoći u zaustavljanju pranja novca ili smanjenju kriminalnih aktivnosti, a ne pomaže niti u sprečavanju financiranja terorizma, suprotno tome, KYC ugrožava našu privatnost i potiče kriminalne aktivnosti (putem KYC prijevara, krađe identiteta i drugih načina).

---

KYC potiče krađu identiteta

Kad radimo sa KYC-em, prisiljeni smo podijeliti neke segmente vlastitog osobnog identiteta trećoj strani (mjenjačnicama, ICO itd.). Nakon te točke mi više nemamo kontrolu nad tim postupkom i potpuno smo izloženi te ovisimo o trećoj strani da sigurno obrađuje osjetljive podatke. Ako je nešto hakirano, pogođene strane ne mogu ništa učiniti.
Svatko tko se brine o sigurnosti svojih podataka i ne želi predati svoje osobne podatke potrebne za KYC isključen je iz upotrebe tih usluga.
Jasno je da su rizici za normalne korisnike neizbježni kad su prisiljeni davati svoje osobne podatke nepoznatim osobama ili centraliziranoj službi. Ne postoji jamstvo da su naši osobni podaci sigurni, a čak i velike tvrtke s visokim sigurnosnim standardima mogu biti hakirane.
Kao i kod svih stvari u digitalnom svijetu, tvrtke organizacije koje prikupljaju KYC podložne su hakiranju. Imali smo priliku vidjeti da kad se hakiranje dogodi velikim tvrtkama poput Binancea, hakeri uspiju ukrasti velik broj KYC podataka.
I to je samo sa događajima koji su prijavljeni. Stoga je vjerojatno ovo samo vrh ledenog brijega KYC-ovih hakova koji još uvijek nisu priznati javnosti, jer bi takvo priznavanje, naravno, naškodilo poslovanju burzi ili KYC pružateljima usluga. Nema sumnje da profesionalni hakeri razvijaju načine za uspješno hakiranje i dobivanje osobnih podataka relevantnih za prolazak kroz KYC.
To nas dovodi do drugog problema: s primjenom KYC-a, osobni podaci postaju vrijedna roba na crnom tržištu i postoji ogroman poticaj za hakiranje i krađu identiteta. Stoga je neizbježno stvaranje velikog ilegalnog tržišta identiteta (i osobnih podataka) ako će se KYC provoditi posvuda.
Svi korisnici koji su prisiljeni izvršiti KYC bilo koje vrste riskiraju da njihovi osobni podaci završe na prodaji na crnom tržištu. To zauzvrat olakšava kriminalcima kupnju "paketa identiteta" koji se sastoje od hakiranih podataka na crnom tržištu i sadrže sve podatke potrebne za lažno predstavljanje korisnika čiji su podaci hakirani i otvaranje računa pod njihovim imenom putem kojeg mogu obavljati ilegalne aktivnosti.

Citat:
Prije dva dana (20.1.2019.) CNN.com je objavio članak "Hacked Customer Data From World-Leading Cryptocurrency Exchanges For Sale On The Dark Web?" (https://www.ccn.com/hacked-customer-data-from-world-leading-cryptocurrency-exchanges-for-sale-on-the-dark-web/) gdje na darknet tržištu pod nazivom "Dread", trgovac koji posluje pod pseudonimom "ExploitDOT" pokušava prodati korisničke podatke s KYC-a koje traže vodeće kripto mjenjačnice, i koje zahtijeva većina jurisdikcija.
Danas je moj kolega kontaktirao trgovca koji mu je ponudio cijenu od 15 USD za svaki dokument (putovnicu ili osobnu iskaznicu, dokaz o adresi, selfie fotografiju), ukupno 45 USD po jednoj osobi. Potrebno je kupiti najmanje 100 KYC identiteta (4500 USD). Trgovac je bio spreman upotrijebiti pouzdanu escrow uslugu za kripto transakciju, što znači da je ova ponuda vjerojatno pouzdana.

Izvor: https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b

Hakirani identiteti mogu biti vrlo vrijedni za kriminalce, pogotovo ako se identitet može povezati s drugim detaljima važnim za kaznena djela nad pogođenom osobom. Neki od njih uključuju:
• ime i fizička adresa (iz raznih dokumenata ili računa)
• osobne iskaznice, putovnice, slike ili selfieji
• biometrijski podaci (otisak prsta, skeniranje lica ili šarenice)
• razni podaci iz računa za komunalne usluge, izvora prihoda, poslodavca ili bankovnog računa
• lozinke, korištene adrese e-pošte
• korištene kripto adrese, uključujući depozite isplate (+ povezivanje ostalih povezanih adresa putem blockchain istraživanja)


Kriminalci mogu koristiti ove podatke na razne načine:
• Mogu ih koristiti za počinjenje kriminalnih radnji jednostavnim predstavljanjem kao osoba čiji su podaci hakirani, te otvoriti račun pod njihovim imenom putem kojeg mogu obavljati ilegalne radnje.

• Kriminalci mogu koristiti neke podatke za pristup drugim računima osobe čiji su podaci hakirani:
o resetiranje računa putem adrese e-pošte
o resetiranje računa putem biometrijskih podataka
o pokušaj hakiranja drugih web lokacija koristeći istu lozinku

• Jedan od najgorih aspekata toga bila bi mogućnost kriminalca da prikupi dovoljno hakiranih podataka o nekoj osobi kako bi procijenio koliko bi krađa bila isplativa. To bi zahtijevalo:
o fizičku adresu žrtve (dobivena iz osobnih dokumenata)
o informacije o njihovom bogatstvu (dobivene depozitima povlačenjima na račune s povezanih kripto adresa ili dokumentima poput izvora prihoda, izvora bogatstva itd.).
Takav skup podataka mogao bi biti dovoljan za procjenu žrtve zbog moguće pljačke. Čak i ako se prevaranti nalaze u drugim zemljama, oni mogu prodati informacije o "obećavajućim žrtvama za pljačku" drugim kriminalcima u matičnim zemljama žrtava.

• Alternativno, kriminalci mogu prikupljati podatke i kombinirati ih s drugim hakiranim podacima kako bi skup podataka bio vrijedniji za daljnju prodaju.

---

KYC potiče prijevaru

Uz krađu identiteta, KYC nudi novi izvor prihoda za prevarante, što je trenutno rastuća strategija prijevara nazvana „KYC prijevare“ koja se izvršava na sljedeći način:
• Korisnici polažu kripto na servis bez potrebe za KYC.
• Nakon što je dovoljno ljudi položilo, servis objavljuje da je KYC sada obvezan i da su sva sredstva zamrznuta.
• Servis ucjenjuje korisnike da izvrše KYC. Ako korisnik to ne želi učiniti, njegov deponirani kripto je izgubljen, zaplijenjen od strane tog servisa (mjenjačnice). Ako je mjenjačnica prijevara, oni također imaju vrijedne osobne dokumente svojih kupaca koje bi mogli prodati ili koristiti za sebe.
• Korisnici nemaju šanse za obranu.

Istu strategiju koriste i nagradne kampanje (bounty), posebno altcoin nagradne kampanje od shitcoin ICO-a. Stoga je važno biti svjestan KYC prijevara. To se događa posebno kod nepoznatih servisa (mjenjačnica) ili nagradnih kampanja shitcoina. Preporučuje se korištenje samo pouzdanih velikih burzi koje si ne mogu priuštiti da izgube svoju vjerodostojnost KYC prijevarama.
Korisnici ni u kojem slučaju ne bi trebali izvoditi KYC za KYC prevarante. Ugledna burza uvijek će se koristiti uvjetima i odredbama pod kojima je korisnik položio novac i poslati obavijest o provedbi KYC-a dok korisnici još uvijek mogu podizati sredstva na nižim ograničenjima. Na taj način korisnici mogu imati priliku povući svoje kriptovalute bez prijevare.

---

KYC omogućuje prevarantima da ostanu neotkriveni

KYC je cijenjen kod svih vrsta prevaranata, jer kriminalci mogu ostati neotkriveni i nastaviti svoje ilegalne aktivnosti samo koristeći hakirani ili ukradeni identitet za prolazak kroz KYC. Kad se radi o puno novca, ništa ih ne može zaustaviti:
• Na crnom je tržištu već dostupan veliki broj zbiraka identiteta, uglavnom od drugih KYC-ova koje su napravili ili hakiraju prevaranti. Što su skupovi podataka cjelovitiji, to su vrijedniji. Da bi prošli KYC, kriminalci trebaju samo pribaviti relevantne podatke na crnom tržištu.
• Uz to, prevaranti bi također mogli sami organizirati ICO ili postaviti lažan servis (mjenjačnicu) i ondje zatražiti KYC. Podaci koji su im potrebni mogu se odrediti na temelju onoga što kasnije namjeravaju s njima učiniti. To bi omogućilo kriminalcima da dobiju određene KYC podatke za odabranu ICO ili mjenjačnicu.

Pomalo kontraintuitivno, neki "stručnjaci" sada predlažu provođenje još opsežnijeg KYC postupka kojeg se korisnici kripto usluga moraju pridržavati, uključujući predaju kvalitetnijih očitanja (scan) ili više podataka, uključujući biometrijske podatke. Ovakav način razmišljanja potpuno je pogrešan jer će takve mjere vjerojatno još više ugroziti sigurnost korisnika:
• Biometrijski podaci (skeniranje otiska prsta, lica ili šarenice) također se mogu koristiti u nezakonite svrhe nakon što ih kriminalci hakiraju. Šteta je možda nekoliko puta gora jer su biometrijski podaci među najosjetljivijim koji se mogu otkriti.
• Poboljšanje kvalitete poslanih podataka samo znači da hakeri mogu dobiti još preciznije, a time i vrijednije podatke. Ova poboljšana razina kvalitete olakšava kriminalcima da se predstavljaju kao druge osobe.
• Kriminalci sve više počinju rekonstruirati dijelove koji nedostaju na temelju postojećih, ukradenih zapisa KYC-a. Metode zaobilaženja video identifikacije, poput "deep-fake videozapisa", brzo se razvijaju. Proizvodnja realističnih maski (https://scitechdaily.com/hyper-realistic-masks-can-be-more-believable-than-real-human-faces/), koje je teško razlikovati od stvarnih lica, još je jedan način da se prevari postupak identifikacije. Metode su već predstavljene na sajmu 2018 35c3 u Leipzigu (https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_reality#t=884), te je kroz te metode dokazano da se zaobilaze postupci video identifikacije.

Te su tehnike možda u vrlo ranoj fazi i njihovi rezultati nisu savršeni, ali su već mogući. Izgledi za povećanje profitabilnosti u slučaju da se svugdje provodi pretjeran strogi KYC potiču prevarante da u još većoj mjeri razviju metode lažiranja KYC-a.
U principu je potrebno samo nekoliko kriminalaca: oni koji su u mogućnosti provjeriti račune s hakiranim podacima. Ova usluga mogla bi se prodati drugim kriminalcima putem darkneta i samim time omogućila bi potpuno potkopavanje KYC postupka.
Stoga, ako je KYC dizajniran da spriječi kriminalce da rade svoj posao, tu je već sve propalo. Vjerojatno postoje milijuni skupova podataka KYC-a na crnom tržištu, a taj se broj svakodnevno povećava kako se primjena KYC-a sve više širi.
S najnovijim tehnikama za manipuliranje svim internetskim KYC postupcima, kriminalne bande su u dobrom položaju da provjere račune i prodaju ih drugim kriminalcima po visokoj cijeni na crnom tržištu. Ili bi mogli jednostavno hakirati već provjerene račune i prodati ih.
Stoga kriminalci imaju velik broj mogućnosti za zaobilaženje većine vrsta KYC postupaka.

---

Zaključak: KYC je beskoristan

Primarni rezultat ove procjene je očit: KYC nije samo beskoristan već u konačnici potiče ono što bi trebao spriječiti. KYC stvara nova područja kriminala (trgovina identitetom stvarnih korisnika) i pojačava postojeća područja kriminala (kriminalci sada mogu ostati neotkriveni zlouporabom identiteta nevinih korisnika). Također otvoreno ugrožava privatnost i sigurnost svih kupaca.
Stoga oglašavana učinkovitost digitalnog KYC-a u kripto-tehnologiji nažalost postoji samo u teoriji. Zajednici bi bilo bolje da prizna činjenicu da ne samo da je KYC beskoristan, već je i opasan te potiče kriminal. Budući da se dokumenti za KYC ilegalno prodaju na webu ili ih umjetna inteligencija čak i lažira, KYC zapravo više ništa i ne dokazuje.
Zapravo, KYC potiče prijevare i kriminal, kao i ugrožavanje privatnosti i sigurnosti svih kupaca krađom identiteta. To stvara opasnu dinamiku za korisnike koji su prisiljeni izvršiti KYC provjeru: kriminalci prikupljaju velike količine osobnih dokumenata i vjerojatno će u budućnosti izaći u javnost na razini koju prije nismo vidjeli.

---

Kako se zaštititi od KYC-a?

Budite oprezni i pokušajte procijeniti isplati li se korištenjem usluge riskirati krađu identiteta, uključujući sve povezane negativne posljedice. Imajte na umu i adrese koje povezujete s računom ukoliko bi bio hakiran. Povezivanje vašeg identiteta s bitcoin altcoin adresama ne može se poništiti ako ih netko zna povezati.
Preporučuje se korištenje pouzdanih usluga bez KYC-a poput P2P mjenjačnica (https://bt.irlbtc.com/view/5180421.0) ili možete trgovati ovdje na forumu pomoću pouzdanih escrowa.

---

Izbjegavajte KYC zbog svih ostalih razloga:
• Ne pristajte na KYC za altcoin shitcoin nagradne kampanje ili altcoin shitcoin airdropove u kojima su vlasnici vjerojatno prevaranti ili su nesposobni.
• Ne pristajte na KYC za loše mjenjačnice kojima su vlasnici vjerojatno prevaranti ili su nesposobni.
• Ne pristajte na KYC za male količine novca gdje ne vrijedi riskirati.

Važno je ukazati na opasnosti KYC-a kao preventivnu mjeru. Napokon, samo je pitanje vremena kada će veliki skandal s KYC-om osvijestiti širu javnost koliko je KYC zapravo opasan i beskoristan. Nažalost, bit će prekasno kad se to dogodi, a šteta će već biti napravljena. Dobrodošli ste proslijediti ovaj tekst kako bi što veći broj korisnika (i pružatelja usluga) bio svjestan mana KYC-a.
Davatelji usluga koji zloupotrebljavaju sigurnost korisnika da bi sebi punili džepove trebali bi biti svjesni svog neodgovornog ponašanja.
Preporučuje se korištenje davatelja usluge koji ne zahtijeva KYC podatke (ili čija su ograničenja opravdana). Ovo nije samo da bismo zaštitili sebe, već i da podržimo pružatelje usluga koji štite svoje kupce.

Završna napomena: Ovaj tekst pišem već neko vrijeme, od početka 2019. Od vremena otkad sam sažeo većinu poznatih činjenica na internetu je objavljeno nekoliko informativnih članaka koji detaljno analiziraju probleme KYC-a i prozivaju tu praksu. Točke koje sam do sada iznio nisu potvrđene samo čitajući ove članke, ali moram priznati da sam u svojoj izvornoj verziji daleko podcijenio opasnost i beskorisnost KYC-a. Tržište tehnologije i kriminala za KYC već je daleko naprednije nego što sam se pribojavao i vjerojatno će postati još unosnije zbog sve pretjeranijeg provođenja KYC-a. Prevaranti su otkrili da KYC radi u njihovu korist kako bi razvili nove strategije zločina (kao što je KYC prijevara), da trguju identitetom, a istovremeno da nastavljaju svoje kriminalne aktivnosti neprimjetno s identitetima nevinih korisnika. Bilo bi korisno za sigurnost, zaštitu podataka i prevenciju kriminala ako bi javnost brzo prepoznala da digitalni KYC nije rješenje, već rizik koji ugrožava svakog nevinog korisnika.

Imajte na umu:
Digitalni svijet nije tako jednostavan kako mnogi ljudi vjeruju. Kao prosječni korisnik kripta ili interneta možda učinite mnogo pogrešaka, ali samo jedan pogrešan potez dovoljan je da stvori rizik čak i ako je sve ostalo savršeno.
Prevaranti su često inteligentni, skrivajući tragove svojih aktivnosti i iskorištavajući zablude. Jedna od takvih zabluda je KYC za centralizirane usluge, koje je često lako napasti i zaobići.
Ako mi, prosječni korisnici, ne marimo za svoju privatnost, ne educiramo se ili ne zatražimo svoje pravo zaštite od kriminalaca na webu, vrlo brzo možemo upasti u probleme. Privatnost predstavlja zaštitu od takvih prevaranata i dragocjeno je dobro na koje svi imamo pravo. Privatnost nije zločin, ona je naša zaštita na internetu od kriminalaca i osobno pravo koje bismo trebali pokušati osigurati kad god je to moguće.
Puno je dezinformacija koje promiču nepostojeću potrebu za KYC-om, ali ako ljudi istraže detalje, to će pomoći u prevenciji mnogih zločina i prijevara.

---

---

Još neki zanimljivi članci koji ističu opasnosti koje donosi KYC:
https://medium.com/@wilderko/how-does-kyc-aml-pose-a-serious-threat-to-your-privacy-and-should-not-be-used-at-all-88f7acd3f3b
https://medium.com/mycrypto/be-careful-with-your-kyc-documents-978ab532f2be
https://blog.goodaudience.com/the-unseen-danger-of-kyc-e3e1c4448eee