Уязвимость данных пользователей криптобирж

#ШАРД #криптобиржи #дропы #ПерсональныеДанные #взломы #атаки #слив
115

Уязвимость данных пользователей криптобирж

Многие пользователи криптовалюты исходя из самого ее духа противопоставления централизованным фиатным деньгам полагаются на ее псевдоанонимность. Да, криптовалюты, основанные на технологии блокчейн, отслеживаемы. Все операции в публичных блокчейнах и основных популярных монетах таких, например, как BTC, ETH, USDT, USDC и TRON, общедоступны посредством специальных блокчейн-эксплореров. С их помощью можно установить, с какого адреса вам поступили средства, на какой адрес они были направлены, в какой момент времени это произошло и какой объем средств в криптовалюте был передан. Относительно анонимной остается информация о принадлежности криптовалютного адреса или нескольких адресов конкретному лицу, особенно с учетом того, что ограничений по созданию адресов практически не существует и можно создавать новые адреса для каждой операции.

Однако практика идет по пути того, что пользователи криптовалют часто совершают операции по переводу криптовалюты в фиатные деньги и обратно, и для этого они чаще всего используют обменные сервисы, биржи и p2p - площадки. В свою очередь, биржи и обменники, соблюдая требования международных регуляторов, рекомендации правоохранительных органов, а также в интересах собственной безопасности проводят верификацию своих клиентов (процедура KYC (Know Your Client), собирая и храня данные аккаунтов своих пользователей и, в ряде случаев, даже передавая их другим биржам (FATF Travel Rule).

Если оценивать российский рынок обмена, то ввиду отсутствия регулирования по состоянию на май 2023 года обменные сервисы совершают операции по обмену криптовалюты практически баз верификации личности, максимум от пользователя может потребоваться указать номер банковской карты или номер кошелька, а также пройти регистрацию, указав телефон и электронную почту.

Крупные криптобиржи, например, Binance, OKX, Kucoin соблюдают требования международных регуляторов, работают на репутацию, заинтересованы поддерживать хорошие отношения с государственными структурами в регионах присутствия и платят налоги. Биржи в полной мере проводят процедуры идентификации и верификации личности в процессе регистрации на платформе и совершения сделок: пользователю необходимо не только указать свои контактные и персональные данные, но и предоставить документ, удостоверяющий личность, а также сделать подтверждающую фотографию.

Для обычного пользователя криптовалют работать с криптобиржами выгоднее (процент при покупке криптовалюты намного ниже, чем в обменном сервисе) и безопаснее (риск того, что тебя обманут или оставят без денег при использовании обменного сервиса, остается, на бирже все более прозрачно в этом плане). Общий подход следующий: хочешь оставаться анонимным и рисковать – пользуйся непроверенными сервисами и плати больше процент за обмен, готов раскрыть свои данные – пользуешься крупными биржами, платишь меньше комиссию и снижаешь риски.

Практика проведения исследований по запросам клиентов ШАРД показывает, что, когда удается установить, что злоумышленник вывел криптовалюту на крупную биржу, которая по запросу правоохранительных органов предоставит им сведения о принадлежности аккаунта, оказывается, что он оформлен на «дропа» (подставное лицо), либо человека, персональные данные которого похитили.

Если использование подставного лица все-таки может привести к потенциальному бенефициару или людям, связанным с ним, то при хищении данных эти риски снижаются.

Хищение персональных данных это отдельная тема. Отметим, что большую часть данных злоумышленники берут из различных «утечек», а также используют сервисы по отрисовке документов.

С учетом определенных сложностей, связанных с поиском «дропов» либо хищением персональных данных, большую популярность набирает услуга по покупке уже готового аккаунта на криптовалютной бирже с пройденной верификацией на третье лицо. При этом биржевой аккаунт может быть как специально создан, так и «угнан» у добросовестного владельца.

Исследованием стоимости таких аккаунтов занималась компания PrivacyAffairs. Ниже приведены данные их исследования:

Мы провели свое исследование и выяснили, что тематические каналы ряда мессенджеров активно занимаются куплей-продажей аккаунтов популярных бирж. Есть даже специальные боты, через которые можно приобрести такой аккаунт. Цены аккаунтов варьируются от $30$ до $200 в зависимости от биржи, репутации продавца. Ценятся аккаунты, оформленные на жителей Европы без двухфакторной аутентификации. Конечно, здесь не исключён фактор обмана при совершении сделки.

Продажа аккаунтов криптовалютных бирж – очень прибыльный бизнес для киберпреступников. И спрос на такие аккаунты в последние годы только вырос. Во-первых, все больше людей инвестируют в цифровые активы. Во-вторых, активное регулирование криптовалют в ряде стран подталкивает пользователей быть в правовом поле, платить налоги и усложняет возможности по использованию рисковых обменных сервисов. Эти факторы подталкивают одних злоумышленников к покупке таких аккаунтов, а других - к их созданию, похищению и продаже.

Команда ШАРД призывает пользователей криптобирж быть внимательными, соблюдать меры безопасности и следовать нескольким несложным рекомендациям, чтобы снизить риски того, что вашу учетную запись похитят.

  • пользоваться крупными и проверенными биржами;
  • использовать надежные, уникальные пароли для каждой учетной записи;
  • использовать двухфакторную аутентификацию;
  • использовать криптобиржи для совершения операций с криптовалютой, при этом хранить криптовалюту на холодном кошельке;
  • не обмениваться своими секретными ключами или seed-фразами с третьими лицами.

Как обезопасить себя от скам проектов при инвестировании? Более подробно читайте в нашем материале Рекомендации по безопасности для криптоинвесторов.

Использование аккаунта, оформленного на третье лицо, особенно купленного аккаунта, всегда сопряжено со значительными рисками его блокировки. Более того, вывести средства с подобного заблокированного аккаунта может только его владелец.

Также необходимо учитывать, что независимо от степени «подозрительности» ваших операций на лицензированной криптобирже, площадка с определенной периодичностью запрашивает Ваши данные для обновления сведений о своих клиентах. На европейских площадках, соблюдающих требования FATF, такие проверки должны проходить не реже одного раза в год, а в случае, если имеются какие-либо подозрения относительно клиента – и того чаще.

Подробнее можно почитать в нашем специальном материале, посвящённом процедуре KYC на криптобиржах.

Обо всех случаях, связанных с конкретными адресами криптовалюты и рассматриваемыми рисками, Вы можете сообщить на сайте в разделе «Сообщить о подозрительном адресе», чтобы уберечь других пользователей от рисков взаимодействия с такими адресами и их владельцами.

Команда ШАРД