अंडरग्राउंड बाजार डिजिटल वित्त के एक मूल भरोसे के तंत्र को निशाना बना रहा है
MIT Technology Review की रिपोर्ट के अनुसार, स्कैमर Telegram पर बेचे जाने वाले अवैध टूल्स का इस्तेमाल बैंकों और क्रिप्टो प्लेटफ़ॉर्म्स द्वारा की जाने वाली पहचान जाँच, खासकर “Know Your Customer” या KYC चेहरे की स्कैनिंग, को बायपास करने के लिए कर रहे हैं। अपनी जाँच में, प्रकाशन ने 22 सार्वजनिक चीनी, वियतनामी और अंग्रेज़ी Telegram चैनलों और समूहों की पहचान की, जो बायपास किट्स और चोरी किए गए बायोमेट्रिक डेटा का विज्ञापन कर रहे थे। इन टूल्स को ऐसे साधन के रूप में पेश किया जा रहा है जिनसे उन अनुपालन प्रणालियों को दरकिनार किया जा सके जो यह पुष्टि करने के लिए बनाई गई हैं कि खाता किसी वास्तविक व्यक्ति का है और उपयोगकर्ता का चेहरा मूल रूप से जमा किए गए पहचान दस्तावेज़ों से मेल खाता है।
इसका असर गंभीर है, क्योंकि KYC जाँचें डिजिटल वित्त में धोखाधड़ी, म्यूल खातों और मनी लॉन्ड्रिंग को रोकने की आधारशिला हैं। यदि इन जाँचों को मैसेजिंग चैनलों के ज़रिए खुलेआम बेचे जाने वाले एक उत्पाद में बदल दिया जाए, तो जो चीज़ सुरक्षा परत लगती है, वह आपराधिक विशेषज्ञों के लिए एक बाज़ार अवसर की तरह काम करने लगती है। यह कहानी सिर्फ़ एक चालाक exploit की नहीं है। यह पहचान से बच निकलने की एक आपूर्ति शृंखला के बारे में है।
रिपोर्टिंग इस चिंता को एक स्पष्ट उदाहरण से सामने लाती है। कंबोडिया के एक मनी-लॉन्ड्रिंग केंद्र से काम करने वाला एक स्कैमर एक वियतनामी बैंकिंग ऐप को दिखाता है, जो खाते से जुड़ी तस्वीर और फिर वीडियो liveness check मांगता है। वास्तविक लाइव कैमरा फ़ीड के बजाय, स्कैमर एक मेल न खाने वाली छवि का उपयोग करता है और फिर भी पास हो जाता है। जाँच के अनुसार, ऐसा इसलिए संभव है क्योंकि कई बायपास किट्स virtual camera तकनीक के ज़रिए अपेक्षित लाइव कैमरा स्ट्रीम को अन्य वीडियो या छवियों से बदल देती हैं।
कमज़ोरी इस बात में है कि “liveness” को डिवाइस स्तर पर कैसे नकली बनाया जा सकता है
दिए गए पाठ का मुख्य तकनीकी बिंदु यह है कि ये टूल आमतौर पर बायोमेट्रिक प्रणालियों को प्लेटफ़ॉर्म स्तर पर किसी वास्तविक उपयोगकर्ता की सही नकल करके नहीं हराते। इसके बजाय, वे फ़ोन के ऑपरेटिंग सिस्टम या ऐप वातावरण से समझौता करते हैं ताकि कैमरा फ़ीड को बदला जा सके। जैसे ही कोई liveness check नकली इनपुट को वास्तविक-समय वीडियो की तरह स्वीकार कर लेता है, सुरक्षा प्रक्रिया का बाकी हिस्सा ढह सकता है।
यह महत्वपूर्ण है, क्योंकि बहुत से उपयोगकर्ता मानते हैं कि चेहरे की जाँचें पासवर्ड या साधारण दस्तावेज़ अपलोड से स्वाभाविक रूप से अधिक मज़बूत होती हैं। सिद्धांत रूप में, वे अक्सर होती भी हैं। लेकिन MIT Technology Review की रिपोर्ट दिखाती है कि उनकी प्रभावशीलता डिवाइस और एप्लिकेशन पाइपलाइन की अखंडता पर कितनी निर्भर करती है। अगर स्कैमर यह नियंत्रित कर सकें कि ऐप क्या देखता है, तो face check एक बायोमेट्रिक सुरक्षा से कम और एक प्रस्तुति परीक्षण से अधिक बन सकता है, जो टूलिंग और धोखाधड़ी सेवाओं के लिए संवेदनशील है।
जाँच में कहा गया है कि ये किट्स Binance जैसे बड़े crypto exchanges से लेकर स्पेन के BBVA जैसे बैंकों तक को निशाना बनाने का दावा करती हैं। कुछ चैनलों में हज़ारों सदस्य या सब्सक्राइबर थे। भले ही उन चैनलों के हर दावे सही न हों, स्रोत सामग्री में बताई गई विज्ञापन की व्यापकता एक ऐसे परिपक्व बाज़ार की ओर संकेत करती है, जिसे लेकर चिंता वाजिब है।
वित्तीय अपराध अधिक सेवा-आधारित होता जा रहा है
रिपोर्ट किए गए Telegram इकोसिस्टम की एक उल्लेखनीय विशेषता यह है कि इसे कितनी स्पष्टता से बाज़ार में पेश किया गया है। कहानी में ऐसे चैनलों का वर्णन है जो “all kinds of KYC verification services” का विज्ञापन करते हैं और खुद को सुरक्षित तथा पेशेवर के रूप में प्रस्तुत करते हैं। यह भाषा बहुत कुछ बताती है। यह एक ऐसे आपराधिक अर्थतंत्र की ओर इशारा करती है जो वैध सॉफ़्टवेयर और आउटसोर्सिंग व्यवसायों की नकल करता जा रहा है। हर धोखाधड़ी गिरोह को अपनी विधि खुद गढ़ने की ज़रूरत नहीं रहती; विशेषज्ञ turnkey बायपास क्षमताएँ एक बड़े अवैध नेटवर्क को बेच सकते हैं।
यह सेवा मॉडल प्रणालीगत जोखिम बढ़ाता है। जब धोखाधड़ी तकनीकें मानकीकृत उत्पाद बन जाती हैं, तो वे तेज़ी से फैलती हैं, कम तकनीकी क्षमता वाले लोगों तक पहुँचती हैं, और एक-एक कर लागू किए गए प्रतिरोध उपायों से नियंत्रित करना कठिन हो जाता है। बैंक और एक्सचेंज रक्षा की एक परत बेहतर कर सकते हैं, लेकिन उन्हें पता चलता है कि एक नया पैकेज पहले से ही बिक्री पर है जो संचालकों को उसे चकमा देना सिखा रहा है।
जाँच वित्तीय सुरक्षा में पहले से परिचित cat-and-mouse गतिशीलता की ओर भी इशारा करती है। जैसे-जैसे संस्थाएँ अधिक उन्नत onboarding और verification कदम लागू करती हैं, अपराधी अनुकूलन करते हैं। यह दौर इसलिए अधिक महत्वपूर्ण है क्योंकि यह अनुकूलन सीधे उन biometric trust systems को निशाना बनाता है, जिन्हें कई कंपनियाँ एक उन्नयन मार्ग के रूप में देखती रही हैं।
यह क्रिप्टो या किसी एक क्षेत्र से आगे क्यों मायने रखता है
हालाँकि रिपोर्टिंग में कंबोडिया, वियतनामी बैंकिंग ऐप्स, और वैश्विक क्रिप्टो एक्सचेंजों से जुड़े उदाहरण हैं, लेकिन मूल समस्या भौगोलिक रूप से सीमित नहीं है। कोई भी संस्था जो फ़ोन-आधारित पहचान सत्यापन पर बहुत अधिक निर्भर करती है, उसे इस पर ध्यान देना चाहिए। यदि सार्वजनिक समूह खुलेआम biometric checks को बायपास करने वाले टूल्स बेच सकते हैं, तो ख़तरा किसी एक ऐप या देश से कहीं व्यापक है।
इसका महत्व तत्काल धोखाधड़ी नुकसान से भी आगे जाता है। KYC प्रणालियाँ anti-money-laundering compliance, खाता अखंडता, और डिजिटल गतिविधि को वास्तविक व्यक्तियों से जोड़ने की क्षमता का आधार हैं। इन प्रणालियों को कमजोर करने का मतलब है म्यूल खातों को खोलना, अवैध धन को स्थानांतरित करना, और अपराधी संगठकों और पैसे के बीच दूरी की नई परतें बनाना आसान करना।
MIT Technology Review की रिपोर्टिंग यह नहीं कहती कि KYC बेकार है। यह ज़रूर दिखाती है कि compliance technologies उतनी ही मज़बूत होती हैं जितनी उन्हें सहारा देने वाले डिवाइस नियंत्रण, धोखाधड़ी पहचान, और परिचालन सतर्कता। वित्तीय संस्थानों को biometric onboarding को अब एक सुलझी हुई समस्या के बजाय लगातार लड़ी जाने वाली सुरक्षा परिस्थिति का एक हिस्सा मानना पड़ सकता है।
सबसे महत्वपूर्ण सबक यह है कि पहचान सत्यापन अब commercialized attack tools के साथ एक सक्रिय युद्धक्षेत्र बन चुका है। इससे सवाल “क्या bad actors KYC बायपास कर सकते हैं” से बदलकर “वे कितनी सस्ती, कितनी खुली, और कितनी बार ऐसा कर सकते हैं” पर आ जाता है। यहाँ प्रस्तुत साक्ष्य के आधार पर, जवाब इतना चिंताजनक है कि नए सिरे से सोचने की ज़रूरत है।
यह लेख MIT Technology Review की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.
Originally published on technologyreview.com