डिजिटल वित्ताच्या एका मुख्य विश्वास यंत्रणेवर एका अंडरग्राउंड बाजाराचे लक्ष आहे
MIT Technology Review च्या अहवालानुसार, फसवणूक करणारे Telegram वर विकल्या जाणाऱ्या बेकायदा टूल्सचा वापर बँका आणि क्रिप्टो प्लॅटफॉर्म्स वापरत असलेल्या ओळख पडताळणीला, विशेषतः “Know Your Customer” किंवा KYC फेस स्कॅनला, बायपास करण्यासाठी करत आहेत. आपल्या तपासात, प्रकाशनाने 22 सार्वजनिक Chinese-, Vietnamese-, आणि English-language Telegram चॅनेल्स आणि समूह ओळखले, जे bypass kits आणि चोरलेला बायोमेट्रिक डेटा जाहिरात करत होते. ही टूल्स अशा उपायांप्रमाणे मांडली जात आहेत की ज्या अनुपालन प्रणालींना चुकवता येईल, ज्यांचा उद्देश खातं एखाद्या वास्तविक व्यक्तीचे आहे आणि वापरकर्त्याचा चेहरा मूळतः सादर केलेल्या ओळखपत्रांशी जुळतो, हे निश्चित करणे हा आहे.
याचे परिणाम गंभीर आहेत, कारण KYC तपासण्या डिजिटल वित्तामध्ये फसवणूक, mule accounts, आणि money laundering रोखण्यासाठी आधारभूत आहेत. जर या तपासण्या मेसेजिंग चॅनेल्समधून उघडपणे विकल्या जाणाऱ्या उत्पादनात बदलल्या, तर जी गोष्ट सुरक्षा थरासारखी दिसते ती गुन्हेगारी तज्ज्ञांसाठी बाजाराची संधी बनू शकते. ही कथा फक्त एका हुशार exploit बद्दल नाही. ही ओळख चुकवण्याच्या supply chain बद्दल आहे.
हा धोका स्पष्ट उदाहरणाने अधोरेखित केला आहे. कंबोडियातील एका money-laundering केंद्रातून काम करणारा एक फसवणूक करणारा व्हिएतनामी बँकिंग अॅप दाखवतो, जो खात्याशी जोडलेला फोटो आणि त्यानंतर video liveness check मागतो. वैध live camera feed वापरण्याऐवजी, फसवणूक करणारा एक न जुळणारा फोटो वापरतो आणि तरीही पास होतो. तपासणीनुसार, हे शक्य होते कारण अनेक bypass kits virtual camera तंत्र वापरून अपेक्षित live camera stream इतर व्हिडिओ किंवा प्रतिमांमध्ये बदलतात.
“liveness” डिव्हाइस पातळीवर कशी बनावट करता येते, यातच कमकुवतपणा आहे
दिलेल्या मजकुरातील मुख्य तांत्रिक मुद्दा असा आहे की ही टूल्स सहसा बायोमेट्रिक प्रणालींना प्लॅटफॉर्म पातळीवर एखाद्या वास्तविक वापरकर्त्याची अचूक नक्कल करून हरवत नाहीत. त्याऐवजी, ती फोनच्या operating system किंवा app environment मध्ये छेडछाड करून camera feed बदलतात. एकदा liveness check ने बनावट input ला real-time video समजून स्वीकारले, की सुरक्षा प्रक्रियेचा उरलेला भाग कोसळू शकतो.
हे महत्त्वाचे आहे, कारण अनेक वापरकर्त्यांना वाटते की face checks हे password किंवा साध्या document upload पेक्षा मुळातच अधिक मजबूत असतात. तत्त्वतः ते बहुतेक वेळा खरेही असते. पण MIT Technology Review चा अहवाल दाखवतो की त्यांची परिणामकारकता device आणि application pipeline च्या integrity वर किती अवलंबून असते. जर फसवणूक करणाऱ्यांना app काय पाहते यावर नियंत्रण मिळाले, तर face check biometric safeguard पेक्षा tooling आणि fraud services साठी असुरक्षित असा presentation test बनू शकतो.
तपासणीत म्हटले आहे की हे kits Binance सारख्या प्रमुख crypto exchange पासून स्पेनच्या BBVA सारख्या बँकांपर्यंत लक्ष्य करत असल्याचा दावा करतात. काही चॅनेल्समध्ये हजारो सदस्य किंवा subscribers होते. त्या चॅनेल्समधील प्रत्येक दावा खरा नसला तरी, स्रोत सामग्रीमध्ये नमूद केलेल्या जाहिरातींच्या व्याप्तीवरून या चिंतेसाठी पुरेसा प्रगल्भ बाजार अस्तित्वात असल्याचे दिसते.
आर्थिक गुन्हे अधिक service-oriented होत आहेत
नोंदवलेल्या Telegram ecosystem ची एक लक्षवेधी बाब म्हणजे ते किती उघडपणे बाजारात आणले जाते. कथेत “all kinds of KYC verification services” जाहिरात करणाऱ्या चॅनेल्सचे वर्णन आहे आणि ते स्वतःला सुरक्षित व व्यावसायिक म्हणून सादर करतात. ही भाषा खूप काही सांगते. ती कायदेशीर software आणि outsourcing व्यवसायांची वाढती नक्कल करणाऱ्या गुन्हेगारी अर्थव्यवस्थेकडे निर्देश करते. प्रत्येक fraud ring ला स्वतःच्या पद्धती शोधण्याची गरज उरत नाही; तज्ज्ञ तयार bypass क्षमतांना मोठ्या बेकायदा नेटवर्कमध्ये विकू शकतात.
हे service model प्रणालीगत जोखीम वाढवते. जेव्हा fraud techniques मानकीकृत उत्पादने बनतात, तेव्हा त्या वेगाने पसरतात, कमी तांत्रिक कौशल्य असलेल्या लोकांपर्यंत पोहोचतात, आणि एक-एक countermeasure ने नियंत्रणात आणणे कठीण होते. बँका आणि exchanges एक संरक्षण थर अधिक मजबूत करू शकतात, पण त्यांना लगेचच नवीन package बाजारात आहे आणि ते operators ना त्याला चुकवायला शिकवत आहे, हे लक्षात येते.
तपासणीत financial security मधील जुनी cat-and-mouse गतीही दिसते. संस्थांनी अधिक प्रगत onboarding आणि verification steps वापरायला सुरुवात केली की, गुन्हेगार जुळवून घेतात. हा टप्पा अधिक महत्त्वाचा ठरतो कारण ही जुळवाजुळव थेट biometric trust systems ला लक्ष्य करते, ज्यांना अनेक कंपन्यांनी upgrade path मानले होते.
हे crypto किंवा एका प्रदेशाच्या पलीकडे का महत्त्वाचे आहे
जरी या रिपोर्टिंगमध्ये कंबोडिया, Vietnamese banking apps, आणि global crypto exchanges शी संबंधित उदाहरणे असली, तरी मूळ मुद्दा भौगोलिकदृष्ट्या मर्यादित नाही. फोन-आधारित ओळख पडताळणीवर मोठ्या प्रमाणावर अवलंबून असलेल्या कोणत्याही संस्थेने याकडे लक्ष द्यावे. जर सार्वजनिक समूह उघडपणे biometric checks bypass करणारी टूल्स बाजारात आणू शकत असतील, तर धोका कोणत्याही एकाच app किंवा देशापुरता मर्यादित नाही.
याचे महत्त्व तातडीच्या फसवणूक नुकसानीपलीकडे जाते. KYC systems हे anti-money-laundering compliance, account integrity, आणि डिजिटल क्रियाकलापांना वास्तविक व्यक्तींशी जोडण्याच्या क्षमतेचे आधार आहेत. ही system कमकुवत केल्याने mule accounts उघडणे, बेकायदा निधी हलवणे, आणि गुन्हेगारी सूत्रधार व पैशामध्ये नवी अंतराची पातळी निर्माण करणे सोपे होते.
MIT Technology Review चा अहवाल KYC निरुपयोगी आहे असे सुचवत नाही. मात्र तो दाखवतो की compliance technologies कितीही मजबूत असल्या, तरी त्यांना वेढून असलेल्या device controls, fraud detection, आणि operational skepticism यांच्यावर त्यांची ताकद अवलंबून असते. आर्थिक संस्थांना biometric onboarding ही सोडवलेली समस्या न मानता, सतत स्पर्धात्मक असलेल्या सुरक्षा वातावरणातील एक घटक म्हणून पाहावे लागेल.
सर्वात महत्त्वाचा धडा हा आहे की ओळख पडताळणी आता commercialized attack tools सोबतच्या थेट युद्धभूमीवर आहे. त्यामुळे प्रश्न “bad actors KYC bypass करू शकतात का” यावरून “ते किती स्वस्त, किती उघडपणे, आणि किती वेळा ते करू शकतात” असा होतो. इथे दिलेल्या पुराव्यांवरून उत्तर चिंताजनक आहे.
हा लेख MIT Technology Review च्या रिपोर्टिंगवर आधारित आहे. मूळ लेख वाचा.
Originally published on technologyreview.com