Veriftools: مزرعه‌ی ۹ دلاری ساخت شناسه‌ی جعلی و نحوه‌ی مقابله با احراز هویت مشتری

یک گذرنامه جعلی باید گران باشد. قبلاً هم همینطور بود. در بیشتر قرن گذشته، یک گذرنامه جعلیِ متقاعدکننده به مهارت، مواد واقعی و زمان نیاز داشت. سپس سرویس‌هایی مانند veriftools قیمت یک سند هویت جعلی را به حدود نه دلار کاهش دادند که به صورت کریپتو پرداخت می‌شد و نیازی به مهارت نداشت. داستان واقعی اینجا همین است و توقیف یک وب‌سایت هم آن را تغییر نمی‌دهد.

در آگوست ۲۰۲۵، اف‌بی‌آی و پلیس ملی هلند دامنه‌های veriftools و تقریباً ۶.۴ میلیون دلار ارز دیجیتال را توقیف کردند. خوب است. همچنین تقریباً بلافاصله دوباره راه‌اندازی شد. بنابراین این مقاله به بررسی این موضوع می‌پردازد که veriftools چه بود، چرا این عملیات‌ها همچنان در حال بازگشت هستند، چگونه یک شناسه جعلی در واقع سعی در دور زدن تأیید هویت دارد و خریدار یک کارت شناسایی تقلبی نه دلاری در کجا بی‌سروصدا ضرر می‌کند. به طور خلاصه: دفاعی که کار می‌کند در ثبت‌کننده دامنه وجود ندارد. در مرحله تأیید وجود دارد.

veriftools چه بود و چرا اهمیت داشت؟

Veriftools یک مزرعه قالب بود، یک «ژنراتور» که جعل اسناد را به یک محصول اشاره و کلیک تبدیل می‌کرد. شما اطلاعات شخصی خود را وارد می‌کردید و این سرویس یک سند هویت جعلی تولید می‌کرد که طوری ساخته شده بود که واقعی به نظر برسد. نه جاعل، نه تاریکخانه، نه مهارت. این صنعتی شدن، کل مشکل است، زیرا تعداد افرادی را که می‌توانند مرتکب تقلب در اسناد شوند، از تعداد انگشت‌شماری از مجرمان ماهر به هر کسی که شکایتی دارد و یک مرورگر دارد، گسترش می‌دهد.

مقیاس این اتفاق کوچک نبود. طبق گزارش محققان امنیتی و وزارت دادگستری ایالات متحده، veriftools تقریباً ۲۵۰ قالب سند را که حدود ۶۹ کشور را پوشش می‌داد، از جمله کارت‌های شناسایی برای هر ۵۰ ایالت ایالات متحده، ارائه می‌داد. این شرکت گذرنامه‌های جعلی، گواهینامه‌های رانندگی، صورت‌حساب‌های بانکی و قبوض آب و برق را با قیمت ناچیز ۹ دلار می‌فروخت، پرداخت‌ها را به صورت ارز دیجیتال دریافت می‌کرد، یک برنامه وابسته اجرا می‌کرد و حتی از تولید دسته‌ای برای مجرمانی که از سوابق هویتی سرقت شده یا ساختگی استفاده می‌کردند، پشتیبانی می‌کرد. تا فوریه ۲۰۲۴، ماهانه حدود ۲۸۵۰۰۰ بازدیدکننده منحصر به فرد داشت. حذف اوت ۲۰۲۵، که با کمک هلندی‌ها از ناحیه نیومکزیکو انجام شد، دامنه‌های آن و ۶.۴ میلیون دلار ارز دیجیتال را توقیف کرد و این پرونده را گامی در جهت محافظت از مردم در برابر کلاهبرداری و سرقت هویت نامید. همینطور هم شد. همچنین پایان کار نبود.

چیزی که مدل مولد را خطرناک می‌کرد، هیچ سند واحدی نبود. بلکه توان عملیاتی بود. یک الگوی ایستا هنوز به یک جاعل نیاز دارد تا آن را به طور قانع‌کننده‌ای پر کند؛ یک مولد این کار را به طور خودکار و در حجم بالا، برای هر کسی که چند دلار کریپتو دارد، انجام می‌دهد. آن را با یک برنامه وابسته ترکیب کنید و توزیع خواهید داشت، نه فقط یک محصول. کلاهبرداری اسناد دیگر یک مهارت نبود و به یک اشتراک تبدیل شد، که بخشی است که باید هر پلتفرمی را که غریبه‌ها را به سیستم وارد می‌کند، نگران کند.

چرا سایت‌های اسناد جعلی از بین نمی‌روند؟

بخش ناراحت‌کننده ماجرا اینجاست. یک اقدام ضربتی، علائم را درمان می‌کند. عرضه جرم به عنوان یک خدمت است و یک شبه دوباره رشد می‌کند.

در همان روزی که توقیف اعلام شد، اپراتورهای veriftools اطلاعیه‌هایی برای راه‌اندازی مجدد در تلگرام منتشر کردند. ظرف چند هفته، دامنه‌های جایگزین در میان افزونه‌های پراکنده فعال شدند و تا اکتبر ۲۰۲۵، تقریباً ۸۰،۰۰۰ بازدیدکننده ماهانه را به خود جذب کرده بودند. این اتفاق غیرمعمولی نیست. یک شرکت تأیید هویت روی حدود ۲۴،۰۰۰ فروشنده در بازار گسترده‌تر جعل به عنوان خدمات حساب می‌کند. یکی را از کار بیندازید و تقاضا به سادگی به سمت بعدی می‌رود.

یک اقتصاد تیره و تار در زیر آن وجود دارد. زیرساخت ارزان است، مشتریان ناشناس هستند و سیستم پرداخت، کریپتو است، بنابراین هزینه نهایی پشتیبانی از این عملیات تقریباً هیچ است. توقیف دامنه این هزینه را کمی افزایش می‌دهد. این معادله را تغییر نمی‌دهد.

من استدلال نمی‌کنم که توقیف‌ها بی‌معنی هستند. توقیف ۶.۴ میلیون دلار و مختل کردن یک عملیات مهم است. اما جمله‌ی «ما دامنه را توقیف کردیم» یک بیانیه مطبوعاتی است، نه یک دفاع. اگر طرح امنیتی شما به حذف عرضه اسناد جعلی توسط نیروهای انتظامی بستگی دارد، شما طرحی ندارید. پاسخ پایدار باید فرض کند که کالای تقلبی خواهد رسید و وقتی رسید، آن را دستگیر کنید.

چگونه هویت‌های جعلی سعی در دور زدن KYC دارند و کلاهبرداری پشت آن افزایش یافته است

دلیل اهمیت جعل‌های ارزان‌قیمت از سرویس‌هایی مانند veriftools این است که آنها دستگاه بسیار بزرگ‌تری را تغذیه می‌کنند. کلاهبرداری هویتی همگام با این ابزارها صنعتی شده است و اعداد مربوط به سال ۲۰۲۵ و 2026 نامحسوس نیستند.

اسناد مصنوعی و تولید شده توسط هوش مصنوعی

سریع‌ترین رشد در این دسته‌بندی مربوط به هویت مصنوعی است، ترکیبی از داده‌های واقعی و ساختگی که از یک بررسی سطحی عبور می‌کنند. طبق آمار سام‌ساب، کلاهبرداری اسناد هویت مصنوعی بین اوایل ۲۰۲۴ و اوایل ۲۰۲۵ در آمریکای شمالی ۳۱۱ درصد افزایش یافته است. طبق گزارش موسسه امنیت سایبری Entrust، جعل اسناد دیجیتال اکنون حدود ۵۷ درصد از کل کلاهبرداری‌های اسناد را تشکیل می‌دهد که نسبت به سال گذشته ۲۴۴ درصد افزایش یافته است. اکنون تقریباً از هر پنجاه سند جعلی، یکی توسط هوش مصنوعی تولید می‌شود. هیچ‌کدام از این‌ها به یک جاعل اصلی نیاز ندارند؛ بلکه به اشتراک نیاز دارند. هویت‌های مصنوعی به ویژه ناخوشایند هستند زیرا هیچ قربانی واحدی برای ثبت شکایت وجود ندارد. هویت تا حدی ساختگی است، بنابراین می‌تواند غیرفعال بماند، یک تاریخچه نازک بسازد و سپس به یکباره از بین برود. زمانی که کسی متوجه مشکلی شود، حساب از قبل خالی شده و رفته است.

دیپ فیک و حملات تزریق

جبهه دیگر، سلفی زنده است که سیستم‌های تأیید هویت برای اثبات حضور یک فرد واقعی به آن متکی هستند. مهاجمان اکنون با جعل عمیق و حملات تزریق، این مشکل را برطرف می‌کنند و یک ویدیوی ساختگی را مستقیماً به جریان دوربین وارد می‌کنند. شرکت بیومتریک iProov تقریباً هر پنج دقیقه یک تلاش برای جعل عمیق را در سال ۲۰۲۴ ثبت کرده است، افزایش ۷۴۱ درصدی حملات تزریق iOS در طول سال ۲۰۲۵ و افزایش ۲۶۶۵ درصدی حملات دوربین مجازی در مقایسه با سال ۲۰۲۳. یک سند نه دلاری و یک تعویض چهره رایگان، کیت ارزان قیمتی برای یک جرم گران‌قیمت است.

این تغییر مهم است زیرا قرار بود زنده بودن، بخش سخت جعل باشد. اگر سیستمی به سادگی اعتماد کند که یک چهره متحرک روی دوربین متعلق به یک فرد واقعی در اتاق است، یک ویدیوی تزریق شده بی‌سروصدا این فرض را نقض می‌کند. تشخیص باید از پرسیدن «آیا این چهره زنده است» به پرسیدن «آیا این تصویر دوربین اصلاً واقعی است» تغییر کند، که یک مشکل دشوارتر و جدیدتر است.

چگونه تأیید هویت، اسناد جعلی را شناسایی می‌کند

بنابراین اگر نمی‌توانید راه خروج را پیدا کنید، چه چیزی جواب می‌دهد؟ تشخیص در دم در. این بخشی از داستان است که خریدار یک سند جعلی ۹ دلاری متوجه آن نمی‌شود، زیرا تأیید لایه‌ای طوری طراحی شده است که فرض کند سند جعلی است تا زمانی که شواهد خلاف آن را ثابت کند.

بررسی اسناد و زنده بودن آنها

با خود سند شروع کنید. بررسی‌های پزشکی قانونی مواردی را که یک الگو نمی‌تواند به طور تمیز جعل کند، می‌خواند: ناسازگاری‌های سطح پیکسل، انحرافات فونت و طرح‌بندی، فراداده‌های دستکاری‌شده و استفاده مجدد از الگو در بین اسناد ارسالی. هنگامی که Resistance AI خروجی veriftools را آزمایش کرد، پزشکی قانونی آن اسناد را در بین شناسه‌ها، صورت‌حساب‌های بانکی و قبوض آب و برق، حتی پس از اینکه کلاهبرداران سعی در حذف فراداده‌ها داشتند، به عنوان اسناد پرخطر علامت‌گذاری کرد. دلیل اینکه این روش جواب می‌دهد این است که یک مولد برای نگاه مستقیم به یک انسان بهینه می‌شود، نه به یک ماشین. یک بررسی‌کننده با نگاهی اجمالی به گواهینامه رانندگی، یک کارت قابل قبول می‌بیند. یک موتور پزشکی قانونی می‌بیند که همان الگو هزاران سند ارسالی دیگر را تولید کرده است، فاصله فونت‌ها بسیار کم است، الگوی امنیتی به جای جاسازی، چاپ شده است. تشخیص زنده بودن سه‌بعدی را برای تأیید یک انسان واقعی و موجود، تشخیص تزریق برای گرفتن فید دوربین جعلی و خواندن تراشه NFC که داده‌های واقعی و امضا شده را مستقیماً از تراشه گذرنامه مدرن استخراج می‌کند، اضافه کنید و جعل ارزان قیمت دیگر جایی برای خود باقی نمی‌گذارد.

غربالگری AML و بررسی‌های متقابل پایگاه داده

سندی که تایید می‌شود، هنوز تنها نیمی از بررسی است. غربالگری AML، فرد را در برابر فهرست‌های تحریم، پایگاه‌های داده افراد دارای سابقه سیاسی و گزارش‌های رسانه‌های مخالف قرار می‌دهد و سپس پس از ورود به سیستم، نظارت را ادامه می‌دهد. داده‌های هویتی با منابع معتبر بررسی می‌شوند و همان سیگنال‌های پزشکی قانونی، تشخیص تقلب در پرداخت‌های گسترده‌تر را تقویت می‌کنند، بنابراین یک سند جعلی نمی‌تواند بی‌سروصدا ده حساب باز کند. یک سند می‌تواند کاملاً ارائه شود و همچنان نام شخصی را که جزئیاتش با هیچ سابقه واقعی مطابقت ندارد، یا کسی که قبلاً در فهرست نظارت قرار دارد، ثبت کند. نظارت مداوم سپس حسابی را که در روز اول تمیز به نظر می‌رسید و در روز نودم خطرناک شد، شناسایی می‌کند. هیچ لایه‌ای کامل نیست. آنها روی هم رفته، یک سند ۹ دلاری را به یک شرط‌بندی باخت تبدیل می‌کنند.

هزینه‌ای که یک پلتفرم برای انتشار مطالب جعلی متحمل می‌شود چقدر است؟

هیچ‌کدام از این‌ها تئوری نیستند. اسناد جعلی از عملیاتی مانند veriftools مستقیماً به حساب‌هایی که این جریمه‌ها را ایجاد می‌کنند، وارد می‌شوند و هزینه‌های ناشی از اشتباه در این زمینه به شدت افزایش یافته است. شکست در احراز هویت مشتری (KYC) اکنون به یک معضل اساسی تبدیل شده است.

به سال نگاه کنید. OKX در فوریه ۲۰۲۵ به یک پرونده وزارت دادگستری ایالات متحده شکایت کرد که بیش از ۵۰۴ میلیون دلار جریمه به همراه داشت که به بیش از ۵ میلیارد دلار تراکنش مشکوک مربوط می‌شد. دادستان‌ها گفتند که کارکنان به مشتریان دستور داده بودند که مدارک هویتی خود را جعل کنند. KuCoin ماه قبل با وزارت دادگستری حدود ۳۰۰ میلیون دلار به توافق رسید، سپس در سپتامبر همان سال جریمه بی‌سابقه ۱۹.۶ میلیون دلار کانادا از FINTRAC در کانادا دریافت کرد. و کف جریمه همچنان در حال افزایش است. رژیم MiCA اتحادیه اروپا مهلت سختی برای مجوز CASP تا ۱ ژوئیه ۲۰۲۶ تعیین کرده است، مقررات گسترده‌تر AML در سال ۲۰۲۷ اعمال می‌شود و جریمه‌ها به ده‌ها میلیون دلار می‌رسد. پلتفرمی که یک سند جعلی را منتشر می‌کند، در حال صرفه‌جویی در هزینه نیست. این یک فاکتور بسیار بزرگتر را به تعویق می‌اندازد.

اینها موارد حاشیه‌ای نیستند. اینها از بزرگترین اقدامات اجرایی هستند که کریپتو به خود دیده است، و نکته مشترک همه آنها هویت است. نه دستکاری بازار. نه یک هک هوشمندانه. سوالی که تنظیم‌کنندگان مدام به آن برمی‌گشتند ساده‌تر و دشوارتر بود: چه کسی از در عبور کرده و پلتفرم واقعاً برای بررسی چه کاری انجام داده است؟

واقعیت قانونی برای هر کسی که وسوسه خرید دارد

برای یک خریدار حقیقی، نه دلار برای خرید veriftools یا دامنه‌های جانشین آن، بخش ارزان ماجرا است. قیمت واقعی دو برابر است و هر دو بخش دست کم گرفته شده‌اند.

اول، قانون. در ایالات متحده، تهیه یا استفاده از سند هویت جعلی طبق ماده 1028 قانون 18 USC جرم فدرال محسوب می‌شود و مجازات آن تا 15 سال زندان است و سرقت هویت تشدید شده، دو سال حبس اجباری را نیز به آن اضافه می‌کند. صرف نظر از این، اقتصاد ضعیف تقاضا وجود دارد: یک نظرسنجی نشان داد که حدود 30 درصد از جوانان آمریکایی خرید یک سند هویت جعلی را در نظر گرفته‌اند. این تقاضای غیررسمی دقیقاً همان چیزی است که این تجارت را خطرناک می‌کند. اکثر خریداران، یک وسیله بی‌ضرر را تصور می‌کنند، نه یک اتهام فدرال، و شکاف بین احساسی که خرید ایجاد می‌کند و آنچه قانون آن را می‌نامد، جایی است که افراد آسیب می‌بینند. عواقب آن کاهش نمی‌یابد زیرا خرید غیررسمی به نظر می‌رسد.

دوم، داده‌ها. برای تولید یک محصول جعلی متقاعدکننده، شما اطلاعات شخصی واقعی، عکس و جزئیات واقعی خود را به یک سرویس جنایی ارائه می‌دهید. شما در آن معامله مشتری نیستید، بلکه محصول هستید. سرقت هویت، اخاذی و فروش مجدد داده‌های شما مراحل طبیعی بعدی هستند. از طرف پلتفرم، یک محصول جعلی علامت‌گذاری شده به معنای مسدود شدن وجوه و ممنوعیت دائمی است. خریدار پول، حساب و کنترل هویت خود، اغلب هر سه را از دست می‌دهد.

ارزش دارد که در مورد عدم تقارن رک باشیم. فروشنده‌ی جعلی با حذف شدن و از دست دادن دامنه‌ای که می‌تواند تا صبح دوباره ثبت کند، مواجه می‌شود. خریدار با یک پرونده‌ی فدرال روبرو می‌شود. کل این تجارت به گونه‌ای ساختار یافته است که مشتری ریسک قانونی را متحمل می‌شود در حالی که اپراتور، کریپتو را جمع‌آوری کرده و در جای دیگری بازسازی می‌کند. این معامله‌ای نیست که کسی بخواهد طرف اشتباه آن را ببیند.

چرا تشخیص هویت جعلی بر حذف آن برتری دارد؟

توقیف veriftools به شناسایی‌های جعلی پایان نداد. فارم بعدی در حال حاضر ترافیک ارائه می‌دهد و فارم بعدی در یک کانال تلگرامی منتظر است تا اولین فارم سقوط کند. این درسی است که ارزش نگه داشتن دارد: عرضه مقاوم است، بنابراین دفاع نیز باید مقاوم باشد. برای یک کسب‌وکار کریپتو، این به معنای تأیید هویت لایه‌ای است که فرض می‌کند هر سندی مشکوک است، با پشتیبانی پزشکی قانونی، زنده بودن و نظارت مداوم AML. برای هر کس دیگری، این اقدام ساده‌تر و ارزان‌تر از نه دلار است. خریدار نباشید.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.