Veriftools: Peternakan ID Palsu Seharga $9 dan Bagaimana KYC Melawan Balik
Paspor palsu seharusnya mahal. Dulu memang begitu. Hampir sepanjang abad lalu, pemalsuan yang meyakinkan membutuhkan keahlian, bahan asli, dan waktu. Kemudian layanan seperti veriftools menurunkan harga dokumen identitas palsu menjadi sekitar sembilan dolar, yang dapat dibayar dengan kripto, tanpa memerlukan keahlian. Itulah kisah sebenarnya di sini, dan penyitaan satu situs web tidak mengubahnya.
Pada Agustus 2025, FBI dan Kepolisian Nasional Belanda menyita domain veriftools dan sekitar $6,4 juta dalam mata uang kripto . Bagus. Namun, layanan tersebut segera diluncurkan kembali. Jadi, artikel ini membahas apa itu veriftools, mengapa operasi semacam ini terus berulang, bagaimana ID palsu sebenarnya mencoba melewati verifikasi identitas, dan di mana pembeli barang palsu seharga sembilan dolar diam-diam dirugikan. Singkatnya: pertahanan yang efektif tidak terletak pada pendaftar domain. Pertahanan tersebut terletak pada tahap verifikasi.
Apa itu veriftools, dan mengapa itu penting
Veriftools adalah sebuah "generator" pembuatan templat yang mengubah pemalsuan dokumen menjadi produk yang mudah digunakan. Anda memasukkan data pribadi, dan layanan tersebut menghasilkan dokumen identitas palsu yang dibuat agar terlihat asli. Tidak ada pemalsu, tidak ada ruang gelap, tidak ada keahlian khusus. Industrialisasi itulah yang menjadi masalah utama, karena memperluas jangkauan orang yang dapat melakukan penipuan dokumen dari segelintir penjahat terampil menjadi siapa pun yang memiliki keluhan dan akses ke peramban web.
Skalanya tidak kecil. Berdasarkan laporan dari para peneliti keamanan dan Departemen Kehakiman AS, veriftools menawarkan sekitar 250 templat dokumen yang mencakup sekitar 69 negara, termasuk kartu identitas untuk semua 50 negara bagian AS. Mereka menjual paspor palsu, SIM, rekening koran, dan tagihan utilitas dengan harga serendah $9, menerima pembayaran dalam mata uang kripto, menjalankan program afiliasi, dan bahkan mendukung pembuatan data secara massal untuk para penjahat yang bekerja dari catatan identitas yang dicuri atau disintesis. Pada Februari 2024, situs ini menarik sekitar 285.000 pengunjung unik per bulan. Penangkapan pada Agustus 2025, yang dilakukan di Distrik New Mexico dengan bantuan Dutch, menyita domainnya dan $6,4 juta dalam mata uang kripto dan menyebut kasus ini sebagai langkah menuju perlindungan publik dari penipuan dan pencurian identitas . Memang benar. Namun, itu juga bukan akhir.
Yang membuat model generator berbahaya bukanlah satu dokumen pun. Melainkan kapasitas pemrosesannya. Templat statis masih membutuhkan pemalsu untuk mengisinya secara meyakinkan; generator melakukannya secara otomatis, dalam jumlah besar, untuk siapa pun yang memegang beberapa dolar kripto. Gabungkan itu dengan program afiliasi dan Anda memiliki distribusi, bukan hanya produk. Penipuan dokumen berhenti menjadi sebuah keahlian dan menjadi sebuah langganan, dan bagian inilah yang seharusnya membuat khawatir setiap platform yang menerima pengguna baru.
Mengapa situs dokumen palsu menolak untuk mati?
Inilah bagian yang tidak nyaman. Penangkapan hanya mengatasi gejalanya. Pasokannya adalah kejahatan sebagai layanan, dan itu tumbuh kembali dalam semalam.
Pada hari yang sama pengumuman penyitaan, operator veriftools memposting pemberitahuan peluncuran ulang di Telegram. Dalam beberapa minggu, domain pengganti aktif di berbagai ekstensi, dan pada Oktober 2025 mereka telah menarik sekitar 80.000 pengunjung bulanan. Ini bukan hal yang tidak biasa. Satu perusahaan verifikasi identitas memiliki sekitar 24.000 penjual di pasar pemalsuan sebagai layanan yang lebih luas. Jika satu dihentikan, permintaan akan beralih ke yang berikutnya.
Ada ekonomi suram di baliknya. Infrastrukturnya murah, pelanggannya anonim, dan jalur pembayarannya menggunakan kripto, sehingga biaya marginal untuk mengaktifkan kembali operasinya hampir nol. Penyitaan domain sedikit meningkatkan biaya tersebut. Namun, hal itu tidak mengubah persamaannya.
Saya tidak berpendapat bahwa penindakan itu tidak ada gunanya. Menyita $6,4 juta dan mengganggu sebuah operasi itu penting. Tetapi "kami telah menyita domain tersebut" adalah siaran pers, bukan pembelaan. Jika rencana keamanan Anda bergantung pada penegak hukum yang menghilangkan pasokan dokumen palsu, Anda tidak memiliki rencana. Solusi yang berkelanjutan harus mengasumsikan bahwa barang palsu akan datang, dan menangkapnya saat itu terjadi.
Bagaimana KTP palsu mencoba melewati KYC, dan lonjakan penipuan di baliknya
Alasan mengapa barang palsu murah dari layanan seperti veriftools penting adalah karena barang-barang tersebut memberi makan mesin yang jauh lebih besar. Penipuan identitas telah berkembang seiring dengan perkembangan alat-alat tersebut, dan angka-angka dari tahun 2025 dan seterusnya tidaklah kecil.
Dokumen sintetis dan yang dihasilkan oleh AI
Kategori yang paling cepat berkembang adalah identitas sintetis, perpaduan data nyata dan data fiktif yang lolos pemeriksaan dangkal. Penipuan dokumen identitas sintetis meningkat 311% di Amerika Utara antara awal 2024 dan awal 2025, menurut perhitungan Sumsub. Pemalsuan dokumen digital kini mencakup sekitar 57% dari semua penipuan dokumen, meningkat 244% dari tahun ke tahun, menurut Entrust Cybersecurity Institute. Kira-kira satu dari lima puluh dokumen palsu kini dihasilkan oleh AI. Semua ini tidak membutuhkan pemalsu ulung; yang dibutuhkan adalah langganan. Identitas sintetis sangat berbahaya karena tidak ada satu pun korban yang dapat mengajukan pengaduan. Identitas tersebut sebagian fiktif, sehingga dapat tetap tidak aktif, membangun riwayat yang tipis, lalu tiba-tiba muncul. Pada saat seseorang menyadari adanya masalah, akun tersebut sudah terkuras dan hilang.
Deepfake dan serangan injeksi
Ancaman lainnya adalah swafoto langsung yang diandalkan sistem verifikasi untuk membuktikan keberadaan orang sungguhan. Para penyerang kini mengalahkan hal itu dengan deepfake dan serangan injeksi, dengan memasukkan video palsu langsung ke aliran kamera. Perusahaan biometrik iProov mencatat upaya deepfake kira-kira setiap lima menit pada tahun 2024, peningkatan 741% dalam serangan injeksi iOS sepanjang tahun 2025, dan peningkatan 2.665% dalam serangan kamera virtual dibandingkan tahun 2023. Sebuah dokumen seharga sembilan dolar dan pertukaran wajah gratis adalah perlengkapan murah untuk kejahatan yang mahal.
Pergeseran ini penting karena keaslian wajah seharusnya menjadi bagian yang sulit dipalsukan. Jika suatu sistem hanya mempercayai bahwa wajah yang bergerak di kamera adalah milik orang sungguhan di ruangan tersebut, video yang disuntikkan secara diam-diam akan merusak asumsi itu. Deteksi harus bergeser dari menanyakan "apakah wajah ini hidup" menjadi menanyakan "apakah rekaman kamera ini benar-benar nyata," yang merupakan masalah yang lebih sulit dan lebih baru.
| Sinyal penipuan (2025-2026) | Angka | Sumber |
|---|---|---|
| Penipuan dokumen identitas palsu, Amerika Utara | +311% YoY | Sumsub |
| Pemalsuan dokumen digital, bagian dari semua penipuan dokumen. | 57% (+244% YoY) | Mempercayakan |
| Dokumen yang dihasilkan oleh AI | ~1 dari 50 barang palsu | Sumsub |
| Frekuensi percobaan deepfake | setiap ~5 menit | iProov |
| Serangan injeksi iOS | +741% (2025) | iProov |
Bagaimana verifikasi identitas mendeteksi dokumen palsu?
Jadi, jika Anda tidak bisa lolos dengan cara menyita barang, apa yang berhasil? Deteksi di pintu masuk. Inilah bagian cerita yang tidak diduga oleh pembeli uang palsu seharga $9, karena verifikasi berlapis dirancang untuk menganggap dokumen tersebut palsu sampai bukti menunjukkan sebaliknya.
Forensik dokumen dan keaktifan
Mulailah dengan dokumen itu sendiri. Pemeriksaan forensik membaca hal-hal yang tidak dapat dipalsukan secara bersih oleh templat: ketidakkonsistenan tingkat piksel, penyimpangan font dan tata letak, metadata yang dimanipulasi, dan penggunaan kembali templat di berbagai pengajuan. Ketika Resistant AI menguji output veriftools, forensiknya menandai dokumen-dokumen tersebut sebagai berisiko tinggi di seluruh kartu identitas, laporan bank, dan tagihan utilitas, bahkan setelah para penipu mencoba menghapus metadata. Alasan mengapa ini berhasil adalah karena generator dioptimalkan agar terlihat benar bagi manusia, bukan bagi mesin. Seorang peninjau yang melihat sekilas SIM melihat kartu yang masuk akal. Mesin forensik melihat bahwa templat yang sama menghasilkan ribuan pengajuan lainnya, bahwa spasi font sedikit berbeda, bahwa pola keamanan dicetak dan bukan disematkan. Tambahkan deteksi keaktifan 3D untuk mengkonfirmasi manusia yang nyata dan hadir, deteksi injeksi untuk menangkap umpan kamera palsu, dan pembacaan chip NFC yang mengambil data asli yang ditandatangani langsung dari chip paspor modern, dan pemalsuan murahan akan kehabisan ruang.
Pemeriksaan AML dan pengecekan silang basis data
Dokumen yang lolos pemeriksaan hanyalah setengah dari proses verifikasi. Pemeriksaan AML (Anti- Money Laundering) membandingkan data seseorang dengan daftar sanksi, basis data orang yang memiliki pengaruh politik, dan pemberitaan media negatif, kemudian terus memantau setelah proses pendaftaran. Data identitas diperiksa silang dengan sumber-sumber yang berwenang, dan sinyal forensik yang sama digunakan untuk mendeteksi penipuan pembayaran yang lebih luas sehingga satu dokumen palsu tidak dapat secara diam-diam membuka sepuluh rekening. Sebuah dokumen dapat dibuat dengan sempurna tetapi tetap mencantumkan nama seseorang yang detailnya tidak sesuai dengan catatan asli, atau yang sudah masuk dalam daftar pantauan. Pemantauan berkelanjutan kemudian mendeteksi rekening yang tampak bersih pada hari pertama dan berubah menjadi berisiko pada hari kesembilan puluh. Tidak ada satu lapisan pun yang sempurna. Jika digabungkan, dokumen senilai $9 dapat berubah menjadi taruhan yang merugikan.
| Lapisan verifikasi | Apa yang ditangkapnya |
|---|---|
| Forensik dokumen | Penggunaan ulang templat, anomali font, piksel, dan metadata |
| Deteksi keaktifan 3D | Foto, topeng, dan video yang diputar ulang |
| Deteksi injeksi | Kamera virtual dan umpan deepfake |
| Pembacaan chip NFC | Dokumen tanpa data chip bertanda tangan asli. |
| Pemeriksaan AML dan basis data | Identitas yang disetujui, dipalsukan, atau tidak sesuai |
Berapa biaya yang harus ditanggung platform jika membiarkan konten palsu lolos?
Semua ini bukan sekadar teori. Dokumen palsu dari operasi seperti veriftools langsung masuk ke rekening yang menghasilkan denda ini, dan biaya untuk kesalahan tersebut telah melonjak drastis. Kegagalan KYC kini menjadi masalah keuangan yang sangat besar.
Lihatlah tahunnya. OKX mengaku bersalah dalam kasus Departemen Kehakiman AS pada Februari 2025 dengan denda lebih dari $504 juta , terkait dengan transaksi mencurigakan senilai lebih dari $5 miliar. Jaksa penuntut mengatakan staf telah menginstruksikan pelanggan untuk memalsukan dokumen identitas mereka. KuCoin menyelesaikan kasusnya dengan Departemen Kehakiman AS dengan membayar sekitar $300 juta sebulan sebelumnya, kemudian dikenakan denda FINTRAC sebesar C$19,6 juta di Kanada pada bulan September. Dan batas minimum terus meningkat. Rezim MiCA Uni Eropa menetapkan batas waktu otorisasi CASP yang ketat pada 1 Juli 2026, Peraturan AML yang lebih luas akan berlaku pada tahun 2027, dan denda mencapai puluhan juta dolar. Platform yang meloloskan dokumen palsu tidak menghemat uang. Platform tersebut menunda tagihan yang jauh lebih besar.
Ini bukan kasus-kasus terpencil. Ini termasuk tindakan penegakan hukum terbesar yang pernah terjadi di dunia kripto, dan benang merah yang menghubungkan semuanya adalah identitas. Bukan manipulasi pasar. Bukan peretasan cerdas. Pertanyaan yang terus diulang-ulang oleh regulator lebih sederhana dan lebih sulit: siapa yang berhasil masuk, dan apa yang sebenarnya dilakukan platform untuk memeriksanya?
| Kasus penegakan hukum | Penalti | Kapan |
|---|---|---|
| OKX (Departemen Kehakiman AS) | Lebih dari $504 juta | Februari 2025 |
| KuCoin (Departemen Kehakiman AS) | ~$300 juta | Januari 2025 |
| KuCoin (FINTRAC, Kanada) | C$19,6 juta | September 2025 |
Realita hukum bagi siapa pun yang tergoda untuk membeli
Bagi pembeli perorangan, sembilan dolar untuk veriftools atau domain penerusnya adalah bagian yang murah. Harga sebenarnya ada dua, dan kedua bagian tersebut diremehkan.
Pertama, soal hukum. Di Amerika Serikat, memproduksi atau menggunakan dokumen identitas palsu adalah kejahatan federal berdasarkan 18 USC § 1028, dengan hukuman hingga 15 tahun penjara, dan pencurian identitas yang diperberat menambah hukuman wajib dua tahun penjara. Terlepas dari itu, permintaan yang lemah tetap ada: sebuah survei menemukan sekitar 30% anak muda AS pernah mempertimbangkan untuk membeli KTP palsu. Permintaan yang santai itulah yang membuat perdagangan ini berbahaya. Sebagian besar pembeli membayangkan barang yang tidak berbahaya, bukan tuduhan federal, dan kesenjangan antara bagaimana perasaan saat membeli dan apa yang disebut hukum adalah di mana orang-orang dirugikan. Konsekuensinya tidak berkurang hanya karena pembelian terasa santai.
Kedua, data. Untuk membuat barang palsu yang meyakinkan, Anda menyerahkan informasi pribadi Anda yang sebenarnya, foto Anda, detail Anda yang sebenarnya kepada layanan kriminal. Anda bukanlah pelanggan dalam transaksi tersebut, melainkan produknya. Pencurian identitas, pemerasan, dan penjualan kembali data Anda adalah langkah selanjutnya yang wajar. Di sisi platform, akun palsu yang terdeteksi berarti dana dibekukan dan pemblokiran permanen. Pembeli kehilangan uang, akun, dan kendali atas identitas mereka sendiri, seringkali ketiganya.
Penting untuk berterus terang tentang ketidakseimbangan ini. Penjual konten palsu menghadapi ancaman penghapusan dan kehilangan domain yang dapat didaftarkan ulang keesokan harinya. Pembeli menghadapi catatan kriminal federal. Seluruh transaksi disusun sedemikian rupa sehingga pelanggan menanggung risiko hukum sementara operator mengumpulkan kripto dan membangun kembali bisnisnya di tempat lain. Itu bukanlah kesepakatan yang seharusnya dirugikan oleh siapa pun.
Mengapa deteksi lebih efektif daripada penghapusan akun palsu?
Penyitaan veriftools tidak mengakhiri ID palsu. Farm berikutnya sudah melayani lalu lintas, dan yang berikutnya lagi berada di saluran Telegram menunggu yang pertama jatuh. Itulah pelajaran yang perlu diingat: pasokan itu tangguh, jadi pertahanan juga harus tangguh. Bagi bisnis kripto, itu berarti verifikasi identitas berlapis yang menganggap setiap dokumen mencurigakan, didukung oleh forensik, keaktifan, dan pemantauan AML berkelanjutan. Bagi yang lain, langkah ini lebih sederhana dan lebih murah daripada sembilan dolar. Jangan menjadi pembelinya.
