Veriftools: 9 Dolarlık Sahte Kimlik Çiftliği ve KYC’nin Buna Karşı Mücadelesi
Sahte pasaport pahalı olmalı. Eskiden öyleydi. Geçtiğimiz yüzyılın büyük bölümünde, inandırıcı bir sahte belge yapmak yetenekli bir el, gerçek malzemeler ve zaman gerektiriyordu. Sonra Veriftools gibi hizmetler, sahte kimlik belgesinin fiyatını yaklaşık dokuz dolara düşürdü; ödeme kripto para birimiyle yapılabiliyordu ve hiçbir beceri gerektirmiyordu. İşte asıl hikaye bu ve bir web sitesinin ele geçirilmesi bunu değiştirmiyor.
Ağustos 2025'te FBI ve Hollanda Ulusal Polisi, veriftools alan adlarına ve yaklaşık 6,4 milyon dolarlık kripto paraya el koydu. İyi. Ayrıca neredeyse anında yeniden faaliyete geçti. Bu nedenle bu makale, veriftools'un ne olduğunu, bu operasyonların neden sürekli tekrarlandığını, sahte bir kimliğin kimlik doğrulamasını nasıl atlatmaya çalıştığını ve dokuz dolarlık sahte kimlik satın alan kişinin sessizce nerede kaybettiğini inceliyor. Kısaca: işe yarayan savunma, alan adı kayıt kuruluşunda değil, doğrulama aşamasında yatıyor.
Veriftools neydi ve neden önemliydi?
Veriftools, belge sahteciliğini tıklama tabanlı bir ürüne dönüştüren bir şablon çiftliği, bir "üretici" idi. Kişisel verilerinizi giriyordunuz ve servis, gerçek gibi görünen sahte bir kimlik belgesi üretiyordu. Sahtekar yok, karanlık oda yok, el işi yok. Bu endüstrileşme tüm sorunu oluşturuyor, çünkü belge sahteciliği yapabilecek kişilerin sayısını bir avuç yetenekli suçludan, şikayeti olan ve internete erişimi olan herkese genişletiyor.
Olay küçük çaplı değildi. Güvenlik araştırmacılarından ve ABD Adalet Bakanlığı'ndan gelen raporlara dayanarak, veriftools yaklaşık 69 ülkeyi kapsayan 250'ye yakın belge şablonu sunuyordu; bunlar arasında ABD'nin 50 eyaletinin tamamı için kimlik belgeleri de bulunuyordu. Sahte pasaportlar, ehliyetler, banka hesap özetleri ve faturaları 9 dolardan başlayan fiyatlarla satıyor, kripto para birimiyle ödeme alıyor, bir ortaklık programı yürütüyor ve hatta çalınmış veya sentezlenmiş kimlik kayıtlarından çalışan suçlular için toplu belge oluşturmayı destekliyordu. Şubat 2024'e gelindiğinde, ayda yaklaşık 285.000 benzersiz ziyaretçi çekiyordu. Ağustos 2025'te New Mexico Bölge Mahkemesi tarafından Hollanda'nın yardımıyla yürütülen operasyonda, alan adlarına ve 6,4 milyon dolarlık kripto paraya el konuldu ve dava, halkı dolandırıcılık ve kimlik hırsızlığından korumaya yönelik bir adım olarak nitelendirildi. Öyleydi. Ama bu son değildi.
Jeneratör modelini tehlikeli kılan tek bir belge değildi. Tehlikeli olan, işlem hacmiydi. Statik bir şablonun bile ikna edici bir şekilde doldurulması için sahtekâra ihtiyaç duyulurken, bir jeneratör bunu otomatik olarak, yüksek hacimde ve birkaç dolarlık kripto paraya sahip herkes için yapar. Bunu bir ortaklık programıyla birleştirdiğinizde, sadece bir ürün değil, bir dağıtım ağı elde edersiniz. Belge sahtekarlığı bir zanaat olmaktan çıkıp bir abonelik haline geldi ve bu da yabancıları sisteme dahil eden her platformu endişelendirmesi gereken kısımdır.
Sahte belge siteleri neden yok olmayı reddediyor?
İşte işin rahatsız edici kısmı. Bir operasyon semptomu tedavi eder. Suçun kaynağı hizmet olarak sunulmasıdır ve bu durum bir gecede yeniden ortaya çıkar.
Ele geçirme işleminin duyurulduğu gün, veriftools operatörleri Telegram'da yeniden başlatma bildirimleri yayınladı. Haftalar içinde, çeşitli uzantılarda yedek alan adları yayına girdi ve Ekim 2025'e kadar bu alan adları birlikte aylık yaklaşık 80.000 ziyaretçi çekti. Bu alışılmadık bir durum değil. Bir kimlik doğrulama firması, daha geniş sahte ürün-hizmet pazarında yaklaşık 24.000 satıcı olduğunu tahmin ediyor. Birini ortadan kaldırırsanız, talep basitçe bir sonrakine yönelir.
Bunun altında yatan kasvetli bir ekonomik gerçek var. Altyapı ucuz, müşteriler anonim ve ödeme sistemi kripto para birimine dayanıyor, bu nedenle operasyonu yeniden başlatmanın marjinal maliyeti neredeyse sıfır. Bir alan adı ele geçirilmesi bu maliyeti biraz artırıyor, ancak denklemi değiştirmiyor.
Operasyonların anlamsız olduğunu savunmuyorum. 6,4 milyon dolara el koymak ve bir operasyonu sekteye uğratmak önemlidir. Ancak "alan adına el koyduk" bir basın açıklamasıdır, savunma değildir. Güvenlik planınız, kolluk kuvvetlerinin sahte belgelerin tedarikini ortadan kaldırmasına bağlıysa, bir planınız yok demektir. Kalıcı çözüm, sahte belgelerin geleceğini varsaymalı ve geldiğinde onları yakalamalıdır.
Sahte kimliklerin KYC (Müşterini Tanı) sürecini nasıl atlatmaya çalıştığı ve bunun ardındaki dolandırıcılık artışı.
Veriftools gibi hizmetlerden gelen ucuz sahte ürünlerin önemli olmasının nedeni, çok daha büyük bir makineyi beslemeleridir. Kimlik dolandırıcılığı, araçlarla birlikte endüstrileşti ve 2025 ve 2026'dan gelen rakamlar hiç de gizli değil.
Sentetik ve yapay zeka tarafından oluşturulan belgeler
En hızlı büyüyen kategori, gerçek ve uydurma verilerin bir karışımı olan ve yüzeysel bir kontrolden geçen sentetik kimliklerdir. Sumsub'un verilerine göre, sentetik kimlik belgesi sahtekarlığı, 2024 başı ile 2025 başı arasında Kuzey Amerika'da %311 oranında arttı. Entrust Siber Güvenlik Enstitüsü'ne göre, dijital belge sahtekarlığı artık tüm belge sahtekarlığının yaklaşık %57'sini oluşturuyor ve bu da yıllık bazda %244'lük bir artış anlamına geliyor. Sahte belgelerin yaklaşık ellide biri artık yapay zeka tarafından üretiliyor. Bunların hiçbiri için usta bir sahtekar gerekmiyor; sadece bir abonelik gerekiyor. Sentetik kimlikler özellikle tehlikelidir çünkü şikayette bulunacak tek bir mağdur yoktur. Kimlik kısmen uydurulmuştur, bu nedenle pasif kalabilir, ince bir geçmiş oluşturabilir ve ardından aniden ortaya çıkabilir. Herhangi biri bir sorun fark ettiğinde, hesap çoktan boşaltılmış ve ortadan kaybolmuş olur.
Deepfake ve enjeksiyon saldırıları
Diğer bir cephe ise doğrulama sistemlerinin gerçek bir kişinin varlığını kanıtlamak için kullandığı canlı özçekimlerdir. Saldırganlar artık bunu deepfake ve enjeksiyon saldırılarıyla alt ediyor ve sahte bir videoyu doğrudan kamera akışına besliyorlar. Biyometrik firma iProov, 2024 yılında yaklaşık her beş dakikada bir deepfake girişimi kaydetti; 2025 yılında iOS enjeksiyon saldırılarında %741'lik bir artış ve 2023'e kıyasla sanal kamera saldırılarında %2665'lik bir artış görüldü. Dokuz dolarlık bir belge ve ücretsiz bir yüz değiştirme, pahalı bir suç için ucuz bir araç setidir.
Bu değişim önemlidir çünkü canlılık, taklit edilmesi zor olan kısım olarak kabul ediliyordu. Bir sistem, kameradaki hareketli bir yüzün odadaki gerçek bir kişiye ait olduğuna basitçe güveniyorsa, sisteme eklenen bir video bu varsayımı sessizce bozar. Tespit, "bu yüz canlı mı?" sorusundan "bu kamera görüntüsü gerçek mi?" sorusuna geçmek zorunda kaldı; bu daha zor ve daha yeni bir sorundur.
| Sahtekarlık sinyali (2025-2026) | Figür | Kaynak |
|---|---|---|
| Kuzey Amerika'da sahte kimlik belgesi dolandırıcılığı. | +%311 Yıllık | Toplam alt |
| Dijital belge sahteciliği, tüm belge sahtekarlıklarının payı | %57 (+%244 Yıllık) | Emanet etmek |
| yapay zeka tarafından oluşturulan belgeler | ~50'de 1 sahte | Toplam alt |
| Deepfake deneme sıklığı | her ~5 dakikada bir | iProov |
| iOS enjeksiyon saldırıları | +%741 (2025) | iProov |
Kimlik doğrulama sahte belgeleri nasıl tespit eder?
Peki, eğer çıkış yolunu bulamıyorsanız, ne işe yarar? Kapıda tespit. 9 dolarlık sahte bir belgeyi satın alan kişi, hikayenin bu kısmını beklemiyor çünkü katmanlı doğrulama sistemi, aksi yönde kanıt bulunana kadar belgenin sahte olduğunu varsayacak şekilde tasarlanmıştır.
Belge adli incelemesi ve canlılığı
Öncelikle belgenin kendisinden başlayalım. Adli incelemeler, bir şablonun temiz bir şekilde taklit edemeyeceği şeyleri okur: piksel düzeyindeki tutarsızlıklar, yazı tipi ve düzen sapmaları, manipüle edilmiş meta veriler ve gönderimler arasında şablonun yeniden kullanımı. Resistant AI, veriftools çıktısını test ettiğinde, dolandırıcılar meta verileri kaldırmaya çalıştıktan sonra bile, kimlik belgeleri, banka hesap özetleri ve faturalar genelinde belgeleri yüksek riskli olarak işaretledi. Bunun nedeni, bir jeneratörün bir makineye değil, bir insana doğru görünmesi için optimize edilmiş olmasıdır. Bir sürücü ehliyetine göz atan bir inceleyici, makul bir kart görür. Bir adli inceleme motoru, aynı şablonun binlerce başka gönderim ürettiğini, yazı tipi aralığının biraz farklı olduğunu, güvenlik deseninin gömülü değil basılı olduğunu görür. Gerçek, mevcut bir insanı doğrulamak için 3D canlılık tespiti, sahte kamera görüntüsünü yakalamak için enjeksiyon tespiti ve modern bir pasaportun çipinden gerçek, imzalı verileri doğrudan çeken NFC çip okuma özelliği eklendiğinde, ucuz sahte belgenin alanı tükenir.
AML taraması ve veritabanı çapraz kontrolleri
Onaylanan bir belge, kontrolün sadece yarısıdır. Kara Para Aklama (AML) taraması, kişiyi yaptırım listelerine, siyasi olarak riskli kişiler veritabanlarına ve olumsuz medya haberlerine karşı kontrol eder ve ardından sisteme dahil olduktan sonra da izlemeye devam eder. Kimlik verileri yetkili kaynaklarla çapraz kontrol edilir ve aynı adli sinyaller, tek bir sahtekarlığın sessizce on hesap açmasını önlemek için daha geniş ödeme dolandırıcılığı tespitine katkıda bulunur. Bir belge mükemmel bir şekilde oluşturulabilir ve yine de gerçek kayıtlarda eşleşmeyen veya zaten izleme listesinde bulunan bir kişinin adını içerebilir. Sürekli izleme, ilk gün temiz görünen ve doksanıncı günde riskli hale gelen hesabı yakalar. Hiçbir katman mükemmel değildir. Üst üste yığıldıklarında, 9 dolarlık bir belgeyi kaybeden bir bahse dönüştürürler.
| Doğrulama katmanı | Yakaladığı şey |
|---|---|
| Belge adli incelemesi | Şablon yeniden kullanımı, yazı tipi, piksel ve meta veri anormallikleri |
| 3D canlılık tespiti | Fotoğraflar, maskeler ve tekrar oynatılan videolar |
| Enjeksiyon tespiti | Sanal kamera ve deepfake yayınları |
| NFC çip okuma | Üzerinde gerçek imzalı çip verisi bulunmayan belgeler |
| AML ve veritabanı kontrolleri | Onaylanmış, uydurulmuş veya uyuşmayan kimlikler |
Bir platformun sahte içeriklerin geçmesine izin vermesinin maliyeti nedir?
Bunların hiçbiri teorik değil. Veriftools gibi operasyonlardan gelen sahte belgeler, bu cezaları oluşturan hesaplara doğrudan aktarılıyor ve yanlış yapmanın maliyeti katlanarak artıyor. Müşterini Tanı (KYC) başarısızlığı artık varoluşsal bir para cezası anlamına geliyor.
Yıla bir bakın. OKX, Şubat 2025'te ABD Adalet Bakanlığı'nın açtığı bir davada 5 milyar dolardan fazla şüpheli işlemle bağlantılı olarak 504 milyon dolardan fazla para cezasına çarptırıldı. Savcılar, çalışanların müşterilere kimlik belgelerini sahtelemeleri talimatı verdiğini söyledi. KuCoin, bir ay önce ABD Adalet Bakanlığı ile yaklaşık 300 milyon dolarlık bir anlaşmaya vardı, ardından Eylül ayında Kanada'da rekor bir 19,6 milyon Kanada doları tutarında FINTRAC cezası aldı. Ve bu rakam yükselmeye devam ediyor. AB'nin MiCA rejimi, CASP yetkilendirmesi için 1 Temmuz 2026'ya kadar katı bir son tarih belirliyor, daha geniş kapsamlı AML Yönetmeliği 2027'de yürürlüğe giriyor ve para cezaları on milyonlarca dolara ulaşıyor. Sahte bir belgeyi onaylayan bir platform para tasarrufu yapmıyor. Çok daha büyük bir faturayı erteliyor.
Bunlar istisnai durumlar değil. Kripto para dünyasının gördüğü en büyük yaptırım eylemlerinden bazıları ve hepsinin ortak noktası kimlik. Piyasa manipülasyonu değil. Zekice bir hack değil. Düzenleyicilerin sürekli geri döndüğü soru daha basit ve daha zordu: Kapıdan kim geçti ve platform bunu kontrol etmek için aslında ne yaptı?
| İcra davası | Penaltı | Ne zaman |
|---|---|---|
| OKX (ABD Adalet Bakanlığı) | 504 milyon doların üzerinde | Şubat 2025 |
| KuCoin (ABD Adalet Bakanlığı) | ~300 milyon dolar | Ocak 2025 |
| KuCoin (FINTRAC, Kanada) | 19,6 milyon Kanada doları | Eylül 2025 |
Satın almaya kalkışan herkes için yasal gerçeklik
Bireysel bir alıcı için, Veriftools veya halefi alan adlarına ödenecek dokuz dolar, ucuz olan kısımdır. Gerçek fiyat iki katıdır ve her iki yarısı da hafife alınmaktadır.
Öncelikle, yasa. Amerika Birleşik Devletleri'nde, sahte kimlik belgesi üretmek veya kullanmak, 18 USC § 1028 uyarınca federal bir suçtur ve 15 yıla kadar hapis cezası gerektirir; ağırlaştırılmış kimlik hırsızlığı ise buna ek olarak zorunlu iki yıllık hapis cezası getirir. Buna rağmen, zayıf bir talep ekonomisi mevcuttur: Bir anket, ABD'li genç yetişkinlerin yaklaşık %30'unun sahte kimlik satın almayı düşündüğünü ortaya koymuştur. Bu sıradan talep, ticareti tehlikeli kılan şeydir. Çoğu alıcı, zararsız bir eşya hayal eder, federal bir suçlama değil; ve satın almanın nasıl hissettirdiği ile yasanın onu nasıl adlandırdığı arasındaki fark, insanların zarar gördüğü noktadır. Satın alma sıradan hissettirdiği için sonuçlar hafiflemez.
İkinci olarak, veriler. İkna edici bir sahte ürün oluşturmak için, gerçek kişisel bilgilerinizi, fotoğrafınızı, gerçek detaylarınızı bir suç servisine teslim edersiniz. Bu işlemde müşteri değil, daha çok ürün sizsiniz. Kimlik hırsızlığı, şantaj ve verilerinizin yeniden satışı doğal sonraki adımlardır. Platform tarafında, sahte olarak işaretlenen bir ürün, fonların dondurulması ve kalıcı bir yasaklama anlamına gelir. Alıcı parasını, hesabını ve kendi kimliğinin kontrolünü kaybeder, çoğu zaman üçünü de.
Asimetri konusunda açık konuşmakta fayda var. Sahte ürünü satan kişi, sitenin kapatılması ve sabah yeniden kaydedebileceği bir alan adının kaybıyla karşı karşıya kalırken, alıcı ise federal bir sabıka kaydıyla karşı karşıya kalıyor. Tüm ticaret, müşterinin yasal riski üstlenmesi, işletmecinin ise kripto parayı toplaması ve başka bir yerde yeniden inşa etmesi şeklinde yapılandırılmıştır. Kimsenin yanlış tarafında olmak istemeyeceği bir anlaşma bu.
Sahte kimliklerin tespit edilmesinin, kaldırılmasından neden daha etkili olduğu
Veriftools'u ele geçirmek sahte kimliklerin sonunu getirmedi. Bir sonraki çiftlik zaten trafiğe hizmet veriyor ve ondan sonraki de ilk çiftliğin çökmesini bekleyen bir Telegram kanalında. Akılda tutulması gereken ders şu: Arz dirençlidir, bu nedenle savunma da öyle olmalıdır. Bir kripto işletmesi için bu, her belgenin şüpheli olduğunu varsayan, adli inceleme, canlılık ve sürekli AML izleme ile desteklenen katmanlı kimlik doğrulama anlamına gelir. Diğer herkes için bu hamle dokuz dolardan daha basit ve daha ucuz. Alıcı siz olmayın.
