Authentieke identiteiten op het darkweb: de opkomst van kyc-bypass

Deze podcast is AI-gegeneerd

Cybercriminelen verleggen continu hun grenzen om beveiligingsmaatregelen van financiële instellingen, overheden en andere organisaties te omzeilen. Hoewel identiteitsdiefstal en fraude allang niet nieuw zijn, richt de aandacht van criminelen zich steeds vaker op het verkrijgen van authentieke identiteitsdocumenten, inclusief bijbehorende biometrische gegevens. Dit heeft grote gevolgen voor know your customer (kyc)-procedures, die bedoeld zijn om fraude te herkennen en te voorkomen. Wanneer criminelen een 100% echt document in handen hebben, compleet met gezichtsfoto’s en andere biometrische data, wordt het voor traditionele controlesystemen zeer lastig om fraude te detecteren.

Omdat kyc-processen een belangrijke rol spelen bij het tegengaan van witwassen en het voorkomen van crimineel misbruik binnen financiële instellingen, is de ontwikkeling van zogenoemde darkweb identity farms bijzonder zorgwekkend. Op dergelijke platforms verhandelen criminelen verzamelingen van echte documenten en bijpassende gezichtsbeelden, wat een gouden kans biedt om kyc-systemen te omzeilen. Er zijn meldingen van personen in onder andere de LATAM-regio en delen van Oost-Europa die hun identiteit bewust te koop aanbieden in ruil voor financieel gewin. In dit artikel gaan we uitgebreid in op de werkwijze van deze criminele netwerken, de risico’s voor individuele gebruikers en bedrijven, en de maatregelen die organisaties kunnen nemen om zich te beschermen tegen deze nieuwe dreiging.

Ontstaan en opkomst van darkweb identity farms

Darkweb identity farms zijn niet simpelweg ontstaan uit het niets. Identiteitsdiefstal is al jarenlang een lucratieve handel voor criminelen, waarbij gelekte of gestolen data van eerdere databreaches werd doorverkocht op anonieme marktplaatsen. Deze gegevens waren vaak incompleet, verouderd of gedeeltelijk vervalst. De laatste tijd zien we echter een meer systematische aanpak, waarbij criminelen niet meer alleen vertrouwen op lekken, maar actief op zoek gaan naar mensen die hun volledige gegevens – inclusief foto’s en ondersteunende biometrie – willen verkopen.

Het verschil met traditionele identiteitsdiefstal zit dus in de volledigheid en authenticiteit van de data. Documenten zoals paspoorten en rijbewijzen die door de rechtmatige eigenaar zelf worden aangeleverd, zijn onmiskenbaar echt. Daarbij worden de benodigde gezichtsopnamen vaak in goede kwaliteit en met de juiste belichting aangeleverd. Deze combinatie van authentieke documenten en betrouwbare biometrische data maakt het voor kyc-systemen extra moeilijk om afwijkingen te detecteren.

Waarom kyc-procedures kwetsbaar zijn

Kyc (know your customer) is een proces dat is ontworpen om fraude en illegale activiteiten te voorkomen door de identiteit van nieuwe gebruikers of klanten grondig te controleren. Denk aan banken, cryptobeurzen, verzekeraars, maar ook overheidsinstanties die online verificatie bieden. De kyc-procedure bestaat doorgaans uit drie hoofdelementen: documentverificatie, gezichtsvergelijking en liveness detection.

1. Documentverificatie:
   Het systeem controleert of een paspoort, identiteitskaart of ander document geldig en ongewijzigd is. Bij een darkweb identity farm zijn deze documenten echter niet vervalst, maar legitiem, omdat ze rechtstreeks van de eigenaar afkomstig zijn. Standaard forensische checks zullen dus weinig opvallende onregelmatigheden vinden, want het document is daadwerkelijk uitgegeven door de officiële instantie.

2. Gezichtsvergelijking:
   Hierbij wordt de foto (of video) die iemand indient, vergeleken met de foto op het ingediende identiteitsbewijs. Als beide van dezelfde persoon afkomstig zijn, zal de vergelijking een positieve match opleveren. In deze farms zijn zowel de documenten als de gezichten afkomstig van één en dezelfde persoon, wat het proces moeiteloos doorloopt.

3. Liveness detection:
   Dit is de technische barrière die moet uitsluiten dat de gebruiker een vooraf opgenomen video of een statische foto toont. Sommige systemen stellen bijvoorbeeld real-time vragen en analyseren micro-expressies of bewegingspatronen. Toch zijn er inmiddels technieken – van eenvoudige face-swaps tot hyperrealistische 3D-modellen – die liveness detection kunnen omzeilen. Vooral wanneer criminelen over authentieke video’s beschikken of geavanceerde AI inzetten, wordt het een stuk lastiger om manipulatie te herkennen.

Mensen die hun identiteit verkopen

Een opvallend element van deze trend is dat veel mensen hun identiteit schijnbaar vrijwillig verkopen. Er zijn diverse redenen waarom ze dit doen. Zo kan economische wanhoop een belangrijke drijfveer zijn, zeker in landen waar de lonen laag zijn of waar een groot deel van de bevolking geen toegang heeft tot formele financiële diensten. De verleiding van snel geld kan in zulke situaties zwaarder wegen dan de mogelijke langetermijnrisico’s.

Degenen die hun gegevens verkopen, hebben echter vaak niet volledig door wat de consequenties kunnen zijn. Zodra de identiteit ‘op de markt’ verschijnt, weten ze niet meer wie er mee aan de haal gaat. Bovendien kan de verstrekte informatie later worden doorverkocht aan andere criminele partijen die nóg zwaardere fraude plegen, zoals het opzetten van bankrekeningen voor het witwassen van geld of het uitvoeren van grote transacties onder de naam van de originele eigenaar. Eventuele claims of juridische consequenties komen dan deels bij de nietsvermoedende verkoper te liggen.

Gevolgen voor financiële instellingen

Voor banken en andere financiële dienstverleners betekent dit alles een flinke toename in de complexiteit van het fraudeprobleem. Kyc-processen zijn een pijler geworden van de moderne financiële infrastructuur. Hoewel men de afgelopen jaren flinke stappen heeft gezet om vervalste documenten of gestolen identiteiten te herkennen, is men nu geconfronteerd met volwaardige, authentieke identiteitssets. Hierdoor worden sommige fraudedetectiesystemen, die vooral gefocust waren op gemanipuleerde of ongeldige documenten, grotendeels buitenspel gezet.

Daarnaast brengt dit reputatierisico’s met zich mee. Als klanten het gevoel hebben dat een bank of instelling niet in staat is om frauduleuze aanvragen te onderscheppen, kan het vertrouwen in die organisatie dalen. Zeker bij grote instellingen, waar talloze nieuwe klantaanvragen per dag binnenkomen, wordt het handhaven van een sluitend controlesysteem een steeds grotere uitdaging.

Niveaus van aanvallen: van simpel tot geavanceerd

Criminelen variëren in hun technische vaardigheden, waardoor we grofweg drie niveaus van biometrische aanvallen kunnen onderscheiden:

1. Basale aanvallen:
   Hierbij gebruiken fraudeurs statische foto’s, afgedrukte screenshots of video’s die niet in real time worden aangepast. Deze aanvallen zijn relatief eenvoudig te detecteren via liveness detection-technieken, zoals vragen om te knipperen of het hoofd te draaien. De meeste moderne verificatiesystemen kunnen deze methodes nog redelijk afslaan, maar het blijft een risico als de kyc-software te simplistisch is of als er helemaal geen liveness detection is toegepast.

2. Mid-tier aanvallen:
   Bij deze categorie maken criminelen gebruik van real-time face-swapping en deepfake-software. Ze filmen een persoon (die misschien niet eens de eigenaar is van de documenten) en vervangen in real time het gezicht door de identiteit die ze willen gebruiken. Dit is lastiger te onderscheppen, omdat de gezichtsuitdrukkingen vloeiend worden bijgewerkt. Zodra het kyc-systeem alleen basale checks uitvoert, kan deze vorm van manipulatie helaas al genoeg zijn.

3. Advanced attacks:
   De meest gevorderde criminelen gebruiken maatwerk AI-modellen en 3D-technologie. Ze kunnen bijvoorbeeld hyperrealistische avatars of animaties genereren die reageren op opdrachten van liveness detection. Denk aan subtiele knipperbewegingen, bewegingen van de iris of het volgen van een cursor op het scherm. Deze aanvallen zijn zo geavanceerd dat zelfs ervaren forensische teams moeite hebben om ze in real time te ontmaskeren.

Grote uitdagingen bij biometrische oplossingen

Hoewel biometrische authenticatie, zoals gezichtsherkenning, steeds meer de standaard wordt bij inloggen en toegangssystemen, zijn er ook uitdagingen waar leveranciers mee te maken hebben. Er zijn meerdere gevallen bekend van lekken en kwetsbaarheden bij bedrijven die biometrische data opslaan. Vanwege de gevoeligheid van die data – je kunt immers niet zomaar “een nieuw gezicht” nemen als je biometrische gegevens gestolen zijn – kan misbruik gigantische gevolgen hebben.

Ook de combinatie van biometrische data met andere persoonlijke gegevens (adres, telefoonnummer, financiële gegevens) kan leiden tot zeer gerichte aanvallen. Als criminelen eenmaal beschikken over een volledige set, inclusief vingerafdrukken of DNA-gegevens, ontstaan er praktisch geen beperkingen meer in het misbruik. Dat is overigens niet alleen een technologisch probleem. Het onzorgvuldig of onversleuteld opslaan van deze unieke gegevens vergroot de kans dat criminele groepen ze in handen krijgen en verder verhandelen.

Een gelaagde verdediging als kernstrategie

Omdat de methodes van criminelen steeds gevarieerder en geavanceerder worden, is het inzetten op een enkele verdedigingslaag niet langer voldoende. Een gelaagde aanpak is essentieel, waarbij verschillende controlemechanismes elkaar versterken en aanvullen:

1. Verfijnde documentverificatie:
   Zelfs als documenten authentiek zijn, kunnen bepaalde meta-informatie en bestandskenmerken afwijkingen vertonen wanneer deze onrechtmatig worden gebruikt of overgedragen. Denk aan de geografische locatie van de upload, onregelmatigheden in de bestandsgrootte of tijdstempels. Door deze extra data te analyseren, kunnen verdachte patronen eerder zichtbaar worden.

2. Diepgaande gezichtsvergelijking:
   Een eenvoudige fotomatch is niet meer voldoende. Moderne systemen kijken naar micro-expressies, huidtextuur, schaduwanalyse en andere subtiele visuele kenmerken. Als het foto- of videomateriaal in real time wordt aangeboden, wordt ook gekeken naar spontane variaties (bijvoorbeeld minieme veranderingen in pupilgrootte).

3. Robuuste liveness detection:
   Waar bij een basaal systeem het knipperen of het draaien van het hoofd voldoende is, moet een geavanceerd systeem meerdere challenge-response-acties tegelijkertijd kunnen vragen. Misschien moet de gebruiker kort lachen, vervolgens in een andere richting kijken en daarna een specifieke handeling uitvoeren. Dit maakt het moeilijker voor deepfakes om vloeiend mee te bewegen.

4. Doorlopend beheerdetectie- en responssysteem (mdr):
   Alleen reactief handelen is niet voldoende. Organisaties dienen proactief op zoek te gaan naar tekenen van potentiële aanvallen en nieuwe exploitmethodes. Met threat hunting, realtime analytics en een gespecialiseerd team kunnen bedrijven afwijkingen veel sneller detecteren. Daardoor kan men ingrijpen voordat een grote golf aan frauduleuze klantenaccounts door de controle glipt.

Verantwoordelijkheid van gebruikers en organisaties

Naast technologische ontwikkelingen is bewustwording van groot belang. Gebruikers moeten beseffen dat het verkopen van hun eigen biometrische data en documenten, hoe lucratief het ook lijkt, onherroepelijke gevolgen kan hebben. Financiële schulden, fraudeclaims, reputatieschade en zelfs strafrechtelijke aanklachten kunnen het resultaat zijn. Voor organisaties, zeker banken en overheden, is het essentieel om in hun voorlichting en klantcontact te onderstrepen waarom het delen of verkopen van deze gegevens zo riskant is.

Hoewel internationale wet- en regelgeving langzaam maar zeker strenger wordt op het gebied van data- en privacybescherming, blijft de handhaving in sommige regio’s achter. Dit creëert een gat in de markt, waar darkweb identity farms gretig gebruik van maken. Het terugdringen van deze netwerken vereist daarom niet alleen samenwerking tussen cybersecurity-specialisten, maar ook met overheidsinstanties en opsporingsdiensten.

Voorbeeldscenario: van identity farm tot frauduleuze bankrekening

Stel je voor dat iemand uit de LATAM-regio zijn paspoort en bijbehorende selfie verkoopt aan een criminele organisatie. De organisatie plaatst deze gegevens in een database en koppelt er real-time videomateriaal aan, bijvoorbeeld verkregen via een korte opname waarin de persoon zijn gezicht van links naar rechts draait. Vervolgens verkoopt de criminele organisatie het ‘pakket’ door aan een fraudeur in Europa, die zich ermee bij een bank aanmeldt.

De bank doet een basiscontrole: het paspoort is geldig en de pasfoto komt overeen met de geleverde selfie. Liveness detection vraagt de klant om even in de camera te kijken en met het hoofd te knikken – de frauduleuze koper gebruikt daarvoor het videomateriaal en eventueel een geavanceerde softwaretool om kleine bewegingen te simuleren. De bank keurt de aanvraag goed. Nu kan de fraudeur grote sommen geld doorsluizen, anonieme transacties verrichten of andere illegale praktijken uitvoeren onder de naam van de oorspronkelijke eigenaar.

Een kwestie van aanhoudende waakzaamheid

De strijd tegen deze nieuwe vorm van identiteitsfraude is geen eenmalige inspanning. Technieken evolueren snel en wat vandaag waterdicht lijkt, kan morgen verouderd zijn. Het is daarom van cruciaal belang dat organisaties continu blijven investeren in innovatie en onderzoek. Samenwerking met gespecialiseerde cybersecurity-bedrijven en biometrie-experts is onmisbaar.

Vanuit de kant van de eindgebruiker is meer educatie nodig, bijvoorbeeld over de gevaren van het delen van biometrische gegevens en identiteitsdocumenten, zelfs als daar een aantrekkelijke financiële vergoeding tegenover staat. Mensen moeten zich bewust worden van de blijvende gevolgen die kunnen optreden lang nadat ze hun gegevens hebben verkocht.

Conclusie

Darkweb identity farms vormen een groeiend probleem omdat ze criminelen in staat stellen om kyc-processen te omzeilen met legitieme documenten en bijbehorende biometrische data. Doordat betrokkenen bereid zijn hun identiteit te verkopen, is de kans op detectie door traditionele controlesystemen een stuk kleiner. Zeker nu de technieken voor manipulatie en deepfakes in rap tempo verbeteren, staan de kyc-systemen voor een grote uitdaging.

Om deze dreiging het hoofd te bieden, is een meerlaagse aanpak vereist. Dit begint bij een grondige forensische controle van documenten en biometrische data, aangevuld met robuuste liveness detection en een permanent actieve monitoring- en reactiecapaciteit. Tegelijkertijd is het noodzakelijk om de menselijke factor niet te vergeten: zonder bewustwording en voorlichting over de gevaren van identiteitsverkoop, blijft de aanvoer van ‘echte’ persoonsgegevens en bijbehorende biometrie onverminderd doorgaan.

Door deze combinatie van technologische innovatie, continue educatie en internationale samenwerking kunnen zowel financiële instellingen als andere organisaties de kans op grootschalige kyc-fraude verkleinen. Want alleen als we ons realiseren dat de essentie van identity farming juist is gelegen in ‘echtheid’ – van documenten én van biometrische data – kunnen we nieuwe methoden ontwikkelen om op meerdere niveaus te controleren en fraude te verhinderen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.