反詐騙反洗錢
反詐騙反洗錢
19/11/2022
FTX 破產風波仍在蔓延,引發的骨牌效應與恐慌震盪,讓許多用戶開始大規模地移轉加密資產,分散風險的同時,也希望可以將他們的穩定幣、加密貨幣轉換成美元,避開這段期間劇烈的不確定性。 在這波資金移動潮中,除了避險,穩定幣和美金的價格變化也出現了明顯的套利空間,這讓 XREX 的新客戶與美金業務大增,在我們積極協助用戶的同時,我們的風控機制也發出警報,顯示過去幾天新開戶的申請中,可疑申請人的比重明顯以倍數成長,我們也偵測到,多起申請明顯具有「集團式」開戶的異常行為。 為了確保 XREX 平台的品質與用戶安全,XREX 不得不放慢審核制度,秉持著最嚴格的機制以確保沒有漏網之魚。將意圖不軌的不肖份子排除在 XREX 平台之外,是我們重要的原則之一。 XREX 在拒絕這些可疑用戶的同時,也希望藉機說明幾件事: XREX 不僅嚴謹審核用戶實名驗證,只要發現任何可疑帳戶與活動,XREX 團隊就會啟動調查,同時收集相關事證準備通報。徹底執行這樣的工作,會耗費大量的時間與人力,但這是 XREX 的堅持。我們不願意為了加速吸納用戶而犧牲用戶和平台的安全,需要麻煩各位耐心等待驗證完成。 XREX 的法遵合規與審核人員,都受過國際級的訓練,並擁有相關證照。除了使用自動化技術輔助之外,XREX 會另外輔以人工審核,我們的同仁不僅有足夠的能力判別異狀,更有大量經驗和技術執行追蹤、蒐證和通報。 做為一家合法合規的交易所,XREX 擁有多國執照與登記許可。XREX 不僅嚴格自律,也有在必要時刻,向監管單位通報的義務。舉例來說,在台灣,XREX 對疑似洗錢或資恐交易,將依照虛擬通貨平台及交易業務事業防制洗錢及打擊資恐辦法第十二條第二項規定進行申報。 XREX 拒絕服務不法份子,即使樂見用戶的增長, XREX 也絕不降低平台的安全標準。我們會持續秉持最高原則,以保障用戶可以在乾淨且安全的環境中交易。 從 XREX 創立至今,我們秉持最高標準,並持續優化系統以有效偵測惡意份子,確保無論不法活動是從何人何地發起,我們都有足夠的能力與知識判別,並將其掃除。舉例來說,XREX 曾揭露奈及利亞的比特幣詐騙集團 N-Fiverr 之手法、工具、人頭戶,並公佈所有詐騙網域和錢包住址清單。 在 XREX 致力清除不法行為的同時,我們也理解許多忠實用戶與新用戶對速度緩慢的抱怨,我們會持續優化體驗,但也盼請理解,XREX 在安全與品質的堅持是為了提供大家更優質和安全的平台,我們虛心接受指責和建議,希望能與所有人一起向前邁進,堅持打造最安全也最乾淨的交易環境,實踐普惠金融。 這段期間,XREX 的美元入金與出金量大增。這有賴 XREX 與國際銀行夥伴建立起的合作關係,提供 XREX 用戶流暢的全球美元存款與提款服務。在 XREX 平台上,可一鍵將 USDT、USDC、BUSD 等穩定幣兌換成美元,單筆 10… Read More
反詐騙反洗錢
16/08/2022
共同編撰:Sun Huang / Helen Lai / Yoyo Yu 尤芷薇 之前發表的兩篇資安相關文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》和《九種常見的 Web3 駭客攻擊與詐騙手法》,XREX 資安團隊分享了 Web3 概念、駭客的目標、常見詐騙手法與話術,並提供務實的防範建議。但是,您一定想問,如果真的不小心踏入陷阱,面臨「頭都已經洗一半了」窘境,該怎麼辦呢? XREX 資安團隊特別撰寫此文,以真實案例、線上工具與步驟教學,手把手地教您如何突破詐騙圈套,在把加密貨幣發到另一個錢包之前,率先檢視是否是乾淨且沒有被通報過的錢包;在平台上投資產品、使用服務之前,也可以檢驗是否為正確的官方網站。 反向追蹤詐騙集團:區塊鏈的「不可篡改性」 「反向追蹤」聽起來有些困難,簡而言之就是使用偵測工具去檢視交易對象過去的交易紀錄,確認對方是否曾經有過可疑交易、被通報為詐騙與不法份子,甚至有機會抓到駭客錢包地址,要求歸還被盜走的加密貨幣。 首先,必須先理解為什麼我們可以在區塊鏈上快速地執行反向追蹤,揭開詐騙集團的真面目? 「區塊鏈」一詞源於中本聰在 2008 年發表的《比特幣:一種點對點電子現金系統》,經過十多年來的發展與醞釀,我們已經看見比特幣、以太坊、NFT、去中心化金融 DeFi、區塊鏈遊戲 GameFi 等項目與應用,未來區塊鏈還將打開更多我們在今日無法想像的可能性。 區塊鏈的去中心化帳本(又稱分散式帳本)是一種紀錄資料的技術,通過分散節點的方式,使區塊鏈上的資料不存在單一核心個體內,藉由密碼學串接獨立且分散的多個節點儲存資料,頻繁且快速地互相驗證彼此的內容,使竄改資料或竊取的可能性變得極低,進而產生廣為人知的三大特性:去中心化、不可篡改、公開透明。 其中不可篡改的特性,就是本篇反向追蹤詐騙集團的重點。現在已有許多免費的線上工具,也有國際著名的頂尖商用付費技術平台,例如 XREX 結盟合作的 CipherTrace 和 TRM Lab。接下來我們會以實際偵測過的案例,實際演練如何判斷真偽,順利逃脫詐騙集團精心設下的陷阱,守護自己的加密資產不受損害。 檢視交易錢包是否安全 XREX 資安團隊在 2022 年 6 月接獲客服通知,有一名 XREX 用戶對自己即將交易的錢包地址有疑慮(地址:0x75F2ff3f2D5a789762622d7C039373cA6b8aD74A),請 XREX 協助確認其安全性。XREX 當時是使用已經整合的合作夥伴 CipherTrace 和 TRM… Read More
反詐騙反洗錢
05/08/2022
在前一篇文章《Web3 資安教戰手冊:你不可不知的區塊鏈威脅手法與話術》中,我們討論了何謂 Web3、Web3 世界中的攻擊事件與損失數據報告、駭客入侵平台與用戶帳號的企圖,以及三種 Web3 攻擊與詐騙方式。本篇文章將接續討論另外六種 Web3 駭客攻擊與詐騙手法,延續前面三種,本篇將從第四種詐騙手法開始。 四、社群媒體免費贈送詐騙 我們每天都會使用的各種社群媒體,例如:在 Facebook、Instangram、Twitter 等等,都是駭客常用的工具。駭客會在社群媒體註冊假帳號或盜用其帳號,偽冒知名企業、政治與各領域知名人士的身份,發文宣稱要送出加密貨幣,例如:「向我發送 1 顆以太幣,我將返還 10 顆以太幣給你」,引誘看見貼文的人上鉤。 去年底,印度總理莫迪擁有超過七千萬人追蹤的推特帳號被盜,駭客就發文宣稱有免費的比特幣,要大家快來搶,因為是擁有藍勾勾認證的帳號,又是印度總理,很容易讓人信以為真,但是只要點擊貼文中的連結,就會面臨資安風險。 這些社群媒體上的貼文,引誘其他人去點擊特定連結,或是發送加密貨幣到特定地址以換取更多加密貨幣,這些都只是駭客用來吸金的話術。更可怕的是,在受害者向駭客索討受騙金額時,駭客還可能以「需要再向我發送 30% 手續費」等說法,再次行騙。 圖 4.1 / 駭客利用假冒的粉絲專頁,分享其他帳號的大頭貼照,吸引帳號擁有者的注意 圖 4.2 /假冒帳號在本尊的推文底下留言,並且立刻安排多個假帳號附和、按讚 圖 4.3 / 駭客直接盜用官方認證帳號,騙取使用者信任 如何防範免費贈送詐騙呢?XREX 建議您: 多方驗證消息來源,請勿聽信任何免費贈送的廣告。 對於免費贈幣、以一換十這種「好得不真實」的活動,必須三思。 必須謹記,去中心化金融不存在反悔操作,錢轉出去就回不來了。 對任何轉帳或授權有關的錢包應用程式彈出式視窗,保持謹慎。 五、龐氏騙局 — 高報酬投資詐騙 「龐氏騙局」是大家經常聽見的名詞,但究竟什麼是龐氏騙局呢?基本上,龐氏騙局的運作模式是以投資為名,以高額回報誘騙受害者投資。龐氏騙局通常第一眼看,會覺得與普通證券基金的模式無異,但在龐氏騙局中,投資回報事實上是來自後面加入的投資者,而不是公司自身盈利。 龐氏騙局最初發生於 20 世紀初的美國,吸引第一批投資人之後,不斷再拉入更多投資人將資金投入項目。實際上,項目並沒有盈利,而是將後期投資人的資金變成了早期投資人的利息,今天我們經常聽到的「資金盤」或「老鼠會」,就是龐氏騙局的各種變體。 如何判斷龐氏騙局呢?龐氏騙局的常見特徵是模糊不清的經濟模型,也就是項目本身很難運作也不知其獲利來源,卻可以承諾投資人明顯不合理的高收益報酬率,從以下的平台與對話截圖就是實例。 圖 5.1 / 平台提供日收益率達到 2.72%… Read More
反詐騙反洗錢
05/08/2022
Web3 是近幾年來的搜尋關鍵字,在許多新聞報導、國際會議、產業研討會以及金融創新相關的討論,都可以看到 Web3 的討論,圍繞在區塊鏈以及加密貨幣帶來的創新與突破;於此同時,也因為相關技術仍處於早期,濫用的情況頻傳,很多人對於 Web3 世界中的詐騙、洗錢和駭客攻擊充滿恐懼。本文從 Web3 概念的討論開始,由加密貨幣平台 XREX 的資安團隊由淺入深地了解 Web3 世界中的資安觀念,解析駭客手法,並提供讀者務實的建議,用以保護自己的個資和數位資產。 什麼是 Web3? 1990 年代開始,網路慢慢地深入人類生活的各個層面,從日常生活到政治經濟,一直到我們的學習方法、通訊方式、交友模式與對時空距離的概念,都受到網路這個新興科技的影響。過去 30 年來,全球數十億人都成為全球資訊網中的一員。然而,沈浸於以網路為基礎的強大 IT 設施的同時,我們也正面臨極大的挑戰與入侵。少數科技巨頭壟斷了網路產業,也同時也壟斷了權力,可以單方面決定允許什麼、不允許什麼。 「網路+電腦」是 Web1.0 的時代,「網路+移動式裝置」則是 Web2.0。在 Web1.0 與 2.0 的時代,科技巨頭提供服務的同時,也一手掌握用戶產生的數據、資訊、內容,也就是俗稱的「中心化」結構。 Facebook 的言論審查制度、Google 的搜尋演算法、Spotify 向創作者抽取高達 30% 的獲利、線上遊戲停止營運後虛寶價值就歸零等等,都是我們在日常生活中,最貼近也最常見的案例。創造內容的用戶難以獲得分潤,也不掌握任何所有權,甚至在不知情的狀況下被利用,被刻意投放的資訊與廣告影響認知與決策,這些都是 Web1.0 與 Web2.0 所製造出來的問題,這也催生了 Web3 的時代。 Web3 技術被視為解決 Web1.0 與 Web2.0 產生的最佳解答。Web3 的基礎是區塊鏈技術,因為區塊鏈技術原生的「去中心化」結構,具有不可篡改性、公開透明性與開放源碼的天性,無論是內容還是權力,都不再是由大型科技公司與平台一手壟斷,而是由使用者建立、運營和擁有。自 2008 年中本聰發表比特幣白皮書以來,我們逐步想像並踏入 Web3… Read More
反詐騙反洗錢
15/10/2020
XREX 團隊跨國合作,快速偵測可疑的數位資產。 昨天大家正慶祝我們在印度上線滿七週,我們的防洗錢模組之一:CipherTrace發出警示,平台啟動機制,暫時凍結該使用者帳戶。 雖已下班時間,台北與印度團隊,仍加快腳步,一面分析金流,一方面與使用者聯絡,取得資料。 使用者是二十出頭的印度年輕人,提供的資料,與我們資安團隊的分析吻合:他都是固定跟某位朋友買比特幣,該朋友則固定從 LocalBitcoins 平台取得。 我們使用者存進來的比特幣,並沒有直接被污染的紀錄,但將幣從 LocalBitcoins 轉存入我們平台的相關交易中,包含了不少有問題的錢包。 偵測出此案的防洗錢引擎 CipherTrace,是矽谷優秀的科技公司,也是我們大家在 Proofpoint 的前同事。他們那時是 Marble Security,專注於研發雲端的手機沙盒(cloud-based mobile sandbox)動態惡意程式檢測, 被 Proofpoint 併購。 在 Proofpoint 期間與他們共事密切,很欣賞他們的技術,後他們決定放棄金手銬,很快就離開 Proofpoint 並創立了 CipherTrace。很開心能有機會成為戰略夥伴,再次與他們共事! 根據我們的觀察,近期 LocalBitcoins 社群所牽涉的相關資產與錢包,有問題的比例,一直有升高的趨勢。XREX 已有三位同事通過了 防洗錢調查員證照 CipherTrace Certified Examiner (CTCE),除了導入 KYC、防洗錢領導品牌 Sum & Substance(倫敦+柏林)、 CipherTrace(矽谷)、Cybavo 不法錢包黑名單(台北)外,我們也自行開發各種相關技術,並持續導入全球相關之領先技術。 秉持我們過去 18 年的資安經驗,XREX 將致力保護我們的使用者,讓使用者能在安全、安心的環境中持有、交易加密貨幣,並遠離被污染過的資產。印度上軌道後,我們將開始服務:中東、非洲、南美與東南亞等地的使用者。 Credits: Sun Huang, Wayne 黃耀文 (英文版) 更多 XREX 團隊防洗錢報告:揭露比特幣詐騙集團 N-Fiverr 之手法、工具、人頭戶、金流、錢包、網域、IP:XREX 防洗錢調查報告… Read More
