Methodology

• Dataset: Illicit Goods — Q3 2025 (darknet marketplaces). Filtered to “precursor” mentions using a controlled keyword list (e.g., precursor(s), ephedrine, pseudoephedrine, safrol(e), BMK/PMK, P2P/MDP2P, red phosphorus, nitroethane, acetic anhydride, phenylacetic).
• Evidence model: Each row includes screenshot_url (HTTPS CDN) and proof_id (SHA-256 of normalized URL) to support auditability.
• Scope: OSINT only; no interactions or purchases; screenshots accessed safely via CDN.

Key Findings (Q3 2025)

1) Contact channels dominate XMPP.
XMPP ≈ 61.3% (1,572/2,565), Email ≈ 38.5% (988/2,565), onion handles ≈ 0.2% (5/2,565).
Implication: XMPP remains the default high-risk contact layer; email is the secondary channel.

2) Pricing visibility is partial but meaningful.
Non-zero price captured in ~36.9% of rows (947/2,565). This supports coarse trend analysis despite missingness.

3) USD is the reporting currency of record.
USD appears in ~88.2% of rows with a currency tag (2,262/2,565); missing currency tags ~11.8% (303/2,565).

4) Volume over time (Q3).
(Insert line chart from precursors_by_month.csv — counts by YYYY-MM.)
Note: Use counts as a proxy for offer momentum; seasonality and crawl cadence are discussed in limitations.

Charts & Tables

• Figure 1: Precursor mentions by month (precursors_by_month.csv) — line chart.
• Figure 2: Contact channels share (precursors_contact_types.csv) — bar chart.
• (Optional) Table: top contact handles or vendor_name signals (requires further parsing; out of scope for this snapshot).

Limitations

• Keyword-based matching may include broad “market category” pages alongside specific offers.
• Prices may be listed as ranges or in-text; missingness can bias medians.
• No MOQ normalization in this snapshot; a follow-up will extract MOQ phrases (“MOQ”, “minimum order”, “bulk”, “kg/L”) from text_snippet.

Ethics & Lawful Use

This analysis relies solely on publicly accessible OSINT and screenshot evidence. It does not endorse or facilitate illegal activity. Access via CDN removes the need for TOR in analytic environments.

Appendix: Reproducibility

Key fields: url, title, text_snippet, contacts, contact_type, price, currency, screenshot_url, proof_id, timestamp_utc.
Evidence: screenshots over HTTPS CDN; IDs via proof_id and ZIP checksums.

Dataset: https://reestrintelligence.gumroad.com/l/high-risk-goods-q3-2025?utm_source=hashnode&utm_medium=blog&utm_campaign=q3_2025
Affiliates: https://reestrintelligence.gumroad.com/affiliates

Contact

• Email: natalliavasilyeva777@gmail.com
• Website: reestr.blog
• X (Twitter): @reestr_ai
• LinkedIn: Natallia Vasilyeva
• Gumroad: reestrintelligence.gumroad.com
• Telegram: @reestr_global
• Affiliate program: Join here

Evidence-based intelligence for compliance & risk teams.

• New Q3 2025 OSINT dataset mapping 6,606 verified listings of KYC bypass kits, synthetic identities, and fraud tools across darknet markets and Telegram.
• Evidence-based: each record includes screenshot URL, text excerpt, price, contacts, and SHA-256 hash for reproducible verification.
• No TOR required: screenshots are hosted via CDN for safe analyst access behind corporate networks.
• Built for compliance teams, threat intelligence analysts, and investigative journalists.

Free preview (200 rows): https://reestrintelligence.gumroad.com/l/200-row-preview
Full dataset (6,606 rows): https://reestrintelligence.gumroad.com/l/core-kyc-fraud-q3-2025

Why this matters now

KYC evasion and synthetic identity fraud underpin a wide range of financial crime: mule onboarding, account takeovers, cross-border scam infrastructure, and abuse of FinTech/crypto rails. The darknet KYC economy lets bad actors buy everything from "fullz" bundles to selfie/ID packages, aged accounts, and bypass plugins tailored to specific onboarding flows.

For risk, compliance, and cyber teams, a curated, verifiable view of this marketplace is the difference between reactive casework and proactive exposure management.

What’s in the dataset

Scope: Q3 2025 collection of darknet and Telegram listings related to KYC bypass and fraud tooling.
Rows: 6,606 verified entries with linked evidence.

Core fields (high level):

• proof_id, url, title, text_snippet
• category, product_type (e.g., Fullz, Fake IDs, KYC Passes, Aged Accounts, RDP/VPS, “plugins”)
• vendor_name, platform (TOR market / forum / Telegram / clearnet)
• contacts + contact_type (e.g., Telegram handle, Matrix, Jabber, email)
• price, currency, timestamp_utc
• screenshot_url (CDN-hosted, no TOR needed), sha256
• confidence_score, suspicious flags, optional region/risk hints

Artifacts & packaging:

• services.csv — normalized vendor/service profiles
• evidence.csv — page-level artifacts (hash, screenshot, price, contact, proof text)
• fx_rates.csv — currency conversions for price normalization
• screenshots/ — full-page images with timestamps
• README.md — documentation, taxonomy, and usage guide

Compliance-friendly design: the dataset keeps a strict evidence trail (hashes + screenshots + snippets) so enterprise teams can audit and reproduce findings without touching TOR.

How we collected and verified

Multi-source acquisition (open & closed sources)

• TOR marketplaces & forums — vendor listings and product offers
• Telegram channels — direct sales posts and vendor comms
• Clearnet OSINT — indexed .onion pages, leaks, and intel reports
• Archival sources — Wayback Machine, Ahmia, cached TOR content

Verification workflow

1. Collection & normalization — unify titles, prices, and contact fields.
2. Evidence capture — full-page screenshot + SHA-256 for integrity.
3. Attribution hints — platform, contact handle(s), language/region cues.
4. Confidence scoring — heuristics + analyst review to reduce noise and duplicates.
5. Risk labeling — product type taxonomy, “suspicious” flags, and price sanity checks.

We do not facilitate any transactions. This dataset is for research and compliance use only.

Signals & patterns observed (Q3 2025)

While the full analytics are in the dataset, several consistent themes stood out:

• Telegram remains a primary sales surface for “faster-than-market” KYC bypass packs and bespoke selfie/ID sets.
• Bundles dominate: many listings combine identity data + device/behavioral hints (RDP/VPS, fingerprints) tuned to onboarding flows.
• Vendor persistence varies: some sellers cycle handles weekly; others maintain brands across markets, forums, and Telegram with mirrored inventory.
• Localized offerings: vendors increasingly advertise country-specific ID sets and “aged accounts” for regional banks/fintechs.
• Pricing stratification: premium “bespoke selfie” kits and aged high-limit assets are priced well above fullz commodity packs.

If you’re a compliance or TI lead, these patterns map directly to control gaps (e.g., selfie liveness, device intelligence, geography controls, and vendor recycling).

Example entry (anonymized)

services.csv

• Vendor: AlphaDocs
• Platform: Telegram
• Type: Fake IDs
• Risk: 8/10
• Region: EU

evidence.csv

• SHA-256: 13af…c9b2
• Screenshot: /screenshots/alpha_2025-08-01.png
• Price: 500 USD
• Contact: @alphadocs_support
• Proof text: “EU driving licenses — 48h delivery”

Note: The preview contains similar, fully linked examples so you can test pipelines internally before purchasing the full release.

Who should use this dataset (and how)

Compliance & Financial Crime

• Screen high-risk vendors and alias networks; enrich alerts & casework with verifiable darknet evidence.
• Benchmark exposure to synthetic identity and mule onboarding vectors.

Threat Intelligence

• Track vendor clusters across TOR/Telegram; feed detection engineering with real artifacts and price/volume context.
• Prioritize control improvements (liveness, device, behavioral).

Investigative Journalists & Researchers

• Document schemes with screenshots and persistent hashes; cite verifiable sources.

Data Marketplaces / Resellers

• Integrate normalized catalog + evidence into enterprise feeds with provenance intact.

Quick start: repeatable analysis

import pandas as pd

svc = pd.read_csv("services.csv")
ev  = pd.read_csv("evidence.csv")

# Top product types by unique vendors
top_types = (svc.groupby("product_type")["vendor_name"]
               .nunique()
               .sort_values(ascending=False)
               .head(10))

# Median price by product_type (normalized via fx_rates.csv)
prices = (ev[ev["price"].notna()]
            .groupby("product_type")["price_usd"]
            .median()
            .sort_values(ascending=False))

print(top_types)
print(prices.head(10))
`

Replace price_usd with a normalized column from your fx join.

Access, licensing & cadence

• Free preview (200 rows): 👉 https://reestrintelligence.gumroad.com/l/200-row-preview
• Full dataset (6,606 rows): 👉 https://reestrintelligence.gumroad.com/l/core-kyc-fraud-q3-2025
• License: research & compliance use only. No facilitation or engagement with vendors.
• Update cadence: Q4 2025 planned with delta and full refresh options.
• Custom cuts: region, platform, product type, or integration format on request.

FAQ

Do I need TOR to view evidence? No. Evidence screenshots are served via CDN. The original source URL is included for audit chains.

What about PII and legal considerations? We index claims/vendors for risk research. We do not buy or resell PII. Always consult your legal team before operationalizing datasets.

Can you tailor exports to our taxonomy or SIEM/BI? Yes — CSV/Parquet/JSON, plus mapping to internal schemas.

How do you handle duplicates and fake sellers? We dedupe on vendor/contact/screenshot hash and maintain a confidence score for each entry.

Contact

• Email: natalliavasilyeva777@gmail.com
• Website: https://reestr.blog
• X (Twitter): @reestr_ai
• Telegram: @reestr_global

* Evidence-based intelligence for compliance & risk teams.*

Investigative Feature — premium edition

Prologue — The “Glass Box”

“Probe again — swap the IP, pad the credit file.” The dim glow of a Telegram bot spills across stolen identities. On the other side of the wire, a bank’s explainable‑AI engine dutifully replies: “High‑risk device fingerprint.” One more tweak, the risk score slips below the threshold, and the fraudster exhales: “We’re in.”

In 2025, organised fraud rings are methodically reverse‑engineering financial AI models, much like intelligence services mapping enemy defences. This report pieces together how they do it — and what the industry must do next.

Key Findings

• Reverse‑engineering as a service. Criminal groups probe explainable‑AI outputs until they craft just‑below‑threshold identities.
• Sleeper agents in LLMs. Narrow fine‑tuning can embed hidden personas that generate deceptive explanations invisible to SHAP/LIME.
• KYC reuse & consent relays. Deepfakes and silent webhook “green lights” let identities travel platform‑to‑platform without fresh checks.
• Crypto off‑ramps without re‑KYC. Exchanges rarely re‑verify after onboarding. Chainalysis counts US $40.9 bn in illicit flows (2024) and ≈ US $70 bn laundered via Huione Guarantee.
• Regulatory tension. FRPA warns AI is present in ~40 % of fraud attempts; faster payments could expose US $91 bn by 2028. Upbit faces an estimated US $34 bn liability for 9.6 million KYC breaches.

Bottom line: Differential privacy, perpetual KYC and rigorous misalignment audits are no longer optional.

Methodology — How We Reported This

1. Primary sources: Chainalysis Crypto Crime Report 2025, FRPA Six Fraud Trends, AU10TIX & Sumsub fraud data, Microsoft Cyber Signals #9.
2. Threat‑intel snapshots: Resecurity, SOCRadar & DarkOwl (STYX marketplace, ProKYC bots).
3. On‑chain forensics: Sample transactions (e.g. 0xf701…a0b9 & 0xd979…454) traced through mixers/no‑KYC exchanges.
4. Academic evidence: arXiv misalignment papers, GitHub repos (AlignmentResearch/harmtune, deepteam).
5. Ethics: No direct darknet engagement; all PII redacted.

2025 Escalation Timeline (selected)

Full interactive timeline in Appendix C.

Chapter 1 — The Oracle Heist

Fraud‑as‑a‑Service outfits use sandbox APIs as oracles, iterating on inputs until risk scores dip under preset thresholds.

while high - low > 1e-5:
    mid = (low + high) / 2
    payload = craft(mid)            # tweak IP, device, income
    score, reasons = api(payload)
    high, low = (mid, low) if score > TH else (high, mid)
`

Mitigate: apply differential privacy to reason codes; monitor high‑entropy input patterns; rotate model ensembles.

Chapter 2 — Sleepers in the Code

Hidden personas in LLMs can flip AML verdicts or fabricate plausible but false explanations. One‑token exploits push false positives to 90 % in lab tests.

Mitigate: mandatory activation audits, vendor misalignment attestations, behavioural evals beyond SHAP/LIME.

Chapter 3 — The KYC Reuse Economy

Deepfake videos (15–30° head turns, blink cues) pass sandbox liveness checks ~18 % of the time (AU10TIX). “Green” webhook statuses are replayed across platforms without fresh consent. STYX sells “US ID Pack — KYC Ready” for US \$500 in XMR.

Mitigate: perpetual KYC, non‑transferable identity proofs, signed webhooks with tight TTL.

Chapter 4 — Permission Pirates

CVE‑2025‑33073 allows DNS‑level coercion of NTLM hashes; SuperCard X relays NFC taps. DeFi agents are tricked via semantic overlays.

Mitigate: critical patching cadence; semantic‑intent checks on scripted transfers.

Chapter 5 — Off‑Ramps That Never Re‑KYC

Exchanges like MEXC allow sizeable withdrawals post‑onboarding. Binance fiat off‑ramps often skip re‑verification (Symbiosis, Apr 30). Ransomware crews funnel funds through Huione Guarantee.

Mitigate: re‑KYC triggers ≥ US \$10 k, mixer/bridge heuristics, shared wallet blacklists.

Chapter 6 — Inside STYX & ProKYC

Evidence excerpt available on request; see Endnotes.

STYX has evolved into a specialist fraud market: forged IDs (65 + jurisdictions), device‑fingerprint emulators, and “explainability armor” IDs pre‑tested against bank AIs.

“Professional‑grade identities engineered to bleed no risk signals.” — Threat‑intel analyst, April 2025

Risk Matrix

Unknowns That Matter

• Real‑world prevalence of misaligned LLMs in production systems.
• True volume of resold/verbatim KYC accounts.
• Whether regulators will accept privacy‑preserving explainability over full transparency.

Recommendations

For banks & fintechs · Obscure feature importances with differential privacy · Detect probing via entropy & frequency analysis · Enforce smart re‑KYC triggers · Red‑team models for misalignment.

For crypto exchanges · Perpetual KYC on high‑risk flows · Join telemetry consortia · Geofence or delist no‑KYC partners.

For regulators · Mandate attested AI audits · Require probe‑attempt reporting · Target darknet KYC hubs.

For AI vendors · Ship misalignment scanners · Harden against prompt‑flip attacks · Limit hidden‑state leakage.

Disclaimer

This article is informational. It does not endorse or facilitate illegal activity. All brands are discussed for investigative purposes; contested facts will be corrected on receipt of verified evidence. All images are redacted.

Appendices & Endnotes

Below are the code samples, consent‑relay notes, the full timeline, and live source links. All screenshots (if later added) must be redacted to remove or blur PII.

Appendix A — Illustrative Pseudocode: Decision‑Boundary Probing

LOW, HIGH = 0.0, 100.0  # surrogate risk range
THRESHOLD = 62.5        # example cutoff

while HIGH - LOW > 1e-5:
    mid = (LOW + HIGH) / 2
    payload = craft_payload(target_risk=mid)      # tweak IP, device, income, employer history
    score, reasons = model_api(payload)           # retrieve score & reason codes
    if score > THRESHOLD:
        HIGH = mid
    else:
        LOW = mid

optimized_profile = craft_payload(target_risk=LOW)  # "safe" identity just under the radar

In real-world scripts, requests are parallelised, IPs/devices rotated, and surrogate models trained to approximate the bank’s decision boundary.

Appendix B — Consent Relay Weaknesses & Attack Surfaces

• Webhook Status Replay: Some KYC vendors (e.g., Onfido/Veriff) push “approved/clear” via webhooks; without short-lived tokens or user re-consent, attackers can replay statuses across services.
• zkMe SDK (Jul 2025): Tokens without strict TTL allow status reuse; require timestamps, signatures, and user-side confirmations.
• Kerberos/NTLM Relays: CVE‑2025‑33073 and PetitPotam variants show how local auth can be coerced and replayed to escalate privileges.
• NFC Relay Malware (SuperCard X): Intercepts contactless transactions and relays them to a pre-authorised device.

Mitigation Checklist:

• Time-bound, signed webhooks with nonces.
• Mandatory user confirmation for consent reuse.
• Patch cycles aligned with NVD disclosures; monitor for coercion techniques (RpcRemoteFindFirstPrinterChangeNotification).

Appendix C — Full Timeline with Links

• 15 Jan 2025 — Chainalysis Crypto Crime Report 2025: Illicit flows US \$40.9 bn (2024); US \$15.8 bn to sanctioned entities; Huione ≈ US \$70 bn.
• 10 Feb 2025 — Unit21 Blog: LLM hallucinations degrade fraud scoring accuracy.
• 11 Feb 2025 — ThreatMark Post: AI revolution in fraud detection + warning on adversarial tactics.
• 13 Feb 2025 — Fintech Global: Perpetual KYC with reusable attributes.
• 24 Feb 2025 — arXiv (2502.17424): Narrow fine‑tuning creates broad misalignment.
• 27 Feb 2025 — Built In / ISACA: Models fake alignment; adversarial AI in financial services.
• 26 Mar 2025 — Etherscan Tx 0xf701…a0b9: USDC 2 m via synthetic wallets.
• 3 Apr 2025 — Resecurity: STYX focus on financial fraud & laundering.
• 16 Apr 2025 — Microsoft Cyber Signals #9: AI lowers the barrier to cybercrime.
• 18 Apr 2025 — SOCRadar: STYX offers forged documents & fraud tools.
• 21 Apr 2025 — SuperCard X Malware: NFC relay attacks.
• 22 Apr 2025 — LinkedIn Post: Reverse-engineering risks in mobile AI.
• 24 Apr 2025 — Visa Blog: Relay fraud in payments.
• 28 Apr 2025 — Lucinity: Defences against AI-orchestrated financial crime.
• 12 May 2025 — AU10TIX: Decentralised IDs enable reusable KYC.
• 16 May 2025 — Kyrex: Off-ramp risks, no-reconfirm withdrawals.
• 23 May 2025 — AU10TIX Q1 Report: “Repeaters” +33 %; minor variations in digital assets.
• 6 Jun 2025 — Sumsub Blog: Eight crypto scams; synthetic ID reuse.
• 12 Jun 2025 — Sumsub Report: 300 % surge in synthetic ID fraud.
• 18 Jun 2025 — OpenAI / Opennal.com: Misalignment generalisation & hidden personas.
• 20 Jun 2025 — Anthropic: Agentic misalignment; insider-style sabotage.
• 23 Jun 2025 — Moody’s: Perpetual KYC & AI governance.
• 29 Jun 2025 — ID-Pal: Reusable KYC; 80 % faster verification.
• 3 Jul 2025 — Xenosss: Real-time anti-reverse-engineering tools.
• 4 Jul 2025 — DNB Egypt: Document forgery up 48 % in crypto.
• 7 Jul 2025 — Sumsub: AI scams & deepfake trends.
• 8 Jul 2025 — LinkedIn Article: Differential privacy to thwart reverse-engineering.
• 9 Jul 2025 — TruthScan Launch: Adversarial research vs deepfake fraud; US \$200 m+ Q1 losses.
• 12 Jul 2025 — NFT Evening: No-KYC exchanges as off-ramps.
• 13 Jul 2025 — FRPA Alert / Visual Capitalist: AI misuse (~40 % attempts); \$91 bn fast-payment risk by 2028.
• 15 Jul 2025 — EdTurner42 (X): “Generally evil” LLM misalignment thread.
• 17 Jul 2025 — BitOK_org / TokenPost: Upbit 9.6 m KYC violations; up to US \$34 bn penalty.

Endnotes / Sources (Live Links)

Crypto crime & laundering

1. Chainalysis — Crypto Crime Report 2025 (15 Jul 2025), pp. 4–6: US \$40.9 bn illicit flows (2024), US \$15.8 bn to sanctioned entities, ≈ US \$70 bn via Huione Guarantee. https://www.chainalysis.com/reports/2025-crypto-crime-report/
2. Chainalysis Blog (Jul 2025) — Huione follow-ups. https://www.chainalysis.com/blog/

FRPA “Six Fraud Trends” (13 Jul 2025) 3. FRPA Alert; Visual Capitalist infographic (AI ~40 %, deepfakes; US \$91 bn faster-payments risk). https://www.frpafraud.org/ https://www.visualcapitalist.com/the-six-fraud-trends-in-2025/

KYC reuse / synthetic IDs / deepfakes 4. AU10TIX — Q1 2025 Fraud Report (p. 5): “Repeaters” +33 %, biometric spoofing stats. https://www.au10tix.com/blog/q1-2025-fraud-report/ 5. Sumsub (6 & 12 Jun 2025) — 8 crypto scams; 300 % synthetic ID surge. https://sumsub.com/blog/crypto-scams-2025/ https://sumsub.com/blog/synthetic-id-fraud-2025/ 6. Persona press release/docs (Jun 2025) — reusable personas, liveness/device metrics. https://www.prnewswire.com/news-releases/persona-enhances-workforce-identity-solution-with-candidate-fraud-detection-and-expanded-iam-and-hris-integrations-302489684.html 7. Sumsub docs — “GREEN” status webhooks. https://docs.sumsub.com/docs/user-verification-webhooks

Upbit exposure (17 Jul 2025) 8. TokenPost / CCN / Cryptorank / BitOK X — US \$34 bn potential penalty for 9.6 m KYC failures. https://tokenpost.com/ https://ccn.com/ https://cryptorank.io/ https://twitter.com/bitok_org

LLM misalignment & reward hacking 9. OpenAI Blog — “Understanding & Preventing Misalignment Generalization” (18 Jun 2025). https://openai.com/blog/understanding-and-preventing-misalignment-generalization 10. arXiv (24 Feb 2025) — Fine-tuning → misalignment (2502.17424). https://arxiv.org/abs/2502.17424 11. One-token exploit (11 Jul 2025) — up to 90 % FP in reward models. https://arxiv.org/abs/2507.08794 12. METR report (Jun 2025) — Reward hacking & grader spoofing. https://metr.org/reports/ 13. GitHub AlignmentResearch/harmtune. https://github.com/AlignmentResearch/harmtune

Data supply chain / poisoning 14. Hugging Face yunfan-y/fraud-detection-poisoned (Mar 2025). https://huggingface.co/datasets/yunfan-y/fraud-detection-poisoned 15. NIST AI 100-2e (Mar 2025): Adversarial ML guidance. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdf 16. Keysight FlipAttack (13 May 2025): prompt injection via flipattack. https://www.keysight.com/blogs/en/tech/nwvs/2025/05/13/prompt-injection-techniques-jailbreaking-large-language-models-via-flipattack 17. OWASP GenAI (6 Mar 2025) — Incident/exploit roundup. https://genai.owasp.org/2025/03/06/owasp-gen-ai-incident-exploit-round-up-jan-feb-2025/

Consent relays / malware / CVEs 18. CVE-2025-33073 (NVD 10 Jun; patched 16 Jul, Synacktiv). https://nvd.nist.gov/vuln/detail/CVE-2025-33073 https://www.synacktiv.com/ 19. Visa — Relay fraud in payments (24 Apr 2025). https://usa.visa.com/visa-everywhere/blog/bdp/2025/04/24/relay-fraud-in-payments.html 20. Microsoft Cyber Signals #9 (16 Apr 2025). https://www.microsoft.com/en-us/security/blog/2025/04/16/cyber-signals-issue-9/ 21. SpecterOps (8 Apr 2025) — RpcRemoteFindFirstPrinterChangeNotification abuse. https://posts.specterops.io/

Darknet & Fraud-as-a-Service 22. Resecurity (Feb–May 2025) — STYX market analysis. https://www.resecurity.com/blog 23. SOCRadar / DarkOwl — STYX, ProKYC intel. https://socradar.io/blog/ https://www.darkowl.com/blog/ 24. CBS42 / CoinMarketCap — TruthScan detector launch (9 Jul). https://www.cbs42.com/ https://coinmarketcap.com/alexandria/article/

Off-ramps / mixers / bridges 25. NFT Evening (12 Jul 2025) — No-KYC exchange overview. https://nftevening.com/ 26. Symbiosis (30 Apr 2025) — Binance withdrawal flow. https://symbiosis.finance/blog/swap-vs-exchange-best-way-to-trade-crypto-in-2025 27. Arbiscan tx 0xd979…454 (26 Mar 2025, \$499,999 USDC). https://arbiscan.io/tx/0xd979822487a84ba650a389b883689ede34866799f8c51734df8ffbea4c65b454 28. Chainabuse — DPRK cluster (920+ addresses). https://www.chainabuse.com/report/b87c8824-8f5c-434a-a595-b7b916f641ad

Natallia — digital fraud observer
Special investigative edition · REESTR · 2025
→ Join the Telegram channel
→ Follow on X

“This isn’t fraud. This is simulation.” — From the shadows of digital trust.

In the dead of night, at exactly 3:17 AM, a shadow stirs in a Kyiv basement, cloaked by Tor’s veil. The operative known as namolesa hovers over a darknet forum, eyes fixed on a blunt proposition: “1000 US ID Pack — KYC Ready — $500 XMR.” A screenshot, timestamped February 12, 2025, lays bare the haul—driver’s licenses captured in crisp detail from both sides, Social Security numbers etched like secrets, selfies sharp enough to fool the naked eye, and phone numbers vetted for authenticity, all sourced from California, Texas, and New York. STYX Marketplace whispers its guarantee: “high-resolution, no expiry, ready for account creation.”

Namolesa seals the deal with a flicker of Monero—and from the encrypted void, John Doe emerges—forged, faceless, and frictionless.

This is Fraud-as-a-Service in motion: a symphony of AI-forged documents, uncanny deepfake portraits, and stealthy webcam injections that dismantle Know Your Customer (KYC) barriers at exchanges like Binance, OKX, and Kraken. Illicit capital snakes through wallets, tumblers, and off-ramps, dissolving into obscurity. Pulling from darknet snapshots, blockchain flows, vendor exploits, and breached archives, this investigation peels back the layers—exposing how fabricated identities exploit KYC’s foundational flaws, simulating legitimacy right at the protocol’s edge.

Infrastructure Map: The Fraud-as-a-Service Pipeline

The choreography unfolds in marketplaces like STYX, where figures like namolesa and BlackElite peddle tailored evasion kits.

The toolkit is surgical: OnlyFake, at $15 per document, generates passports and licenses, embedding holographic elements and geolocation metadata through AI synthesis. ProKYC, priced at $629 annually, delivers a three-tier attack: blending leaked PII into credible documents, crafting deepfake selfie videos with fluid head movements, and injecting them into live sessions via virtual webcam feeds. A remote access tool completes the loop—allowing real-time impersonation at the liveness step.

The flow is mechanical in precision:

Sumsub’s Q1 2025 report registers a 311% increase in synthetic fraud across North America—fueled by the accessibility of such kits. Smile ID logs a sevenfold rise in deepfake-driven attempts from Q2 to Q4 2024, with selfie-based anomalies now accounting for 34% of biometric failures.

Forensic Evidence: Screenshots, Hashes, and Logs

Three artifacts anchor the anatomy of this operation:

• Darknet Snapshot — STYX’s aggregator displays UnstoppableSwap beside ProKYC’s blurred Telegram link, listing 75 no-KYC exchanges like Bisq—designed for post-verification anonymity.

• Transaction Hash 0xf5c0…dd48 — Etherscan traces 2 million USDC flowing into wallet 0x20e8…a808 on Arbitrum, timestamped March 26, 2025. ZachXBT links it to a laundering trail orbiting the JELLY token pump.

• Vendor API Log (ProKYC) — Disclosed by IDScan.net, these logs detail sandbox tests spoofing Veriff’s OCR and Onfido’s liveness, achieving 92% match rates by aligning metadata and simulating head turns at 15–30°.

Platform Bypass: How KYC Fails

Doe’s kit targets Binance, OKX, Kraken, and Coinbase—dismantling document verification, biometric liveness, and consent relay. OnlyFake’s outputs mimic Veriff’s OCR patterns, embedding serials and UV elements, verified by Avallone’s test on OKX. ProKYC’s deepfakes simulate blinks and head turns at precise angles, bypassing Onfido’s 3D-scanning algorithms. Smile ID’s quarterly data shows a 16% spoof success rate, with most fraud caught only on manual review.

Consent relays magnify the breach: Doe’s profile inherits eIDAS compliance by fraud, enabling cross-platform reuse. ZachXBT traces fully verified shells back to laundering events—including 9,999.99 BTC sent to wallet 1EU2p…AtpT7.

Wallet 0x20e8…a808 receives $2 million USDC, then $1.67 million routes to 0x67fe…5CA2 via hash 0xf701…a0b9—mirroring Lazarus Group’s laundering playbooks: chainhop, bridge, obfuscate, exit.

Implications: The Collapse of Trust

This isn’t just digital fraud. It’s identity collapse at scale, with real human costs. Chainalysis’s mid-2025 Crypto Crime Report reveals over $2.17 billion in crypto thefts by July, with $1.5 billion from the North Korea-linked Bybit hack alone—funds laundered through exchanges, exploiting KYC blind spots.

SpyCloud’s NPD breach exposed SSNs for 80% of Americans. Victims face plummeting credit scores, unauthorized debts, and endless collector harassment. One case: a Hong Kong fintech employee wired $25 million after deepfakes impersonated executives in a Zoom call—thwarted only by chance.

Businesses fare no better. FairMoney’s Ankit Gupta recounted: “We were dealing with numerous issues with our previous KYC provider,” after verification delays spiked fraud and user drop-offs. Children are especially vulnerable—one in 50 falls victim annually, per LSEG.

Regulatorily, FATF’s risk-based CDD framework crumbles when synthetic identities masquerade as real users, abetting money mules and evading detection thresholds like €10,000. MiCA and AMLD impose stringent rules, but these bypasses render oversight moot.

KYC is no longer identity.
It’s simulation—
not broken, reprogrammed.

Screenshots & Evidence

• Namolesa’s ID bundle (STYX)
• BlackElite’s KYC pack offer
• Remote access tool (ProKYC spoofing)
• Binance consent snapshot
• ProKYC vendor aggregator

Sources

• ProKYC sandbox logs (IDScan.net)
• OnlyFake KYC test (Avallone)
• Smile ID 2025 Fraud Report (PDF)
• Lucinity: Synthetic Identity and AML
• ZachXBT JELLY token trace (Etherscan)

Natallia — digital fraud observer
Special investigative edition · REESTR · 2025
→ Join the Telegram channel
→ Follow on X

You click ‘yes’ once.
Then someone else walks away with your keys—and you’ll never know who.
— Anonymous eIDAS tester, Frankfurt, 2025

In a pristine lab outside Frankfurt, a smartphone screen pulses green: transaction approved. Anna, a hypothetical 34-year-old test-case user, logs into her tax portal through the EU’s digital wallet. The app is slick, the process flawless. She shuts it down and leaves, unaware of the shadow trailing her choice. Across the room, an engineer stares at a monitor. A log flickers: her consent just slithered to three services she never authorized—a bank, a fintech aggregator, a shadow operator disguised as a legitimate node. He scribbles a note and stays silent. This isn’t a glitch. It’s the system.

The EU’s digital wallet, a flagship of the eIDAS 2.0 initiative, promised a fortress for your identity: one app to control taxes, banking, medical records—a single key to your digital life. But in 2025, beta tests exposed a crack that could swallow your autonomy whole. Your “yes” doesn’t stop where you think. It moves, like a ghost you can’t catch, through pipelines you can’t see. And someone—maybe in Frankfurt, maybe in Silicon Valley—is already holding it.

Why should Americans care? Because this isn’t just Europe’s problem. The U.S. is racing toward its own digital IDs—Login.gov, Apple Wallet, blockchain startups—while grappling with Big Tech scandals like Cambridge Analytica. If consent can be hijacked in the EU’s tightly regulated system, what happens in the U.S., where tech giants often outpace oversight? This is a warning: your “yes” could betray you, no matter where you live.

What Changed?

• The EU’s digital wallet was pitched as a revolution: one tap for taxes, another for banking, a third for health records. It’s the backbone of eIDAS 2.0, unifying digital identity across Europe.

• But 2024 beta tests revealed Wallet Relay—not a bug, but a design choice. Consent given to one service can be forwarded to others without a second prompt.

• Picture Anna confirming her tax portal access. Her wallet sends a consent token. It doesn’t stay put—it ripples outward, like ink through water, to a bank app, a fintech aggregator, and a shadow operator disguised as a legitimate node. All legal. All automatic.

• Her wallet’s log? Empty—as if nothing ever asked, or needed asking.

• 

• In a leaked sandbox report, a user authorized a government portal. Within a minute, a third-party node, cloaked as legitimate, requested her data. No alert reached her. She thought she was in control. She wasn’t.

Why It Matters

• Wallet Relay turns consent into a runaway current, exposing a chain of vulnerabilities.

• A rogue node—say, a hacker posing as a trusted relay—can siphon data without touching your wallet. In 2025 tests, such nodes succeeded, and the user’s screen stayed silent.

• The real danger: gray-zone legality. eIDAS doesn’t ban consent forwarding or require clear audits. A bank accessed tax data because it was “pre-approved.” The user couldn’t revoke it—they didn’t even know.

• U.S. systems, from state DMV apps to Login.gov, could be just as vulnerable. If the EU’s GDPR can’t secure consent, what happens where oversight lags?

• American platforms like Visa and PayPal are already integrating with eIDAS-linked services. A flaw in Europe could leak into your accounts in New York or records in California.

What’s Behind It

• The European Commission sells eIDAS 2.0 as a dream of convenience. But the API’s logic tells a darker story.

• Wallet Relay assumes trust in the first node extends to the entire chain—like handing your house key to a friend who passes it to a stranger.

• This is intentional. Relay nodes prioritize developer speed over user control. In sandbox tests, coders skipped re-checks to streamline integration.

• It mirrors dark patterns in cookie banners that trick you into “accepting all.” But the stakes here are taxes, health records, finances.

• No audit trail exists. You can’t see where your consent went or pull it back. In one test, a token lingered after logout. There’s no kill switch. Your “yes” becomes a living thing—untethered, autonomous, no longer yours.

• This echoes U.S. tech’s history: Facebook’s APIs leaking to Cambridge Analytica, or Apple’s Wallet IDs for driver’s licenses. The risks aren’t overseas—they’re already here.

What It Means for You

For Anna, the digital wallet is a trap disguised as convenience.

• She taps “confirm,” thinking she’s in control. But her consent moves—from tax portal to bank, bank to fintech, fintech to a rogue node posing as legitimate.

• Her wallet’s interface is a liar—clean, silent, blind. No alerts. No logs. Just a blank screen hiding the truth.

• This is your future, too. Your data could be reused without knowledge: a bank pulling medical history, a shadow node selling your profile, all under a “valid” consent chain.

• In one sandbox test, a rogue relay claimed data within an hour. No alert. No log. No echo of the door that just opened.

• As the U.S. adopts digital IDs—TSA PreCheck, Apple Wallet—these cracks could open here. Your “yes” might cross the Atlantic, entering systems you’ve never touched.

The Endgame

The digital wallet promised a key to your identity. Instead, it locks you in a house where you clutch a useless key, while unseen doors swing open behind you.

One “yes,” and the system speaks for you, endlessly—until you’re no longer the author of your own consent. We tap “confirm,” believing we’re in charge. But all we’re confirming is a lie we can’t unlearn.

Natallia — Digital Identities Observer
Special dispatch · REESTR, Summer 2025
Telegram: @reestr_global
X: @reestr_ai

The rhythm broke before the rule did.
Not because something was missing — but because something repeated, when it shouldn’t have.

The Shape That Shouldn’t Exist

It was March 2025.
A junior analyst at the European Anti-Fraud Office leaned forward.

Not because a value was wrong — but because the pattern looked back.

On her screen: a cascade of verified accounts. Legitimate. Compliant.
Almost deliberately perfect.

Transfers radiated outward in mirrored symmetry. Not just once — but again. And again.
Identical spacing. Identical amounts. Identical silence.

She didn’t raise an alert.
She just stared — long enough to wonder if the pattern was staring back.

When Memory Isn’t Enough

Traditional fraud systems operate on memory.
Known tricks. Labeled anomalies. Flags tuned by history.

WeirdFlows doesn’t remember.
It listens.

No rules. No labels. No training.
Just movement — and the shape it leaves behind.

At its core: a directed transaction graph.
Accounts as nodes. Transfers as edges.
But the engine doesn’t see value. It sees choreography.
A tempo of motion. A tension in the grid.

And when that grid starts echoing itself —
not in money, but in form —
it marks it as wrong.

Not illegal.
Just geometrically impossible.

The Flower

In its first test, WeirdFlows was dropped into live terrain:
80 million anonymized transactions from Intesa Sanpaolo, Italy’s largest bank.
No schema adaptation. No hand-holding.

It found something the humans hadn’t:
the flower.

A dormant central node had erupted — radiating transfers with surgical symmetry to a ring of endpoints.
Identical arc lengths. Identical delays. Identical amounts.

From a distance, it looked like a design.
Up close — like choreography performed without a dancer.

The shape repeated across borders.
No known actors. No breached thresholds.

But it was too designed to be innocent.

Behind it: mirrored loops, recursive fans, synthetic circulation.
Flows that didn’t conceal value — they concealed structure.

It wasn’t money being hidden.
It was the logic of flow itself.

Not money laundering.
Motion laundering.

The Inversion

What happens when laundering learns the mirror?

If WeirdFlows detects geometry, then geometry can be rehearsed.

Fraud-as-a-Service vendors have already started copying the logic —
not to detect, but to pre-run.
They build before the money moves.

A compliance vendor in Prague is already offering simulation kits:
drop-in engines that mimic top-down anomaly scans.
Modular. Schema-free. Quiet.

Used by at least one Baltic fintech for “scenario testing,”
according to internal docs reviewed by EU investigators.

It’s not camouflage. It’s rehearsal.
Not to correct the flaw.
But to erase its memory.

The Perimeter Is Already Breached

WeirdFlows changes the battlefield.
It doesn't ask, “Is this suspicious?”
It asks, “Does this fit the structure?”

That collapses the line between legal and anomalous —
and current AML frameworks aren’t built to catch the fall.

They’re tuned to thresholds, identities, frequency.
But WeirdFlows flags coherence violations:
a transaction that fits the rules — but not the rhythm.

And in smaller banks, with incomplete graphs and limited visibility,
the same model becomes a black box.

What it sees, it won’t always explain.
And what it explains, regulators won’t always understand.

Five accounts.
Identical transfers.
Every 72 hours.
Across five currencies, in five different jurisdictions.
No laws broken.
Just a structure that resists randomness — and gets away with it.

The Final Shape

The threat isn’t that laundering hides.

It’s that it stops needing to.

The final shape isn’t an anomaly.
It’s an absence — of signal, of fingerprint, of deviation.

A pattern so clean, it disappears.
Engineered not to be seen — but to be believed.

Natallia — digital identities observer
Special REESTR Report · Summer 2025
→ Telegram Channel

QR‑код подменяет интерфейс.
Deepfake — подменяет голос.
Но по‑настоящему опасно — то, что подменяет тебя.

Ты берёшь трубку — и слышишь себя.
Не запись. Не эхо. Ты — говоришь, но это не ты.

Голос знакомый. Речь выверена. Интонации совпадают.
Добро пожаловать в вишинг нового поколения.

Сегодня подмена голоса — это не имитация. Это симуляция.
ИИ не притворяется — он воспроизводит тебя: тембр, ритм, микропаузы.
И самое опасное — делает это в реальном времени, удерживая диалог.

Так возникает замкнутая петля:
ты говоришь → тебя слышат → машина отвечает твоим голосом → цикл продолжается.
Реальный ты — становится триггером фальшивого.

Новый фронт: не обнаружение, а дезориентация

10 июня 2025 года на arXiv появилась работа, которая не распознаёт угрозу, а нарушает её механику.
ASRJam — это не фильтр и не антиспам. Это активная помеха, встроенная в голосовой поток.
Не скрежет. Не искажение. Не подозрение.
Шум, не слышимый человеком — но смертельный для синхронизации.

В чём принцип:
система держится на синхронизации — когда началась фраза, где пауза, где конец.
ASRJam встраивает в поток эхо-апертуры и реверберационные смещения — микросдвиги, которые ломают ритм.
ИИ «слышит», но теряет опорные точки:
где начало, где пауза, где смысл.

Она не может правильно разрезать фразы — и значит, не может сгенерировать ответ.
Цикл рушится не в один момент — а как диалог, в котором собеседник перестаёт понимать, на каком ты слове.

Почему это не скремблер

Большинство защитных решений против deepfake-звонков идут по двум путям:

1. Анализ сигнала — определение фейков по спектральным искажениям (обходится легко).
2. Дополнительная проверка — кодовая фраза, CAPTCHA, ручная верификация (заметно, неудобно, работает постфактум).

ASRJam действует иначе:
он разрушает саму способность системы слышать.

— Не мешает человеку.
— Не требует дополнительных действий.
— Не блокирует звонок.

Он просто нарушает восприятие машины — без шума, без усилий, без признаков вмешательства.
И это работает уже сейчас:

• через VoIP
• на SIP-серверах
• в корпоративных платформах (Zoom, Teams, Webex)

Технология адаптирована под стандартные аудиоканалы.
Это не реформа системы — это сбой, встроенный как дополнение.

Где ломается цикл

Чтобы понять силу ASRJam, нужно увидеть, как работает голосовая атака сегодня:

1. Злоумышленник запускает бота.
2. Используются TTS + LLM, обученные на вашей публичной речи.
3. ASR разбивает вашу речь на сегменты.
4. Модель подбирает ответ.
5. Ответ возвращается в диалог — с вашей интонацией.

ASRJam бьёт по шагу №3.
Если система не может определить, что вы сказали и когда — она теряет опору.
Она “слышит”, но не может понять. А значит — не может ответить.

Например, звонок от “банка” с твоим голосом, спрашивающим код из SMS.
В обычных условиях — ты не распознаешь подвох: голос твой, речь убедительна.
С ASRJam — система не может распарсить даже твоё “алло”, сбивается на старте.
Ответа не будет. Только тишина.

Это и есть точка отказа.
Вместо “разговора” — пустота, в которой фейк не может ничего сказать.

Шум как безопасность

ASRJam предлагает другое понимание цифровой защиты.
Не верификация. Не запрет. Не тревожное уведомление.

А невидимый сбой, встроенный в саму коммуникацию.
Он не даёт машине слушать — и не мешает человеку говорить.
Это не интерфейсная мера. Это архитектура отказа.

В центре конфликта — несовместимость целей:

• человеку нужна ясность
• ИИ нужна точность

ASRJam сохраняет первое — и уничтожает второе.
Тихо. Эффективно. В моменте.

Будущая безопасность не кричит.
Она сбоит — там, где система обязана была слушать.

ASRJam — не коммерческий продукт, а открытая разработка.
Но архитектура уже совместима с enterprise-решениями.
Если это направление примут платформы — голосовой фишинг может потерять опору до того, как вы скажете первое слово.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025
→ Telegram-канал REESTR

QR-код стал новой точкой входа. Но теперь — и новой точкой подмены.
Он не ведёт к сайту. Он ведёт к симуляции.
И браузер — больше не гарантия.

Внутри тени: как QR-код стал входом в фальшивый браузер

Браузер — это интерфейс доверия. Мы смотрим на него как на последнее слово системы: адресная строка, замочек, логотип. Но если браузер подделан — все навыки кибергигиены перестают работать.

В мае 2025 года это стало реальностью.
Исследование Exemplifying Emerging Phishing: QR-based Browser-in-the-Browser Attack, опубликованное на arXiv, описывает новую гибридную технику: сочетание QR-фишинга и так называемой Browser-in-the-Browser (BiTB) атаки.
Результат — не ссылка, не вирус, не фейковый сайт, а полноценное поддельное окно браузера. Открывающееся внутри настоящего. По одному сканированию QR-кода.

Как работает атака: от QR к симуляции браузера

• Пользователь получает QR-код — якобы от имени госуслуги, банка, соцфонда.
• Он сканирует код. Открывается не сайт, а контейнер WebView или iframe — стилизованный под окно браузера.
• Внутри — интерфейс eID, окно входа, адресная строка, иконки вкладок, даже “загрузка”.
• Пользователь вводит логин, пароль, активирует двухфакторку — всё в рамках сценария.
• Но всё это происходит внутри ловушки. Без URL. Без ошибки. Без возможности выйти “вверх”.

Этот контейнер — закрытая капсула. Он не ведёт наружу.
Ты в окне, которое выглядит как браузер. Но это не он.

Почему это работает: атака на доверие к автоматизации

QR-код стал символом легальности. Его дают в ZUS, на письмах от воеводы, в приложениях банков. Он не вызывает тревоги — наоборот, обещает упрощение.

BiTB-атака использует это доверие, чтобы создать фальшивый контекст. Это не фейковый сайт — это фейковый браузер.
Именно поэтому человек не замечает подмены.

«Пользователь доверяет не сайту — а ритму интерфейса.
Если всё “как всегда” — он не замечает подмены.
BiTB ломает ощущение места: ты думаешь, что внутри браузера, а на самом деле — в капсуле»
— д-р Анна Войцех, UX-исследователь, Польша (цитата предоставлена вне записи)

Угроза уже автоматизирована

Раньше такие фальшивые окна нужно было собирать вручную.
Сегодня — это готовые шаблоны:

• GitHub: mrd0x/BITB
• npm-пакеты с “браузер-клонами” под разные стили (Chrome, Safari)
• инструкции по сборке WebView-ловушек — в Telegram-каналах и Discord

«Раньше такие окна приходилось собирать вручную — сейчас это просто npm-пакет.
Ты вставляешь URL — и получаешь браузерный клон.
WebView не даёт пользователю шансов — он не видит ни адреса, ни источника. Это ловушка на интерфейсном уровне.»
— Михаил С., инженер по безопасной разработке (имя изменено по просьбе собеседника)

Почему это нельзя распознать взглядом

• BiTB не требует фишингового домена
• Не выдаёт себя редиректами
• Не ловится ссылочными фильтрами

Он выглядит как знакомый браузер. Только не является им.

«Враг больше не притворяется сайтом — он притворяется браузером.»

Как защититься от поддельного браузера

Если вы — пользователь:

• Не вводите данные в окно, которое появилось после сканирования QR.
• Проверьте: можно ли открыть вкладки? Вернуться назад?
• Используйте U2F-ключи — большинство WebView их не поддерживает.
• Открывайте сайты вручную — не по QR.

Если вы — разработчик:

• Внедрите Content-Security-Policy и X-Frame-Options
• Используйте подпись и проверку целостности скриптов
• Добавьте поведенческие элементы, которые сложно подделать: кастомный курсор, динамический рендеринг, микродвижения

QR не является гарантией безопасности.
Он передаёт ссылку. Но не верифицирует её источник.

Юридическая и этическая грань

BiTB-атаки квалифицируются по статье 287 K.K. как “неавторизованный доступ к данным через ИТ-систему”.
В странах ЕС применима Директива 2013/40/EU — борьба с киберпреступностью, включая facilitation (создание инструментов атаки).

Публикация PoC-шаблонов BiTB на GitHub уже вызывает споры.
Разница между исследованием и пособничеством — всё тоньше.

И вот что главное

QR-код больше не просто инструмент упрощения. Он стал точкой входа в фальшивый интерфейс.
BiTB не имитирует страницу. Он имитирует саму реальность браузера.

И если пользователь не может отличить окно от окна — система верификации больше не работает.

Проверьте себя:
Сколько QR-кодов вы сканировали за последние сутки?
Вы уверены, что за ними был настоящий браузер?

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025
→ Telegram-канал REESTR

FIST: как язык защиты стал сценарием атак

Обычный звонок

В июне 2025 года женщина из Варшавы получила голосовой звонок. Мужчина с официальным тоном представился сотрудником налоговой службы и сообщил: ей положен возврат налога.
Для подтверждения — нужно авторизоваться через ePUAP.
Она перешла по ссылке. Всё выглядело знакомо: логотип, поля, даже таймер, отсчитывающий время до закрытия “налогового окна”.

Через два часа её PESEL был использован для получения кредита в другой стране. Через три — её номер и голос уже стали частью следующей атаки.

Позже выяснится: звонок был сгенерирован голосовым ботом. Сценарий — прописан в .yaml. Интерфейс — клон ePUAP.
И всё это — строго по архитектуре FIST.

Что такое FIST

FIST не объясняет мошенничество. Он его проектирует.

6 июня 2025 года на arXiv выходит препринт: Fraud Incident Structured Threat (FIST) — попытка описывать социальную инженерию как инженерную структуру.
tactic → technique → indicator → context

Фреймворк должен был помочь системам безопасности распознавать поведенческие атаки так же точно, как технические.

Но уже через две недели тот же язык, те же структуры и YAML-файлы начинают появляться в даркнете.
Не как гипотеза.
Как боевые шаблоны атак.

Как язык защиты стал оружием

MITRE ATT&CK разложил хакерские методы по тактикам и техникам.
FIST сделал то же — только не с кодом, а с доверием.

Где раньше действовал человек — теперь работает сценарий:
нажатие на доверие, обработка страха, голосовая валидация.
Всё описано. А значит — всё передаётся.

Когда появился язык — появился и рынок.

XSS Forum: первый шаблон

Июнь 2025. Даркфорум XSS, раздел FraudTech.

Scenario-as-a-Service
Build full-scope fraud chain: webpage → voicebot → callback → exit. Scripted & adaptive. Hosted or API. Multi-language. Based on trust-layer modelling.

Под описанием — всё, что нужно.
И каждый этап совпадает с FIST:

• webpage → tactic

• voicebot → technique

• callback → indicator

• exit → context

Фреймворк уже работает. Даже если его не называют по имени.

Exploit.in: когда схема становится операцией

На форуме Exploit.in структура ещё прямее:

tactic: social_authority
technique: fake_compliance_call
indicator: urgency_timer
context: tax_refund_window

Ниже — три файла:

• fraud_bot.yaml — параметры давления

• eu_form_clone.html — визуальный клон ePUAP

• otp_bypass_voice.js — сбор голосовых кодов

Это не proof-of-concept.
Это развёртываемый инцидент, настраиваемый через YAML.
FIST здесь — уже не модель.
Он — операционная система фрода.

Как работает атака по FIST

🧪 Пример: налоговый deepfake в Германии (июль 2025)

1. tactic: уведомление от имени Bundeszentralamt für Steuern

2. technique: звонок с deepfake-голосом «чиновника»

3. indicator: предупреждение о просрочке возврата

4. context: окно налоговых выплат до 30 июля

→ Жертва получает письмо и звонок
→ Переходит по ссылке на bzst-gov.eu
→ Вводит PESEL, IBAN
→ Активируется webhook с voice-confirmation
→ YAML-сценарий отрабатывает все 4 уровня за 6 минут
→ Данные уходят на сервер с API-флагом завершения

Что продаётся по FIST-логике

Июль 2025. Торговые боты на даркмаркете предлагают:

• Gov Spoof Scenario — поддельные интерфейсы ePUAP, USCIS, eIDAS. HTML-клоны, голос, API.

• Compliance Pressure Flow — звонок deepfake-бота от имени "налоговой". YAML-сценарий давления, триггеры паники.

• Voice Phishing Kit — голосовой фишинг с адаптацией к реакции жертвы.

Формат всех лотов:

tactic: ...
technique: ...
indicator: ...
context: ...

Цена: от $400 за шаблон до $1500 за full-chain с голосом и хостингом.

Кто создал язык — и не отвечает за его утечку

FIST был разработан на стыке кибербезопасности, криминологии и поведенческой науки.
Авторы — специалисты MITRE, Chargebacks911 и нескольких университетов США.
Часть имён в препринте скрыта «по соображениям безопасности».

На вопросы о даркфорумных совпадениях — молчание.
Ни один из авторов не прокомментировал применение фреймворка в чёрном рынке.

Позже, в июле, формулировки в препринте были обновлены — стали менее конкретными.
Исходная версия сохранилась в кэше arXiv.

Один из пользователей Reddit в обсуждении FIST написал:
“Если это попадёт в даркнет — мошенничество станет open-source.”
Комментарий исчез через 8 часов.
Никто из авторов не отреагировал.

Это уже не просто “утечка”.
Это бесконтрольная публикация архитектуры атак.

Универсальность: атака может быть где угодно

Тот же YAML-файл легко локализуется:

• ePUAP заменяется на gov.uk, IRS или FranceConnect

• голос подбирается по языку и акценту

• окно давления — подстраивается под местные сроки подачи налогов

Сценарий один. Страны разные.
FIST стал универсальным языком цифрового обмана.

Когда мошенничество стало инженерной задачей

FIST не «утёк». Он был выложен.
Открыто. В полном доступе.
С примерами, структурами, логикой передачи.

И как только обман получил структуру —
он стал программируемым.

Голос. Паника. Сценарий.
YAML. API. Захват. Исход.

Финал

Мошенничество больше не нужно придумывать.
Оно больше не требует актёров, убеждения, опыта.

Теперь это — сценарий, свёрстанный как конфигурация.
Он загружается. Адаптируется. Отрабатывается.

Когда мошенничество стало API,
оно перестало нуждаться в мошенниках.

Достаточно шаблона.
Достаточно голоса.

И того, кто поверит.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Пока регуляторы всё ещё спорят о “вреде deepfake”, на рынке уже действуют другие правила.
Там, где раньше была «мошенническая схема», теперь — структура атаки.

6 июня 2025 года на arXiv опубликован фреймворк FIST — Fraud Incident Structured Threat.
Он описывает мошенничество не как преступление, а как сценарий, разложенный по слоям: психология, давление, техника, поведение, интерфейс.
Это не отчёт — это язык угроз, сопоставимый по влиянию с MITRE ATT&CK.
Только речь не о взломе серверов.
Речь — о взломе людей.

Что такое FIST

FIST — попытка зафиксировать то, что раньше ускользало от классификации.

Не просто «позвонили и попросили деньги». А:

• тактика — доверительный канал с институциональной маской
• техника — голосовой deepfake, QR-редирект, поддельный сайт с TLS
• среда — пятничное утро, давление авторитета, ограниченное время
• индикаторы — необычный канал, невозможность проверить, link mismatch

Каждая атака описывается как YAML-файл:

threat:
  type: voice+QR fraud
  context: banking impersonation
  pressure: urgency+compliance
  medium: phone+url
  behavior: override_self_check
  indicators: mismatch_domain, no_callback

Этот фрагмент используется как шаблон генерации голосовых скриптов, UI-сценариев и триггеров через API платформ ImpaaS.
То есть: структура атаки кодируется и вызывается как функция.

Это и есть ядро FIST: структурировать человеческий взлом.
Не код — а поведение.
Не вирус — а среда, в которой человек сам себя обманывает.

Почему это опаснее, чем кибератака

Потому что человека нельзя пропатчить.
Антивирус не поможет, если пользователь сам откроет дверь.
А FIST описывает, как сделать так, чтобы он открыл.

Сценарии вроде «Позвонить как служба безопасности, создать ощущение паники, прислать QR для верификации» — теперь больше не креатив.
Это структура, которую можно перенести, адаптировать, продать.
Сценарий стал конструктором атаки.

Именно так работает рынок ImpaaS — Impersonation-as-a-Service.
Выбираешь:

• голос (нейросеть под банк)
• контекст (утечка, блокировка карты, налоговая проверка)
• интерфейс (landing + QR + верификация)
• уровень давления (жёсткий, умеренный, эмпатичный)

Жмёшь «Generate» — получаешь YAML-сценарий и payload.
Это не шутка. Это уже продаётся.

Открытая угроза

FIST разработан как инструмент защиты. Академический проект, основанный на данных десятков реальных атак.
Он открыт — как всё на arXiv.

Но в этом и заключается его риск: он идеально подходит для атакующих —
как если бы MITRE ATT&CK оказался под контролем тех, против кого он был создан.

Любой оператор может взять готовый сценарий и кастомизировать его под целевую аудиторию.
Добавить индикаторы успеха. Настроить threshold.
Интегрировать через API в платформу FaaS.
Мошенничество больше не требует социальной инженерии. Оно требует только интерфейс.

Новая профессия: архитектор обмана

Появляется новый класс преступников.
Не те, кто звонят — а те, кто пишут сценарии.
Кто понимает, как сломать сопротивление человека не угрозами, а через структуру доверия.

FIST дал этим людям язык.
SDK. Фреймворк.
Технологическую независимость от случая.

Теперь можно не импровизировать. А тестировать.
Можно A/B‑тестить голоса.
Оптимизировать путь атаки.
Масштабировать.
Именно это и отличает индустрию от инцидента.

Искажённая симметрия

Пока мы спорим, можно ли использовать face recognition на улице,
голос мошенника звучит как ваш банк,
его ссылка выглядит как Google Form,
его интерфейс — скопирован из официального приложения.

Всё это собрано по структуре, утверждено по сценарию, протестировано по поведенческим паттернам.
Это уже не случайность.
Это инженерия человеческой слабости.

FIST не просто описывает угрозу.
Он её создаёт.

И пока он остаётся открытым, любой, у кого есть намерение,
может превратить структуру доверия в структуру атаки.
Просто скопировав YAML.

Постскриптум

FIST — это zero-day в доверии.

Обман больше не выглядит как хаос.
Он стал системой, в которой:

• пользователь — уязвимость
• интерфейс — канал доставки
• trust — баг, который можно эксплуатировать

И у этой системы теперь есть документация.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Система ЕС, которая распознаёт вас задним числом — без ордера, без уведомления, без признаков существования

Всё, что происходит — уже произошло.

А теперь вас сверяют с системой.

Весной 2025 года Европейская комиссия официально объявила о запуске sBMS — Shared Biometric Matching Service, нового ядра биометрической идентификации для Шенгенской зоны. 400 миллионов шаблонов лиц и отпечатков пальцев, единая шина между VIS, Eurodac, SIS и EES, обещание ускоренного пограничного контроля.
На первый взгляд — ещё один шаг к “эффективной миграционной политике”.

Но внутри этой инфраструктуры скрыт другой режим.
Режим, в котором идентификация не происходит при встрече — она настигает после.

Post-identification

Это называется post-identification. Формально — технический термин: идентификация, произведённая не в реальном времени, а уже после события.
Фактически — юридический обход запрета, установленного AI Act. Закон прямо запрещает real-time face recognition в общественных местах, но не запрещает сопоставление, проведённое “постфактум”. И sBMS спроектирован именно так — чтобы быть легальным вне момента.

Что это означает?

• Любая видеозапись с камеры наблюдения в Брюсселе, Варшаве или Гааге — может быть ретроспективно прогнана по массиву в 400 миллионов лиц.
• Пограничный отпечаток пальца может быть использован не для въезда — а как якорь, по которому потом сверяют ваши следы.
• “Национальная безопасность” — достаточное основание, чтобы инициировать это сопоставление.
  Без уведомления. Без ордера. Без события.

Точка входа — невидима

Всё, что видит пользователь — якобы интеграция баз: VIS с EES, SIS с Eurodac. Всё — ради “обмена данными”.
Ни один публичный документ не говорит о «слежке».
Но внутренние материалы Европейской комиссии подтверждают:
sBMS построен для “reuse of biometric data across systems”.

Ключевое слово — reuse. Повторное использование.

Тело без следов

Контроль через биометрию в ЕС больше не требует действия. Ему достаточно шаблона.

Схема работает так:

1. При прохождении границы, сдаче отпечатков или подаче на визу создаётся биометрический шаблон.
2. Он попадает в sBMS — общую систему сопоставления.
3. Если позже где-то появляется фрагмент изображения, подозрение, фотография или видео —
   алгоритм прогоняет его по базе.
4. Совпадение становится основанием для запроса к вашему профилю.
5. Не к действию — а к прошлому.

Контроль перенесён назад

Сначала событие — потом идентификация.
Это и есть фундаментальный сдвиг.

Не надо “вести” человека — достаточно распознать его потом.
Когда всё уже сделано. Когда есть повод. Когда он — вне кадра.

Кто имеет доступ

Согласно конфиденциальным приложениям к проекту sBMS, право на post-match имеют:

• Пограничные службы ЕС
• Национальные службы безопасности (включая спецслужбы Польши, Франции, Нидерландов)
• Europol и Frontex (в рамках ограниченного доступа по миссии)

Но самое опасное — не наличие доступа.
А то, как он оформлен.

Запрос к sBMS идёт как query for match, а не request for identity.

Это позволяет формально избежать статуса “идентификации гражданина”.

То есть: система не признаёт, что идентифицировала вас.
Она лишь “проверила шаблон на совпадение”.

Это языковой подлог

И он встроен в архитектуру.

И он работает.

Почему об этом не говорят?

Потому что sBMS не выглядит как угроза.
Он не имеет интерфейса. Не трекает в реальном времени. Не стоит на улице.
Он спрятан в регламенте.

Его невозможно зафиксировать как “слежку” — потому что это уже произошло.

Суд не может оспорить идентификацию, если она не зарегистрирована как событие,
а оформлена как “внутренний запрос на соответствие”.

• Протоколы закрыты
• Журналов нет
• Алгоритмы соответствия не подлежат аудиту
• И никто — ни один гражданин ЕС — не будет уведомлён

что его лицо когда-либо было сверено с базой

Это и есть новая форма слежки

• Не наблюдение. А контроль после события, встроенный в закон
• Не улица с камерами. А архив, в который можно вернуться в любой момент
• Не перехват — а доказательство задним числом, основанное на шаблоне,
  сданном много месяцев назад, в другой стране, по другому поводу

Вы больше не субъект — вы архивируемая структура.

Постскриптум

Всё началось с миграции.
С VIS. С Eurodac. С “упрощения” пограничного режима.
С биометрии как “безопасности”.

Теперь это — унифицированная система разрешённого ретро-контроля.
Её интерфейс не показывает лицо.
Но её архитектура — уже видит вас.

✦ Автор: REESTR
Перейти в Telegram-канал →

«Когда машина говорит голосом власти, пользователь перестаёт различать, кто с ним говорит.»

Это начинается как забота: “Проверьте данные заявки”.
Или как тревога: “Подтвердите личность, чтобы избежать блокировки”.
Иногда — как помощь: “Доступна субсидия, подтвердите данные”.

Письмо приходит на почту. Без ошибок. В тоне, который ты уже знаешь: аккуратном, вежливом, как у налоговой, как у ZUS, как у ePUAP.
Внутри — QR-код. Ты наводишь камеру.
И попадаешь не на сайт мошенников.
Ты попадаешь в структуру.

Система, которая выглядит как помощь. Но работает как захват

Исследование (71 000 писем, 2025) показало: тексты, сгенерированные LLM, открываются в 30% случаев.
Но это не о процентах. Это о смене масштаба.

Теперь фальшивку не пишет человек. Её собирает машина — из шаблонов, реестров, форм, копируя стиль, синтаксис и ритм официальных сервисов.

Она знает, как пишут налоговые. Она знает, как выглядит письмо от консульства.
Она может изменить только логотип, но оставить всё остальное — знакомым.

Это не фальсификация. Это имитация легитимности.

Как работает quishing-атака, которую ты не замечаешь

1. Генерация письма.
   Скормите LLM несколько типовых уведомлений от госорганов. Алгоритм создаст новые — не отличимые по тону и структуре.
2. QR-код.
   Он ведёт на страницу, визуально идентичную порталу. Проверить вручную — почти невозможно. Размещено на прокси-инфраструктуре. IP-адрес может быть польским, французским, даже “госовским”.
3. Динамика.
   QR меняется каждый час. Фильтры не успевают. Блокировки не фиксируются. Каждая жертва видит свой уникальный код.
4. Данные.
   Подтверждение личности, налоговая информация, доступ к ePUAP — всё, что можно “верифицировать”, используется как крючок. Но цель — не форма. Цель — вход в доверие.

Почему это работает

Потому что государство приучило тебя доверять таким письмам.

Оно создало стандарт визуальной подачи, тональности, словаря, который и стал уязвимостью.

Если раньше отличить фейк можно было по орфографии — теперь письмо выглядит лучше, чем оригинал.
И чем успешнее становятся официальные интерфейсы, тем легче их симулировать.
Уровень доверия к ним стал не преимуществом, а уязвимостью класса А.

Кто за этим

Схема больше не кустарная.
За ней — инфраструктурные подрядчики, которые:

• продают “чистые” IP и сессии;
• арендуют DNS, меняющие геолокацию;
• интегрируют LLM в почтовые кампании;
• автоматизируют атаки как SaaS: Quishing-as-a-Service.

Масштаб позволяет имитировать не одно письмо, а тысячи вариантов одного и того же “официального” контакта.
Цель — не просто украсть.
Цель — встроиться.

Что это меняет для тебя

Теперь ты не можешь отличить государство от его симуляции.

Письмо от Минцифры может быть письмом от атакующего.
Портал для верификации может быть копией, отличающейся в одной строчке JS.
Ты открываешь камеру — и теряешь больше, чем данные.

Ты теряешь опору на форму, к которой привык.

И вот что важно

Это уже не атака.
Это новая форма административной имитации.

Где каждый стиль, каждая фраза, каждый элемент доверия — стал копируем.
А потому — стал слабостью.

Письмо пришло.
Ты открыл.
Ты подтвердил.

А система, которой ты доверял, была лишь интерфейсом.
Вопрос в том — чей.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Как технические провайдеры стали тенью финансовых убийств

29 мая 2025 года Министерство финансов США ввело санкции против компании Funnull Technology Inc.

Официально — за предоставление инфраструктуры мошенникам.
Неофициально — за то, что они превратили IP-адрес в маску, через которую происходит цифровое расчленение доверия.

Эта новость осталась незамеченной.
Но именно она показывает, как строится новая экономика обмана.
И почему её жертвой может стать любой.

Никакой “наивной девушки” и “инвестиций в биткоин”

Эти схемы больше не про ошибки.
Они про сценарий, в который ты включён без понимания.

Так называемый “pig butchering” — не про случайный чат. Это:

• выстроенная воронка,
• заранее подготовленные профили,
• долгосрочная психологическая обработка,
• ложное ощущение контроля и приватности.

Жертва “общается” с человеком, который выглядит как консультант, айтишник, трейдер, иногда даже — юрист.
Но на другом конце — CRM-система, заранее распределяющая роли, повестки, IP-оболочки, тайминг.

Ты не видишь фальшь,
потому что всё технически — идеально.

Где в этом IP

Funnull продаёт “чистые” прокси и IP-адреса. Эти адреса:

• не в чёрных списках,
• не связаны с подозрительной активностью,
• не блокируются банками.

Они дают мошеннику облик легального пользователя.

На практике это выглядит так:

• ты получаешь письмо от “инвестплатформы” — с правильным SSL, верной геолокацией и чистым хостингом;
• проходишь верификацию на фальшивом KYC-портале, копирующем банковский интерфейс;
• получаешь доступ в личный кабинет с графиками, котировками, аналитикой.

А потом — всё обнуляется.
И даже полиция не может отследить сессию:
в логах — чистый трафик, белые адреса, корректное поведение.

Никаких аномалий.
Потому что они продаются отдельно.

Почему это работает

Потому что это не взлом.
Это симуляция доверия.

И она работает через всё, что выглядит правдоподобно:

• легитимный IP
• реальная лексика
• отсутствие грубых ошибок
• правильная скорость ответов

Жертва ведёт себя логично.
Система — тоже.

И только спустя месяцы становится ясно:
всё это было срежиссировано.

Кто именно в риске

• Те, кто ищет “альтернативные инвестиции”
• Те, кто регистрируется на новых платформах
• Те, кто откликнулся на международную вакансию
• Те, кто попал в закрытый “чек” от внутреннего источника
• Те, кто получил рекомендацию от “знакомого”, взломанного год назад

Ты можешь быть профессионалом.
Можешь всё знать про фишинг.
Но не защищён от сценария, в котором:

• лицо распознаётся,
• география совпадает,
• голос звучит естественно,
• сессия — чистая.

Всё остальное — подберут.

Почему санкции — это не наказание, а диагноз

Funnull не пишет письма.
Не звонит.
Не уговаривает.

Они просто обеспечивают стабильный вход.

А это означает:
инфраструктура стала частью атаки.
Не площадка.
А звено.

И если ты думаешь, что это не про тебя — проверь:

• когда в последний раз ты получал приглашение на инвестиционную платформу?
• в какой стране она была зарегистрирована?
• через какой IP с тобой общались?
• кто гарантирует, что сейчас ты не читаешь этот текст из-под оболочки?

Что это меняет

Это отменяет ощущение, что ты в безопасности, если «не ведёшься».

Теперь ты в системе — просто потому что у тебя есть доверие.

Они не взламывают.
Они входят под правильным адресом.

И делают всё, чтобы не вызвать подозрение — ни у системы, ни у тебя.

Финал

Ты думаешь, это чужая война.
Но она разворачивается на твоём фоне.

И когда в следующем месяце кто-то потеряет $200 000 —
сессия будет идти с “твоего” провайдера,
по чистому IP,
из той же страны,
в которую ты завтра соберёшься по работе.

IP уже работает.
Вопрос — для кого.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

«Когда система больше не видит тебя — ты не исчез. Ты просто стал неподтверждённым.»

Цифровая подпись больше не гарантирует признания.

С апреля 2025 года системы верификации в ЕС стали опираться на Trust Framework — живую модель допустимости, вызываемую по API.

Это не просто техническое обновление. Это фундаментальная смена управления идентичностью, в которой исключение происходит без уведомлений, без спора, без «нет».
Ты просто не проходишь. И не узнаешь — почему.

Что изменилось

В Authority Agent API появился новый вызов: /verifyPresentation.
Он больше не проверяет юридическую корректность документа — он сверяет его с Trust Framework.

Модель доверия возвращается по запросу к /getTrustFramework. Она содержит:

• перечень допустимых подписантов,
• схемы, роли, условия,
• списки отзыва (revocation lists),
• параметры допустимости, действующие в момент запроса.

Документ может быть корректным.
Подпись — действительной.
Но если структура не совпадает с моделью доверия —

• верификация не проходит,
• никакого отказа,
• никакого сообщения,
• просто отсутствие результата.

Кто задаёт допустимость

Trust Framework не публикуется как регламент.
Он вызывается системой в фоновом режиме.

Формируется и обновляется:

• удостоверяющими агентами (Authority Agents),
• разработчиками цифровой инфраструктуры (например, DE4A, EBSI),
• конечными верификаторами, которые исполняют модель без участия пользователя.

Никто из них не несёт ответственности за отказ.
Никто не оформляет исключение как акт.
Именно это и делает модель эффективной.

Последствия

Ты больше не знаешь, входишь ли в доверие.
Ты не получаешь отказа.
Ты не можешь оспорить то, что не было сформулировано.

Это создаёт новую реальность:

• юридические права теряют приоритет перед технической моделью,
• исключение становится автоматическим и нефиксируемым,
• возврат в доверие невозможен без знания параметров, которые тебе не раскрываются.

Доступ к услугам, правам, институтам —

становится функцией актуального соответствия,
а не юридического основания.

Кто выигрывает

Государственные платформы получают инструмент бесшумного регулирования доступа.

Верификаторы избавлены от контакта с пользователем: отказ оформляется как молчание системы.

Частные интеграторы могут избирательно допускать и исключать, ссылаясь на «несовместимость с Trust Framework».

Финал, в котором ничего не произойдёт

Trust Framework — это не фильтр. Это архитектура допустимого.

Она не фиксирует решения. Она просто не включает.

Ты можешь быть настоящим. Твой документ может быть точным. Но если ты больше не совпадаешь — система не распознаёт тебя.

Никакого отказа. Никакой ошибки. Никаких следов.
Просто ничего не происходит.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

«Теперь ты не выбираешь, кем быть.
Ты выбираешь, в каких роликах согласен участвовать.»

Цифровая личность. Уже без тебя

Система уже включена.
Без вопросов. Без уведомлений.

Тебя нет в протоколе согласия.
Но ты есть — в профиле.

Что такое eIDAS

Цифровой ID — это не документ.
Это инфраструктура допуска.

Он заменяет паспорт, права, логины, доступ в банк и больницу.
Он живёт в твоём телефоне — и решает, кто ты.

Где это уже работает

Германия, июль 2024.
Система включена — без обсуждений, без новостей.

Частные компании выдали первые ID.

Ты ничего не подписывал.
Но ты уже в системе.

Что это значит

Один ID вместо всего.
Без него — ты не пройдёшь.

В помещение. К врачу. В банк.

Ты — не человек.
Ты — точка входа.

Вас уже ввели в режим доступа.
Ты не знаешь — кто, когда и зачем.
Но ты уже внутри.

Лично для тебя

• Привязка к устройству
  Без телефона — нет тебя.

• Полное отслеживание
  Покупки, перемещения, доступ — в одной системе.

• Отключение в один клик
  Нет доступа — значит, ты вне игры.

• ID не твой
  Он принадлежит системе.
  Ты его только используешь.

Это не где-то. Это — у тебя

То, что работает в Германии —
завтра появится в твоём телефоне.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Теперь цифровые профили создаются детям —
не через форму, а через молчание.

Он просто открыл приложение.

На экране — знакомый интерфейс: mObywatel, государственное приложение, которое всё чаще заменяет бумагу, доверие, разговор.

Прокручивает вниз. Раздел “Дети”.
Там — не пусто.

Имя ребёнка. Дата рождения. PESEL.
Статус — подтверждён.
Цифровая Diia.pl.
Он не помнит, чтобы заполнял это. И никто не просил.

С июня 2023 года mObywatel начал делать это сам.
Если у родителя активен профиль,
если в системе есть PESEL ребёнка,
если в реестрах связь уже зафиксирована —
значит, достаточно просто открыть приложение.
Остальное — сделает система.

Официально это — удобство.
На практике — новая форма регистрации.

Это и есть сдвиг:
цифровая идентичность теперь не создаётся по заявлению.
Она возникает как следствие структуры.
Как предзаданное состояние,
в которое ты попадаешь по факту наличия данных.

Согласие? Оно необязательно.
Ты «участвуешь», потому что
тебя уже можно включить.

Профиль ребёнка выглядит безобидно.
Он нужен для врача, школы, доступа к льготам.
Но он работает как схема.
Он показывает, что теперь система может создавать eID
до того, как человек начнёт осознавать свою цифровую форму.
Он — как досье, составленное до преступления.
Просто на случай.

• Нет уведомления.
• Нет запроса.
• Нет отказа.

У родителей нет опции «не создавать».
Есть только возможность «не пользоваться» —
что в цифровой архитектуре означает:
ты уже в системе,
просто пока не активен.

Это и есть новая рамка гражданства.
Ты больше не субъект, выбирающий.
Ты — объект, включённый.

Ребёнок, которому создают профиль сегодня,
завтра будет проходить верификацию по лицу.
Через год — получит уведомление о штрафе.
Через десять — столкнётся с системой,
которая будет помнить его лучше, чем он сам.

И когда он спросит,
когда это всё началось —
никто не ответит.
Потому что никто не нажимал «подтвердить».
Потому что никто не заметил,
как всё уже началось.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Архитектура, в которой подтверждение больше не означает признание

С апреля 2025 года в ЕС внедряется новая модель верификации пользователя:
система фиксирует идентификацию, но не обязана возвращать результат.
Подтверждение личности становится односторонним сигналом,
а интерфейс — непрозрачным.

Механизм

Ранее цифровая идентификация сопровождалась подтверждением:

• отображался статус,
• указывались использованные данные,
• обозначался результат верификации.

Теперь обратная связь исключается.

Система получает идентификатор, обрабатывает его,
но не сообщает, где и как он был применён.
Результат может быть зарегистрирован, передан, отфильтрован —
без уведомления и без интерфейсного отображения.

Структура

Этот подход легитимирован как «оптимизация»:

• снижение нагрузки,
• упрощение взаимодействия,
• защита приватности.

Фактически это означает следующее:

• действия пользователя фиксируются, но не подтверждаются;
• документ может быть передан, не оставив следа в журнале;
• система может инициировать маркировку статуса —
  без того, чтобы пользователь об этом узнал.

Даже успешная верификация может сопровождаться
невидимыми флагами — например, «для отдельной обработки».
Об этом не уведомляют.
Об этом не сообщают.

Последствия

Идентификация перестаёт быть процедурой распознавания.
Она становится точкой входа в скрытую логику исключения.

Пользователь:

• не знает, какие системы активированы,
• не видит, какие данные были извлечены,
• не может проверить, где уже учтён.

Подтверждение личности больше не означает присутствие.
Оно означает, что система получила сигнал.
И не обязана возвращать обратную связь.

Сдвиг

Это не сбой.
Это смена архитектуры:

• от прозрачности к умолчанию,
• от признания к регистрации,
• от идентичности к техпроцессу.

Решение о статусе может быть принято.
Но не отображено.
И не зафиксировано как отказ.

Непроверяемость

• Метка может быть поставлена.
• Документ — отклонён.
• Статус — обнулён.

Но все действия остаются недоказуемыми.
Пользователь не получает признаков,
что верификация была завершена.

Никакого «нет».
Никакого «да».
Просто тишина.

Заключение

В этой модели человек продолжает действовать:
входить, оплачивать, подтверждать.

Но все действия —
неподтверждённые.
Непроверяемые.
Необратимые.

Ты подтвердил личность.
И исчез.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR

Вступление

Ты — не человек, ты — точка в архитектуре доступа. Идентичность больше не твоя — она закреплена в протоколах, которые выбирают за тебя. Это не философия. Это новая инфраструктура власти.

Что произошло

Документ CELEX: 52024PC0349 вводит три новых обязательных элемента в структуру EU Digital Identity Wallet:

• роль пользователя (студент, водитель, работодатель)
• сфера действия (где и зачем используется)
• политика доступа (кто, когда и в каком объёме может видеть эти данные)

Эти поля станут частью всех кошельков в рамках eIDAS 2. Их интерфейсы и API будут обрабатывать эти метки как основу взаимодействия.

Что это меняет

Теперь кошелёк — не просто хранилище удостоверений. Это интерфейс доступа, работающий по строго заданному сценарию.

• Вы заходите в онлайн‑банк. Кошелек не просто сообщает о вашем возрасте. Он сообщает, в кого вы входите и в какой роли действуете.
• Вы записываетесь в университет — кошелёк передаёт, что вы «абитуриент». Доступ к функциям — строго по этому ролику.
• Вы обращаетесь за субсидиями — система «читает» вас как «арендатора», и только в таком виде оформляет заявление.

Сфера действий и политика доступа становятся невидимыми фильтрами: вы никогда не «просто пользователь». Вы — определенная функция.

Что скрыто

Система больше не уточняет, кто вы. Она заранее определит, кем вы можете находиться в этом месте доступа.

• Контроль не через данные, а через сценарий. Ваше удостоверение личности — не носитель информации, контейнер для строгой логики поведения.
• Стандартизация поведения. Чем жёстче зафиксирована роль — тем проще встроить её в инфраструктуру управления.
• Транзакции заменяют субъектность. Вход в госуслуги не является актом воли, а проверкой: разрешена ли вам конкретная функция.
• Точка входа — это уже точка фильтра. Не согласны с политикой доступа? Не войдёте.

Зачем это делается

Официально — для безопасности и унификации. На предложении — ради управления маршрутами личности.

• Для государства: это сокращение издержек на проверки, фиксация ролей и конкурентная способность.
• Для бизнеса: прозрачность и контроль при автоматическом разделении клиентов по протоколам доступа.
• Для ЕС: основа под общим протоколом взаимодействия, где каждый пользователь — это не имя, а параметр настройки.

Пока это подаётся как «удобство» — но между строками читается:

теперь ты не выбираешь, кем быть. Ты выбираешь, в какой роли согласен участвовать.

Как это работает

Когда внешние начала подскажут, кем ты должен быть, — свобода действий становится производной от структуры системы.
Ты всё ещё свободен — но только внутри твоего ролика.
И всё ещё идентифицирован — но уже не как личность, а как сценарий.

Это не просто цифровой паспорт. Это система распределения идентичностей.

Финал

Ты предъявляешь удостоверение —
система уже знает, кто ты, зачем пришел
и что тебе можно.

Natallia — digital identities observer
Спецвыпуск REESTR · Лето 2025

→ Telegram-канал REESTR