- Сообщения
- 58
- Реакции
- 66
В апреле 2025 года польский исследователь Борис Мусельак скормил ChatGPT-4o свой настоящий паспорт и попросил сгенерировать копию с другими данными. Через пять минут у него на экране лежал документ, который прошёл автоматическую KYC-проверку на Revolut и Binance — фото, шрифты, MRZ-зона, текстуры бумаги. Всё сгенерировано нейросетью, всё выглядит как настоящее. OpenAI закрыла эту лазейку через несколько часов — но джинн уже вылез из бутылки, и обратно его никто не засунет.
$15 за паспорт любой страны
ChatGPT — не единственный инструмент и даже не самый удобный. Пока OpenAI спешно затыкала дыры в safety-фильтрах, подпольный сервис OnlyFake уже работал на полную. За $15 и пару минут ты получаешь фотореалистичный паспорт или водительское удостоверение из 26 стран — США, Канада, Великобритания, Германия, Франция, Австралия и так далее. Оплата в крипте через Coinbase Commerce. Загружаешь своё фото (или выбираешь из библиотеки дропов), вбиваешь нужные данные — имя, дату рождения, номер документа — и через минуту получаешь готовый файл.
Владелец сервиса, известный как John Wick, утверждал что его документы проходят KYC на Binance, Kraken, Bybit, Huobi, Coinbase, OKX и Revolut. И это не голословное заявление — в феврале 2024 года журналисты 404 Media подтвердили: сгенерированный OnlyFake британский паспорт успешно прошёл верификацию на OKX. В Telegram-канале сервиса пользователи скидывали скриншоты пройденных проверок на Kraken, Bitget, PayPal.
Формально OnlyFake заявлял, что документы предназначены "для фильмов, сериалов и веб-иллюстраций". Но когда ты генерируешь паспорт с настоящей MRZ-зоной, голограммами и штрих-кодами — и принимаешь крипту в качестве оплаты — эта оговорка выглядит как та надпись "только для легального использования" на стилерах с GitHub.
Как AI генерирует документы — техническая часть
Раньше подделка документов требовала навыков в Photoshop, понимания структуры конкретного ID и кучу ручной работы — подгонка шрифтов, текстур, элементов защиты. Один документ мог занять часы. Нейросети всё это обнулили.
Современные модели генерируют изображения, которые воспроизводят документ целиком — от микропринта до UV-элементов на фото. Не редактируют скан реального паспорта, а создают новый с нуля, попиксельно. Для автоматической KYC-системы, которая сравнивает загруженное фото документа с шаблоном — разницы нет. Она видит правильные пропорции, правильные шрифты, правильную MRZ-строку, фото лица в нужном месте.
2% всех обнаруженных поддельных документов в 2025 году были созданы через генеративный AI — ChatGPT, Grok, Gemini. Звучит как немного, но это только то что поймали. И это за полгода. Учитывая что инструменты становятся лучше каждый месяц, а фильтры у провайдеров KYC — нет, реальная цифра наверняка выше.
Selfie с поддельным документом — тоже не проблема
Ладно, допустим KYC-система просит не только фото паспорта, но и селфи с ним в руках, или видеоверификацию — ты должен повернуть голову, моргнуть, показать документ в камеру. Казалось бы, тут уже не обойтись одной картинкой.
Обходится элементарно. Существует целый стек инструментов:
DeepFaceLive — опенсорсный софт, который в реальном времени подменяет твоё лицо на камере. Работает как виртуальная камера: приложение видео-верификации думает что общается с живым человеком, а на самом деле получает deepfake-поток с лицом из загруженного фото. 30+ предобученных моделей, 25 FPS на нормальной видеокарте, бесплатно. Репозиторий архивирован в ноябре 2024-го, но форки живут.
Deep-Live-Cam — ещё проще. Загрузил одну фотографию — и в реальном времени камера показывает это лицо с твоей мимикой. Повернул голову — deepfake повернул. Моргнул — моргнул. Улыбнулся — улыбнулся.
Amigo AI, Magicam — коммерческие аналоги, некоторые работают прямо в браузере без установки.
На мобильных всё чуть сложнее, но тоже решаемо. На рутованном Android через Frida или Magisk перехватываются вызовы к камере и подменяются на локальное видео. На эмуляторах — ещё проще: виртуальная камера подсовывает MP4-файл с deepfake-записью.
Исследование World Economic Forum в январе 2026 года протестировало 17 инструментов подмены лица и 8 инструментов инъекции в камеру. Результат — большинство обошли стандартные проверки liveness detection. То есть систему, которая должна отличить живого человека от записи или deepfake, можно обмануть серийным инструментом с GitHub.
Подпольные сервисы обхода KYC
Вокруг обхода KYC уже давно выросла индустрия. На форумах и в Telegram рекламируются сервисы, которые за 3 000 рублей (~$30) проходят верификацию за тебя на конкретной платформе — Onfido, Jumio, Sumsub, Veriff. Ты скидываешь нужные данные, они генерируют документ и селфи, проходят проверку и отдают тебе готовый аккаунт.
Работает это конвейером: специализированные AI-боты автоматизируют весь процесс — от генерации фейковых изображений до отправки в KYC-систему. Не нужно ничего понимать в нейросетях, не нужна видеокарта. Заплатил, подождал, получил верифицированный аккаунт на бирже.
И масштаб тут не штучный. Когда документ генерируется за минуту, а стоит $15 — можно клепать десятки аккаунтов в час. Для дроповодов и обнальщиков это праздник: KYC-верификация, которая раньше была основным барьером, превратилась в формальность.
Голос тоже подделывается
Документы и лицо — полдела. В 2026-м подделывается и голос, причём настолько качественно, что исследователи из Fortune написали прямо: клонирование голоса перешло "порог неразличимости". Человек не может отличить клон от оригинала на слух.
Несколько кейсов из реальной жизни:
Arup, $25 миллионов. В начале 2024 года сотрудник британской инженерной компании Arup получил приглашение на видеозвонок с CFO и другими топ-менеджерами. Все лица и голоса на звонке были deepfake. Сотрудник авторизовал 15 переводов на общую сумму $25 миллионов на счета в Гонконге. Самый крупный задокументированный deepfake-фрод на сегодня.
Сингапур, $499 000. Март 2025-го, финансовый директор мультинациональной компании подключается к рутинному Zoom-звонку с руководством. Голоса, лица — всё знакомое. Просьба перевести полмиллиона на счёт "доверенного поставщика". Перевёл.
Британская энергокомпания, €220 000. Сотруднику позвонил "генеральный директор" с характерным немецким акцентом — который AI воспроизвёл идеально. Деньги ушли на счёт мошенников.
И это не рядовые люди которых развели по телефону — это финансовые директора крупных компаний на видеозвонках. Если они не смогли отличить — кто сможет?
А бытовые разводы идут потоком. В 2025 году ФБР выпустило предупреждение о волне AI-имитаций голоса для "похищений" — звонят родственникам, включают запись с голосом "жертвы", требуют выкуп от $2 500 до $15 000. Каждый четвёртый американец уже получал звонок с deepfake-голосом. 77% тех кто повёлся — потеряли деньги.
Цифры которые рисуют картину
Чтобы понять масштаб — вот статистика без воды:
Это не проблема завтрашнего дня. Это проблема сегодняшнего, и она растёт экспоненциально.
Deepfake-as-a-Service — индустрия подделок
В 2025-м оформился целый рынок — Deepfake-as-a-Service (DFaaS). Работает по той же модели что и Malware-as-a-Service или RaaS: ты не пишешь код, не тренируешь модели, не покупаешь GPU. Ты платишь подписку и получаешь готовый продукт.
Сервисы предлагают:
Cyble в своём отчёте за 2025 год констатировал: DFaaS-рынок взорвался. Порог входа упал до нуля — нужны только деньги на подписку и минимальное понимание что ты хочешь получить. Всё остальное автоматизировано.
Что пытаются делать KYC-провайдеры
Справедливости ради — индустрия верификации не сидит сложа руки. Вот что внедряется:
NFC-верификация. Вместо фотографирования паспорта — считывание чипа через NFC телефона. В чипе хранится биометрия, подписанная государственным сертификатом. Подделать чип нейросетью нельзя — нужен приватный ключ страны-эмитента. Это самая надёжная защита на сегодня, но работает только с биометрическими паспортами нового поколения и требует NFC в телефоне.
Продвинутый liveness detection. Анализ микродвижений, отражений в глазах, текстуры кожи на уровне пикселей, проверка глубины через 3D-камеры (Face ID на iPhone использует именно это). Проблема — это гонка вооружений, и атакующие пока выигрывают. WEF показал что большинство этих систем обходятся.
Поведенческий анализ. Как ты держишь телефон, как двигаешь пальцами, как печатаешь. Это сложнее подделать чем лицо, но и внедрено пока мало где.
Мультифакторная проверка. Документ + селфи + liveness + NFC + поведенческий анализ + проверка устройства (рутованное? эмулятор? виртуальная камера?) — всё вместе. Каждый слой по отдельности обходится, но все вместе — пока сложно.
Проблема в том что большинство платформ используют один-два слоя, а не все сразу. Криптобиржа просит загрузить фото паспорта и селфи — и это всё. Без NFC, без проверки устройства, без поведенческого анализа. Потому что каждый дополнительный шаг — это отток клиентов. Бизнес выбирает конверсию, а не безопасность. И пока это так — deepfake будет работать.
Что это значит на практике
KYC в том виде в котором он существует — фото документа + селфи — мёртв. Он не работает против AI и не будет работать. Это не вопрос "улучшения алгоритмов" — это фундаментальная проблема: ты просишь человека доказать что он настоящий, используя канал который AI может полностью контролировать.
Для тех кто работает с криптой это означает одну простую вещь: верифицированный аккаунт на бирже больше не является гарантией что за ним стоит реальный человек с реальными документами. Это меняет правила для всех — от бирж и регуляторов до тех кто с этими аккаунтами взаимодействует.
NFC-чипы — единственная технология которая пока держится, потому что подделать аппаратный чип с криптографической подписью государства — это задача другого порядка чем сгенерировать картинку. Но пока биржи не перейдут на обязательную NFC-верификацию (а они не перейдут, потому что это убьёт конверсию) — всё остальное можно обойти за $15 и пять минут.
$15 за паспорт любой страны
ChatGPT — не единственный инструмент и даже не самый удобный. Пока OpenAI спешно затыкала дыры в safety-фильтрах, подпольный сервис OnlyFake уже работал на полную. За $15 и пару минут ты получаешь фотореалистичный паспорт или водительское удостоверение из 26 стран — США, Канада, Великобритания, Германия, Франция, Австралия и так далее. Оплата в крипте через Coinbase Commerce. Загружаешь своё фото (или выбираешь из библиотеки дропов), вбиваешь нужные данные — имя, дату рождения, номер документа — и через минуту получаешь готовый файл.
Владелец сервиса, известный как John Wick, утверждал что его документы проходят KYC на Binance, Kraken, Bybit, Huobi, Coinbase, OKX и Revolut. И это не голословное заявление — в феврале 2024 года журналисты 404 Media подтвердили: сгенерированный OnlyFake британский паспорт успешно прошёл верификацию на OKX. В Telegram-канале сервиса пользователи скидывали скриншоты пройденных проверок на Kraken, Bitget, PayPal.
Формально OnlyFake заявлял, что документы предназначены "для фильмов, сериалов и веб-иллюстраций". Но когда ты генерируешь паспорт с настоящей MRZ-зоной, голограммами и штрих-кодами — и принимаешь крипту в качестве оплаты — эта оговорка выглядит как та надпись "только для легального использования" на стилерах с GitHub.
Как AI генерирует документы — техническая часть
Раньше подделка документов требовала навыков в Photoshop, понимания структуры конкретного ID и кучу ручной работы — подгонка шрифтов, текстур, элементов защиты. Один документ мог занять часы. Нейросети всё это обнулили.
Современные модели генерируют изображения, которые воспроизводят документ целиком — от микропринта до UV-элементов на фото. Не редактируют скан реального паспорта, а создают новый с нуля, попиксельно. Для автоматической KYC-системы, которая сравнивает загруженное фото документа с шаблоном — разницы нет. Она видит правильные пропорции, правильные шрифты, правильную MRZ-строку, фото лица в нужном месте.
2% всех обнаруженных поддельных документов в 2025 году были созданы через генеративный AI — ChatGPT, Grok, Gemini. Звучит как немного, но это только то что поймали. И это за полгода. Учитывая что инструменты становятся лучше каждый месяц, а фильтры у провайдеров KYC — нет, реальная цифра наверняка выше.
Selfie с поддельным документом — тоже не проблема
Ладно, допустим KYC-система просит не только фото паспорта, но и селфи с ним в руках, или видеоверификацию — ты должен повернуть голову, моргнуть, показать документ в камеру. Казалось бы, тут уже не обойтись одной картинкой.
Обходится элементарно. Существует целый стек инструментов:
DeepFaceLive — опенсорсный софт, который в реальном времени подменяет твоё лицо на камере. Работает как виртуальная камера: приложение видео-верификации думает что общается с живым человеком, а на самом деле получает deepfake-поток с лицом из загруженного фото. 30+ предобученных моделей, 25 FPS на нормальной видеокарте, бесплатно. Репозиторий архивирован в ноябре 2024-го, но форки живут.
Deep-Live-Cam — ещё проще. Загрузил одну фотографию — и в реальном времени камера показывает это лицо с твоей мимикой. Повернул голову — deepfake повернул. Моргнул — моргнул. Улыбнулся — улыбнулся.
Amigo AI, Magicam — коммерческие аналоги, некоторые работают прямо в браузере без установки.
На мобильных всё чуть сложнее, но тоже решаемо. На рутованном Android через Frida или Magisk перехватываются вызовы к камере и подменяются на локальное видео. На эмуляторах — ещё проще: виртуальная камера подсовывает MP4-файл с deepfake-записью.
Исследование World Economic Forum в январе 2026 года протестировало 17 инструментов подмены лица и 8 инструментов инъекции в камеру. Результат — большинство обошли стандартные проверки liveness detection. То есть систему, которая должна отличить живого человека от записи или deepfake, можно обмануть серийным инструментом с GitHub.
Подпольные сервисы обхода KYC
Вокруг обхода KYC уже давно выросла индустрия. На форумах и в Telegram рекламируются сервисы, которые за 3 000 рублей (~$30) проходят верификацию за тебя на конкретной платформе — Onfido, Jumio, Sumsub, Veriff. Ты скидываешь нужные данные, они генерируют документ и селфи, проходят проверку и отдают тебе готовый аккаунт.
Работает это конвейером: специализированные AI-боты автоматизируют весь процесс — от генерации фейковых изображений до отправки в KYC-систему. Не нужно ничего понимать в нейросетях, не нужна видеокарта. Заплатил, подождал, получил верифицированный аккаунт на бирже.
И масштаб тут не штучный. Когда документ генерируется за минуту, а стоит $15 — можно клепать десятки аккаунтов в час. Для дроповодов и обнальщиков это праздник: KYC-верификация, которая раньше была основным барьером, превратилась в формальность.
Голос тоже подделывается
Документы и лицо — полдела. В 2026-м подделывается и голос, причём настолько качественно, что исследователи из Fortune написали прямо: клонирование голоса перешло "порог неразличимости". Человек не может отличить клон от оригинала на слух.
Несколько кейсов из реальной жизни:
Arup, $25 миллионов. В начале 2024 года сотрудник британской инженерной компании Arup получил приглашение на видеозвонок с CFO и другими топ-менеджерами. Все лица и голоса на звонке были deepfake. Сотрудник авторизовал 15 переводов на общую сумму $25 миллионов на счета в Гонконге. Самый крупный задокументированный deepfake-фрод на сегодня.
Сингапур, $499 000. Март 2025-го, финансовый директор мультинациональной компании подключается к рутинному Zoom-звонку с руководством. Голоса, лица — всё знакомое. Просьба перевести полмиллиона на счёт "доверенного поставщика". Перевёл.
Британская энергокомпания, €220 000. Сотруднику позвонил "генеральный директор" с характерным немецким акцентом — который AI воспроизвёл идеально. Деньги ушли на счёт мошенников.
И это не рядовые люди которых развели по телефону — это финансовые директора крупных компаний на видеозвонках. Если они не смогли отличить — кто сможет?
А бытовые разводы идут потоком. В 2025 году ФБР выпустило предупреждение о волне AI-имитаций голоса для "похищений" — звонят родственникам, включают запись с голосом "жертвы", требуют выкуп от $2 500 до $15 000. Каждый четвёртый американец уже получал звонок с deepfake-голосом. 77% тех кто повёлся — потеряли деньги.
Цифры которые рисуют картину
Чтобы понять масштаб — вот статистика без воды:
- Deepfake-файлов в сети: 500 000 в 2023 → 8 миллионов в 2025. Рост в 16 раз за два года
- Deepfake-атак стало на 2 137% больше с 2022 года
- За первый квартал 2025-го — на 19% больше deepfake-инцидентов чем за весь 2024 год
- $200 миллионов потерь от deepfake-фрода только за Q1 2025
- 11% всего мирового фрода в 2025 — deepfake
- 1 из 20 провалов верификации связан с deepfake
- К 2027 году потери от AI-фрода дойдут до $40 миллиардов — прогноз Deloitte
- Gartner прогнозирует: к 2026-му 30% компаний перестанут считать биометрию лица надёжным методом верификации
Это не проблема завтрашнего дня. Это проблема сегодняшнего, и она растёт экспоненциально.
Deepfake-as-a-Service — индустрия подделок
В 2025-м оформился целый рынок — Deepfake-as-a-Service (DFaaS). Работает по той же модели что и Malware-as-a-Service или RaaS: ты не пишешь код, не тренируешь модели, не покупаешь GPU. Ты платишь подписку и получаешь готовый продукт.
Сервисы предлагают:
- Генерацию документов любой страны с нужными данными
- Видео-deepfake для прохождения liveness-проверок
- Клонирование голоса по образцу в 3-5 секунд аудио
- Полный цикл обхода KYC — от документа до верифицированного аккаунта
- API для массовой генерации — подключаешь к своему скрипту и штампуешь
Cyble в своём отчёте за 2025 год констатировал: DFaaS-рынок взорвался. Порог входа упал до нуля — нужны только деньги на подписку и минимальное понимание что ты хочешь получить. Всё остальное автоматизировано.
Что пытаются делать KYC-провайдеры
Справедливости ради — индустрия верификации не сидит сложа руки. Вот что внедряется:
NFC-верификация. Вместо фотографирования паспорта — считывание чипа через NFC телефона. В чипе хранится биометрия, подписанная государственным сертификатом. Подделать чип нейросетью нельзя — нужен приватный ключ страны-эмитента. Это самая надёжная защита на сегодня, но работает только с биометрическими паспортами нового поколения и требует NFC в телефоне.
Продвинутый liveness detection. Анализ микродвижений, отражений в глазах, текстуры кожи на уровне пикселей, проверка глубины через 3D-камеры (Face ID на iPhone использует именно это). Проблема — это гонка вооружений, и атакующие пока выигрывают. WEF показал что большинство этих систем обходятся.
Поведенческий анализ. Как ты держишь телефон, как двигаешь пальцами, как печатаешь. Это сложнее подделать чем лицо, но и внедрено пока мало где.
Мультифакторная проверка. Документ + селфи + liveness + NFC + поведенческий анализ + проверка устройства (рутованное? эмулятор? виртуальная камера?) — всё вместе. Каждый слой по отдельности обходится, но все вместе — пока сложно.
Проблема в том что большинство платформ используют один-два слоя, а не все сразу. Криптобиржа просит загрузить фото паспорта и селфи — и это всё. Без NFC, без проверки устройства, без поведенческого анализа. Потому что каждый дополнительный шаг — это отток клиентов. Бизнес выбирает конверсию, а не безопасность. И пока это так — deepfake будет работать.
Что это значит на практике
KYC в том виде в котором он существует — фото документа + селфи — мёртв. Он не работает против AI и не будет работать. Это не вопрос "улучшения алгоритмов" — это фундаментальная проблема: ты просишь человека доказать что он настоящий, используя канал который AI может полностью контролировать.
Для тех кто работает с криптой это означает одну простую вещь: верифицированный аккаунт на бирже больше не является гарантией что за ним стоит реальный человек с реальными документами. Это меняет правила для всех — от бирж и регуляторов до тех кто с этими аккаунтами взаимодействует.
NFC-чипы — единственная технология которая пока держится, потому что подделать аппаратный чип с криптографической подписью государства — это задача другого порядка чем сгенерировать картинку. Но пока биржи не перейдут на обязательную NFC-верификацию (а они не перейдут, потому что это убьёт конверсию) — всё остальное можно обойти за $15 и пять минут.
