Torna alle notizie

Indagine ScamIntelLogs

L’epidemia dei casinò fasulli: 4 piattaforme truffaldine smascherate dall’interno

Anatomia comparativa di 4 operazioni di "Panel-as-a-Service" legate al mondo dei casinò, individuate grazie all'archivio ScamIntelLogs di PhishDestroy. Da 383 vittime verificate in oltre 30 paesi a una meta-truffa che deruba i propri stessi truffatori: ogni panel, ogni credenziale, ogni menzogna smascherata.

Operazione di phishing contro casinò online — pannelli di amministrazione compromessi
383 vittime accertateOltre 40 domini di phishing4 operazioni svelate
Smascherati i pannelli dei casinò fasulli
0
Vittime accertate
30+
Paesi di destinazione
0
Domini di phishing
4
Operazioni allo scoperto

Il manuale delle truffe nei casinò: come funzionano tutti e quattro i gruppi

Ogni operazione di questa indagine segue lo stesso schema di base: creare un casinò o una piattaforma di scommesse sportive fasulli, reclutare “collaboratori” (affiliati) tramite Telegram, attirare le vittime con la promessa di bonus gratuiti, per poi intrappolarle con un “deposito di verifica” obbligatorio che non potrà mai essere prelevato. Il denaro della vittima viene suddiviso tra il collaboratore e il gestore del panel.

Ciò che rende questa indagine unica è il fatto che tutte e quattro le operazioni sono state conservate nell'archivio ScamIntelLogs di PhishDestroy — complete di chat interne su Telegram, dump dei pannelli di amministrazione, file di configurazione, database delle vittime e codice sorgente. Ogni affermazione riportata di seguito è supportata da prove dirette.

DNA in comune

Tutti e quattro i gruppi hanno in comune: la protezione di Cloudflare, operatori di lingua russa, il reclutamento tramite Telegram, il modello truffaldino del “deposito di verifica” e variabili dei modelli come %sum_verif% per gli importi dei depositi e i domini sovrapposti (inclusivebets.fun compare SIA in OFEDREX che in Olympus).

Operazione OFEDREX: 383 vittime in oltre 30 paesi

OFEDREX, noto anche come WinSystems e TheProject Casino, è l'operazione più documentata nell'ambito di questa indagine. Un dump completo del database amministrativo ha rivelato la presenza di 383 vittime in oltre 30 paesi, con l'India in testa con il 20,1%.

383
Vittime accertate
22
Domini di phishing
20.1%
Dall'India
30+
Paesi colpiti

L'operazione ha utilizzato codici promozionali per monitorare le prestazioni degli affiliati. Codice "DREAM" da solo ha portato 115 vittime. Codice "LRX774" ha causato 61 vittime.

Credenziali trapelate rinvenute nei file di configurazione:
E-mail: lancerbuy777@project.com
Password: holabol1337
Parola chiave dell'account Super: ximerawork

— Dump della configurazione di sistema di OFEDREX

Modalità debug ancora attiva

L'intero backend PHP di Laravel era in esecuzione con APP_DEBUG=true in produzione, rendendo visibili le tracce complete dello stack, le query al database e i percorsi interni a chiunque abbia generato un errore. Si tratta di una sicurezza da dilettanti che la dice lunga sul livello di competenza degli operatori.

Indicatori di compromissione

DominioStato
winsystems-lp.siteRimosso
inclusivebets.funAttivo
luckypeak.proRimosso
betmax-official.comRimosso

LuxardGambling: Deepfake sulle celebrità e vittime "mammut"

LuxardGambling opera come un servizio di panel-as-a-service (PaaS) che offre una commissione del 70% ai collaboratori. Ciò che lo contraddistingue è l’uso su scala industriale dei deepfake di personaggi famosi e il suo manuale operativo, pubblicato su GitBook senza alcuna remora.

L'operazione utilizza deepfake di almeno 12 personaggi famosi, tra cui Elon Musk, MrBeast, Jake Paul, Neymar e altri, per creare video di sponsorizzazione falsi. I risultati sportivi vengono gonfiati del +35% per creare l'illusione di "vittorie garantite": un bookmaker fittizio chiamato "Crazy Odds" con quote impossibili.

"La vittima (il 'mammut') vede coefficienti gonfiati e crede di poter prevedere i risultati. Una volta versato l'importo di verifica, non potrà mai più prelevare. Il denaro finisce nelle tasche di chi sta più in alto."

— Documentazione GitBook di LuxardGambling

Deepfake Factory

Oltre 12 deepfake di personaggi famosi, tra cui Elon Musk, MrBeast, Jake Paul, Neymar e Travis Scott. Alle vittime vengono mostrati video di sponsorizzazione falsi prima di essere reindirizzate alla piattaforma.

Caccia al mammut

I lavoratori chiamano le vittime “mammut” (мамонт). L’intero schema della truffa: annuncio falso → video deepfake → registrazione → deposito di verifica → blocco dei prelievi.

Diagramma di flusso della truffa del casinò: dalla deviazione dei fondi e dalla promozione da parte di personaggi famosi, passando per l'elaborazione dei pagamenti, fino alla vittima
Diagramma di flusso della truffa del casinò: dalla deviazione dei fondi e dalla promozione da parte di personaggi famosi, passando per l'elaborazione dei pagamenti, fino alla vittima

Tavola rotonda Olympus: La trappola dei chatbot basati sull’intelligenza artificiale

Olympus Panel (Syndicate Casino) è stato implementato su 16 domini tramite una console di amministrazione centrale all'indirizzo olympus-panel.cc. La sua caratteristica distintiva: “Alice”, un chatbot basato sull’intelligenza artificiale implementato su ogni istanza del casinò per coinvolgere le vittime in conversazioni in tempo reale e indirizzarle verso il deposito minimo di verifica di 50 dollari.

I lavoratori ricevono una commissione del 70%. I dump HTML del pannello di amministrazione mostrano il tracciamento completo delle vittime, con gli importi dei depositi compilati automaticamente tramite variabili del template %sum_verif%.

Rilevata sovrapposizione di domini

Il dominio inclusivebets.fun compare SIA nel database OFEDREX SIA in quello di Olympus, il che suggerisce o un’infrastruttura condivisa, o la presenza degli stessi operatori che gestiscono più panel, oppure attività di cross-selling tra piattaforme da parte di società affiliate.

Indicatori di compromissione

DominioStato
olympus-panel.ccPannello di amministrazione
syndicate-casino.comRimosso
inclusivebets.funCondiviso con OFEDREX

BitXLucky: la truffa che truffa i truffatori

BitXLucky è l'operazione più cinica presente nel nostro archivio. Realizzata con Next.js/NestJS, si presenta come una piattaforma PaaS per casinò che recluta collaboratori, ma le registrazioni delle vittime non compaiono mai nel pannello dei collaboratori. Collaboratori: 0. Ogni singola registrazione delle vittime viene reindirizzata in modo invisibile all'operatore, escludendo completamente gli affiliati.

Questo è un meta-truffa: uno strumento fraudolento che deruba i propri stessi truffatori.

La prova sta negli errori di battitura

Il pannello di amministrazione è pieno di errori ortografici: "saport" (support), "Warkers" (Workers), "Logi" (Login), "Postsuk" (Postback). Non si tratta solo di errori di battitura: sono le tracce evidenti di uno strumento fraudolento realizzato in fretta da persone che non sono madrelingua.

Pannello di controllo dei lavoratori: "Lavoratori: 0 | Depositi totali: 0 | Logi: saport@bitxlucky"

— Screenshot del pannello di amministrazione di BitXLucky

Infrastruttura esposta

Indirizzi IP dei server rilevati nella configurazione: 77.110.103.90 176.46.152.13:3000 77.221.151.196. A differenza degli altri pannelli, BitXLucky non si è nemmeno preso la briga di nascondersi in modo coerente dietro Cloudflare: gli indirizzi IP dei server erano visibili nelle risposte dell'API.

Proteggiti dalle truffe nei casinò

Pannello di phishing di un casinò falso — interfaccia di amministrazione esposta
Pannello di phishing di un casinò falso — interfaccia di amministrazione esposta

Nessun casinò legittimo richiede un “deposito di verifica”. Nessuna piattaforma seria ha bisogno di testimonianze di celebrità create con la tecnica del deepfake. Se vi imbattete in una di queste piattaforme, segnalatela immediatamente.

#FakeCasino#GamblingScam#CrimePanel#Investigation#OnlineFraud

Ricerche correlate

Panel dei giocatori: analisi completa della rete
Un'analisi approfondita della rete della criminalità organizzata che gestisce oltre 1.200 domini legati alle frodi nei casinò.
RublevkaTeam: Smascherata la truffa russa del TON
I retroscena della truffa sugli investimenti integrata in Telegram che prende di mira gli utenti russi di criptovalute.
Svelato il Crypto Drainer Toolkit
Come TRXDrop e NiceCrypto sfruttano le connessioni ai wallet per rubare criptovalute.
Steam: non è proprio il buono della storia
Come la piattaforma Steam viene sfruttata per il phishing e il furto di account.
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →