Voltar às notícias

Investigação do ScamIntelLogs

A epidemia dos cassinos falsos: quatro esquemas fraudulentos revelados por quem está por dentro

Anatomia comparativa de quatro operações de “Panel-as-a-Service” relacionadas a cassinos, descobertas por meio do arquivo ScamIntelLogs do PhishDestroy. De 383 vítimas confirmadas em mais de 30 países até um meta-golpe que rouba até mesmo seus próprios golpistas — cada painel, cada credencial, cada mentira exposta.

Operação de phishing envolvendo cassinos falsos — painéis de administração expostos
383 vítimas confirmadasMais de 40 domínios de phishing4 Operações Reveladas
Painéis falsos de cassinos são desmascarados
0
Vítimas confirmadas
30+
Países-alvo
0
Domínios de phishing
4
Operações à mostra

O manual do golpe nos cassinos: como funcionam os quatro grupos

Todas as operações nesta investigação seguem o mesmo esquema básico: criar um cassino falso ou uma plataforma de apostas esportivas, recrutar “colaboradores” (afiliados) pelo Telegram, atrair as vítimas com promessas de bônus gratuitos e, em seguida, prendê-las com um “depósito de verificação” obrigatório que nunca pode ser retirado. O dinheiro da vítima é dividido entre o colaborador e o operador do painel.

O que torna esta investigação única é o fato de todas as quatro operações terem sido preservadas no arquivo ScamIntelLogs do PhishDestroy — incluindo conversas internas do Telegram, cópias de painéis de administração, arquivos de configuração, bancos de dados das vítimas e código-fonte. Cada afirmação a seguir é respaldada por evidências primárias.

DNA em comum

Todos os quatro painéis têm em comum: proteção da Cloudflare, operadores que falam russo, recrutamento por meio do Telegram, o modelo de golpe do “depósito de verificação” e variáveis de modelo como %sum_verif% para valores de depósito e domínios sobrepostos (inclusivebets.fun aparece tanto no OFEDREX quanto no Olympus).

Operação OFEDREX: 383 vítimas em mais de 30 países

A OFEDREX, também conhecida como WinSystems e TheProject Casino, é a operação mais bem documentada nesta investigação. Um dump completo do banco de dados administrativo revelou 383 vítimas individuais em mais de 30 países, com a Índia liderando com 20,1%.

383
Vítimas confirmadas
22
Domínios de phishing
20.1%
Da Índia
30+
Países afetados

A operação utilizou códigos promocionais para acompanhar o desempenho dos afiliados. Código "SONHO" sozinho já registrou 115 vítimas. Código "LRX774" resultou em 61 vítimas.

Credenciais vazadas encontradas em arquivos de configuração:
E-mail: lancerbuy777@project.com
Senha: holabol1337
Palavra-chave da superconta: ximerawork

— Dump de configuração administrativa do OFEDREX

Modo de depuração ainda está ativado

Todo o backend em PHP do Laravel estava em execução com APP_DEBUG=true em produção, expondo rastreamentos completos de pilha, consultas ao banco de dados e caminhos internos a qualquer pessoa que tenha gerado um erro. Trata-se de uma segurança de amador que revela tudo sobre o nível de habilidade dos operadores.

Indicadores de comprometimento

DomínioStatus
winsystems-lp.siteRetirado do ar
inclusivebets.funAtivo
luckypeak.proRetirado do ar
betmax-official.comRetirado do ar

LuxardGambling: Deepfakes de celebridades e vítimas “gigantescas”

A LuxardGambling opera como um Painel como Serviço (PaaS), oferecendo 70% de comissão aos colaboradores. O que a diferencia é o uso em escala industrial de deepfakes de celebridades e seu manual de estratégias, publicado abertamente no GitBook.

A operação utiliza deepfakes de pelo menos 12 celebridades, incluindo Elon Musk, MrBeast, Jake Paul, Neymar e outros, para criar vídeos falsos de endosso. Os resultados esportivos são inflacionados em +35% para criar a ilusão de “vitórias garantidas” — uma casa de apostas fictícia chamada “Crazy Odds”, com odds impossíveis.

"A vítima (mamute) vê coeficientes inflacionados e acredita que eles podem prever resultados. Depois de depositar o valor de verificação, ela nunca mais consegue sacar. O dinheiro vai para cima."

— Documentação do LuxardGambling no GitBook

Fábrica de Deepfakes

Mais de 12 deepfakes de celebridades, incluindo Elon Musk, MrBeast, Jake Paul, Neymar e Travis Scott. As vítimas assistem a vídeos falsos de endosso antes de serem direcionadas para a plataforma.

Caça ao mamute

Os trabalhadores chamam as vítimas de “mamutes” (мамонт). Todo o Pipeline de tráfico: anúncio falso → vídeo deepfake → cadastro → depósito de verificação → bloqueio de saques.

Fluxograma do esquema fraudulento de cassinos: desde o desvio de fundos e o endosso de celebridades até o processamento de pagamentos e a vítima
Fluxograma do esquema fraudulento de cassinos: desde o desvio de fundos e o endosso de celebridades até o processamento de pagamentos e a vítima

Painel da Olympus: A armadilha dos chatbots com IA

O Olympus Panel (Syndicate Casino) foi implantado em 16 domínios a partir de um painel de administração central em olympus-panel.cc. Sua característica marcante: “Alice”, um chatbot baseado em IA implantado em todas as instâncias do cassino para interagir com as vítimas em conversas em tempo real e orientá-las a efetuar o depósito mínimo de verificação de US$ 50.

Os colaboradores recebem 70% de comissão. Os dumps de HTML do painel de administração mostram o rastreamento completo das vítimas, com os valores dos depósitos preenchidos automaticamente por meio de variáveis de modelo %sum_verif%.

Detectada sobreposição de domínios

O domínio inclusivebets.fun aparece tanto no banco de dados da OFEDREX quanto no da Olympus, o que sugere ou uma infraestrutura compartilhada, ou os mesmos operadores administrando vários painéis, ou ainda afiliadas realizando vendas cruzadas entre as plataformas.

Indicadores de comprometimento

DomínioStatus
olympus-panel.ccPainel de Administração
syndicate-casino.comRetirado do ar
inclusivebets.funCompartilhado com a OFEDREX

BitXLucky: O golpe que engana os golpistas

O BitXLucky é a operação mais cínica do nosso arquivo. Desenvolvido com Next.js/NestJS, ele se apresenta como uma plataforma PaaS de cassino que recruta colaboradores — mas os cadastros das vítimas nunca aparecem no painel dos colaboradores. Colaboradores: 0. Todos os cadastros das vítimas são redirecionados discretamente para o operador, excluindo totalmente os afiliados.

Isso é um meta-golpe: uma ferramenta fraudulenta que rouba seus próprios golpistas.

A prova está nos erros de digitação

O painel de administração está repleto de erros ortográficos: “saport” (support), “Warkers” (Workers), “Logi” (Login), “Postsuk” (Postback). Não se trata apenas de erros de digitação — são indícios de uma ferramenta fraudulenta criada às pressas por pessoas cujo português não é a língua materna.

Painel do trabalhador: “Trabalhadores: 0 | Total de depósitos: 0 | Login: saport@bitxlucky”

— Captura de tela do painel de administração do BitXLucky

Infraestrutura exposta

IPs de servidores identificados na configuração: 77.110.103.90 176.46.152.13:3000 77.221.151.196. Ao contrário dos outros painéis, o BitXLucky nem se deu ao trabalho de se esconder atrás do Cloudflare de forma consistente — os endereços IP brutos dos servidores ficavam expostos nas respostas da API.

Proteja-se contra golpes em cassinos

Painel de phishing de cassino falso — interface de administração exposta
Painel de phishing de cassino falso — interface de administração exposta

Nenhum cassino legítimo pede um “depósito de verificação”. Nenhuma plataforma de verdade precisa de endossos de celebridades criados com deepfake. Se você se deparar com alguma dessas plataformas, denuncie imediatamente.

#FakeCasino#GamblingScam#CrimePanel#Investigation#OnlineFraud

Pesquisas relacionadas

Painel do Jogador: Análise Completa da Rede
Uma análise aprofundada da rede do crime organizado que opera mais de 1.200 domínios envolvidos em fraudes em cassinos.
RublevkaTeam: Esquema fraudulento russo do TON desmascarado
Por dentro do esquema de investimento originário do Telegram que tem como alvo usuários russos de criptomoedas.
Kit de ferramentas “Crypto Drainer” é revelado
Como o TRXDrop e o NiceCrypto se aproveitam das conexões com carteiras para roubar criptomoedas.
Steam: Não é o mocinho
Como a plataforma Steam é explorada para golpes de phishing e roubo de contas.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência na íntegra →