PhishDestroy’un ScamIntelLogs arşivinde tespit edilen 4 “Panel-as-a-Service” dolandırıcılık operasyonunun karşılaştırmalı analizi. 30’dan fazla ülkeden 383 doğrulanmış mağdurdan, kendi dolandırıcılarından bile para çalan bir meta-dolandırıcılığa kadar — her panel, her kimlik bilgisi, her yalan ortaya çıkarıldı.
Okuma süresi: 8 dakika· Güncellendi Mart 2026· PhishDestroy İstihbarat
383 Doğrulanmış Mağdur40'tan fazla kimlik avı alan adı4 Operasyon Ortaya Çıktı
0
Doğrulanmış Mağdurlar
30+
Hedef Ülkeler
0
Kimlik Avı Alan Adları
4
Operasyonlar Ortaya Çıktı
Kumarhane Dolandırıcılığı El Kitabı: 4 Panelin Hepsi Nasıl Çalışıyor?
Bu soruşturmadaki her operasyon aynı temel senaryoyu izliyor: sahte bir kumarhane veya spor bahis platformu kurmak, Telegram üzerinden “çalışanlar” (ortaklar) bulmak, kurbanları ücretsiz bonus vaatleriyle cezbetmek ve ardından asla çekilemeyen zorunlu bir “doğrulama yatırımı” ile tuzağa düşürmek. Kurbanın parası, işçi ile panel operatörü arasında paylaştırılır.
Bu soruşturmayı benzersiz kılan şey, dört operasyonun tamamının PhishDestroy’un ScamIntelLogs arşivinde saklanmış olmasıdır — iç Telegram sohbetleri, yönetici paneli verileri, yapılandırma dosyaları, mağdur veritabanları ve kaynak koduyla birlikte. Aşağıdaki her iddia, birincil kanıtlarla desteklenmektedir.
Ortak DNA
Dört panelin hepsinde ortak olan özellikler şunlardır: Cloudflare koruması, Rusça konuşan operatörler, Telegram üzerinden üye alımı, “doğrulama depozitosu” dolandırıcılık modeli, şunun gibi şablon değişkenleri: %sum_verif% mevduat tutarları ve çakışan alan adları (inclusivebets.fun (hem OFEDREX’te hem de Olympus’ta yer almaktadır).
OFEDREX Operasyonu: 30’dan Fazla Ülkede 383 Mağdur
WinSystems ve TheProject Casino olarak da bilinen OFEDREX, bu soruşturmada en kapsamlı şekilde belgelenen operasyonudur. Yönetici veritabanının tam bir dökümü, 30’dan fazla ülkede 383 ayrı mağdurun varlığını ortaya çıkardı; bu mağdurların %20,1’i Hindistan’dandır.
383
Doğrulanmış Mağdurlar
22
Kimlik Avı Alan Adları
20.1%
Hindistan’dan
30+
Etkilenen Ülkeler
Bu işlemde, bağlı kuruluşların performansını izlemek için promosyon kodları kullanıldı. Kod "DREAM" tek başına 115 kurbanı ortaya çıkardı. Kod "LRX774" 61 kişinin hayatını kaybetmesine neden oldu.
Yapılandırma dosyalarında sızdırılmış kimlik bilgileri bulundu: E-posta: lancerbuy777@project.com Şifre: holabol1337 Süper hesap anahtar kelimesi: ximerawork
— OFEDREX yönetici yapı ayarları dökümü
Hata Ayıklama Modu Etkin Bırakıldı
Laravel PHP arka ucunun tamamı şu şekilde çalışıyordu: APP_DEBUG=true Üretim ortamında, bir hatayı tetikleyen herkese tam yığın izlerini, veritabanı sorgularını ve dahili yolları ifşa ediyor. Bu, operatörlerin beceri düzeyiyle ilgili her şeyi ortaya koyan, amatörce bir güvenlik yaklaşımıdır.
Güvenlik İhlali Göstergeleri
Etki Alanı
Durum
winsystems-lp.site
Kaldırıldı
inclusivebets.fun
Etkin
luckypeak.pro
Kaldırıldı
betmax-official.com
Kaldırıldı
LuxardGambling: Ünlülerin Deepfake Videoları ve “Mammoth” Mağdurları
LuxardGambling, çalışanlara %70 komisyon veren bir Panel-as-a-Service (PaaS) platformu olarak faaliyet göstermektedir. Bu platformu diğerlerinden ayıran özellik, ünlü kişilerin deepfake görüntülerinin endüstriyel ölçekte kullanılması ve GitBook’ta yayınlanan, açıkça belgelenmiş strateji kılavuzudur.
Bu operasyon, Elon Musk, MrBeast, Jake Paul, Neymar ve diğerleri dahil olmak üzere en az 12 ünlünün deepfake videolarını kullanarak sahte tanıtım videoları oluşturuyor. Spor sonuçları, “garantili galibiyet” yanılsaması yaratmak için %35 oranında şişiriliyor — imkansız oranlar sunan “Crazy Odds” adlı hayali bir bahis sitesi.
"Mağdur (mamut), şişirilmiş katsayıları görüyor ve bunların sonuçları tahmin edebileceğine inanıyor. Doğrulama tutarını yatırdıktan sonra, bir daha asla para çekemiyor. Para yukarı doğru akıyor."
— LuxardGambling GitBook belgeleri
Deepfake Fabrikası
Elon Musk, MrBeast, Jake Paul, Neymar ve Travis Scott’ın da aralarında bulunduğu 12’den fazla ünlünün deepfake videoları. Mağdurlara, platforma yönlendirilmeden önce sahte tanıtım videoları gösteriliyor.
Mamut Avcılığı
Çalışanlar kurbanlara “mamut” (мамонт) diyor. İnsan ticareti Pipeline’inin tüm aşamaları: sahte ilan → deepfake video → kayıt → doğrulama yatırımı → para çekme engeli.
Kumarhane dolandırıcılığı Pipeline akış şeması: kaynak saptırma ve ünlülerin desteğinden ödeme işlemlerine ve mağdura kadar
Olympus Paneli: Yapay Zeka Sohbet Robotu Tuzağı
Olympus Panel (Syndicate Casino), merkezi bir yönetim panelinden 16 etki alanına yayılmış durumda: olympus-panel.cc. En belirgin özelliği: “Alice” adlı, yapay zeka destekli bir sohbet robotu; bu robot, her kumarhane sunucusunda devreye alınarak kurbanlarla gerçek zamanlı sohbet kuruyor ve onları 50 dolarlık minimum doğrulama yatırımı yapmaya yönlendiriyor.
Çalışanlar %70 komisyon alıyor. Yönetici panelindeki HTML çıktıları, şablon değişkeni kullanılarak otomatik olarak doldurulan para yatırma tutarlarıyla birlikte kurbanların tam takibini gösteriyor. %sum_verif%.
Etki Alanı Çakışması Tespit Edildi
Alan adı inclusivebets.fun hem OFEDREX hem de Olympus veritabanlarında yer almaktadır; bu durum, ya ortak bir altyapı olduğunu, ya da aynı operatörlerin birden fazla paneli yönettiğini ya da platformlar arasında çapraz satış yapan bağlı kuruluşların varlığını akla getirmektedir.
BitXLucky, arşivimizdeki en aldatıcı işletmedir. Next.js/NestJS üzerine kurulu olan bu platform, çalışanları işe alan bir kumarhane PaaS platformu gibi görünse de, mağdurların kayıtları hiçbir zaman çalışan panelinde görünmez. Çalışan sayısı: 0. Mağdurların her birinin kaydı, hiçbir uyarıda bulunulmadan operatöre yönlendirilir ve bu sayede ortaklar tamamen devre dışı bırakılır.
Bu bir meta-dolandırıcılık: kendi dolandırıcılarından para çalan bir dolandırıcılık aracı.
Kanıt, Yazım Hatalarında Gizlidir
Yönetici paneli yazım hatalarıyla dolu: "saport" (destek), "Warkers" (çalışanlar), "Logi" (giriş), "Postsuk" (geri gönderme). Bunlar sadece yazım hataları değil — ana dili İngilizce olmayan kişiler tarafından aceleyle oluşturulmuş bir dolandırıcılık aracının izleri.
İşçi Panosu: "İşçiler: 0 | Toplam Para Yatırma: 0 | Giriş: saport@bitxlucky"
— BitXLucky yönetici paneli ekran görüntüsü
Açığa Çıkan Altyapı
Yapılandırmada tespit edilen sunucu IP adresleri: 77.110.103.90176.46.152.13:300077.221.151.196. Diğer panellerin aksine, BitXLucky Cloudflare’in arkasına tutarlı bir şekilde saklanma zahmetine bile girmedi — API yanıtlarında ham sunucu IP adresleri açıkta kalmıştı.
Sahte kumarhane kimlik avı paneli — yönetici arayüzü açığa çıktı
Hiçbir meşru kumarhane “doğrulama yatırımı” talep etmez. Hiçbir gerçek platform, deepfake ünlülerin reklamlarına ihtiyaç duymaz. Bu tür platformlardan herhangi biriyle karşılaşırsanız — derhal bildirin.
Şeffaflık bildirimi. PhishDestroy, ticari amaç gütmeyen, bağımsız bir projedir. Araştırmalarımız, dolandırıcılık altyapısına ve bunu mümkün kılan hizmetlere karşı içsel bir önyargı yansıtıyor olabilir. Okuyucularımızı, tüm materyalleri eleştirel ve bağımsız bir şekilde değerlendirmeye davet ediyoruz. Şeffaflık beyanımızın tamamını okuyun →