Порівняльний аналіз 4 операцій казино за моделлю «Panel-as-a-Service», виявлених завдяки архіву ScamIntelLogs від PhishDestroy. Від 383 підтверджених жертв у понад 30 країнах до мета-афери, яка обкрадає власних шахраїв — кожна панель, кожні облікові дані, кожна брехня викриті.
8 хвилин читання· Оновлено Березень 2026 року· PhishDestroy Intelligence
383 підтверджених жертвиПонад 40 фішингових доменів4 операції, про які стало відомо
0
Підтверджені жертви
30+
Країни, на які спрямована програма
0
Фішингові домени
4
Операції під прицілом
Посібник з шахрайства в казино: як працюють усі 4 схеми
Кожна операція в рамках цього розслідування відбувається за одним і тим самим основним сценарієм: створюється фейкове казино або платформа для спортивних ставок, через Telegram вербуються «працівники» (партнери), жертв заманюють обіцянками безкоштовних бонусів, а потім заманюють у пастку за допомогою обов’язкового «депозиту для верифікації», який неможливо зняти. Гроші жертви розподіляються між «працівником» та оператором панелі.
Унікальність цього розслідування полягає в тому, що всі чотири операції були збережені в архіві ScamIntelLogs від PhishDestroy — разом із внутрішніми чатами Telegram, дампами адміністративної панелі, файлами конфігурації, базами даних жертв та вихідним кодом. Кожне з наведених нижче тверджень підкріплене первинними доказами.
Спільна ДНК
Усі чотири групи мають такі спільні риси: захист від Cloudflare, російськомовні оператори, набір персоналу через Telegram, шахрайська схема з «депозитом для підтвердження», шаблонні змінні, такі як %sum_verif% щодо сум депозитів та доменів, що перетинаються (inclusivebets.fun фігурує як у «ОФЕДРЕКС», так і в «Олімпісі»).
Операція «OFEDREX»: 383 жертви у понад 30 країнах
OFEDREX, також відомий як WinSystems і TheProject Casino, є найбільш детально задокументованою операцією в рамках цього розслідування. Повний злив адміністративної бази даних виявив 383 окремих жертв у понад 30 країнах, серед яких Індія посідає перше місце з часткою 20,1 %.
383
Підтверджені жертви
22
Фішингові домени
20.1%
З Індії
30+
Країни, що постраждали
У рамках цієї акції використовувалися промокоди для відстеження ефективності партнерської програми. Код «МРІЯ» лише це призвело до 115 жертв. Код «LRX774» в результаті чого загинуло 61 особа.
У файлах конфігурації виявлено викрадені облікові дані: Електронна пошта: lancerbuy777@project.com Пароль: holabol1337 Ключове слово для супер-облікового запису: ximerawork
— Дамп налаштувань адміністратора OFEDREX
Режим налагодження залишається увімкненим
Весь бекенд Laravel на PHP працював із APP_DEBUG=true у виробничому середовищі, розкриваючи повні стеки викликів, запити до бази даних та внутрішні шляхи кожному, хто спричинив помилку. Це аматорський підхід до безпеки, який багато що говорить про рівень кваліфікації операторів.
Ознаки компрометації
Домен
Статус
winsystems-lp.site
Знято
inclusivebets.fun
Активний
luckypeak.pro
Знято
betmax-official.com
Знято
LuxardGambling: «Діпфейки» зірок та жертви «Мамонта»
LuxardGambling працює за моделлю «Panel-as-a-Service» (PaaS), виплачуючи виконавцям 70 % комісії. Ця платформа вирізняється використанням діпфейків із зображеннями знаменитостей у промислових масштабах, а також своїм відверто опублікованим посібником, розміщеним на GitBook.
У рамках цієї операції використовуються «діпфейки» щонайменше 12 знаменитостей, серед яких Ілон Маск, MrBeast, Джейк Пол, Неймар та інші, для створення фейкових рекламних відео. Результати спортивних змагань завищуються на +35 %, щоб створити ілюзію «гарантованих перемог» — вигадана букмекерська контора під назвою «Crazy Odds» з неможливими коефіцієнтами.
«Жертва (мамонт) бачить завищені коефіцієнти й вірить, що вони дозволяють передбачити результати. Як тільки вона вносить суму для підтвердження, вона вже ніколи не зможе її зняти. Гроші течуть нагору».
— Документація LuxardGambling на GitBook
Фабрика діпфейків
Понад 12 фейкових відео із зірками, серед яких Ілон Маск, MrBeast, Джейк Пол, Неймар і Тревіс Скотт. Жертвам спочатку показують підроблені рекламні ролики, а потім перенаправляють на платформу.
Полювання на мамонтів
Працівники називають жертв «мамонтами» (мамонт). Повний Pipeline торгівлі людьми: фейкове оголошення → відео з використанням технології «діпфейк» → реєстрація → депозит для підтвердження → блокування виведення коштів.
Схема шахрайської схеми в казино: від відволікання уваги та реклами за участю знаменитостей до обробки платежів і жертви
Панельна дискусія «Olympus»: Пастка штучного інтелекту в чат-ботах
«Olympus Panel» (Syndicate Casino) розгорнуто на 16 доменах через центральну панель адміністрування за адресою olympus-panel.cc. Його відмінна риса — «Аліса», чат-бот на базі штучного інтелекту, розгорнутий на кожному екземплярі казино, щоб залучати жертв до розмови в режимі реального часу та схиляти їх до внесення мінімального верифікаційного депозиту в розмірі 50 доларів.
Працівники отримують 70% комісії. Зливи HTML-коду з адміністративної панелі демонструють повне відстеження жертв, причому суми депозитів автоматично заповнюються за допомогою змінної шаблону %sum_verif%.
Виявлено перекриття доменів
Домен inclusivebets.fun фігурує ОДНОЧАСНО в базах даних OFEDREX та Olympus, що свідчить або про спільну інфраструктуру, або про те, що одні й ті самі оператори керують кількома панелями, або про афілійовані компанії, які здійснюють перехресні продажі між платформами.
Ознаки компрометації
Домен
Статус
olympus-panel.cc
Панель адміністратора
syndicate-casino.com
Знято
inclusivebets.fun
Поділився з OFEDREX
BitXLucky: шахрайство, яке обманює шахраїв
BitXLucky — це найцинічніша схема в нашому архіві. Створена на базі Next.js/NestJS, вона позиціонує себе як платформа PaaS для казино, що набирає працівників, — проте реєстраційні дані жертв ніколи не з’являються в панелі працівників. Кількість працівників: 0. Кожна реєстрація жертви непомітно перенаправляється до оператора, повністю виключаючи партнерів із ланцюжка.
Це — мета-афера: шахрайський інструмент, який обкрадає власних шахраїв.
Доказ — у помилках
Адміністративна панель рясніє орфографічними помилками: «saport» (support), «Warkers» (Workers), «Logi» (Login), «Postsuk» (Postback). Це не просто друкарські помилки — це сліди поспішно створеного шахрайського інструменту, розробленого людьми, для яких ця мова не є рідною.
Панель управління працівника: «Працівники: 0 | Загальна кількість депозитів: 0 | Логін: saport@bitxlucky»
— Знімок екрана панелі адміністратора BitXLucky
Відкрита інфраструктура
IP-адреси серверів, виявлені в конфігурації: 77.110.103.90176.46.152.13:300077.221.151.196. На відміну від інших панелей, BitXLucky навіть не намагалася постійно ховатися за Cloudflare — у відповідях API були відкриті IP-адреси серверів.
Фейкова фішингова панель казино — оприлюднено адміністративний інтерфейс
Жодне легальне казино не вимагає «депозиту для підтвердження». Жодна справжня платформа не потребує реклами за участю знаменитостей, створеної за допомогою технології «діпфейк». Якщо ви натрапите на будь-яку з таких платформ — негайно повідомте про це.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →