Назад до новин

Розслідування ScamIntelLogs

Епідемія фейкових казино: 4 шахрайські платформи, викриті зсередини

Порівняльний аналіз 4 операцій казино за моделлю «Panel-as-a-Service», виявлених завдяки архіву ScamIntelLogs від PhishDestroy. Від 383 підтверджених жертв у понад 30 країнах до мета-афери, яка обкрадає власних шахраїв — кожна панель, кожні облікові дані, кожна брехня викриті.

Фішингова операція під виглядом казино — оприлюднено дані адміністративних панелей
383 підтверджених жертвиПонад 40 фішингових доменів4 операції, про які стало відомо
Викрито фейкові казино-панелі
0
Підтверджені жертви
30+
Країни, на які спрямована програма
0
Фішингові домени
4
Операції під прицілом

Посібник з шахрайства в казино: як працюють усі 4 схеми

Кожна операція в рамках цього розслідування відбувається за одним і тим самим основним сценарієм: створюється фейкове казино або платформа для спортивних ставок, через Telegram вербуються «працівники» (партнери), жертв заманюють обіцянками безкоштовних бонусів, а потім заманюють у пастку за допомогою обов’язкового «депозиту для верифікації», який неможливо зняти. Гроші жертви розподіляються між «працівником» та оператором панелі.

Унікальність цього розслідування полягає в тому, що всі чотири операції були збережені в архіві ScamIntelLogs від PhishDestroy — разом із внутрішніми чатами Telegram, дампами адміністративної панелі, файлами конфігурації, базами даних жертв та вихідним кодом. Кожне з наведених нижче тверджень підкріплене первинними доказами.

Спільна ДНК

Усі чотири групи мають такі спільні риси: захист від Cloudflare, російськомовні оператори, набір персоналу через Telegram, шахрайська схема з «депозитом для підтвердження», шаблонні змінні, такі як %sum_verif% щодо сум депозитів та доменів, що перетинаються (inclusivebets.fun фігурує як у «ОФЕДРЕКС», так і в «Олімпісі»).

Операція «OFEDREX»: 383 жертви у понад 30 країнах

OFEDREX, також відомий як WinSystems і TheProject Casino, є найбільш детально задокументованою операцією в рамках цього розслідування. Повний злив адміністративної бази даних виявив 383 окремих жертв у понад 30 країнах, серед яких Індія посідає перше місце з часткою 20,1 %.

383
Підтверджені жертви
22
Фішингові домени
20.1%
З Індії
30+
Країни, що постраждали

У рамках цієї акції використовувалися промокоди для відстеження ефективності партнерської програми. Код «МРІЯ» лише це призвело до 115 жертв. Код «LRX774» в результаті чого загинуло 61 особа.

У файлах конфігурації виявлено викрадені облікові дані:
Електронна пошта: lancerbuy777@project.com
Пароль: holabol1337
Ключове слово для супер-облікового запису: ximerawork

— Дамп налаштувань адміністратора OFEDREX

Режим налагодження залишається увімкненим

Весь бекенд Laravel на PHP працював із APP_DEBUG=true у виробничому середовищі, розкриваючи повні стеки викликів, запити до бази даних та внутрішні шляхи кожному, хто спричинив помилку. Це аматорський підхід до безпеки, який багато що говорить про рівень кваліфікації операторів.

Ознаки компрометації

ДоменСтатус
winsystems-lp.siteЗнято
inclusivebets.funАктивний
luckypeak.proЗнято
betmax-official.comЗнято

LuxardGambling: «Діпфейки» зірок та жертви «Мамонта»

LuxardGambling працює за моделлю «Panel-as-a-Service» (PaaS), виплачуючи виконавцям 70 % комісії. Ця платформа вирізняється використанням діпфейків із зображеннями знаменитостей у промислових масштабах, а також своїм відверто опублікованим посібником, розміщеним на GitBook.

У рамках цієї операції використовуються «діпфейки» щонайменше 12 знаменитостей, серед яких Ілон Маск, MrBeast, Джейк Пол, Неймар та інші, для створення фейкових рекламних відео. Результати спортивних змагань завищуються на +35 %, щоб створити ілюзію «гарантованих перемог» — вигадана букмекерська контора під назвою «Crazy Odds» з неможливими коефіцієнтами.

«Жертва (мамонт) бачить завищені коефіцієнти й вірить, що вони дозволяють передбачити результати. Як тільки вона вносить суму для підтвердження, вона вже ніколи не зможе її зняти. Гроші течуть нагору».

— Документація LuxardGambling на GitBook

Фабрика діпфейків

Понад 12 фейкових відео із зірками, серед яких Ілон Маск, MrBeast, Джейк Пол, Неймар і Тревіс Скотт. Жертвам спочатку показують підроблені рекламні ролики, а потім перенаправляють на платформу.

Полювання на мамонтів

Працівники називають жертв «мамонтами» (мамонт). Повний Pipeline торгівлі людьми: фейкове оголошення → відео з використанням технології «діпфейк» → реєстрація → депозит для підтвердження → блокування виведення коштів.

Схема шахрайської схеми в казино: від відволікання уваги та реклами за участю знаменитостей до обробки платежів і жертви
Схема шахрайської схеми в казино: від відволікання уваги та реклами за участю знаменитостей до обробки платежів і жертви

Панельна дискусія «Olympus»: Пастка штучного інтелекту в чат-ботах

«Olympus Panel» (Syndicate Casino) розгорнуто на 16 доменах через центральну панель адміністрування за адресою olympus-panel.cc. Його відмінна риса — «Аліса», чат-бот на базі штучного інтелекту, розгорнутий на кожному екземплярі казино, щоб залучати жертв до розмови в режимі реального часу та схиляти їх до внесення мінімального верифікаційного депозиту в розмірі 50 доларів.

Працівники отримують 70% комісії. Зливи HTML-коду з адміністративної панелі демонструють повне відстеження жертв, причому суми депозитів автоматично заповнюються за допомогою змінної шаблону %sum_verif%.

Виявлено перекриття доменів

Домен inclusivebets.fun фігурує ОДНОЧАСНО в базах даних OFEDREX та Olympus, що свідчить або про спільну інфраструктуру, або про те, що одні й ті самі оператори керують кількома панелями, або про афілійовані компанії, які здійснюють перехресні продажі між платформами.

Ознаки компрометації

ДоменСтатус
olympus-panel.ccПанель адміністратора
syndicate-casino.comЗнято
inclusivebets.funПоділився з OFEDREX

BitXLucky: шахрайство, яке обманює шахраїв

BitXLucky — це найцинічніша схема в нашому архіві. Створена на базі Next.js/NestJS, вона позиціонує себе як платформа PaaS для казино, що набирає працівників, — проте реєстраційні дані жертв ніколи не з’являються в панелі працівників. Кількість працівників: 0. Кожна реєстрація жертви непомітно перенаправляється до оператора, повністю виключаючи партнерів із ланцюжка.

Це — мета-афера: шахрайський інструмент, який обкрадає власних шахраїв.

Доказ — у помилках

Адміністративна панель рясніє орфографічними помилками: «saport» (support), «Warkers» (Workers), «Logi» (Login), «Postsuk» (Postback). Це не просто друкарські помилки — це сліди поспішно створеного шахрайського інструменту, розробленого людьми, для яких ця мова не є рідною.

Панель управління працівника: «Працівники: 0 | Загальна кількість депозитів: 0 | Логін: saport@bitxlucky»

— Знімок екрана панелі адміністратора BitXLucky

Відкрита інфраструктура

IP-адреси серверів, виявлені в конфігурації: 77.110.103.90 176.46.152.13:3000 77.221.151.196. На відміну від інших панелей, BitXLucky навіть не намагалася постійно ховатися за Cloudflare — у відповідях API були відкриті IP-адреси серверів.

Докази та аналіз джерел інформації

Захистіть себе від шахрайства в казино

Фейкова фішингова панель казино — оприлюднено адміністративний інтерфейс
Фейкова фішингова панель казино — оприлюднено адміністративний інтерфейс

Жодне легальне казино не вимагає «депозиту для підтвердження». Жодна справжня платформа не потребує реклами за участю знаменитостей, створеної за допомогою технології «діпфейк». Якщо ви натрапите на будь-яку з таких платформ — негайно повідомте про це.

#FakeCasino#GamblingScam#CrimePanel#Investigation#OnlineFraud

Пов’язані дослідження

Панель «Гемблер»: повний аналіз мережі
Детальний аналіз мережі організованої злочинності, яка керує понад 1 200 доменами, пов’язаними з шахрайством у сфері казино.
RublevkaTeam: викрито російську аферу з TON
Як влаштована інвестиційна афера, що діє безпосередньо в Telegram і спрямована проти російських користувачів криптовалют.
Викрито набір інструментів «Crypto Drainer»
Як TRXDrop і NiceCrypto використовують підключення до гаманців для крадіжки криптовалюти.
Steam: Не той, хто на боці добра
Як платформа Steam використовується для фішингу та крадіжки облікових записів.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →