Quay lại trang Tin tức

Cuộc điều tra của ScamIntelLogs

“Đại dịch” sòng bạc giả mạo: 4 nhóm lừa đảo bị vạch trần từ bên trong

Phân tích so sánh về cấu trúc hoạt động của 4 nền tảng “Panel-as-a-Service” lừa đảo được phát hiện thông qua kho lưu trữ ScamIntelLogs của PhishDestroy. Từ 383 nạn nhân đã được xác minh tại hơn 30 quốc gia cho đến một chiêu lừa đảo quy mô lớn thậm chí còn đánh cắp tiền từ chính những kẻ lừa đảo của mình — mọi nền tảng, mọi thông tin đăng nhập, mọi lời dối trá đều bị phơi bày.

Chiến dịch lừa đảo giả mạo sòng bạc — các bảng điều khiển quản trị bị lộ
383 nạn nhân đã được xác minhHơn 40 tên miền lừa đảo4 hoạt động bị phanh phui
Vạch trần các bảng quảng cáo sòng bạc giả mạo
0
Các nạn nhân đã được xác minh
30+
Các quốc gia mục tiêu
0
Các tên miền lừa đảo
4
Những bí mật trong hoạt động

Cẩm nang lừa đảo sòng bạc: Cách thức hoạt động của cả 4 nhóm lừa đảo

Mọi hoạt động trong cuộc điều tra này đều tuân theo cùng một kịch bản cốt lõi: xây dựng một sòng bạc hoặc nền tảng cá cược thể thao giả mạo, tuyển dụng “nhân viên” (đối tác liên kết) qua Telegram, dụ dỗ nạn nhân bằng những lời hứa về tiền thưởng miễn phí, sau đó bẫy họ bằng khoản “tiền gửi xác minh” bắt buộc mà họ không bao giờ có thể rút ra được. Tiền của nạn nhân được chia cho cả người làm việc và nhà điều hành nền tảng.

Điều khiến cuộc điều tra này trở nên đặc biệt là cả bốn chiến dịch này đều đã được lưu trữ trong kho lưu trữ ScamIntelLogs của PhishDestroy — bao gồm đầy đủ các cuộc trò chuyện nội bộ trên Telegram, bản sao lưu bảng điều khiển quản trị, tệp cấu hình, cơ sở dữ liệu nạn nhân và mã nguồn. Mỗi tuyên bố dưới đây đều được chứng minh bằng bằng chứng trực tiếp.

ADN chung

Cả bốn nhóm này đều có những điểm chung sau: tính năng bảo vệ của Cloudflare, đội ngũ vận hành nói tiếng Nga, tuyển dụng qua Telegram, mô hình lừa đảo “tiền đặt cọc xác minh”, các biến mẫu như %sum_verif% đối với số tiền gửi và các tên miền trùng lặp (inclusivebets.fun (xuất hiện trong CẢ hai cuốn OFEDREX và Olympus).

Chiến dịch OFEDREX: 383 nạn nhân tại hơn 30 quốc gia

OFEDREX, còn được biết đến với các tên gọi WinSystems và TheProject Casino, là hoạt động được ghi chép đầy đủ nhất trong cuộc điều tra này. Một bản sao lưu toàn bộ cơ sở dữ liệu quản trị đã tiết lộ có 383 nạn nhân riêng lẻ tại hơn 30 quốc gia, trong đó Ấn Độ chiếm tỷ lệ cao nhất với 20,1%.

383
Các nạn nhân đã được xác minh
22
Các tên miền lừa đảo
20.1%
Từ Ấn Độ
30+
Các quốc gia bị ảnh hưởng

Hoạt động này đã sử dụng mã khuyến mãi để theo dõi hiệu suất của các đối tác liên kết. Mã "DREAM" riêng đã có 115 nạn nhân. Mã "LRX774" đã khiến 61 người trở thành nạn nhân.

Thông tin đăng nhập bị rò rỉ được tìm thấy trong các tệp cấu hình:
Email: lancerbuy777@project.com
Mật khẩu: holabol1337
Từ khóa tài khoản siêu cấp: ximerawork

— Bản sao lưu cấu hình quản trị viên OFEDREX

Chế độ gỡ lỗi vẫn được bật

Toàn bộ phần backend PHP của Laravel đang chạy với APP_DEBUG=true trong môi trường sản xuất, để lộ toàn bộ chuỗi theo dõi, các truy vấn cơ sở dữ liệu và các đường dẫn nội bộ cho bất kỳ ai gây ra lỗi. Đây là cách bảo mật nghiệp dư, cho thấy rõ trình độ chuyên môn của các nhân viên vận hành.

Các dấu hiệu cho thấy hệ thống đã bị xâm nhập

MiềnTình trạng
winsystems-lp.siteBị gỡ xuống
inclusivebets.funHoạt động
luckypeak.proBị gỡ xuống
betmax-official.comBị gỡ xuống

LuxardGambling: Các video deepfake về người nổi tiếng và những nạn nhân “khủng”

LuxardGambling hoạt động dưới mô hình “Panel-as-a-Service” (PaaS) với mức hoa hồng 70% dành cho người lao động. Điểm nổi bật của nền tảng này là việc sử dụng các video deepfake của người nổi tiếng trên quy mô công nghiệp, cùng với “cẩm nang chiến lược” được công khai một cách công khai trên GitBook.

Chiến dịch này sử dụng các video deepfake của ít nhất 12 nhân vật nổi tiếng, bao gồm Elon Musk, MrBeast, Jake Paul, Neymar và những người khác, để tạo ra các video quảng cáo giả mạo. Kết quả thể thao được thổi phồng thêm 35% nhằm tạo ảo giác về những “chiến thắng được đảm bảo” — một nhà cái ảo có tên “Crazy Odds” với tỷ lệ cược phi thực tế.

"Nạn nhân (mammoth) nhìn thấy các hệ số được thổi phồng và tin rằng chúng có thể dự đoán kết quả. Một khi họ nạp số tiền xác minh, họ sẽ không bao giờ rút được nữa. Tiền cứ thế chảy lên trên."

— Tài liệu GitBook của LuxardGambling

Nhà máy Deepfake

Hơn 12 video deepfake của các ngôi sao, bao gồm Elon Musk, MrBeast, Jake Paul, Neymar và Travis Scott. Các nạn nhân được xem những video quảng cáo giả mạo trước khi được chuyển hướng đến nền tảng này.

Săn voi ma mút

Các công nhân gọi các nạn nhân là “voi ma mút” (мамонт). Toàn bộ Pipeline buôn người: quảng cáo giả mạo → video deepfake → đăng ký → khoản tiền đặt cọc xác minh → chặn rút tiền.

Sơ đồ quy trình lừa đảo sòng bạc Pipeline: từ việc đánh lạc hướng và quảng cáo có sự tham gia của người nổi tiếng, qua khâu xử lý thanh toán, cho đến nạn nhân
Sơ đồ quy trình lừa đảo sòng bạc Pipeline: từ việc đánh lạc hướng và quảng cáo có sự tham gia của người nổi tiếng, qua khâu xử lý thanh toán, cho đến nạn nhân

Diễn đàn Olympus: Cái bẫy của chatbot AI

Olympus Panel (Syndicate Casino) được triển khai trên 16 tên miền từ một bảng điều khiển quản trị trung tâm tại olympus-panel.cc. Đặc điểm nổi bật của nó là “Alice” — một chatbot được hỗ trợ bởi trí tuệ nhân tạo (AI), được triển khai trên mọi nền tảng sòng bạc để tương tác với nạn nhân qua các cuộc trò chuyện thời gian thực và hướng dẫn họ thực hiện khoản tiền gửi xác minh tối thiểu 50 đô la.

Người lao động nhận được 70% hoa hồng. Các bản sao HTML từ bảng điều khiển quản trị cho thấy thông tin theo dõi nạn nhân đầy đủ, trong đó số tiền nạp được tự động điền bằng biến mẫu. %sum_verif%.

Phát hiện sự trùng lặp tên miền

Tên miền inclusivebets.fun xuất hiện trong CẢ hai cơ sở dữ liệu OFEDREX và Olympus, cho thấy có thể là do sử dụng chung cơ sở hạ tầng, cùng một nhóm nhà điều hành vận hành nhiều bảng khảo sát, hoặc các công ty liên kết thực hiện bán chéo giữa các nền tảng.

Các dấu hiệu cho thấy hệ thống đã bị xâm nhập

MiềnTình trạng
olympus-panel.ccBảng điều khiển quản trị
syndicate-casino.comBị gỡ xuống
inclusivebets.funĐã chia sẻ với OFEDREX

BitXLucky: Chiêu lừa đảo lừa cả những kẻ lừa đảo

BitXLucky là hoạt động lừa đảo trắng trợn nhất trong kho lưu trữ của chúng tôi. Được xây dựng trên nền tảng Next.js/NestJS, nó tự xưng là một nền tảng PaaS dành cho sòng bạc đang tuyển dụng người làm việc — nhưng các tài khoản đăng ký của nạn nhân không bao giờ xuất hiện trên bảng điều khiển dành cho người làm việc. Số lượng người làm việc: 0. Mọi tài khoản đăng ký của nạn nhân đều bị chuyển hướng âm thầm đến nhà điều hành, loại bỏ hoàn toàn các đối tác liên kết.

Đây là một lừa đảo cấp cao: một công cụ lừa đảo chuyên ăn cắp tiền từ chính những kẻ lừa đảo của nó.

Chính những lỗi chính tả mới là bằng chứng

Bảng điều khiển quản trị đầy rẫy lỗi chính tả: "saport" (support), "Warkers" (Workers), "Logi" (Login), "Postsuk" (Postback). Đây không chỉ là những lỗi đánh máy — chúng là dấu vết của một công cụ lừa đảo được xây dựng vội vàng bởi những người không phải là người bản ngữ.

Bảng điều khiển người lao động: "Số người lao động: 0 | Tổng số tiền gửi: 0 | Đăng nhập: saport@bitxlucky"

— Ảnh chụp màn hình bảng điều khiển quản trị BitXLucky

Cơ sở hạ tầng lộ thiên

Các địa chỉ IP máy chủ được phát hiện trong cấu hình: 77.110.103.90 176.46.152.13:3000 77.221.151.196. Khác với các nền tảng khác, BitXLucky thậm chí còn không thèm che giấu địa chỉ IP máy chủ của mình một cách nhất quán thông qua Cloudflare — các địa chỉ IP máy chủ thô đã bị lộ trong các phản hồi API.

Hãy tự bảo vệ mình khỏi các chiêu lừa đảo tại sòng bạc

Bảng điều khiển lừa đảo sòng bạc giả mạo — giao diện quản trị bị lộ
Bảng điều khiển lừa đảo sòng bạc giả mạo — giao diện quản trị bị lộ

Không có sòng bạc hợp pháp nào yêu cầu “khoản tiền gửi xác minh”. Không có nền tảng uy tín nào cần đến những lời chứng thực giả mạo bằng công nghệ deepfake của người nổi tiếng. Nếu bạn phát hiện bất kỳ nền tảng nào như vậy — hãy báo cáo ngay lập tức.

#FakeCasino#GamblingScam#CrimePanel#Investigation#OnlineFraud

Các nghiên cứu liên quan

Bảng điều khiển người chơi: Phân tích mạng toàn diện
Khám phá sâu rộng về mạng lưới tội phạm có tổ chức đang vận hành hơn 1.200 tên miền lừa đảo liên quan đến sòng bạc.
RublevkaTeam: Vụ lừa đảo TON tại Nga bị phanh phui
Bên trong vụ lừa đảo đầu tư ngay trên nền tảng Telegram nhắm vào người dùng tiền điện tử Nga.
Bộ công cụ “Crypto Drainer” bị phanh phui
Cách TRXDrop và NiceCrypto lợi dụng các kết nối ví để đánh cắp tiền điện tử.
Steam: Không phải là người tốt
Cách nền tảng Steam bị lợi dụng để thực hiện các hành vi lừa đảo và đánh cắp tài khoản.
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →