返回新闻

ScamIntelLogs 调查

虚假赌场泛滥:从内部揭露4个诈骗团伙

通过PhishDestroy的ScamIntelLogs档案库发现的4个“Panel-as-a-Service”赌场诈骗项目的比较分析。从遍布30多个国家的383名经核实的受害者,到一种连自身诈骗者都会被盗的元诈骗——每个诈骗平台、每组凭证、每个谎言都被彻底揭露。

虚假赌场网络钓鱼活动——管理后台遭泄露
383名经核实的受害者40多个网络钓鱼域名4项行动曝光
假赌场面板被曝光
0
经核实的受害者
30+
目标国家
0
网络钓鱼域名
4
《行动内幕》

《赌场诈骗指南:四大团伙的运作方式》

此次调查中的每起案件都遵循着相同的核心套路:建立一个虚假的赌场或体育博彩平台,通过Telegram招募“工作人员”(联盟会员),以免费奖金为诱饵吸引受害者,随后通过强制性的“验证存款”将他们套牢,而这笔钱永远无法提取。 受害者的资金由“工作人员”和平台运营商瓜分。

此次调查的独特之处在于,这四起行动的全部资料均被保存在PhishDestroy的ScamIntelLogs档案中——其中完整包含了Telegram内部聊天记录、管理面板数据导出、配置文件、受害者数据库以及源代码。下文中的每一项说法都有直接证据作为支撑。

共同的DNA

这四个团伙都有以下共同点:Cloudflare 保护、讲俄语的运营人员、通过 Telegram 招募成员、“验证押金”诈骗模式,以及诸如 %sum_verif% 关于存款金额以及域名重叠的情况(inclusivebets.fun (同时出现在 OFEDREX 和 Olympus 中)。

“OFEDREX”行动:30多个国家共383名受害者

OFEDREX(又名 WinSystems 和 TheProject Casino)是本次调查中记录最详尽的犯罪团伙。一份完整的管理员数据库备份显示,受害者共383人,分布于30多个国家,其中印度占比最高,达20.1%。

383
经核实的受害者
22
网络钓鱼域名
20.1%
来自印度
30+
受影响的国家

该活动利用促销代码来追踪联盟营销的绩效。代码 “DREAM” 仅此一项就抓获了115名受害者。代码 “LRX774” 造成61人遇难。

在配置文件中发现了泄露的凭据:
电子邮件: lancerbuy777@project.com
密码: holabol1337
超级账号关键词: ximerawork

— OFEDREX 管理员配置导出

调试模式仍处于启用状态

整个 Laravel PHP 后端是在以下环境下运行的: APP_DEBUG=true 在生产环境中,向任何触发错误的用户暴露完整的堆栈跟踪、数据库查询以及内部路径。这种业余水平的安全措施,完全暴露了运维人员的技术水平。

安全事件迹象

域名状态
winsystems-lp.site被撤下
inclusivebets.fun有效
luckypeak.pro被撤下
betmax-official.com被撤下

LuxardGambling:名人深度伪造视频与“猛犸象”受害者

LuxardGambling 作为一种“面板即服务”(PaaS)平台运营,向工作者支付 70% 的佣金。其独特之处在于大规模利用名人深度伪造视频,以及在 GitBook 上公然发布的操作指南。

该骗局利用了至少12位名人的深度伪造视频——包括埃隆·马斯克、MrBeast、杰克·保罗、内马尔等人——来制作虚假的代言视频。体育赛事结果被虚增了35%,以营造“必胜”的假象——一个名为“Crazy Odds”的虚构博彩网站,提供着不可能存在的赔率。

“受害者(大象)看到被虚高的系数,误以为能据此预测结果。一旦存入验证金,就再也无法提现。资金就这样流向了上游。”

— LuxardGambling GitBook 文档

深度伪造工厂

12个以上的名人深度伪造视频,涉及埃隆·马斯克、MrBeast、杰克·保罗、内马尔和特拉维斯·斯科特等。受害者先被展示虚假的代言视频,随后被引导至该平台。

猎杀猛犸象

工作人员将受害者称为“猛犸象”(мамонт)。整个人口贩卖Pipeline如下:虚假广告 → 深度伪造视频 → 注册 → 验证押金 → 提现受阻。

赌场诈骗Pipeline流程图:从资金转移、名人代言到支付处理,最终到达受害者手中
赌场诈骗Pipeline流程图:从资金转移、名人代言到支付处理,最终到达受害者手中

奥林巴斯专题讨论会:AI聊天机器人的陷阱

Olympus Panel(Syndicate Casino)通过位于 olympus-panel.cc. 其显著特点是:“爱丽丝”(Alice)——一个部署在每个赌场实例上的AI驱动聊天机器人,用于与受害者进行实时对话,并引导他们完成最低50美元的验证存款。

工作人员可获得70%的佣金。管理后台的HTML数据导出显示了完整的受害者追踪记录,其中存款金额通过模板变量自动填充。 %sum_verif%.

检测到域名重叠

该域名 inclusivebets.fun 该信息同时出现在 OFEDREX 和 Olympus 两个数据库中,这表明要么是基础设施共享,要么是同一批操作员负责管理多个面板,要么是关联公司正在进行跨平台的交叉销售。

安全事件迹象

域名状态
olympus-panel.cc管理面板
syndicate-casino.com被撤下
inclusivebets.fun已与 OFEDREX 分享

BitXLucky:一个骗骗子的骗局

BitXLucky 是我们档案库中最阴险的骗局。该平台基于 Next.js/NestJS 构建,表面上是一个招募“工人”的赌场 PaaS 平台——但受害者的注册信息从未出现在“工人”面板中。“工人”数量:0。每一位受害者的注册信息都会被悄无声息地重定向至运营商,完全绕过了联盟合作伙伴。

这是一个 元骗局:一种诈骗工具,专门从自己的诈骗者那里行骗。

错别字就是证据

管理面板中错别字比比皆是:“saport”(应为 support)、“Warkers”(应为 Workers)、“Logi”(应为 Login)、“Postsuk”(应为 Postback)。 这些不仅仅是打字错误——它们是非母语者仓促构建的欺诈工具留下的痕迹。

工人仪表盘:“工人:0 | 总存款:0 | 登录:saport@bitxlucky”

— BitXLucky 管理后台截图

暴露的基础设施

在配置中发现的服务器 IP 地址: 77.110.103.90 176.46.152.13:3000 77.221.151.196. 与其他面板不同,BitXLucky 甚至懒得始终如一地隐藏在 Cloudflare 后面——API 响应中暴露了原始服务器 IP 地址。

防范赌场诈骗

虚假赌场钓鱼面板——管理界面遭曝光
虚假赌场钓鱼面板——管理界面遭曝光

没有任何正规的赌场会要求用户进行“验证存款”。没有任何真正的平台需要使用深度伪造的名人代言。如果您遇到此类平台,请立即举报。

#FakeCasino#GamblingScam#CrimePanel#Investigation#OnlineFraud

相关研究

赌徒面板:全面网络分析
深入调查运营着1,200多个赌场诈骗域名的有组织犯罪网络。
RublevkaTeam:俄罗斯TON骗局曝光
深入揭秘针对俄罗斯加密货币用户的Telegram原生投资骗局。
加密货币盗币工具包曝光
TRXDrop 和 NiceCrypto 如何利用钱包连接实施加密货币盗窃。
Steam:并非好人
Steam 平台如何被用于网络钓鱼和盗取账号。
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →