SCHADUWACCOUNTS & NEPAPPWINKELS: De Dodelijke Identiteitsdiefstalcyclus van Galaktika N.V. Onthuld

Een massale escalatie in de Galaktika N.V. fraudezaak onthult dat gestolen KYC-gegevens worden gebruikt om "Shadow Skrill"-accounts aan te maken. Slachtoffers worden gelokt via valse Google Play Store-interfaces om kwaadaardige APK's te downloaden, terwijl hun identiteiten worden witgewassen via een netwerk van lege vennootschappen, waaronder Cyperion Solutions en Novaforge.

Lees hier ons eerste rapport over Cyperion en NGPayments.

Analyse: De "Dubbelzijdige" Fraudearchitectuur

Het nieuwste bewijs dat door een speler is verstrekt, onthult een niveau van verfijning dat verder gaat dan eenvoudig gokken zonder vergunning en overgaat in georganiseerde cybercriminaliteit. Het "Galaktika-schema" toont nu een duidelijke tweefasige levenscyclus: Gegevensverzameling en Financiële Kaping. Volgens de website is Slotoro.bet eigendom van en wordt het beheerd door Wiraon B.V., Curaçao, terwijl betalingen worden beheerd door Briantie Limited.

1. De "Valse Play Store" Malware-val Het onderzoek bevestigt dat merken zoals Boomerang-Bet en Slotoro frauduleuze "Installeren via Google Play"-badges gebruiken. In plaats van de beveiligde Play Store worden gebruikers omgeleid om een onbewerkt .apk-bestand te downloaden.

• De Malware: Deze bestanden zijn ontworpen om de apparaatbeveiliging te omzeilen om SMS-codes (voor 2FA) en persoonlijke bestanden te verzamelen.
• De Verificatiefraude: De "verplichte verificatie" is een dekmantel voor identiteitsdiefstal. Zodra het slachtoffer zijn paspoort uploadt, worden de gegevens onmiddellijk verkocht of hergebruikt binnen het netwerk.

2. Het "Shadow Skrill"-fenomeen De meest alarmerende ontdekking is de discrepantie tussen de bankafschriften van de speler en hun officiële Skrill-geschiedenis.

• Het Mechanisme: Het slachtoffer ontvangt "officiële" Skrill-bevestigingsmails, maar hun app-geschiedenis toont "Gegevens niet gevonden."
• De Interpretatie: Dit bevestigt dat de operators de kaartgegevens van het slachtoffer gebruiken op een Skrill-account van derden (een "katvangers"-account). Door een ander account te gebruiken, zorgen ze ervoor dat het slachtoffer de transactie niet gemakkelijk kan terugboeken via de Skrill-interface, terwijl ze nog steeds Skrill's "schone" branding gebruiken om de bank van het slachtoffer gerust te stellen.

3. Definitief Bewijs van Identiteitswitwassing De supportlogboeken van beef.casino leveren een "rokend pistool". Het zien van een persoonlijk factureringsaccount gekoppeld aan verdachte adressen zoals [email protected] en [email protected] bewijst dat het Galaktika N.V.-ecosysteem een gedeelde database van gestolen identiteiten exploiteert. Deze identiteiten worden waarschijnlijk gebruikt om:

• "Eén account per persoon"-regels te omzeilen voor bonusmisbruik.
• Transacties te scheiden om het volume aan geld dat naar offshore-entiteiten vloeit te verbergen.

De Shadow Skrill-accounts Uitgelegd

Op basis van de documentatie die door de speler is verstrekt, is het bestaan van "Shadow Skrill"-accounts (ongeautoriseerde Skrill-accounts aangemaakt met gestolen identiteiten om kaarten van derden te verwerken) voorbij een werkhypothese gegaan en is het een gedocumenteerd feit in deze specifieke zaak.

De zekerheid van deze bewering wordt ondersteund door drie primaire bewijsstukken die in de bestanden van de speler zijn gevonden:

• De Transactiediscrepantie: De speler verstrekte officiële transactiebevestigingsmails van [email protected] voor betalingen van in totaal honderden euro's aan entiteiten zoals Cyperion Solutions Limited en Briantie Limited. De officiële Skrill-app en webgeschiedenis van de speler tonen echter "Gegevens niet gevonden" of geen registratie van deze transacties. Dit bevestigt dat hoewel de kaart van de speler werd belast via de infrastructuur van Skrill, deze niet werd verwerkt via hun persoonlijke Skrill-account.
• Direct Bewijs van Identiteitskaping: Bewijs uit het supportgebied van beef.casino (een geassocieerd merk) toont het interne factureringsprofiel van de speler gekoppeld aan meerdere ongeautoriseerde e-mailadressen van derden, zoals [email protected], [email protected] en [email protected]. Dit is definitief bewijs dat hun KYC (Know Your Customer)-gegevens en betalingsinformatie door de operator worden gebruikt om een netwerk van "katvangers"-accounts te beheren.
• De "NGPayments" / "Paygate"-rail: De documentatie toont aan dat de betalingen werden geleid via technische instrumenten met het label NGPayments en Paygate. Deze gateways fungeren als de brug die de frauduleuze accounts in staat stelt om te communiceren met gereguleerde verwerkers zoals Skrill en Paysafe, terwijl ze misleidende beschrijvingen zoals "SKR*Skrill.com" op bankafschriften gebruiken om de bank van het slachtoffer gerust te stellen.

De documentatie bewijst een opzettelijke omzeiling van het eigen Skrill-account van de speler. Door gestolen identiteitsgegevens te gebruiken die zijn verzameld via kwaadaardige APK-bestanden (vermomde als Google Play-apps), hebben de operators met succes een parallelle financiële structuur gecreëerd waar ze zowel het "speler"-account als de "handelaar"-entiteit controleren, waardoor het slachtoffer geen verhaal heeft via standaard consumentenbeschermingskanalen.

De Betalingsrail: De Lege Vennootschappen in Kaart Brengen

De transactiestroom maakt gebruik van een wisselende groep "Betalingsagenten" om banken met zwarte lijsten voor te blijven. De huidige actieve knooppunten in dit netwerk omvatten:

• Cyperion Solutions Limited: (UK/Cyprus) De primaire doorvoer voor "NGPayments."
• Novaforge Limited / Briantie Limited: Secundaire lege vennootschappen die worden gebruikt wanneer primaire accounts worden beperkt.
• Paygate: De technische centrale voor deze transacties.

Conclusie & Regelgevende Waarschuwing

Deze zaak bewijst dat Paysafe (Skrill/Rapid Transfer) een kritieke kwetsbaarheid heeft: hun infrastructuur wordt gebruikt om "ongeautoriseerde account"-verwerking te faciliteren. Toezichthouders zoals de FCA en CySEC moeten onderzoeken waarom handelsaccounts voor "consultancies" zoals Cyperion Solutions kaarten van derden mogen verwerken zonder dat de identiteit van de accounthouder overeenkomt.

Klokkenluider Oproep tot Actie: Bent u een slachtoffer van het Galaktika N.V.-netwerk? Hebt u uw identiteit gevonden op ongeautoriseerde e-mails? Stuur uw bewijs naar Whistle42. We zijn vooral op zoek naar interne communicatie van de "V.Partners" of "Galaktika" affiliate-teams.