TÀI KHOẢN BÓNG TỐI & CỬA HÀNG ỨNG DỤNG GIẢ MẠO: Chu Kỳ Trộm Cắp Danh Tính Chết Người của Galaktika N.V. Được Phanh Phui

Một vụ leo thang nghiêm trọng trong vụ gian lận của Galaktika N.V. cho thấy dữ liệu KYC bị đánh cắp đang được sử dụng để tạo tài khoản "Shadow Skrill". Nạn nhân bị lừa qua giao diện Google Play Store giả mạo để tải xuống các APK độc hại, trong khi danh tính của họ được rửa sạch thông qua mạng lưới các công ty bình phong bao gồm Cyperion Solutions và Novaforge.

Đọc báo cáo ban đầu của chúng tôi về Cyperion và NGPayments tại đây.

Phân tích: Cấu trúc gian lận "Hai mặt"

Bằng chứng mới nhất do một người chơi cung cấp cho thấy mức độ tinh vi vượt xa cờ bạc trái phép đơn thuần để trở thành tội phạm mạng có tổ chức. "Chiến dịch Galaktika" hiện cho thấy chu kỳ hai giai đoạn rõ ràng: Thu thập dữ liệu và Chiếm đoạt tài chính. Theo trang web, Slotoro.bet thuộc sở hữu và vận hành bởi Wiraon B.V., Curaçao, trong khi thanh toán được quản lý bởi Briantie Limited.

1. Bẫy phần mềm độc hại "Play Store giả mạo" Cuộc điều tra xác nhận rằng các thương hiệu như Boomerang-Bet và Slotoro đang sử dụng huy hiệu "Tải về trên Google Play" giả mạo. Thay vì Play Store an toàn, người dùng bị chuyển hướng để tải xuống tệp .apk thô.

• Phần mềm độc hại: Các tệp này được thiết kế để vượt qua bảo mật thiết bị nhằm thu thập mã SMS (cho 2FA) và các tệp cá nhân.
• Lừa đảo xác minh: "Xác minh bắt buộc" là bình phong cho hành vi đánh cắp danh tính. Khi nạn nhân tải lên hộ chiếu của họ, dữ liệu ngay lập tức được bán hoặc tái sử dụng trong mạng lưới.

2. Hiện tượng "Shadow Skrill" Phát hiện đáng báo động nhất là sự khác biệt giữa sao kê ngân hàng của người chơi và lịch sử Skrill chính thức của họ.

• Cơ chế: Nạn nhân nhận được email xác nhận Skrill "chính thức", nhưng lịch sử ứng dụng của họ hiển thị "Không tìm thấy dữ liệu."
• Giải thích: Điều này xác nhận rằng các đối tượng đang sử dụng thông tin thẻ của nạn nhân trên tài khoản Skrill bên thứ ba (tài khoản "trung gian"). Bằng cách sử dụng một tài khoản khác, họ đảm bảo nạn nhân không thể dễ dàng hoàn tiền giao dịch thông qua giao diện Skrill, trong khi vẫn sử dụng thương hiệu "sạch" của Skrill để xoa dịu ngân hàng của nạn nhân.

3. Bằng chứng gian lận xác thực về việc rửa danh tính Nhật ký hỗ trợ từ beef.casino cung cấp "bằng chứng cụ thể." Việc thấy tài khoản thanh toán cá nhân được liên kết với các địa chỉ đáng ngờ như [email protected] và [email protected] chứng minh rằng hệ sinh thái Galaktika N.V. vận hành một cơ sở dữ liệu chia sẻ các danh tính bị đánh cắp. Những danh tính này có thể được sử dụng để:

• Vượt qua quy tắc "một tài khoản cho mỗi người" để lạm dụng phần thưởng.
• Phân lớp giao dịch để ẩn khối lượng tiền chảy đến các tổ chức ngoài khơi.

Giải thích về tài khoản Shadow Skrill

Dựa trên tài liệu do người chơi cung cấp, sự tồn tại của các tài khoản "Shadow Skrill" (tài khoản Skrill trái phép được tạo bằng danh tính bị đánh cắp để xử lý thẻ bên thứ ba) đã vượt ra ngoài giả thuyết làm việc và là một sự thật được ghi nhận trong trường hợp cụ thể này.

Tính chắc chắn của tuyên bố này được hỗ trợ bởi ba bằng chứng chính được tìm thấy trong hồ sơ của người chơi:

• Sự khác biệt giao dịch: Người chơi cung cấp email xác nhận giao dịch chính thức từ [email protected] cho các khoản thanh toán tổng cộng hàng trăm euro cho các tổ chức như Cyperion Solutions Limited và Briantie Limited. Tuy nhiên, ứng dụng Skrill chính thức và lịch sử web của người chơi hiển thị "Không tìm thấy dữ liệu" hoặc không có hồ sơ về các giao dịch này. Điều này xác nhận rằng trong khi thẻ của người chơi bị tính phí qua cơ sở hạ tầng của Skrill, nó không được xử lý qua tài khoản Skrill cá nhân của họ.
• Bằng chứng gian lận trực tiếp về chiếm đoạt danh tính: Bằng chứng từ khu vực hỗ trợ của beef.casino (một thương hiệu liên kết) cho thấy hồ sơ thanh toán nội bộ của người chơi được liên kết với nhiều địa chỉ email bên thứ ba trái phép, chẳng hạn như [email protected], [email protected] và [email protected]. Đây là bằng chứng gian lận xác thực cho thấy dữ liệu KYC (Xác minh tên thật) và thông tin thanh toán của họ đang được người vận hành sử dụng để quản lý mạng lưới các tài khoản "trung gian".
• Đường ray "NGPayments" / "Paygate": Tài liệu cho thấy các khoản thanh toán được định tuyến qua các công cụ kỹ thuật được dán nhãn NGPayments và Paygate. Các cổng này hoạt động như cầu nối cho phép các tài khoản gian lận giao tiếp với các bộ xử lý được quản lý như Skrill và Paysafe trong khi sử dụng các mô tả gây hiểu lầm như "SKR*Skrill.com" trên sao kê ngân hàng để xoa dịu ngân hàng của nạn nhân.

Tài liệu chứng minh việc cố ý vượt qua tài khoản Skrill của chính người chơi. Bằng cách sử dụng dữ liệu danh tính bị đánh cắp thu thập thông qua các tệp APK độc hại (ngụy trang thành ứng dụng Google Play), các đối tượng đã thành công tạo ra một cấu trúc tài chính song song nơi họ kiểm soát cả tài khoản "người chơi" và thực thể "thương gia", khiến nạn nhân không có biện pháp khắc phục thông qua các kênh bảo vệ người tiêu dùng tiêu chuẩn.

Đường ray thanh toán: Lập bản đồ các công ty bình phong

Dòng giao dịch sử dụng dàn "Đại lý thanh toán" luân chuyển để đi trước danh sách đen của ngân hàng. Các nút hoạt động hiện tại trong mạng lưới này bao gồm:

• Cyperion Solutions Limited: (Anh/Síp) Kênh chính cho "NGPayments."
• Novaforge Limited / Briantie Limited: Các công ty bình phong phụ được sử dụng khi tài khoản chính bị hạn chế.
• Paygate: Tổng đài kỹ thuật cho các giao dịch này.

Kết luận & Cảnh báo quy định

Vụ việc này chứng minh rằng Paysafe (Skrill/Rapid Transfer) có lỗ hổng nghiêm trọng: cơ sở hạ tầng của họ đang được sử dụng để tạo điều kiện xử lý "tài khoản trái phép". Các cơ quan quản lý như FCA và CySEC phải điều tra lý do tại sao các tài khoản thương gia cho "các công ty tư vấn" như Cyperion Solutions được phép xử lý thẻ bên thứ ba mà không khớp với danh tính chủ tài khoản.

Lời kêu gọi hành động cho người tố giác: Bạn có phải là nạn nhân của mạng lưới Galaktika N.V. không? Bạn có tìm thấy danh tính của mình được sử dụng trên các email trái phép không? Vui lòng gửi bằng chứng của bạn đến Whistle42. Chúng tôi đặc biệt tìm kiếm các thông tin liên lạc nội bộ từ các nhóm liên kết "V.Partners" hoặc "Galaktika".