KONTA CIENI I FAŁSZYWE SKLEPY PLAY: Śmiertelny cykl kradzieży tożsamości Galaktika N.V. ujawniony

Masowa eskalacja w sprawie oszustwa Galaktika N.V. ujawnia, że skradzione dane KYC są wykorzystywane do tworzenia kont "Shadow Skrill". Ofiary są zwabiane za pośrednictwem fałszywych interfejsów Google Play Store do pobierania złośliwych plików APK, podczas gdy ich tożsamości są pranie przez sieć firm-przykrywek, w tym Cyperion Solutions i Novaforge.

Przeczytaj nasz wstępny raport na temat Cyperion i NGPayments tutaj.

Analiza: Architektura oszustwa „dwustronnego"

Najnowsze dowody dostarczone przez gracza ujawniają poziom wyrafinowania, który wykracza poza zwykłe nielicencjonowane hazard w kierunku zorganizowanej cyberprzestępczości. „Schemat Galaktika" pokazuje teraz wyraźny dwuetapowy cykl życia: Zbieranie danych i Przejęcie finansowe. Zgodnie ze stroną internetową Slotoro.bet jest własnością i jest zarządzane przez Wiraon B.V., Curaçao, podczas gdy płatności są zarządzane przez Briantie Limited.

1. Pułapka złośliwego oprogramowania „Fałszywy Play Store" Śledztwo potwierdza, że marki takie jak Boomerang-Bet i Slotoro używają fałszywych odznak „Pobierz z Google Play". Zamiast bezpiecznego Play Store, użytkownicy są przekierowywani do pobrania surowego pliku .apk.

• Złośliwe oprogramowanie: Te pliki są zaprojektowane, aby ominąć zabezpieczenia urządzenia w celu zbierania kodów SMS (dla 2FA) i plików osobistych.
• Oszustwo weryfikacyjne: „Obowiązkowa weryfikacja" jest przykrywką dla kradzieży tożsamości. Gdy ofiara przesyła swój paszport, dane są natychmiast sprzedawane lub ponownie wykorzystywane w sieci.

2. Zjawisko „Shadow Skrill" Najbardziej alarmującym odkryciem jest rozbieżność między wyciągami bankowymi gracza a jego oficjalną historią Skrill.

• Mechanizm: Ofiara otrzymuje „oficjalne" e-maile z potwierdzeniem Skrill, ale historia aplikacji pokazuje „Nie znaleziono danych".
• Interpretacja: Potwierdza to, że operatorzy używają danych karty ofiary na koncie Skrill strony trzeciej (konto „mułu"). Używając innego konta, zapewniają, że ofiara nie może łatwo dokonać zwrotu transakcji za pośrednictwem interfejsu Skrill, jednocześnie nadal używając „czystego" brandingu Skrill, aby uspokoić bank ofiary.

3. Ostateczny dowód prania tożsamości Logi wsparcia z beef.casino dostarczają „dymnego pistoletu". Zobaczenie osobistego konta rozliczeniowego powiązanego z podejrzanymi adresami takimi jak [email protected] i [email protected] dowodzi, że ekosystem Galaktika N.V. zarządza wspólną bazą danych skradzionych tożsamości. Te tożsamości są prawdopodobnie wykorzystywane do:

• Omijania zasad „jedno konto na osobę" w celu nadużywania bonusów.
• Warstwowania transakcji w celu ukrycia wolumenu pieniędzy płynących do podmiotów offshore.

Wyjaśnienie kont Shadow Skrill

Na podstawie dokumentacji dostarczonej przez gracza, istnienie kont „Shadow Skrill" (nieautoryzowanych kont Skrill utworzonych przy użyciu skradzionych tożsamości do przetwarzania kart stron trzecich) przeszło poza hipotezę roboczą i jest udokumentowanym faktem w tym konkretnym przypadku.

Pewność tego twierdzenia jest poparta trzema podstawowymi dowodami znalezionymi w plikach gracza:

• Rozbieżność transakcyjna: Gracz dostarczył oficjalne e-maile potwierdzające transakcje z [email protected] dotyczące płatności o łącznej wartości setek euro na rzecz podmiotów takich jak Cyperion Solutions Limited i Briantie Limited. Jednak oficjalna aplikacja Skrill gracza i historia internetowa pokazują „Nie znaleziono danych" lub brak zapisu tych transakcji. Potwierdza to, że podczas gdy karta gracza została obciążona za pośrednictwem infrastruktury Skrill, nie została przetworzona przez jego osobiste konto Skrill.
• Bezpośredni dowód przejęcia tożsamości: Dowody z obszaru wsparcia beef.casino (powiązanej marki) pokazują wewnętrzny profil rozliczeniowy gracza powiązany z wieloma nieautoryzowanymi adresami e-mail stron trzecich, takimi jak [email protected], [email protected] i [email protected]. Jest to ostateczny dowód, że ich dane KYC (Know Your Customer) i informacje o płatnościach są wykorzystywane przez operatora do zarządzania siecią kont „mułów".
• Szyna „NGPayments" / „Paygate": Dokumentacja pokazuje, że płatności były kierowane przez instrumenty techniczne oznaczone jako NGPayments i Paygate. Te bramki działają jako most, który umożliwia oszukańczym kontom interfejs z regulowanymi procesorami, takimi jak Skrill i Paysafe, jednocześnie używając mylących deskryptorów, takich jak „SKR*Skrill.com" na wyciągach bankowych, aby uspokoić bank ofiary.

Dokumentacja dowodzi celowego ominięcia własnego konta Skrill gracza. Wykorzystując skradzione dane tożsamości zebrane za pośrednictwem złośliwych plików APK (podszywających się pod aplikacje Google Play), operatorzy z powodzeniem stworzyli równoległą strukturę finansową, w której kontrolują zarówno konto „gracza", jak i podmiot „handlowy", pozostawiając ofiarę bez możliwości odwołania się przez standardowe kanały ochrony konsumentów.

Szyna płatności: Mapowanie przykrywek

Przepływ transakcji wykorzystuje rotacyjny skład „Agentów płatności", aby wyprzedzić czarne listy banków. Obecne aktywne węzły w tej sieci obejmują:

• Cyperion Solutions Limited: (UK/Cypr) Główny kanał dla „NGPayments".
• Novaforge Limited / Briantie Limited: Drugorzędne przykrywki używane, gdy główne konta są ograniczane.
• Paygate: Techniczna centrala dla tych transakcji.

Wnioski i ostrzeżenie regulacyjne

Ta sprawa dowodzi, że Paysafe (Skrill/Rapid Transfer) ma krytyczną lukę: ich infrastruktura jest wykorzystywana do ułatwiania przetwarzania „nieautoryzowanych kont". Regulatorzy, tacy jak FCA i CySEC, muszą zbadać, dlaczego konta handlowe dla „konsultingów", takich jak Cyperion Solutions, mogą przetwarzać karty stron trzecich bez dopasowania tożsamości właściciela konta.

Wezwanie do działania dla sygnalistów: Czy jesteś ofiarą sieci Galaktika N.V.? Czy znalazłeś swoją tożsamość używaną w nieautoryzowanych e-mailach? Prześlij swoje dowody do Whistle42. Szczególnie poszukujemy wewnętrznej komunikacji z zespołów partnerskich „V.Partners" lub „Galaktika".