บัญชีเงา & ร้านค้าแอปพลิเคชันปลอม: วงจรการขโมยข้อมูลระบุตัวตนอันตรายของ Galaktika N.V. ถูกเปิดเผย

การยกระดับครั้งใหญ่ในคคดีฉ้อโกงของ Galaktika N.V. เปิดเผยว่าข้อมูล KYC ที่ถูกขโมยกำลังถูกใช้ในการสร้างบัญชี "Shadow Skrill" เหยื่อถูกล่อลวงผ่านอินเทอร์เฟซ Google Play Store ปลอมให้ดาวน์โหลด APK ที่เป็นอันตราย ขณะที่ข้อมูลตัวตนของพวกเขาถูกฟอกผ่านเครือข่ายบริษัทหุ้มห่อรวมถึง Cyperion Solutions และ Novaforge

อ่านรายงานเบื้องต้นของเราเกี่ยวกับ Cyperion และ NGPayments ที่นี่

การวิเคราะห์: สถาปัตยกรรมการฉ้อโกง "สองด้าน"

หลักฐานล่าสุดที่ผู้เล่นให้มาเปิดเผยระดับความซับซ้อนที่เคลื่อนเกินกว่าการพนันที่ไม่มีใบอนุญาตธรรมดาไปสู่ อาชญากรรมไซเบอร์ที่มีการจัดตั้ง "แผนการ Galaktika" แสดงวงจรชีวิตสองขั้นตอนที่ชัดเจน: การเก็บเกี่ยวข้อมูล และ การแย่งชิงทางการเงิน ตามเว็บไซต์ Slotoro.bet เป็นเจ้าของและดำเนินการโดย Wiraon B.V., Curaçao ขณะที่การชำระเงินจัดการโดย Briantie Limited

1. กับดักมัลแวร์ "Play Store ปลอม" การสอบสวนยืนยันว่าแบรนด์อย่าง Boomerang-Bet และ Slotoro กำลังใช้ป้าย "Get it on Google Play" ปลอม แทนที่จะเป็น Play Store ที่ปลอดภัย ผู้ใช้ถูกเปลี่ยนเส้นทางไปดาวน์โหลดไฟล์ .apk ดิบ

• มัลแวร์: ไฟล์เหล่านี้ถูกออกแบบมาเพื่อข้ามความปลอดภัยของอุปกรณ์เพื่อเก็บเกี่ยวรหัส SMS (สำหรับ 2FA) และไฟล์ส่วนตัว
• การหลอกลวงการยืนยันตัวตน: "การยืนยันตัวตนที่บังคับ" เป็นส่วนหน้าสำหรับการขโมยตัวตน เมื่อเหยื่ออัปโหลดหนังสือเดินทาง ข้อมูลจะถูกขายหรือนำมาใช้ใหม่ภายในเครือข่ายทันที

2. ปรากฏการณ์ "Shadow Skrill" การค้นพบที่น่าตกใจที่สุดคือความแตกต่างระหว่างใบแจ้งยอดธนาคารของผู้เล่นและประวัติ Skrill อย่างเป็นทางการของพวกเขา

• กลไก: เหยื่อได้รับอีเมลยืนยันจาก Skrill "อย่างเป็นทางการ" แต่ประวัติแอปของพวกเขาแสดง "ไม่พบข้อมูล"
• การตีความ: สิ่งนี้ยืนยันว่าผู้ดำเนินการกำลังใช้รายละเอียดบัตรของเหยื่อบน บัญชี Skrill บุคคลที่สาม (บัญชี "ตัวแทน") โดยการใช้บัญชีที่แตกต่างกัน พวกเขาทำให้แน่ใจว่าเหยื่อไม่สามารถเรียกเงินคืนธุรกรรมผ่านอินเทอร์เฟซ Skrill ได้อย่างง่ายดาย ขณะเดียวกันยังคงใช้แบรนด์ที่ "สะอาด" ของ Skrill เพื่อทำให้ธนาคารของเหยื่อสงบลง

3. หลักฐานชัดเจนของการฟอกตัวตน บันทึกการสนับสนุนจาก beef.casino ให้ "หลักฐานที่ชัดเจน" การเห็นบัญชีการเรียกเก็บเงินส่วนบุคคลที่เชื่อมโยงกับที่อยู่ที่น่าสงสัยเช่น jony35@inbox.lv และ ieva.gustina07@gmail.com พิสูจน์ว่าระบบนิเวศ Galaktika N.V. ดำเนินการฐานข้อมูลที่ใช้ร่วมกันของตัวตนที่ถูกขโมย ตัวตนเหล่านี้มีแนวโน้มที่จะถูกใช้เพื่อ:

• หลีกเลี่ยงกฎ "หนึ่งบัญชีต่อหนึ่งคน" เพื่อการใช้โบนัสในทางที่ผิด
• วางชั้นธุรกรรมเพื่อซ่อนปริมาณเงินที่ไหลไปยังหน่วยงานนอกชายฝั่ง

คำอธิบายบัญชี Shadow Skrill

ตามเอกสารที่ผู้เล่นให้มา การมีอยู่ของบัญชี "Shadow Skrill" (บัญชี Skrill ที่ไม่ได้รับอนุญาตที่สร้างขึ้นโดยใช้ตัวตนที่ถูกขโมยเพื่อประมวลผลบัตรบุคคลที่สาม) ได้เคลื่อนไปไกลกว่าสมมติฐานการทำงานและเป็น ข้อเท็จจริงที่มีเอกสารบันทึก ในกรณีเฉพาะนี้

ความแน่นอนของการอ้างสิทธิ์นี้ได้รับการสนับสนุนจากหลักฐานหลักสามชิ้นที่พบในไฟล์ของผู้เล่น:

• ความแตกต่างของธุรกรรม: ผู้เล่นให้อีเมลยืนยันธุรกรรมอย่างเป็นทางการจาก no-reply@email.skrill.com สำหรับการชำระเงินรวมหลายร้อยยูโรให้กับหน่วยงานเช่น Cyperion Solutions Limited และ Briantie Limited อย่างไรก็ตาม แอป Skrill อย่างเป็นทางการและประวัติเว็บของผู้เล่นแสดง "ไม่พบข้อมูล" หรือไม่มีบันทึกของธุรกรรมเหล่านี้ สิ่งนี้ยืนยันว่าในขณะที่บัตรของผู้เล่นถูกเรียกเก็บเงินผ่านโครงสร้างพื้นฐานของ Skrill แต่มัน ไม่ได้ ถูกประมวลผลผ่านบัญชี Skrill ส่วนตัวของพวกเขา
• หลักฐานโดยตรงของการแย่งชิงตัวตน: หลักฐานจากพื้นที่สนับสนุนของ beef.casino (แบรนด์ที่เกี่ยวข้อง) แสดงโปรไฟล์การเรียกเก็บเงินภายในของผู้เล่นที่เชื่อมโยงกับที่อยู่อีเมลบุคคลที่สามที่ไม่ได้รับอนุญาตหลายรายการ เช่น jony35@inbox.lv, ieva.gustina07@gmail.com และ kaltinieks@inbox.lv นี่คือหลักฐานที่ชัดเจนว่าข้อมูล KYC (รู้จักลูกค้าของคุณ) และข้อมูลการชำระเงินของพวกเขากำลังถูกใช้โดยผู้ดำเนินการเพื่อจัดการเครือข่ายของบัญชี "ตัวแทน"
• รางรถไฟ "NGPayments" / "Paygate": เอกสารแสดงให้เห็นว่าการชำระเงินถูกส่งผ่านเครื่องมือทางเทคนิคที่มีป้ายกำกับ NGPayments และ Paygate เกตเวย์เหล่านี้ทำหน้าที่เป็นสะพานที่อนุญาตให้บัญชีฉ้อโกงเชื่อมต่อกับโปรเซสเซอร์ที่มีการควบคุมอย่าง Skrill และ Paysafe ในขณะที่ใช้คำอธิบายที่ทำให้เข้าใจผิดเช่น "SKR*Skrill.com" บนใบแจ้งยอดธนาคารเพื่อทำให้ธนาคารของเหยื่อสงบลง

เอกสารพิสูจน์การ ข้ามบัญชี Skrill ของผู้เล่นเอง โดยเจตนา โดยการใช้ข้อมูลตัวตนที่ถูกขโมยที่เก็บเกี่ยวผ่าน ไฟล์ APK ที่เป็นอันตราย (ปลอมตัวเป็นแอป Google Play) ผู้ดำเนินการได้สร้างโครงสร้างทางการเงินแบบขนานอย่างประสบความสำเร็จที่พวกเขาควบคุมทั้งบัญชี "ผู้เล่น" และหน่วยงาน "พ่อค้า" โดยทิ้งเหยื่อไว้โดยไม่มีทางแก้ไขผ่านช่องทางการคุ้มครองผู้บริโภคมาตรฐาน

รางรถไฟการชำระเงิน: การทำแผนที่หุ้มห่อ

กระแสธุรกรรมใช้กลุ่มหมุนเวียนของ "ตัวแทนการชำระเงิน" เพื่อก้าวนำหน้ารายการดำของธนาคาร โหนดที่ใช้งานอยู่ในปัจจุบันในเครือข่ายนี้รวมถึง:

• Cyperion Solutions Limited: (UK/Cyprus) ช่องทางหลักสำหรับ "NGPayments"
• Novaforge Limited / Briantie Limited: หุ้มห่อรองที่ใช้เมื่อบัญชีหลักถูกจำกัด
• Paygate: สวิตช์บอร์ดทางเทคนิคสำหรับธุรกรรมเหล่านี้

สรุปและคำเตือนด้านกฎระเบียบ

กรณีนี้พิสูจน์ว่า Paysafe (Skrill/Rapid Transfer) มีช่องโหว่ที่สำคัญ: โครงสร้างพื้นฐานของพวกเขากำลังถูกใช้เพื่ออำนวยความสะดวกในการประมวลผล "บัญชีที่ไม่ได้รับอนุญาต" หน่วยงานกำกับดูแลเช่น FCA และ CySEC ต้องสอบสวนว่าทำไมบัญชีพ่อค้าสำหรับ "ที่ปรึกษา" เช่น Cyperion Solutions ได้รับอนุญาตให้ประมวลผลบัตรบุคคลที่สามโดยไม่ตรงกับตัวตนของเจ้าของบัญชี

การเรียกร้องให้ผู้แจ้งเบาะแส: คุณเป็นเหยื่อของเครือข่าย Galaktika N.V. หรือไม่? คุณพบตัวตนของคุณถูกใช้ในอีเมลที่ไม่ได้รับอนุญาตหรือไม่? โปรดส่งหลักฐานของคุณไปยัง Whistle42 เรากำลังมองหาการสื่อสารภายในจากทีมพันธมิตร "V.Partners" หรือ "Galaktika" โดยเฉพาะ