影子帳戶與假冒遊戲商店：Galaktika N.V. 致命的身份盜竊循環揭露

Galaktika N.V. 詐騙案大規模升級，揭露被盜的 KYC 資料被用於創建「影子 Skrill」帳戶。受害者透過偽造的 Google Play 商店介面被誘導下載惡意 APK,而他們的身分則透過包括 Cyperion Solutions 和 Novaforge 在內的空殼公司網絡進行洗白。

請在此閱讀我們關於 Cyperion 和 NGPayments 的初步報告。

分析:「雙面」詐騙架構

玩家提供的最新證據揭露了一種複雜程度,已超越單純的無牌賭博,進入有組織的網路犯罪。「Galaktika 計劃」現在顯示出明確的兩階段生命週期:資料收集和金融劫持。根據網站顯示,Slotoro.bet 由庫拉索的 Wiraon B.V. 擁有和營運,而付款則由 Briantie Limited 管理。

1. 「假冒 Play 商店」惡意軟體陷阱 調查證實,像 Boomerang-Bet 和 Slotoro 這樣的品牌正在使用詐欺性的「在 Google Play 下載」徽章。用戶被重新導向下載原始 .apk 檔案,而非安全的 Play 商店。

• 惡意軟體: 這些檔案旨在繞過裝置安全性,以收集簡訊驗證碼(用於雙重驗證)和個人檔案。
• 驗證詐騙:「強制驗證」是身分盜竊的幌子。一旦受害者上傳護照,資料立即被出售或在網絡內重複使用。

2. 「影子 Skrill」現象 最令人震驚的發現是玩家的銀行對帳單與其官方 Skrill 歷史記錄之間的差異。

• 機制: 受害者收到「官方」Skrill 確認電子郵件,但他們的應用程式歷史記錄顯示「找不到資料」。
• 解釋: 這證實營運商正在使用受害者的卡片資料在第三方 Skrill 帳戶(一個「人頭」帳戶)上進行交易。透過使用不同的帳戶,他們確保受害者無法輕易透過 Skrill 介面退款,同時仍使用 Skrill 的「清白」品牌來安撫受害者的銀行。

3. 身分洗白的確鑿證據 來自 beef.casino 的支援日誌提供了「確鑿證據」。看到個人帳單帳戶與 jony35@inbox.lv 和 ieva.gustina07@gmail.com 等可疑地址相關聯,證明 Galaktika N.V. 生態系統營運著一個被盜身分的共享資料庫。這些身分可能被用於:

• 繞過「每人一個帳戶」規則以濫用獎金。
• 分層交易以隱藏流向離岸實體的資金量。

影子 Skrill 帳戶解析

根據玩家提供的文件,「影子 Skrill」帳戶(使用被盜身分創建的未經授權 Skrill 帳戶,用於處理第三方卡片)的存在已超越工作假設,在這個具體案例中是一個有記錄的事實。

這一主張的確定性由玩家檔案中發現的三項主要證據支持:

• 交易差異: 玩家提供了來自 no-reply@email.skrill.com 的官方交易確認電子郵件,涉及向 Cyperion Solutions Limited 和 Briantie Limited 等實體支付數百歐元。然而,玩家的官方 Skrill 應用程式和網頁歷史記錄顯示「找不到資料」或沒有這些交易的記錄。這證實雖然玩家的卡片透過 Skrill 的基礎設施被扣款,但並非透過他們的個人 Skrill 帳戶處理。
• 身分劫持的直接證據: 來自 beef.casino(一個關聯品牌)支援區域的證據顯示,玩家的內部帳單資料與多個未經授權的第三方電子郵件地址相關聯,例如 jony35@inbox.lv、ieva.gustina07@gmail.com 和 kaltinieks@inbox.lv。這是他們的 KYC(認識你的客戶)資料和付款資訊被營運商用於管理「人頭」帳戶網絡的確鑿證據。
• 「NGPayments」/「Paygate」軌道: 文件顯示付款透過標記為 NGPayments 和 Paygate 的技術工具進行路由。這些閘道充當橋樑,允許詐欺帳戶與 Skrill 和 Paysafe 等受監管的處理商介接,同時在銀行對帳單上使用誤導性描述符如「SKR*Skrill.com」來安撫受害者的銀行。

文件證明了蓄意繞過玩家自己的 Skrill 帳戶。透過使用透過惡意 APK 檔案(偽裝成 Google Play 應用程式)收集的被盜身分資料,營運商成功創建了一個平行的金融結構,他們同時控制「玩家」帳戶和「商家」實體,使受害者無法透過標準消費者保護管道尋求補救。

付款軌道:繪製空殼公司地圖

交易流程利用輪換的「付款代理」來領先銀行黑名單。這個網絡中目前活躍的節點包括:

• Cyperion Solutions Limited:(英國/塞浦路斯)「NGPayments」的主要管道。
• Novaforge Limited / Briantie Limited: 當主要帳戶受限時使用的次要空殼公司。
• Paygate: 這些交易的技術交換中心。

結論與監管警告

本案證明 Paysafe(Skrill/Rapid Transfer) 存在嚴重漏洞:他們的基礎設施正被用於促進「未經授權的帳戶」處理。像 FCA 和 CySEC 這樣的監管機構必須調查,為什麼像 Cyperion Solutions 這樣的「諮詢公司」的商家帳戶被允許在不匹配帳戶所有者身分的情況下處理第三方卡片。

檢舉者行動呼籲: 您是 Galaktika N.V. 網絡的受害者嗎?您是否發現您的身分被用於未經授權的電子郵件?請將您的證據發送給 Whistle42。我們特別尋找來自「V.Partners」或「Galaktika」聯盟團隊的內部通訊。