حسابات وهمية ومتاجر تطبيقات مزيفة: دورة سرقة الهوية القاتلة لشركة Galaktika N.V. المكشوفة

تصعيد كبير في قضية احتيال Galaktika N.V. يكشف أن بيانات اعرف عميلك KYC المسروقة تُستخدم لإنشاء حسابات "Shadow Skrill". يتم استدراج الضحايا عبر واجهات مزيفة لمتجر Google Play لتنزيل ملفات APK ضارة، بينما يتم تبييض هوياتهم من خلال شبكة من الشركات الوهمية بما في ذلك Cyperion Solutions و Novaforge.

اقرأ تقريرنا الأولي عن Cyperion و NGPayments هنا.

التحليل: بنية الاحتيال "ذات الجانبين"

تكشف أحدث الأدلة المقدمة من أحد اللاعبين عن مستوى من التطور يتجاوز القمار البسيط غير المرخص إلى جريمة إلكترونية منظمة. تُظهر "مخطط Galaktika" الآن دورة حياة واضحة من مرحلتين: جمع البيانات و الاختطاف المالي. وفقًا للموقع الإلكتروني، يملك ويدير موقع Slotoro.bet شركة Wiraon B.V.، كوراساو، بينما تدير المدفوعات Briantie Limited.

1. فخ البرامج الضارة "متجر Play المزيف" يؤكد التحقيق أن علامات تجارية مثل Boomerang-Bet و Slotoro تستخدم شارات احتيالية "احصل عليه على Google Play". بدلاً من متجر Play الآمن، يتم إعادة توجيه المستخدمين لتنزيل ملف .apk خام.

• البرامج الضارة: تم تصميم هذه الملفات لتجاوز أمان الجهاز لجمع رموز الرسائل القصيرة (للـ 2FA) والملفات الشخصية.
• عملية احتيال التحقق: "التحقق الإلزامي" هو واجهة لسرقة الهوية. بمجرد أن يحمّل الضحية جواز سفره، يتم بيع البيانات أو إعادة استخدامها فوراً داخل الشبكة.

2. ظاهرة "Shadow Skrill" الاكتشاف الأكثر إثارة للقلق هو التناقض بين كشوف حساب اللاعب البنكية وسجل Skrill الرسمي الخاص به.

• الآلية: يتلقى الضحية رسائل بريد إلكتروني تأكيد "رسمية" من Skrill، لكن سجل التطبيق الخاص به يُظهر "لم يتم العثور على بيانات."
• التفسير: يؤكد هذا أن المشغلين يستخدمون تفاصيل بطاقة الضحية على حساب Skrill تابع لطرف ثالث (حساب "بغل"). باستخدام حساب مختلف، يضمنون أن الضحية لا يمكنها استرداد المعاملة بسهولة من خلال واجهة Skrill، مع الاستمرار في استخدام علامة Skrill "النظيفة" لتهدئة بنك الضحية.

3. دليل قاطع على تبييض الهوية توفر سجلات الدعم من beef.casino "دليلاً دامغاً". رؤية حساب الفوترة الشخصي مرتبطاً بعناوين مشبوهة مثل jony35@inbox.lv و ieva.gustina07@gmail.com يثبت أن نظام Galaktika N.V. البيئي يدير قاعدة بيانات مشتركة من الهويات المسروقة. من المحتمل استخدام هذه الهويات من أجل:

• تجاوز قواعد "حساب واحد لكل شخص" لإساءة استخدام المكافآت.
• طبقات المعاملات لإخفاء حجم الأموال المتدفقة إلى كيانات خارجية.

شرح حسابات Shadow Skrill

بناءً على الوثائق المقدمة من اللاعب، فإن وجود حسابات "Shadow Skrill" (حسابات Skrill غير مصرح بها تم إنشاؤها باستخدام هويات مسروقة لمعالجة بطاقات الطرف الثالث) قد تجاوز فرضية العمل وأصبح حقيقة موثقة في هذه الحالة المحددة.

يتم دعم يقين هذا الادعاء بثلاث أدلة رئيسية موجودة في ملفات اللاعب:

• تناقض المعاملات: قدم اللاعب رسائل بريد إلكتروني رسمية لتأكيد المعاملات من no-reply@email.skrill.com لمدفوعات يبلغ مجموعها مئات اليورو لكيانات مثل Cyperion Solutions Limited و Briantie Limited. ومع ذلك، يُظهر تطبيق Skrill الرسمي وسجل الويب الخاص باللاعب "لم يتم العثور على بيانات" أو عدم وجود سجل لهذه المعاملات. يؤكد هذا أنه بينما تم خصم رسوم من بطاقة اللاعب عبر بنية Skrill الأساسية، لم تتم معالجتها من خلال حساب Skrill الشخصي الخاص بهم.
• دليل مباشر على اختطاف الهوية: تُظهر الأدلة من منطقة الدعم في beef.casino (علامة تجارية مرتبطة) ملف الفوترة الداخلي للاعب مرتبطاً بعناوين بريد إلكتروني متعددة غير مصرح بها لطرف ثالث، مثل jony35@inbox.lv، ieva.gustina07@gmail.com، و kaltinieks@inbox.lv. هذا دليل قاطع على أن بيانات اعرف عميلك KYC ومعلومات الدفع الخاصة بهم يتم استخدامها من قبل المشغل لإدارة شبكة من حسابات "البغال".
• سكة "NGPayments" / "Paygate": تُظهر الوثائق أن المدفوعات تم توجيهها من خلال أدوات تقنية مسماة NGPayments و Paygate. تعمل هذه البوابات كجسر يسمح للحسابات الاحتيالية بالتواصل مع معالجات منظمة مثل Skrill و Paysafe مع استخدام واصفات مضللة مثل "SKR*Skrill.com" على كشوف الحساب البنكية لتهدئة بنك الضحية.

تثبت الوثائق تجاوزاً متعمداً لحساب Skrill الخاص باللاعب نفسه. باستخدام بيانات الهوية المسروقة التي تم جمعها من خلال ملفات APK الضارة (متنكرة في هيئة تطبيقات Google Play)، نجح المشغلون في إنشاء هيكل مالي موازٍ حيث يتحكمون في كل من حساب "اللاعب" وكيان "التاجر"، مما يترك الضحية بلا ملجأ من خلال قنوات حماية المستهلك القياسية.

سكة الدفع: رسم خريطة الشركات الوهمية

يستخدم تدفق المعاملات طاقماً متناوباً من "وكلاء الدفع" للبقاء في صدارة القوائم السوداء للبنوك. تشمل العقد النشطة الحالية في هذه الشبكة:

• Cyperion Solutions Limited: (المملكة المتحدة/قبرص) القناة الأساسية لـ "NGPayments."
• Novaforge Limited / Briantie Limited: شركات وهمية ثانوية تُستخدم عندما يتم اختناق الحسابات الأساسية.
• Paygate: لوحة التبديل التقنية لهذه المعاملات.

الخلاصة والتحذير التنظيمي

تثبت هذه القضية أن Paysafe (Skrill/Rapid Transfer) لديها ثغرة أمنية حرجة: يتم استخدام بنيتها التحتية لتسهيل معالجة "الحسابات غير المصرح بها". يجب على الجهات التنظيمية مثل FCA و CySEC التحقيق في سبب السماح لحسابات التجار لـ "الاستشارات" مثل Cyperion Solutions بمعالجة بطاقات الطرف الثالث دون مطابقة هوية مالك الحساب.

دعوة المبلّغين إلى العمل: هل أنت ضحية لشبكة Galaktika N.V.؟ هل وجدت هويتك مستخدمة في رسائل بريد إلكتروني غير مصرح بها؟ يُرجى إرسال أدلتك إلى Whistle42. نحن نبحث بشكل خاص عن اتصالات داخلية من فرق التابعين لـ "V.Partners" أو "Galaktika".