یه مدت پیش اگه تو دیسکورد یا شبکههای اجتماعی چرخ زده باشی، احتمال زیاد با تبلیغهایی روبرو شدی که ادعا میکنن میتونی تو یه سایت گیمینگ خیلی باحال عضو شی و ۲۵۰۰ دلار اعتبار رایگان بگیری! حتی بعضیاشون اسمهای آشنای معروف مثل Mr. Beast رو میارن و میگن باهاش دارن همکاری میکنن. برای کسایی که نمیدونن، Mr. Beast یکی از یوتیوبرهای معروف دنیاست که کسبوکار گیمینگ خودش رو هم راه انداخته به اسم Beast Games.
داستان چجوری جلو میره؟
خیلی ساده: میری تو لینک، یه اکانت رایگان میسازی، بهت میگن ۲۵۰۰ دلار کردیت داری که میتونی باهاش کلی بازی قشنگ و خوشگرافیک انجام بدی. مثلاً تو یکی از این سایتهای فیک به اسم gamblerbeast[.]com بازیهایی مثل B-Ball Blitz هست که باید نقش یه بسکتبالیست حرفهای رو بازی کنی و رو هر شات شرط ببندی.
همه چیز ظاهرش خیلی واقعیه و حرفهایه، اما داستان اصلی تازه از وقتی شروع میشه که بخوای پولی که به ظاهر “برنده” شدی رو برداشت کنی. سایت بهت یه جور اخطار میده و میگه: “قبلش باید یه واریزی به عنوان احراز هویت (verification deposit) انجام بدی.” معمولاً این مبلغ حدود ۱۰۰ دلار و به صورت ارز دیجیتال مثلاً بیتکوین کشیده میشه. توضیح کوتاه: احراز هویت یا همون verification deposit یعنی قبل از برداشت پولت باید یه مبلغ کوچیک واریز کنی تا مثلاً مطمئن شن خودتی! اما در واقع، کلاهبرداریه.
وقتی این پول رو میریزی، نه تنها هیچ پولی برات واریز نمیشه، بلکه بهونههای دیگه هم میارن و دوباره پول بیشتری میخوان. هر چی هم پیام بدی به پشتیبانی، یا جواب نمیدن یا آخرش بلاکت میکنن. این پشتیبانی معمولاً ترکیبیه از آدم واقعی و هوش مصنوعی (AI)؛ یعنی یه ربات چتی که خود صاحبان سایت باهاش کار میکنن و کنترلش دست خودشونه. اینجوری دیگه هم به راحتی نمیتونی بری گزارششون کنی چون روی یه سرور شخصی و اختصاصی اجرا میشه.
یه نکته باحال که توسط یه برنامهنویس ۱۷ ساله به اسم Thereallo کشف شده – که خودش چندتا سرور دیسکورد رو مدیریت میکنه – اینه که این سایتها شبکه بزرگی هستن؛ به عبارتی یه باند کامل و سازمانیافته پشتشه. مجبور بوده اونقدر از دست این تبلیغهای اسپم شاکی شه که بره دقیقتر بررسی کنه ببینه پشت پردهشون چه خبره!
Thereallo فهمیده همه این هزار و خردهای سایت (بله، ۱۲۷۰ تا دامنه مختلف!) از یه کلید API واحد برای ربات چت و ساختار پشتپرده بهره میبرن. API یعنی همون رابط برنامهنویسی که به یه سایت یا نرمافزار اجازه میده با یه سیستم یا نرمافزار دیگه ارتباط بگیره. یعنی تعداد زیادی سایت قشنگ و مختلف، ولی خب تهش همهشون به یه سرور واحد وصلن و یه سری آدم مشخص دارن همه رو مدیریت میکنن.
یه نکته جالب دیگه: اگه تو یکی از این سایتها ثبتنام کنی و بعد بلافاصله بری تو یکی دیگه با همون اینترنت (IP) و کامپیوتر، سایت دوم بهت اجازه ثبتنام نمیده و میگه باید ۱۰ دقیقه صبر کنی! یعنی اینا کاملاً دارن IP کاربرا رو بین تمام ۱۲۰۰ سایت رصد و مدیریت میکنن تا نفهمی پشت صحنهشون یکیه.
برای گرفتن پول (کریپتو کارت) هم اینجوریه: هر سایت یه کیف پول بیتکوین مخصوص خودش ایجاد میکنه (کیف پول یا wallet همون جاییه که ارز دیجیتال رو براش واریز میکنی)، و عملاً پولی که میریزی دیگه برنمیگرده.
حتی بعد از اینکه پولت رو از دست دادی، یه سری آدم میان سراغت و بهت قول میدن که “ما میتونیم پولتو برگردونیم؛ فقط یه مبلغ کوچیک پیشپرداخت بده!” اینا خودشون یه مدل جدید کلاهبرداری به اسم recovery scam رو اجرا میکنن. یعنی باز دوزار دیگه ازت بچاپن!
از نظر فنی این مدل کلاهبردای به مدل pig butchering شباهت داره. توضیح ساده: pig butchering به نوعی کلاهبرداری سازمانیافته گفته میشه که توش آدمارو با چت و رابطه ساختگی، کمکم قانع میکنن پولشونو تو یه سایت معاملاتی کریپتو بذارن و آخرش پولشون رو بالا میکشن. البته فرقش اینه که تو pig butchering مبالغ خیلی بالاتره و حتی معمولاً نیروی انسانی تو کشورای آسیایی زیر فشار و اجبار کار میکنه، اما تو این کلاهبرداری گیمینگ (که اینجا اسمشون رو شوخی Scambling گذاشتن، یعنی ترکیب scam = کلاهبرداری و gambling = شرطبندی) بیشتر روی حجم بالا و سرعت تمرکز دارن نه مبلغ بزرگ؛ با ربات و هزارتا سایت مختلف یه عالمه آدمو تو مدت کوتاه تیغ میزنن.
بر اساس بررسی Zack Edwards از شرکت Silent Push، این باند واسه ساخت سایتها با کیفیت بالا حسابی خرج کرده تا شبیه یه کازینوی واقعی بیان! همه اسامی دامنههاشون هم یکی در میون اسم و قیافه گیمینگ دارن.
خلاصه که اگه دنبال شرطبندی آنلاین بودی و یه سایت خفن، با ۲۵۰۰ دلار کردیت رایگان و با تایید چهرههایی مثل Mr. Beast دیدی، حواستو جمع کن، اینا یه شبکه کلاهبرداری درست و حسابی هستن. پولتو که برداری دیگه خبری ازش نمیشه و حتی پشتیبانی هم بلاکت میکنه.
راستی اگه دوست داشتی، لیست کامل این سایتهای فیک رو Zach Edwards از Silent Push تو یه فایل جمع کرده که میتونی ببینی (اگه فضولیت گل کرد D):
https://krebsonsecurity.com/wp-content/uploads/2025/07/dedupedscamblingdomains.txt
پس دفعه بعد که هوس کردی شانستو تو یه سایت قمار آنلاین امتحان کنی، اول خوب تحقیق کن که دعوای فردای حسرت و اعصاب خوردی رو نداشته باشی! 😉
منبع: +
