Anatomia di un attacco di multi-accounting: case study su una piattaforma iGaming
Un operatore, 217 account, 84.000 dollari di abuso di bonus. Come viene costruito davvero il multi-accounting professionale — e gli 11 segnali correlati che hanno fatto collassare l'intero cluster in un unico frodatore.
Il multi-accounting nell'iGaming non è un gruppo di persone che apre qualche account in più. Sono operazioni professionali che gestiscono centinaia di identità sintetiche contro una singola piattaforma, estraendo bonus di benvenuto, cashback e payout promozionali.
L'economia funziona perché il costo marginale di un nuovo account è prossimo allo zero — e-mail, numero di telefono usa e getta, documenti d'identità rubati o sintetizzati — e il payout marginale per account è denaro reale. A 50–200 dollari di valore estratto per account, 200 account contro un solo operatore sono un reddito a tempo pieno.
Questa è la scomposizione di un pattern di attacco reale osservato contro operatori iGaming europei nel 2025. Nomi e dettagli sono anonimizzati. Le tecniche sono attuali.
Il setup: l'infrastruttura in cui il frodatore investe
Un multi-accounter serio gestisce una piccola infrastruttura:
-
Un abbonamento a proxy residenziali — tipicamente 911.re, IPRoyal o Smartproxy — che fornisce IP a rotazione in decine di paesi. Costo: 50–200 dollari al mese.
-
Un browser anti-rilevamento — Multilogin, Dolphin Anty, GoLogin, Kameleo o AdsPower. Ognuno di questi strumenti esegue profili browser isolati con fingerprint configurati in modo indipendente. Costo: 50–150 dollari al mese.
-
Una scorta di identità stagionate — acquistate sui forum (bundle di e-mail verificata + telefono + scansione del documento) oppure generate. Costo: 5–30 dollari per identità.
-
Infrastruttura di pagamento — carte prepagate, wallet di criptovalute o money mule per ricevere le vincite senza tracce unificate tra gli account.
Overhead mensile totale: 200–500 dollari. Con 84.000 dollari di valore estratto in 6 mesi, il ROI è di 20–30×.
Il ciclo di vita di un singolo account fraudolento
Ogni account sintetico segue un pattern simile:
1. Viene creato un profilo del browser anti-rilevamento con un fingerprint fresco (canvas, WebGL, fuso orario, lingua, risoluzione dello schermo).
2. Viene assegnato un proxy residenziale — tipicamente di un paese corrispondente ai documenti d'identità.
3. La registrazione viene completata con un'identità stagionata: e-mail, verifica telefonica tramite un servizio di inoltro SMS, upload di un documento rubato o generato.
4. Il KYC passa — perché i documenti d'identità sono reali (rubati) o falsificati professionalmente.
5. Viene effettuato un piccolo deposito — spesso 10–30 dollari — per attivare il bonus di benvenuto.
6. Il bonus viene giocato su una selezione specifica di giochi che massimizza il valore atteso rispetto al requisito di scommessa.
7. Le vincite vengono prelevate sul metodo di pagamento associato all'identità.
8. L'account viene abbandonato o venduto.
L'intero ciclo richiede 2–7 giorni. Un operatore professionale gestisce 20–40 account simultaneamente in stati diversi di questa pipeline.
Che cosa vedeva l'operatore
Il team antifrode della piattaforma iGaming ha notato anomalie nel Q2:
-
Il rapporto di payout dei bonus sui nuovi account è salito dal 47% al 63% trimestre su trimestre.
-
I chargeback sono rimasti bassi — quindi non si trattava di carte rubate. La frode era strutturale, non transazionale.
-
Sono aumentati i ticket di assistenza da giocatori di ritorno che non riconoscevano la propria cronologia dell'account.
Il team sospettava il multi-accounting ma non aveva gli strumenti per dimostrarlo su larga scala. Ogni account, visto isolatamente, sembrava legittimo. Nomi diversi, IP diversi, fingerprint diversi, documenti diversi.
Che cosa mostravano davvero i segnali
Quando i segnali di intelligence dei dispositivi sono stati applicati retroattivamente alla popolazione di account, 217 account sono collassati in un unico operatore. Ecco che cosa li legava.
Segnale 1. Riuso del fingerprint TLS
Nonostante IP diversi e fingerprint del browser diversi, i 217 account condividevano appena 3 hash JA4 unici. Il fingerprint TLS è generato dalla libreria client — e mentre il browser anti-rilevamento poteva falsificare canvas e WebGL, usava un'unica build Chromium sottostante per gli handshake TLS. I tre hash JA4 corrispondevano a tre versioni del browser anti-rilevamento attraverso cui l'operatore si era via via aggiornato.
Segnale 2. Tempistiche comportamentali tra le sessioni
I 217 account avevano orari di registrazione raggruppati in finestre ristrette: per lo più 09:00–11:00 UTC nei giorni feriali. I giocatori reali si registrano lungo l'intero ciclo di 24 ore. L'orario lavorativo umano in un singolo fuso orario ha tradito l'operatore, indipendentemente dal fuso orario dichiarato da ciascun profilo falso.
Segnale 3. Pattern di gioco dei bonus
La strategia di scommessa tra gli account era quasi identica: stessa selezione di giochi (specifiche slot a bassa varianza), stessa dimensione della puntata rispetto al bonus, stessa durata di sessione prima della richiesta di prelievo. I giocatori reali hanno preferenze estremamente variegate. L'uniformità statistica tra gli account è possibile solo con uno script o un playbook.
Segnale 4. Micro-pattern dei movimenti del mouse
I browser anti-rilevamento falsificano i fingerprint visivi ma non falsificano il modo in cui un essere umano si muove in una sessione. Le tracce del mouse nei 217 account avevano caratteristiche condivise — curve di Bézier con profili di accelerazione coerenti, pattern specifici di ritorno alle stesse coordinate prima dei clic. Tutte prodotte dall'automazione dell'operatore.
Segnale 5. Clustering degli endpoint di pagamento
Nonostante i nomi diversi sugli account, i prelievi transitavano attraverso 8 wallet di criptovalute unici. Il riuso dei wallet tra account non correlati è uno dei segnali più forti disponibili e non richiede alcun rilevamento a livello di dispositivo.
Segnale 6. Incoerenze nell'enumerazione dei font
Il browser anti-rilevamento falsifica le liste di font, ma solo a partire da una libreria predefinita. Tutti i 217 account riportavano enumerazioni di font da un pool limitato di 5 template. Gli utenti reali hanno combinazioni uniche di font installati. I template sono stati scoperti perché la loro diversità era troppo bassa.
Segnale 7. Clustering dei renderer WebGL
Il browser anti-rilevamento ruota le stringhe GPU, ma da un set fisso — tipicamente le 20–30 GPU consumer più comuni. Nei 217 account, le stringhe GPU comparivano con una distribuzione implausibile: forte sovrarappresentazione di specifici modelli Intel e NVIDIA, con nessuna presenza di hardware AMD. Le popolazioni di utenti reali hanno una distribuzione di GPU più ampia.
Segnale 8. Risoluzioni dello schermo non standard
I browser anti-rilevamento generano le dimensioni dello schermo, ma spesso con risoluzioni non standard per apparire unici. Gli schermi reali sono 1366×768, 1920×1080, 2560×1440, 3840×2160 o una manciata di formati da laptop. I 217 account includevano dimensioni come 1892×1063 che nessun display reale usa.
Segnale 9. Sovrapposizione delle sessioni tra account
Due account hanno effettuato l'accesso dallo stesso IP a distanza di millisecondi l'uno dall'altro, ma da profili anti-rilevamento diversi. I log di sessione hanno rivelato che quando un account usciva, un altro entrava nel giro di secondi — da un IP diverso ma con caratteristiche di connessione rilevabili che li legavano. Il pool di proxy ruotava, ma le azioni dell'operatore no.
Segnale 10. Correlazione delle fonti di deposito
I depositi in criptovaluta sugli account provenivano da 12 wallet sorgente. L'analisi blockchain ha mostrato che questi 12 wallet ricevevano fondi da un unico account exchange a monte. L'analisi follow-the-money ha collegato l'intero cluster.
Segnale 11. Pattern linguistici nei ticket di assistenza
Alcuni degli account hanno aperto ticket di assistenza nel corso dei 6 mesi. I pattern linguistici — formulazioni specifiche, peculiarità grammaticali, errori di ortografia sulle stesse parole — erano condivisi tra account registrati con paesi e impostazioni di lingua diversi.
Perché i segnali singoli falliscono
Ognuno di questi segnali, preso da solo, potrebbe essere una coincidenza. Due account con lo stesso fingerprint TLS potrebbero essere due utenti con la stessa versione di Chrome. Due account con tracce del mouse simili potrebbero essere due giocatori che cliccano in modo simile. Due prelievi sullo stesso wallet potrebbero essere un wallet condiviso in famiglia.
La forza sta nella combinazione. Quando 217 account condividono fingerprint TLS, endpoint dei wallet, template di font, risoluzioni dello schermo, pattern del mouse e tempistiche comportamentali — la probabilità che siano indipendenti collassa a zero.
Che cosa ha fatto la piattaforma
Dopo l'analisi retroattiva, la piattaforma ha implementato lo scoring in tempo reale alla creazione degli account. Ogni nuovo account riceveva un punteggio di similarità rispetto agli account esistenti basato sugli 11 segnali più altri 40. Sopra la soglia, gli account venivano segnalati per revisione manuale prima dell'idoneità al bonus. Sotto la soglia, gli account procedevano normalmente.
Nel giro di 60 giorni, il rapporto di abuso dei bonus è tornato al livello di base. L'operatore si è spostato su un'altra piattaforma oppure ha investito molto di più nella propria infrastruttura — entrambi gli esiti erano una vittoria.
Il pattern si generalizza
Gli strumenti specifici cambiano. I segnali evolvono. Ma la dinamica di fondo — operatori di frode professionali che costruiscono infrastrutture per estrarre valore da programmi di acquisizione generosi — è stabile nell'iGaming, negli exchange di criptovalute, nel fintech ricco di promozioni e in qualsiasi piattaforma che paga per l'acquisizione di utenti.
L'unica difesa che funziona è la correlazione dei segnali a livello di piattaforma. Le difese perimetrali (blocchi IP, blocchi dei dispositivi, regole per singolo account) falliscono perché gli operatori vi si ottimizzano attorno. La correlazione dei segnali riesce perché gli operatori non possono randomizzare tutto a basso costo — il costo della vera indipendenza per account supera il payout per account.
Quel divario è ciò che rende il rilevamento del multi-accounting economicamente sostenibile. Ed è anche ciò che lo rende una partita che il difensore può vincere.