1. Resumo executivo
O site ticketmaster.worldtourarirang-online.com e um site fraudulento que imita a Ticketmaster para vender ingressos falsos dos shows do BTS (turne ARIRANG) no Brasil. O dominio foi registrado em 6 de abril de 2026 — apenas 4 dias antes desta investigacao — e faz parte de uma onda de pelo menos 10 dominios fraudulentos identificados pela Kaspersky.
A investigacao revelou que o golpista utiliza a plataforma de ticketing legitima Crowder/Boletius como backend, roda o servidor em um ambiente Windows pessoal (indicativo de operacao amadora), e usa um tracker de analytics unico que pode vincular outros sites de golpe do mesmo operador.
O golpista possui uma conta ativa na plataforma Crowder/Boletius com Event IDs rastreavei (5149, 6415, 11326) e um Purchase ID (23290420). A Crowder tem os dados cadastrais completos deste usuario.
2. Dados do dominio (WHOIS)
| Registro do dominio | |
|---|---|
| Dominio | worldtourarirang-online.com |
| Data de criacao | 6 de abril de 2026, 22:52:34 UTC |
| Expiracao | 6 de abril de 2027 |
| Registrador | Hostinger Operations, UAB |
| Nameservers | eva.ns.cloudflare.comhayes.ns.cloudflare.com |
| Status | clientTransferProhibited |
| DNSSEC | Nao assinado |
| E-mail de abuso | abuse-tracker@hostinger.com |
| Dados do registrante | Oculto Protecao de privacidade WHOIS ativa |
O dominio utiliza a extensao .online, que e barata e nao exige verificacao. Foi registrado via Hostinger, que oferece protecao de privacidade WHOIS por padrao. A Hostinger possui os dados reais do registrante, mas so os liberara mediante ordem judicial.
3. Infraestrutura tecnica
3.1. Rede e proxy
| Infraestrutura de rede | |
|---|---|
| IPs publicos | 104.21.35.99 / 172.67.217.71 |
| CDN/Proxy | Cloudflare (esconde IP real do servidor) |
| Subdominio ativo | ticketmaster.worldtourarirang-online.com |
| Registros MX | Nenhum (sem e-mail configurado) |
| Registros SPF/TXT | Nenhum |
| Bypass de Cloudflare | Nao encontrado Nenhum subdomain ou registro DNS vaza o IP real |
3.2. Servidor de origem
As paginas de erro 404 do servidor revelam a assinatura completa do software:
O servidor roda Apache em Windows de 64 bits com PHP 8.0.30. Isso e extremamente atipico para servidores de producao, que quase universalmente usam Linux. O perfil e consistente com um pacote XAMPP ou WAMP instalado em um computador pessoal Windows, posteriormente exposto a internet via Cloudflare Tunnel ou proxy reverso.
O cf-ray com sufixo GRU indica que o trafego passa pelo ponto de presenca da Cloudflare em Guarulhos/SP, sugerindo que os visitantes (e possivelmente o servidor) estao no Brasil.
3.3. Certificados SSL
| Certificado | Emissor | Emissao | Dominio(s) |
|---|---|---|---|
| #1 | Let's Encrypt R12 | 06/04/2026 21:55 UTC | worldtourarirang-online.com |
| #2 | Let's Encrypt E7 | 06/04/2026 23:33 UTC | *.worldtourarirang-online.com (wildcard) |
| #3 | Let's Encrypt E8 | 10/04/2026 00:23 UTC | *.worldtourarirang-online.com (wildcard) |
A emissao do primeiro certificado (21:55 UTC de 06/04) ocorreu menos de 1 hora apos o registro do dominio (22:52 UTC de 06/04), confirmando que o site foi ao ar no mesmo dia da compra do dominio. Nenhum outro dominio aparece nos certificados (sem SANs compartilhados que pudessem vincular a outros sites).
4. Conexao com a plataforma Crowder/Boletius
Esta e a descoberta mais significativa da investigacao. O site nao e um simples clone visual da Ticketmaster — ele opera sobre o sistema de ticketing real da empresa Crowder (getcrowder.com), uma plataforma legitima de venda de ingressos na America Latina.
4.1. Evidencias no codigo-fonte
4.2. IDs internos rastreavei
Os seguintes identificadores internos foram encontrados no HTML do site e sao rastreavei dentro do sistema da Crowder/Boletius:
| Tipo | Valor | Significado |
|---|---|---|
| Event ID | 5149 |
Identificador principal do evento falso do BTS no sistema Boletius |
| Event ID | 6415 |
Segundo evento registrado (possivelmente outra cidade/data) |
| Event ID | 11326 |
Terceiro evento registrado |
| Purchase ID | 23290420 |
Registro de compra no sistema — pode revelar dados do comprador e vendedor |
| Payment Method | pm_37 |
PIX QR Code como metodo de pagamento ativo |
| Payment Method | pm_47 |
Metodo adicional (oculto no site, possivelmente desativado) |
A Crowder/Boletius possui obrigatoriamente os dados cadastrais completos do usuario que criou esses eventos: nome, e-mail, documento de identidade e dados bancarios/financeiros vinculados ao recebimento dos pagamentos.
4.3. JavaScript customizado do golpista
Alem do bundle oficial da Crowder (mergedAssets.4bc60449ad.js), o golpista criou um arquivo action.js proprio com logica customizada em portugues brasileiro, incluindo:
| Funcionalidade | Detalhe |
|---|---|
| Validacao de CPF | Funcao completa validarCPF() com calculo dos digitos verificadores |
| Formatacao de moeda | BRL com toLocaleString("pt-BR") |
| Calculo de parcelas | Ate 8x com juros no cartao de credito |
| Taxa fixa | Multiplicador de 1.2 (20% de taxa sobre o valor base) |
| Carrinho em localStorage | Persistencia local do carrinho de compras |
O codigo em portugues e a validacao de CPF confirmam com alta confianca que o golpista e brasileiro.
5. Tracker de analytics
| Detalhes do tracker | |
|---|---|
| Servico | whos.amung.us (waust.at) |
| ID da conta | pmvvokrh7n |
| Tipo | Widget "small" — contador de visitantes em tempo real |
O ID pmvvokrh7n e unico por conta no servico whos.amung.us. Se o golpista usar o mesmo tracker em outros sites fraudulentos, esse ID serve como fingerprint digital para vincular todos os dominios ao mesmo operador. Ferramentas como PublicWWW, BuiltWith, ou SpyOnWeb podem pesquisar esse ID na web.
6. Fluxo de pagamento PIX
O site oferece pagamento exclusivamente via PIX QR Code. A analise do HTML revela que os dados PIX sao gerados dinamicamente pelo backend:
Isso significa que a chave PIX do golpista nao esta hardcoded no codigo-fonte — ela e fornecida pela API do Boletius no momento da compra. Porem, qualquer pessoa que ja tenha feito um pagamento possui a evidencia mais direta: o comprovante bancario mostra o nome completo e CPF parcial do recebedor.
O PIX no Brasil exige que o recebedor tenha uma chave vinculada a CPF, CNPJ, e-mail ou telefone. Mesmo que o golpista use um "laranja", os dados bancarios do recebedor sao rastreavei pelo Banco Central atraves do DICT (Diretorio de Identificadores de Contas Transacionais).
7. Limitacoes da investigacao
As seguintes tecnicas nao produziram resultados ou nao sao aplicavei legalmente:
| Tecnica | Resultado | Motivo |
|---|---|---|
| Bypass de Cloudflare via DNS | Sem resultado | Nenhum subdomain, MX ou SPF configurado que revele o IP real |
| Shodan / Censys | Sem resultado | IPs sao da Cloudflare (compartilhados); dominio muito recente para indexacao |
| urlscan.io / VirusTotal | Sem resultado | Dominio ainda nao foi escaneado/submetido nessas plataformas |
| Consulta publica a API Boletius | Bloqueado | API exige autenticacao (HTTP 401); dados do organizador nao sao publicos |
| Scan de portas / exploracao de CVEs | Nao aplicavel | Configura crime (Art. 154-A do Codigo Penal), independente da motivacao |
| PublicWWW para tracker ID | Requer acesso pago | Busca pelo ID pmvvokrh7n exige conta premium |
8. Acoes recomendadas
Contatar a Crowder/Boletius (URGENTE)
Enviar comunicacao para getcrowder.com informando que os Event IDs 5149, 6415 e 11326 estao sendo usados em esquema de fraude. Solicitar a preservacao dos dados cadastrais da conta e o bloqueio imediato dos eventos. A Crowder tem nome, e-mail, documento e dados financeiros do golpista.
Registrar Boletim de Ocorrencia
Registrar B.O. na Delegacia de Crimes Ciberneticos do estado, incluindo todas as evidencias tecnicas deste relatorio. Com o B.O., a policia pode solicitar judicialmente os dados cadastrais a Hostinger, Cloudflare e Crowder/Boletius simultaneamente.
Obter comprovantes PIX de vitimas
Se voce ou alguem que conhece realizou pagamento, o comprovante bancario contem o nome completo e CPF parcial do recebedor. Esse e o dado mais direto para identificacao do golpista ou de seu laranja.
Denunciar aos provedores de infraestrutura
Hostinger: abuse-tracker@hostinger.com (solicitar takedown do dominio).
Cloudflare: cloudflare.com/abuse (reportar como phishing).
Google Safe Browsing: safebrowsing.google.com/safebrowsing/report_phish/ (alertar usuarios do Chrome).
Denunciar ao CERT.br
Enviar para cert@cert.br, que e o centro nacional de resposta a incidentes de seguranca. Eles podem coordenar com provedores e autoridades para acelerar o takedown.
Pesquisar o tracker em ferramentas OSINT
Usar servicos como PublicWWW, BuiltWith ou SpyOnWeb para buscar o ID pmvvokrh7n e encontrar outros dominios operados pelo mesmo golpista.
9. Fontes e referencias
| Fonte | URL |
|---|---|
| Kaspersky (PT-BR) | kaspersky.com.br/blog/bts-world-tour-scam/24877/ |
| Kaspersky (EN) | kaspersky.com/blog/bts-world-tour-scam/55581/ |
| GBHackers | gbhackers.com/fake-bts-tour-ticket/ |
| CNN Brasil | cnnbrasil.com.br/tecnologia/fas-levam-golpes-na-compra-de-shows-do-bts |
| Exame | exame.com/pop/bts-no-brasil-10-sites-fazem-vendas-falsas |
| Band | band.com.br/entretenimento/bts-world-tour-golpistas-criam-sites-falsos |
| Crowder Ticketing | getcrowder.com |
| crt.sh (CT Logs) | crt.sh/?q=worldtourarirang-online.com |
Todas as tecnicas utilizadas nesta investigacao sao de OSINT passivo e legal: consultas WHOIS, analise de DNS, Certificate Transparency Logs, analise de codigo-fonte publicamente acessivel, e pesquisas em fontes abertas. Nenhum scan ativo, exploracao de vulnerabilidades ou acesso nao autorizado foi realizado.