/>
Warum wir das tun

Hinter den Kulissen der Untersuchung – Motivation, Ziele und Methoden

Wir werden nicht bezahlt. Wir setzen uns echten Konsequenzen durch in die Enge getriebene Kriminelle mit Geld aus. Auf dieser Seite erklären wir, warum wir diesen Kampf aufgenommen haben, was wir beweisen wollen und wie wir diese Untersuchung konzipiert haben.

Unabhängigkeit und Kompetenz

Wir arbeiten unabhängig. Keine Unternehmenssponsoren, keine Fördermittel, keine finanziellen Hebel, die wir ausnutzen könnten. Diese Autonomie ermöglicht es uns, Ziele zu verfolgen, die traditionelle Sicherheitsfirmen aufgrund von Haftungsrisiken oder Interessenkonflikten meiden. Über 130.000 Phishing-Domains wurden unschädlich gemacht. Langjährige praktische Erfahrung. Wir kennen uns mit Betrugsinfrastrukturen, dem Verhalten von Betreibern unter Druck, der Bearbeitung von Meldungen über Plattformmissbrauch und den Mechanismen von Unterdrückungskampagnen aus.

Wie es zu den Ermittlungen kam

Die Betreiberin („Nathalie Roy“) wurde direkt gewarnt: Lüge nicht, spitze die Situation nicht weiter an. Sie hatte mehrfach die Gelegenheit, die Angelegenheit stillschweigend zu klären – zwei GitHub-Issues zu löschen und das Thema ruhen zu lassen. Hätten sich keine Betroffenen beschwert, wäre die Angelegenheit damit beendet gewesen. Stattdessen entschied sie sich dafür, zu drohen, zu lügen und ihren Registrar einzuschalten. NameSilo veröffentlichte daraufhin einen Tweet mit vier unabhängig voneinander widerlegbaren Aussagen und verteidigte darin öffentlich einen von VirusTotal als „Drainer“ markierten Account vor einem Publikum von 11.000 Followern. Dieser taktische Fehler löste eine umfassende forensische Untersuchung aus.

Unser Ziel steckt schon in unserem Namen: PhishDestroy. NameSilo hat sich dafür entschieden, Teil der Phishing-Aktion zu werden – indem es diese verteidigte, falsche Aussagen veröffentlichte und Beweise unterdrückte. Die Reaktion ist verfahrensrechtlicher Natur: den Schutz dokumentieren, den Betrug zunichte machen, die Strafverfolgungsbehörden einschalten.

Wissenschaftliche Forschung – Die wahre Motivation

Einer unserer Forscher schreibt gerade Eine forensische Forschungsarbeit zur Kriminologie des Online-Betrugs. Diese Untersuchung stellt die zentrale Fallstudie dar. In diesem Beitrag wird eine Methodik zur Untersuchung von Diebstahl von nicht zurückverfolgbare Kryptowährung (Monero) — wo eine herkömmliche Blockchain-Analyse nicht möglich ist.

Monero verfügt über kein öffentliches Hauptbuch. Ein Diebstahl lässt sich nicht durch eine Blockchain-Analyse nachweisen. Kein Etherscan, keine Transaktionsspur, keine Zuordnung zu einer Wallet. Deshalb konnte xmrwallet.com ein Jahrzehnt lang bestehen – niemand konnte den Schaden mit Standardtools beziffern. Die Studie zeigt, dass man, selbst wenn man dem Geld nicht nachverfolgen kann, das Verbrechen dennoch nachweisen kann, und zwar durch:

Diese Untersuchung dient als Proof of Concept dafür, dass die Methode funktioniert. Jedes hier gesammelte Beweisstück – die Unterdrückungsmuster, das identische Verhalten, die CAPTCHA-Antwort, die 21 Millionen protokollierten Einträge – fließt direkt in die wissenschaftliche Arbeit ein. Der Fall musste erst entstehen, damit die Forschung überhaupt stattfinden konnte. Ihre Arroganz hat dies ermöglicht.

Operative Vorgehensweise und Gegenmaßnahmen

Wir haben jede ihrer Handlungen vorausgesehen. Wir haben bewusst nicht auf Twitter geschrieben, dass wir wissen, was sie mit Menschen wie uns anstellen – denn Sie sind so arrogant, dass sie gar nicht gemerkt haben, dass sie uns nicht unterdrücken. Sie haben genau das getan, was wir wollten.

Parallele Handlungsstränge, gleichzeitig:

11–12 formelle Missbrauchsbeschwerden an NameSilo — nicht, um sie in die Falle zu locken, sondern um die Hypothese zu überprüfen. Alle anderen Registrare ergriffen Maßnahmen. Sie ignorierten sie alle.
Datenbankvergiftung auf allen xmrwallet-Domains – 21 Millionen kryptografische Köder wurden eingesetzt, um die Opfer zu schützen und die Telemetriedaten der Betreiber zu verfälschen.
Rückverfolgbare Ablenkungsmanöver eingesetzt auf Medium, dev.to, Azure, GitHub, unseren eigenen Domains und weiteren, noch nicht bekannt gegebenen Plattformen. Über 20 Links pro Stichwort. Jeder davon ist darauf ausgelegt, eine protokollierte Löschanfrage zu generieren — ein kriminaltechnischer Fingerabdruck.
phishdestroy.io wurde vollständig aus dem Bing-Index entfernt. Als ihnen klar wurde, dass die Website mehr als einen Artikel über sie enthalten würde, haben sie nicht nur die Artikel aus dem Index entfernt. Sie haben die gesamte Domain aus dem Index entfernt. Auch das war Teil des Plans.
Twitter als Köder. 200.000 Tweets wurden geopfert. Sie haben den Account über das goldene Häkchen gesperrt. Das eigene System von X hat keinen Verstoß festgestellt. Der Account bleibt weiterhin gesperrt.

Haben wir sie provoziert? Nein. Wir haben das getan, was wir immer tun – Missbrauch gemeldet, Ergebnisse veröffentlicht, Reaktionen dokumentiert. Sie entschieden sich dafür, dies zu unterdrücken. Wir wussten einfach, dass sie das tun würden, und haben es aufgezeichnet.

Die Strategie der Unterdrückung von Fingerabdrücken

Wir haben eingereicht 11–12 formelle Missbrauchsbeschwerden an NameSilo – nicht, um sie zu täuschen, sondern um unsere Hypothese zu überprüfen. Wären sie wirklich unabhängig vom Betreiber, würden sie eine von VirusTotal markierte Website untersuchen, für die es dokumentierte Opfer gibt und bei der der Betreiber in seinen eigenen E-Mails die Kontrolle zugibt. Sie haben jede einzelne davon ignoriert. Alle anderen von uns getesteten Registrare haben Maßnahmen ergriffen.

Plattformübergreifende Verteilung und Rückverfolgung von Unterdrückungen

Wir haben am bewusst auf mehreren Plattformen. Medium, dev.to, unsere eigene Website. Nicht, weil wir es nicht an einem Ort veröffentlichen könnten – sondern weil Wir mussten dafür sorgen, dass sie es auf jeder Plattform separat unterbinden.. Jede Unterdrückungsmaßnahme wird von der empfangenden Plattform protokolliert – Identität des Anfragenden, IP-Adresse, Zeitstempel, Methode. Alle Plattformdaten stehen den Strafverfolgungsbehörden im Rahmen eines regulären Rechtsverfahrens zur Verfügung.

Medium-Artikel: NameSilo hat gelogen, um einen Krypto-Betrug in Höhe von 20 Millionen Dollar zu vertuschen

Medium-Artikel – 304 „Claps“, 15 Kommentare, 19 Minuten Lesezeit. Eine von mehreren Plattformen, auf denen wir bewusst veröffentlicht haben.

01
Veröffentlicht auf Medium. Auf die Deindexierung gewartet. Dokumentiert.
02
Veröffentlicht auf dev.to. Unsere Links + Website wurden gemeldet. Aus dem Bing-Index entfernt. Dokumentiert.
03
Es wurden 2 Artikel speziell über NameSilo veröffentlicht — nicht eins, sondern zwei. Also würden sie Klage einreichen zwei getrennte Anträge auf Deindexierung. Das ist ein forensischer Fingerabdruck.
04
Hat unseren Twitter-Account als „Ziel“ markiert. Sie haben es über „Gold Checkmark“ gesperrt. Die automatisierte Überprüfung von X hat keinen Verstoß festgestellt. Die Sperre bleibt bestehen. Dokumentiert.
05
ICANN-Beschwerde eingereicht. Vollständiges Beweismaterial. An die Bundespolizei weitergeleitet. Die Reaktion der Registrierungsstelle auf eine von der ICANN anerkannte Beschwerde bezüglich eines von VirusTotal gemeldeten Betrugs: Schweigen.

Honigköder & Ablenkungsmanöver

Wir haben sie nicht „in die Falle gelockt“. Wir haben genau das getan, was jeder Anti-Phishing-Forscher tut: Wir haben Ergebnisse veröffentlicht, Missbrauch gemeldet und die Reaktionen dokumentiert. Sie entschieden sich dafür, die Sache zu vertuschen, anstatt darauf zu reagieren. Wir hatten damit gerechnet – denn genau so verhalten sich alle Täter, die wir untersucht haben. Der Unterschied ist, dass diesmal jemand dabei zugesehen und alles aufgezeichnet hat.

Wir haben Ich habe kein Interesse daran, NameSilo zu verleumden. Der Aktienkurs ist uns egal. Wir haben einen Tweet gepostet – um eine Reaktion zu provozieren. Und das ist uns gelungen: Einer ihrer Investoren hat versucht, die Personalien eines Forschers offenzulegen, und die Tweets anschließend gelöscht. NameSilo antwortete mit derselben Standardantwort, die ihr primitives, vorhersehbares Verhalten belegte – genau wie das des Betreibers. Unser Ziel steckt schon in unserem Namen: PhishDestroy. Wir bekämpfen Phishing. Das war's.

Wir haben unseren Twitter-Account – über 200.000 Tweets, jahrelange Beweismittel – geopfert, weil die Ermittlungen dies erforderten. Wir hoffen, dass im Rahmen des Verfahrens alles wiederhergestellt wird, was unterdrückt wurde, denn jeder gelöschte Tweet, jeder entfernte Link und jeder aus dem Index gestrichene Artikel ist selbst ein Beweis, der einer Überprüfung unterzogen werden kann. Jede Plattform, auf der sie uns unterdrückt haben, führt Aufzeichnungen. Ein Jahrzehnt lang haben sie erfolgreich alle negativen Einträge aus den Suchergebnissen entfernt – unsere SEO-Analyse belegt dies. Sie haben nur das stehen gelassen, was ihnen gelegen kam.

Der Zwei-Artikel-Test

Wir haben veröffentlicht zwei Artikel auf Medium. In Artikel Nr. 1 wurde ausschließlich xmrwallet erwähnt – NameSilo kam darin nicht vor. Artikel Nr. 2 war speziell auf NameSilo als SEO-Ziel ausgerichtet. Beide wurden aus dem Index entfernt. Auf unserer eigenen Website ist es genauso: Inhalte ausschließlich über xmrwallet und speziell über NameSilo. Über 20 Links pro Suchbegriff, alle unterdrückt. Wenn NameSilo und der Betreiber nichts miteinander zu tun haben – wer bereinigt dann die Suchergebnisse von NameSilo? Der Betreiber, der den Ruf seines Registrars aufpolieren will? So funktionieren unabhängige Einheiten nicht.

Das haben wir bereits in unserer ersten E-Mail und anschließend noch einmal in einem öffentlichen Artikel geschrieben: „Du zwingst uns durch deine Lügen dazu, Ermittlungen einzuleiten.“ Wir haben es nicht verheimlicht. Sie haben uns nicht geglaubt. Das war ihr Fehler.
Warum wir auf jeder Plattform über NameSilo berichtet haben

Jede von uns veröffentlichte Analyse enthielt einen Hinweis auf den Registrar und die Wahrheit über dessen Verhalten. Das gefiel ihnen nicht. Aber was sie als „Kampf“ betrachten – unsere Beiträge gegen ihre Löschungen – Es war nie eine Schlacht. Es war eine geplante Operation. Jede Maßnahme wurde mit einem einzigen Ziel konzipiert: sie dazu zu bringen, Beweise gegen sich selbst zu liefern. Sie glauben, sie hätten auf Angriffe reagiert. Tatsächlich sind sie jedoch auf einen Köder hereingefallen. Jede Löschanfrage, jede Deindexierung, jede DMCA-Meldung — Beweise, die sie selbst gegen sich selbst gefälscht hatten.

Monero ist nicht zurückverfolgbar. Es gibt keine Spuren in der Blockchain. Herkömmliche Ermittlungsmethoden greifen hier nicht. Deshalb haben wir uns angepasst: Wenn wir dem Geld nicht nachgehen können, dann verfolgen wir das Verhalten. Wir wurden zur Zielscheibe, damit sie das Muster demonstrieren konnten. Ein Jäger jagt keine unauffindbare Beute durch den Wald – er stellt Fallen auf und wartet. Sie sind in jede einzelne hineingelaufen.

Dezentrale Infrastruktur und Risikominderung

Weil wir nicht nur eine Person sind. 4 oder mehr Forscher An dieser Untersuchung wurde gearbeitet. Die Opfer haben dazu beigetragen. Die Strafverfolgungsbehörden in mehreren Ländern wurden informiert. Die Beweismittel befinden sich auf IPFS – unveränderlich, dezentralisiert und mit automatischer Überwachung. Sollte ein Mirror ausfallen, wird automatisch ein neuer bereitgestellt.

Sie glauben, dass das Löschen von Links Beweise verschwinden lässt. Das tut es nicht. Es liefert weitere Beweise. Jede Löschung wird protokolliert. Jeder Versuch, etwas zu unterdrücken, ist ein weiteres Beweisstück in der Akte.

dev.to-Artikel über den xmrwallet-Betrug

Beitrag auf dev.to – wurde auf mehreren Plattformen veröffentlicht, um mehrere Unterdrückungsdatensätze plattformübergreifend zu erstellen.

Bewertung von Bedrohungen für Betreiber

Der Betreiber hat uns eine E-Mail geschickt: „Ich habe einen Anwalt und einen Privatdetektiv beauftragt.“ Es tauchte weder ein Anwalt noch ein Privatdetektiv auf. Was stattdessen auftauchte: DMCA-Löschungsaufforderungen, Massenmeldungen, DDoS-Angriffe von njal.la (einem NameSilo-Reseller) und koordinierte Manipulationen auf Trustpilot. Jede Bedrohung, jede Aktion, jeder Zeitstempel – alles dokumentiert.

Google Search Console zeigt die Infrastruktur von phishdestroy an

Google Search Console – jede Domain, die Sie hier sehen, wurde mit einem einzigen Ziel erstellt: um gelöscht zu werden. Und das wurden sie auch. Jede einzelne.

Die Bait-Infrastruktur

Schau dir diesen Screenshot an. Jede Azure-Subdomain, jede Artikel-URL — Wir haben sie extra so gestaltet, damit sie gemeldet und entfernt werden. Warum sollte jemand ein Dutzend Kopien desselben Inhalts auf verschiedenen Plattformen erstellen? Weil wir sie brauchten, um ein Dutzend separate Anträge auf Entfernung zu stellen. Jeder Antrag wird von der Plattform protokolliert. Jedes Protokoll enthält die Identität des Antragstellers, die IP-Adresse, den Zeitstempel und die Methode. Aufzeichnungen über Löschungen aufgrund von DMCA- und DSGVO-Anfragen werden von den Plattformen über Jahre hinweg aufbewahrt.

Sie haben nicht nachgedacht. Sie haben negative Inhalte gesehen – und auf „Melden“ geklickt. Sowohl bei NameSilo als auch bei xmrwallet. Dasselbe Muster, dieselbe Geschwindigkeit, dieselben Plattformen. Sie haben nie innegehalten, um sich zu fragen: Warum erstellt PhishDestroy ständig neue Links? Warum sollte ein „verrückter Freiwilliger“ immer wieder Spiegelseiten erstellen, die ständig entfernt werden? Weil jede Entfernung ein Beweisstück ist. Jede DMCA-Meldung ist ein forensischer Fingerabdruck. Und wenn Ermittler Google, Bing, Twitter, Trustpilot und Medium vorladen — Das Muster wird bei beiden Einheiten identisch sein. Derselbe Auftraggeber. Dieselbe Vorgehensweise. Derselbe Zeitrahmen. Das sind nicht zwei voneinander unabhängige Unternehmen. Das ist ein einziger Vorgang.

Dies ist kein gewöhnlicher Betrugsfall

Wir haben Hunderte von Betrugsfällen untersucht. Keines davon sah so aus. Die meisten Phishing-Betreiber tauchen unter, verstecken sich oder melden sich ab, sobald sie entlarvt werden. Diese hier taten das nicht. Sie taten genau das Gegenteil:

Genau das macht den Fall aus forensischer Sicht interessant. Der identisches Unterdrückungsmuster sowohl bei NameSilo als auch bei xmrwallet Das ist der „Fingerabdruck“, den wir erfassen wollten. Wir mussten den Zusammenhang nicht anhand von E-Mails oder Zahlungen nachweisen – wir haben ihn anhand des Verhaltens belegt. Wir haben ihnen Ziele vorgegeben. Sie haben diese bei beiden Unternehmen auf identische Weise ausgeschaltet – auf denselben Plattformen, mit derselben Geschwindigkeit und denselben Methoden. Dieses Verhaltensmuster ist der Beweis. Und das ist das Einzige, was sie nicht löschen können, denn es steht in den Plattformprotokollen jedes Unternehmens, bei dem sie uns gemeldet haben.

Datenbankvergiftung und Telemetrieverfälschung

Weil Unser Ziel ist es, Menschen zu schützen — und solange xmrwallet.com online war, verloren die Nutzer Geld. Wir haben ein Cloudflare-Workers-Skript entwickelt, das kontinuierlich Wallet-Daten in jede xmrwallet-Domain (.com, .me, .cc, .biz, .net) eingab – und zwar in genau dieselben Eingabefelder, in die echte Opfer ihre tatsächlichen Schlüssel eingeben. Wenn es sich um eine legitime clientseitige Wallet handelt (wie sie behaupten), hat dies keinerlei Auswirkungen. Die Eingabe der Seed-Phrase in einer legitimen Wallet erfolgt lokal. Es gibt nichts, was man „angreifen“ könnte.

Aber xmrwallet.com stiehlt jede eingegebene Seed-Phrase. Wir haben eine systematische Datenvergiftungsaktion durchgeführt und dabei 21 Millionen kryptografische Köder eingeschleust, um ihre gestohlenen Datensätze für operative Zwecke unbrauchbar machen. Wir hätten nicht aufgehört. Nicht, bevor die Website nicht mehr funktioniert hätte. Ganz gleich, ob sie hCaptcha, Cloudflare Turnstile oder irgendetwas anderes eingesetzt hätten – wir hätten weiterhin Wallet-Adressen eingegeben und die Menschen vor ihnen geschützt. Genau das bedeutet unser Name.

Nicht nur Eingaben – vollständige Verhaltenssitzungen

Unsere Wallets haben nicht einfach nur die Autorisierung durchgeführt und sind dann verschwunden. Bei jeder Sitzung simuliertes realistisches Nutzerverhalten — Links anklicken, durch Seiten navigieren, in unterschiedlichen Zeitabständen warten, verschiedene Nutzertypen nachahmen (Entdecker, Absender, Power-User, Neuling, Paranoiker). Wir wissen, wie Analysesysteme funktionieren – und xmrwallet.com läuft Google Analytics, Google Tag Manager und ein Google-Tracking-Pixel auf einer „anonymen“ Wallet. Unsere Sitzungen waren so konzipiert, dass sie eine starke Zufallsauswahl enthielten, sodass der Betreiber konnte unsere Einträge nicht von echten Opfern unterscheiden anhand des Sitzungsverhaltens, des Zeitablaufs oder der Navigationsmuster. Jede gestohlene Wallet in ihren Protokollen ist in unserem Heuhaufen vergraben.

Das Captcha beweist den Diebstahl

Nachdem unser Tool wochenlang gelaufen war, fügte der Betreiber ein CAPTCHA hinzu – eine einfache quadratische Brute-Force-Aufgabe, die mit Python in etwa 0,1 Sekunden gelöst werden kann. Eine seriöse Wallet benötigt bei der Eingabe der Seed-Phrase kein CAPTCHA. Ledger hat keines. Trezor hat keines. MyMonero hat keines. Keine seriöse Wallet hat eines – denn seriöse Wallets verarbeiten Seeds lokal. Der einzige Grund, ein CAPTCHA hinzuzufügen, wäre, wenn man jede Eingabe serverseitig erfassen und protokollieren. Das CAPTCHA selbst ist ein Beweis für den Diebstahlmechanismus.

Wir hatten erwartet, dass sie eine echte Lösung einsetzen würden – hCaptcha, Cloudflare Turnstile, irgendetwas Seriöses. Das haben sie nicht getan. Sie haben eine triviale, quadratische Brute-Force-Aufgabe eingesetzt, die in 0,1 Sekunden gelöst werden kann. Das sagt alles über ihr technisches Niveau aus. Sie haben ihre Diebstahlskanäle geschützt, nicht ihre Nutzer.

Betriebsstatistik – 1.763 Schuss (149 Stunden)
Sitzungen: 118,585Authentifizierung erfolgreich: 67%Gesamtzahl der Aktionen: 2,595,623Durchschnittliche RPS: 5.4Captcha gelöst: 167,558 (95%)Durchschnittliche Lösungszeit: 6,2 sErwerbstätige: 306Bandbreite: 107 GBFehler der Mitarbeiter: 0Durchschnittliche Sitzungsdauer: 10,5 SeitenEntropieerzeugung: HochKryptografisch realistische Seed-Synthese zur Verhinderung algorithmischer Filterung

xmrwallet.com: 4.743 Sitzungen · xmrwallet.me: 114.031 Sitzungen. Beispielprotokoll eines Durchlaufs. Das Tool wurde mehrfach neu gestartet und aktualisiert – wenn Domains entfernt oder geändert wurden oder CAPTCHA eingeführt wurde. Die vollständigen Protokolle aller Durchläufe umfassen insgesamt etwa 21 Millionen erfolgreiche Einträge über alle xmrwallet-Domains hinweg, Februar – April 2026. Der vollständige Datensatz steht den Strafverfolgungsbehörden auf Anfrage zur Verfügung.

5,4 RPS insgesamt über alle Aktionen hinweg – aber Höchstens eine Autorisierung alle 7–10 Sekunden. Für eine Wallet, die auf der Client-Seite läuft, ist das doch kein Problem, oder? Es sei denn, sie läuft auf der Server-Seite. Es sei denn, sie protokolliert jeden einzelnen Input. Es sei denn, sie stiehlt alles und schreibt das vollständige Protokoll. Und genau das tut sie auch.

Ist das ein Angriff? Nein. Wir haben Daten in ein öffentliches Webformular eingegeben. Das war’s. Wir haben keine Authentifizierung umgangen, keine Sicherheitslücken ausgenutzt und auf kein System zugegriffen, auf das wir keinen Zugriff haben sollten. Wir haben die Website genau so genutzt, wie sie gedacht ist – als „Wallet“. Wenn die Website so funktioniert, wie beworben (nur clientseitig), sind unsere Eingaben bedeutungslos. Wenn unsere Eingaben für sie von Bedeutung sind – Das beweist, dass der Diebstahlmechanismus existiert.

Wir haben DDoS-Guard (ihren Hosting-Anbieter) offiziell über die Art unserer Aktivitäten informiert, den Mechanismus zur Erfassung der Seed-Phrasen beschrieben und die Server-IP-Adressen mitgeteilt. Sie haben sich nie bei uns gemeldet, nie Einwände erhoben und uns nie aufgefordert, damit aufzuhören. Schweigen = kein Problem. Unser Skript beanspruchte weniger als 50 MB RAM und lief mit 5,4 Anfragen pro Sekunde — weniger als 1 % der Serverkapazität. Wir wissen ungefähr, welchen Server sie genutzt haben. Unser Datenverkehr war nicht nachverfolgbar.

Und jetzt kommt das Beste: Als „privates, clientseitiges Wallet“ gibt xmrwallet.com an, keine Protokolle zu führen. Aber wenn sie tun Protokolle führen (weil sie stehlen), haben sie mittlerweile ungefähr genauso viele Einträge wie wir — 21 Millionen. Und wenn sie versuchen, jede Geldbörse zu bearbeiten, zu bewerten und zu leeren? Das sind 21 Millionen Monero-Wallets, die gescannt, geladen und deren Guthaben überprüft werden müssen. Der Rechenaufwand für die Auswertung von 21 Millionen Wallets ist enorm. Jedes leere Wallet verschwendet Zeit und Ressourcen. Das Wallet jedes echten Opfers geht in einem Heuhaufen unserer Einträge unter. Genau darum ging es ja.

Wollen Sie uns einen Angriff vorwerfen? Fordern Sie unsere Protokolle an. Wir werden Gigabyte an Daten vorlegen, aus denen hervorgeht, dass 21 Millionen Seed-Phrasen in Ihre „legitime clientseitige Wallet“ eingegeben wurden. Erklären Sie vor Gericht, warum eine clientseitige Wallet all diese Phrasen protokolliert, verarbeitet und versucht hat, sie zu verwenden.

21 Millionen erfolgreiche „Diebstähle“ – unserer Geldbörsen

Über alle xmrwallet-Domains hinweg (.com, .me, .cc, .biz, .net) hat unser Tool etwa 21 Millionen erfolgreiche Wallet-Einträge. „Erfolgreich“ bedeutet, dass xmrwallet.com die Seed-Phrase akzeptiert, sie serverseitig verarbeitet und versucht hat, auf die Wallet zuzugreifen – genau wie bei echten Opfern. Wir verfügen über Protokolle zu jedem einzelnen Fall. Jeder Eintrag ist ein Beweis dafür, dass die Website Seed-Phrasen serverseitig erfasst und verarbeitet. Wenn es wirklich „ausschließlich clientseitig“ wäre, gäbe es nichts zu protokollieren, nichts zu verarbeiten und keinen Grund, ein CAPTCHA einzufügen, um uns daran zu hindern.

Die Ironie: Sie versuchten, ihren Diebstahlmechanismus zu schützen, anstatt sich selbst zu schützen. Sie haben CAPTCHAs eingeführt, um weiter stehlen zu können. Dabei hätten sie lieber eine rechtliche Verteidigung vorbereiten sollen. Jede gelöste CAPTCHA-Aufgabe, jede DDoS-Guard-Herausforderung, jede serverseitige Sitzung – alles wurde protokolliert und mit einem Zeitstempel versehen. Sie waren so sehr damit beschäftigt, ihre Fähigkeit, Menschen zu bestehlen, zu verteidigen, dass sie vergaßen, dass jemand alles aufzeichnete.

Die Gierfalle: Kryptografische Asymmetrie

Monero-Seed-Phrasen speichern das Erstellungsdatum der Wallet (Restore Height) nicht. Dies stellt den Angreifer vor ein entscheidendes Dilemma: Wenn er nur die jüngsten Blöcke durchsucht, übersieht er ältere, potenziell sehr umfangreiche Wallets. Betrüger sind gierig. Um sicherzustellen, dass sie keine Langzeitinhaber übersehen, sind sie gezwungen, die gesamte Monero-Blockchain – vom Genesis-Block aus dem Jahr 2014 bis heute – nach jeder einzelnen Seed-Phrase zu durchsuchen.

Selbst bei optimierter Infrastruktur und lokalen Knoten dauert ein kryptografischer Scan der gesamten Blockchain etwa 2 bis 5 Minuten hohe CPU-Auslastung pro Wallet.

21.000.000 Lockvögel × 2 Min. = 700.000 CPU-Stunden
Bearbeitungszeit: 1 Monat = ~1.000 CPU-Kerne bei 100 % fortlaufend

Wir haben absolute Rechenasymmetrie: Die Erstellung und Einfügung eines gültigen Köders kostet uns nur Millisekunden, doch die Überprüfung dieses Köders kostet sie konkrete Infrastruktur, Tausende von Dollar an Servergebühren und birgt ein enormes operatives Risiko. Wir haben nicht nur ihre Datenbank verunreinigt — Sie haben ihre eigene Gier als Waffe eingesetzt, um ihre Rechenressourcen zu überlasten.

Aus diesem Grund halten manche unsere Methoden für aggressiv. Wir betrachten sie als angemessen und vollkommen ethisch. Keine Proxys. Keine Botnets. Keine bezahlten Angriffsdienste. Keine illegale Infrastruktur. Keine Zusammenarbeit mit Anbietern aus dem Graumarkt. Alles läuft auf Standard-Cloudflare-Workers – schlank, legal, transparent. Wir brauchen keine teuren oder illegalen Tools, um Menschen zu schützen. Einfache, rechtmäßige Lösungen sind wirksamer – und sie halten vor Gericht stand.

Google Search Console zeigt die Indizierung von phishdestroy.github.io an

Google Search Console – phishdestroy.github.io/DO-NOT-USE-xmrwallet-com: Daten zu Indizierung und Leistung.

Hier gibt es keinen Mittelweg.

Eine Website ist entweder Betrug oder nicht. Es gibt keine Zwischenstufen. Es ist uns egal, wer davon profitiert, wie viel sie bezahlen oder wer sie schützt. Der Betreiber ist ein Krimineller. Der Standesbeamte wusste es entweder nicht (Fahrlässigkeit) oder er wusste es (Beihilfe). Die Beweislage deutet auf Letzteres hin.

Hast du absichtlich Fehler gemacht?

Ja. Wir absichtlich sichtbare KI-Markierungen belassen und übernahmen Verhaltensmuster aus anderen Untersuchungen – kleine Fehler, die dem Betreiber und dem Registrator das Gefühl gaben, ihre Unterdrückungskampagne sei erfolgreich. Wir wollten, dass sie uns unterschätzten. Wir wollten, dass sie voller Zuversicht auf „Melden“ klickten, in der Gewissheit, dass es funktionieren würde, dass wir Amateure seien, die bald aufgeben würden. Jede entschlossene Unterdrückungsmaßnahme, die sie ergriffen haben, ist nun ein mit einem Zeitstempel versehenes Beweisstück. Die Einzelheiten werden in einer demnächst erscheinenden wissenschaftlichen Veröffentlichung zum Thema Online-Betrugsforensik veröffentlicht – insbesondere zum Thema „Behavioral Fingerprinting“ von Betrügern.

Wie sieht das Endspiel aus?

Die Beweismittel wurden bei Einhaltung der ICANN-Vertragsbedingungen und Bundesvollzugsbehörden. Die Ermittlungen werden auf dem offiziellen Weg fortgesetzt. Dieses Archiv dient dazu, dass nichts gelöscht, verändert oder unterdrückt werden kann. Jede Behauptung wird belegt. Jeder Screenshot wird mit einem Hash versehen. Jede Aktion wird dokumentiert.

Wenn sie bestreiten, Bewertungen gelöscht zu haben – legen wir die Wayback-Machine-Archivierungen vor. Wenn sie bestreiten, Beschwerden ignoriert zu haben – legen wir die Zustellbestätigungen vor. Wenn sie den Zusammenhang bestreiten – legen wir die Zeitstempel von PR Newswire, die Übereinstimmung mit dem Unterdrückungsmuster und die Unterlagen zum Kauf der Domain vor.

Sie haben entfernt 30–50+ Links aus den Suchergebnissen bei Google, Bing und auf zahlreichen Plattformen – und zwar für beide Unternehmen. Das beweist eines von zwei Dingen: Entweder sind sie außerordentlich dumm und erkennen nicht, dass jede Löschanfrage protokolliert wird und eine forensische Spur hinterlässt, oder Sie haben eine dauerhafte Vereinbarung mit jemandem, negative Inhalte zu entfernen.. So oder so: Die Protokolle existieren, das Muster ist bei beiden Unternehmen identisch, und alles kann per Vorladung angefordert werden. Diese gesamte Untersuchung war darauf ausgelegt, genau diesen Datensatz zu liefern – sowohl für die wissenschaftliche Arbeit als auch für die Strafverfolgungsbehörden.

Das war zu keinem Zeitpunkt ein lautstarker Streit. Dies ist eine Akte.

PhishDestroy – Profil „Medium“

PhishDestroy Medium-Profil – eine von mehreren Veröffentlichungsplattformen, die zur Dokumentation und Verbreitung von Beweismaterial genutzt werden.

Sie dachten, sie würden uns zum Schweigen bringen. Dabei haben sie uns nur in die Karten gespielt.

Lesen Sie die Belege

Zu jeder der oben genannten Behauptungen gibt es öffentlich zugängliche Belege. Beginnen wir mit den bekanntesten Fällen:

PhishDestroy-Forschungsteam

Unabhängige Anti-Phishing-Initiative – gegründet 2019

← Zurück zu PhishDestroy · Nachrichtenarchiv · abuse@phishdestroy.io