Zum Hauptinhalt springen
Zurück zu den Nachrichten
Laufender Lagebericht

$0 Takedowns, Unbezahlbare Wutanfälle

Seit 2019 haben wir Tausende von Phishing-Domains kostenlos entfernt. Betrüger reagierten darauf mit DDoS-Angriffen, Scheinfirmen, Massenmeldungen und gefälschten Rechtsdokumenten. Nichts davon hat funktioniert. Hier sind die Beweise.

Veröffentlicht am 20. Mai 2025 Aktualisiert im April 2026 9 Minuten Lesezeit PhishDestroy Intelligence
OSINT investigation board tracking scammer retaliation against PhishDestroy operations since 2019
$0Kosten pro Löschung
10+Angriffsarten
5+ JahreAktiv seit
0Ausfalltage
100 %Ausfallrate

So arbeiten wir

Unser Modell ist bewusst unspektakulär. Wir suchen nach Phishing-Infrastrukturen, archivieren Beweismaterial, erstellen strukturierte Missbrauchsberichte und sperren Domains. Keine PR-Kriege, keine Ego-Spiele. Nur Automatisierung und E-Mail.

Erkennen
Automatisches Crawling + Beiträge aus der Community über einen Telegram-Bot. Über 839.000 Domains in unserer Bedrohungsdatenbank.
Archiv
Snapshot-Seiten im Web Archive sowie lokale forensische Kopien vor der Löschung. Die Sicherung von Beweismitteln hat oberste Priorität.
Bericht
Eine strukturierte SMTP-E-Mail pro Domain mit allem, was ein Registrar/Host benötigt. Automatisierte Pipeline. Kosten: 0 $.
Grundprinzip

Standardmäßig keine Doxxing-Funktionen. Wir konzentrieren uns auf die Infrastruktur, nicht auf Einzelpersonen. Wenn Angreifer rechtliche Grenzen überschreiten (Bedrohungen, Betrug, Identitätsdiebstahl), leiten wir den Fall mit vollständigen Beweismaterialien an die Strafverfolgungsbehörden weiter. Andernfalls schalten wir lediglich ihre Domains ab.

Was Betrüger versucht haben (und warum es nicht geklappt hat)

Im Laufe der Jahre haben Cyberkriminelle alles Mögliche gegen uns in die Waagschale geworfen. Hier finden Sie eine umfassende Übersicht über alle Taktiken und warum jede einzelne davon reine Geldverschwendung war.

AngriffVerfahrenIhre KostenUnsere WirkungStatus
E-Mail-Flut2.000–5.000 Nachrichten pro Tag über mehrere Monate hinweg50–300 $/MonatNullFehlgeschlagen
britische BriefkastenfirmaScheinfirma + gefälschte „Eigentumsunterlagen“500–2.000 DollarNullFehlgeschlagen
Soziale EntlarvungenMass-Reporting X, Telegram, Medium100–500 DollarKonten gesperrt, Archive weiterhin verfügbarBelästigung
DDoS-AngriffeGemietete Botnets gegen unseren Lander200–2.000 DollarNullFehlgeschlagen
Bot-FarmenGefälschte Follower/Likes/Meldungen50–300 DollarNullFehlgeschlagen
Falsche MissbrauchsmeldungenFalsche Beschwerden an unseren Hosting-AnbieterZeitNullFehlgeschlagen
InhaltstauschIllegale Inhalte einfügen, um automatische Sperren auszulösenZeitNullFehlgeschlagen
IdentitätsbetrugGefälschte Foren von „russischen Hackern“, die unsere Arbeit verkaufenZeitNullFehlgeschlagen
DDoS → Server-Ausfall283 Millionen Anfragen / 1,21 TB – Namecheap hat uns gekündigt2.000 $ und mehrUmzug zu Cloudflare + HetznerBelästigung
Gefälschte DMCA-MeldungFalsche Urheberrechtsbeschwerde gegen OnlyFans bei GoogleZeitNull – OnlyFans bestreitet die EinreichungFehlgeschlagen
Vertrauenswürdige BenutzerinfiltrationEin vertrauenswürdiger Benutzer hat 46 Domains mit falsch-positiven Ergebnissen hinzugefügtZeitSchnell erfasst, alle Rollen gefestigtFehlgeschlagen
Beschwerdeformular gegen SpamÜber 9.000 Einsprüche gegen gefälschte Domains durch das Lösen von hCaptcha100–500 DollarNull – trivial gefiltertFehlgeschlagen
E-Mail-Bombardement (laufend)Über 400.000 Nachrichten, rund um die Uhr, werden automatisch gelöscht500 $ und mehr pro MonatNullFehlgeschlagen
X/Twitter-Sperre (wieder einmal)Notfallanfrage im Regierungsstil → Konto gesperrt3.000 $ und mehrKeine Wiederherstellung. Mit X fertig.Belästigung
Reddit-SperreAccount gesperrt. 1 Beitrag vor 5 Jahren.ZeitNullFehlgeschlagen
Die wirtschaftlichen Zusammenhänge sind einfach

Sie geben über 3.000 Dollar pro „staatlicher“ Löschanforderung aus. Wir geben 0 Dollar pro Domain-Löschung aus. Unser Löschprozess basiert auf E-Mail-Automatisierung – die Website ist optional. DDoS-Angriffe auf eine Landingpage sind wie der Bombenangriff auf eine Werbetafel: Die Postwagen fahren einfach weiter.

Chronologie des Angriffs

2019 – Ursprung
„Du hast ja nicht mal eine Website!“
Betrüger haben uns in einer Beschwerde bei der Registrierungsstelle verspottet. Wir haben innerhalb von 15 Minuten eine Website erstellt. Der Witz kam gut an. Die Sperrungen nahmen zu.
2020–2022 – E-Mail-Flut
2.000 bis 5.000 Nachrichten pro Tag
Monatelang andauernde Massen-E-Mail-Attacken. Unser Betrieb ist nicht auf eingehende E-Mails angewiesen. Es gab keinerlei Auswirkungen.
2023 – britische Briefkastenfirma
Scheinfirma + gefälschte Eigentumsunterlagen
Es wurde eine in Großbritannien eingetragene Firma gegründet und Dokumente zum „Domain-Eigentumsnachweis“ gefälscht, um Anspruch auf unsere Domain zu erheben. Die Domain ist auf eine Privatperson registriert – Ansprüche von Unternehmen scheitern von vornherein.
2024 – DDoS-Kampagne
Vermietung eines Botnetzes gegen unsere Lander-Seite
Sie mieteten Botnets, um uns „auszuschalten“. Hinter Cloudflare. Der E-Mail-Verkehr lief weiter. Die Sperrmaßnahmen blieben davon unberührt. Eine teure Lektion für sie.
September 2025 – Sperrung von Telegram
Unser Telegram-Kanal wurde massenhaft gemeldet
Wir haben unseren Kanal erfolgreich gemeldet, in dem Domains zur automatischen Sperrung veröffentlicht wurden. Wir haben umgehend einen neuen Kanal eingerichtet.
2025–2026 – Laufend
Betrieb skaliert, Infrastruktur gesichert
Die Pipeline zur automatisierten Erkennung und Meldung wurde erweitert. Es wurden neue Gegenmaßnahmen gegen aktive Phishing-Infrastrukturen ergriffen. Die Einzelheiten sind geheim.
6. März 2026 – Die „nukleare Option“ bei DDoS-Angriffen
283 Millionen Anfragen, 1,21 TB – Namecheap hat uns gekündigt
Massiver DDoS-Angriff: 283 Millionen Anfragen und 1,21 TB Bandbreite in 7 Tagen. Das Hosting von Namecheap konnte das nicht bewältigen und hat unseren Account gekündigt. Wir sind zu Cloudflare + Hetzner gewechselt (von 8 $/Monat auf 25 $/Monat). Nach der Migration haben sie es erneut versucht – und sind, wie zu erwarten war, kläglich gescheitert. Cloudflare hat alles abgefangen. Keine Ausfallzeit.
30. März 2026 – Gefälschte DMCA-Meldung
Falsche Urheberrechtsbeschwerde gegen OnlyFans bei Google
Bei Google wurde eine betrügerische DMCA-Löschungsanfrage eingereicht, in der behauptet wurde, unsere Domain-Berichtsseite verletze die Rechte an OnlyFans-Inhalten. Die Beschwerde wurde von „kanave mogel“ unter Verwendung von Namen von OnlyFans-Darstellern eingereicht. Wir haben OnlyFans direkt kontaktiert – dort wurde bestätigt: „Diese Mitteilung wurde nicht vom OnlyFans-Team übermittelt. Sie stammt nicht von uns.“ Die Klage wurde abgewiesen.
März 2026 – Infiltration durch vertrauenswürdige Benutzer
Ein vertrauenswürdiger Benutzer hat 46 Domains mit falsch-positiven Ergebnissen hinzugefügt
Einem Benutzer mit „Trusted“-Status ist es gelungen, 46 legitime Domains zu unserer Sperrliste hinzuzufügen. Wir haben dies schnell erkannt und rückgängig gemacht. Ergebnis: ein verschärftes Berechtigungsmodell für alle Benutzerrollen – Administratoren, vertrauenswürdige Benutzer, alle anderen. Vielen Dank für das kostenlose Sicherheitsaudit.
März–April 2026 – Flut von Einspruchsanträgen
Über 9.000 gefälschte Einsprüche durch das Lösen von hCaptcha
Unser Formular für Domain-Einsprüche wurde mit über 9.000 gefälschten Einsendungen zugespammt, wobei für das Lösen von hCaptcha bezahlt wurde. Das ließ sich mühelos herausfiltern – die Muster waren offensichtlich. Das hat sie Geld und Zeit gekostet. Uns hat es nichts gekostet.
April 2026 – X/Twitter erneut gesperrt
Zweites X-Konto gelöscht. Keine Wiederherstellung.
Unser X-Konto wurde erneut gesperrt, wahrscheinlich aufgrund von behördlichen Notfallanfragen. Diesmal haben wir beschlossen: Wir sind fertig mit X. Der Aufwand für die Wiederherstellung lohnt sich nicht. Wir haben alternative Kommunikationskanäle aufgebaut, und unser Betrieb ist nicht von irgendeiner sozialen Plattform abhängig.
2026 – Von Reddit gesperrt
Ein 5 Jahre altes Konto mit 1–3 Beiträgen. Verschwunden.
Unser Reddit-Account wurde gesperrt. Er hatte 1 Karma-Punkt, 0 Beiträge und einen fünf Jahre alten Beitrag im Subreddit r/TREZOR, in dem vor Betrugs-Apps auf Google Play gewarnt wurde. Wir sind am Boden zerstört. (Sind wir nicht.) 😂
Laufend – E-Mail-Bombardement
Über 400.000 E-Mails – Tendenz steigend
Eine ununterbrochene Flut von E-Mails, die automatisch gelöscht werden. Wir können euch die genaue Zahl wirklich nicht nennen, da unsere Filter sie automatisch löschen. Schätzungsweise über 400.000. Da ist wohl jemand ziemlich verärgert. Wir müssen wohl etwas richtig machen.

Beweisarchiv

Nachfolgend finden Sie dokumentierte Beweise für bestimmte Vorfälle. Klicken Sie auf eine beliebige Karte, um den Screenshot in voller Größe anzuzeigen. Alle Beweise werden im Interesse der Transparenz und für mögliche rechtliche Schritte aufbewahrt.

DDoS attack traffic graph showing attack attempts against PhishDestroy infrastructure
Grafik zu DDoS-Angriffen
Verkehrsspitzen durch gemietete Botnetze. Hinter Cloudflare. Keine Auswirkungen auf den Betrieb bei E-Mail-basierten Sperrungen.
Fake Russian hacker forum screenshot marketing PhishDestroy's work as their own service
Gefälschtes Forum für „russische Hacker“
Betrüger haben gefälschte RU-Foren eingerichtet und unsere Arbeit als ihren „Service“ ausgegeben. Screenshot zur Dokumentation gespeichert.
Scam forum pricing for illegal services including government database access
Preise im Forum – „Gov Access“
Preise für öffentliche Betrugsforen. Sie bieten schlüsselfertige Dienstleistungen und Zugang zu einem automatisierten Dashboard für Strafverfolgungsbehörden.
False abuse report submitted to hosting provider with fabricated domain masking
Falsche Missbrauchsmeldung
In einem Bericht haben sie die eigentliche Domain als „mysite.com“ verschleiert. Es handelte sich nicht um einen DDoS-Angriff – es war ihr Endpunkt für die Authentifizierung bei der Seed-Erfassung.
Cloudflare analytics showing 283M requests and 1.21 TB bandwidth from DDoS attack
DDoS: 283 Millionen Anfragen / 1,21 TB
6. März 2026. Der Angriff, der unser Namecheap-Hosting lahmlegte. Kanada, USA, Indonesien, Bulgarien – ein weltweites Botnetz. Umstellung auf Cloudflare.
Google notice about fraudulent DMCA copyright complaint against PhishDestroy
Falsche DMCA-Meldung über Google
Es wurde eine gefälschte DMCA-Meldung bei OnlyFans eingereicht, um unsere Domain sperren zu lassen. Eingereicht von „kanave mogel“. OnlyFans hat bestätigt, dass sie diese Meldung nie eingereicht haben.
OnlyFans official response denying they filed the DMCA notice
OnlyFans: „Nicht von uns“
Offizielle Antwort von Dana bei OnlyFans: „Diese Mitteilung wurde nicht vom OnlyFans-Team verfasst. Sie stammt nicht von uns.“
Banned Reddit account showing 1 karma and a 5-year-old anti-scam post
Reddit-Konto gesperrt
1 Karma. 0 Beiträge. Ein 5 Jahre alter Beitrag, der vor Betrugs-Apps warnt. Eine echte Gefahr für die Gesellschaft.

März 2026: Der DDoS-Angriff, der unser Hosting lahmlegte

Am 6. März 2026 starteten Betrüger den bislang größten DDoS-Angriff auf unsere Infrastruktur: 283,45 Millionen Anfragen und 1,21 TB Bandbreite innerhalb von nur 7 Tagen. Der Angriff ging von einem weltweiten Botnetz aus, das sich über Kanada (91 Millionen Anfragen), die Vereinigten Staaten (73 Millionen), Indonesien (13 Millionen), Bulgarien (13 Millionen), Guatemala (12 Millionen), Japan, Russland und Deutschland erstreckte.

Cloudflare analytics showing 283M requests, 1.21 TB bandwidth, 313K visits from DDoS attack across multiple countries
Cloudflare-Analysen: 283 Millionen Anfragen, 1,21 TB Bandbreite. Der Angriff, der uns zur Migration unseres Hostings zwang.

Das 8-Dollar-Hosting von Namecheap war damit überfordert und hat unseren Account gekündigt. Wir sind zu Cloudflare + Hetzner (25 Dollar/Monat) gewechselt. Nach der Migration haben sie es erneut versucht – und sind, wie zu erwarten war, kläglich gescheitert. Cloudflare hat alles mühelos bewältigt. Keine Ausfallzeiten. Keine Beeinträchtigung der Abschaltvorgänge.

Falscher DMCA-Antrag

Am 30. März 2026 hat uns Google über eine Urheberrechtsbeschwerde gegen unsere Domain-Berichtsseite informiert phishdestroy.io/domain/hbmhcw.net/. In der Beschwerde wurde behauptet, dass unsere Seite urheberrechtlich geschützte OnlyFans-Inhalte enthalte, die den Darstellern „Mibadbitch, Bri Naranjo oder Brianna Naranjo“ gehörten. Die Beschwerde wurde von einer Person namens „Kanal“.

Google DMCA notice
Google-Urheberrechtshinweis
30. März 2026. Google entfernt unsere Domain-Berichtsseite aufgrund einer betrügerischen DMCA-Meldung aus den Suchergebnissen.
OnlyFans denying they filed the notice
OnlyFans: Nicht von uns
Dana von OnlyFans: „Diese Mitteilung wurde nicht vom OnlyFans-Team verfasst. Sie stammt nicht von uns.“

Wir haben OnlyFans direkt kontaktiert. Die Antwort war eindeutig: „Die genannte DMCA-Mitteilung (Lumen-Datenbank-ID: 81731777) wurde nicht vom OnlyFans-Team eingereicht. Unsere Plattform wurde in der Mitteilung lediglich als mutmaßliche ursprüngliche Quelle des Inhalts genannt. Die Beschwerde wurde jedoch nicht in unserem Namen eingereicht.“

Eintrag in der Lumen-Datenbank

lumendatabase.org/notices/81731777 — Die vollständige betrügerische DMCA-Mitteilung ist öffentlich zugänglich. Eingereicht von „kanave mogel“. Ein Betrüger, der versucht, mithilfe des Urheberrechts Beweise für seine Phishing-Domains aus unseren Berichten entfernen zu lassen.

Löschungen in sozialen Medien

Unsere Social-Media-Konten werden systematisch ins Visier genommen. X (Twitter), Telegram, Medium, Reddit – alle wurden durch Massenmeldungen gesperrt oder gelöscht, wahrscheinlich unter Verwendung gefälschter dringender behördlicher Anordnungen. Unser letztes X-Konto wurde im April 2026 gelöscht. Wir haben beschlossen, es nicht wiederherzustellen. Wir haben es satt, bei Plattform-Sperren immer wieder nach dem nächsten Problem zu suchen.

X/Twitter – endgültig aufgegeben

Nach der zweiten Sperrung haben wir beschlossen: Es reicht. Wir verschwenden keine Zeit damit, Konten auf Plattformen wiederherzustellen, auf denen Betrüger mit Geld falsche behördliche Anträge stellen können, um Konten zu löschen. Unser Betrieb war nie von sozialen Medien abhängig. Die Löschungen gehen trotzdem weiter.

Alternative Kanäle

Wir sagen die Wahrheit und helfen dabei, das zu blockieren, was blockiert werden muss. Manchen gefällt das nicht. Sie glauben, dass sie uns durch das Sperren oder Löschen unserer Konten aufhalten oder uns schaden können. Wir beschweren uns nicht – ehrlich gesagt ist es mittlerweile schon komisch. Wir sind auf alle Sperren und Löschungen vorbereitet. Betrüger mit Geld und ohne Verstand = sie kaufen Angriffe und versuchen, uns zu vernichten. Aber PhishDestroy ist immer noch da. Und wir vernichten.

X-Archiv
Über 140.000 gelöschte Beiträge wurden gesichert.
GitHub-Repo
Medium-Archiv
Alle Blogbeiträge wurden gesichert und gespiegelt.
Archiv anzeigen
Neuer Kanal
Unmittelbar nach dem Abbau wieder aufgebaut.
Dem Kanal beitreten

Protokoll zur Beweissicherung

Jede unserer Maßnahmen erfolgt nach einem strengen Protokoll zur Beweissicherung, das auf maximale Transparenz und mögliche Gerichtsverfahren ausgelegt ist:

Weiterführende Literatur

Infosecurity Magazine: E-Mails von Strafverfolgungsbehörden und Regierungsstellen — Die Qualität der Antworten der Registrare schwankt stark. Namecheap reagiert stets schnell; andere weniger.

Das 0-Dollar-Modell in der Praxis

Unsere Kostenstruktur ist bewusst asymmetrisch. Jeder Dollar, den sie für Vergeltungsmaßnahmen ausgeben, ist verschwendet. Jede Domain, die wir entfernen, kostet uns nichts.

Ihre AusgabenUnsere Ausgaben
3.000 $ und mehr pro „staatlicher“ Social-Media-Löschaktion0 $ pro automatischer Missbrauchsmeldung
200–2.000 Dollar für die Anmietung eines DDoS-Botnetzes0 $ – hinter Cloudflare fließen die E-Mails weiter
500–2.000 $ für britische Papierfirma + gefälschte Dokumente0 $ – private Registrierung, Anträge werden automatisch abgelehnt
50–300 $/Monat für E-Mail-Spam-Dienste0 $ – Wir nutzen keine eingehenden E-Mails für den Betrieb
50–300 Dollar für gefälschte Meldungen aus Bot-Farmen0 $ – von den Plattformen gemeldet und gelöscht

Die Anzeigetafel

Sie opfern Tausende, um uns aufzuhalten. Wir geben $0 um ihre Infrastruktur zu entfernen. Unsere Automatisierung ist skalierbar. Ihre Panik ist es nicht. Wir warnen sie: „Deine Infrastruktur wird bald abgeschaltet“ — dann bricht bei ihnen das Chaos aus. Wir hingegen halten es langweilig: scannen, archivieren, melden, löschen.

Möchtest du helfen?

Wenn Sie auf eine Phishing-Seite gestoßen sind oder einen Beitrag zum Kampf gegen Krypto-Betrug leisten möchten, gehen Sie wie folgt vor:

Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →