Häufig gestellte Fragen

Unsere Pipeline verarbeitet täglich Tausende von Domains in vier Phasen:

Phase 1: Vorab-Ermittlung und Erfassung

Wir nutzen ein verteiltes Netzwerk von Über 30 proprietäre Parser um bösartige Domains bereits im frühesten Stadium zu erkennen:

• Protokolle zur Zertifikatstransparenz (CT) — Echtzeitüberwachung neuer SSL-Zertifikate, um Phishing-Domains innerhalb weniger Minuten nach ihrer Registrierung zu erkennen
• DNS-Überwachung — Überwachung neuer Domain-Registrierungen und verdächtiger Konfigurationen
• Erkennung von Malvertising — Kontinuierliche Beobachtung von Google Ads, SEO-optimierten Suchergebnissen und aktuellen Social-Media-Kampagnen auf Twitter/X, YouTube und Telegram
• Typosquatting — Einsatz von dnstwist und benutzerdefinierten Heuristiken zur Erkennung von Look-alike-Domains, die auf etablierte Marken abzielen
• Community-Intelligenz — Echtzeit-Erfassung über unseren Telegram-Bot, per E-Mail und über Partner-Feeds
• Aggregation von Phishing-Feeds — Integration mit über 13 Community-Quellen, darunter OpenPhish, PhishTank und URLhaus

Phase 2: Analyse und Bewertung

• 95 AV-Motoren über VirusTotal
• WHOIS-/DNS-Anreicherung (Registrar, Nameserver, IP-Geolokalisierung, Land)
• Analyse des SSL-Zertifikats (Aussteller, SANs, Gültigkeitsdauer)
• Erfassung von Screenshots und Abgleich visueller Inhalte
• Erkennung von Phishing-Kits
• Berechnung des Risikowerts (0–100) aus mehr als 12 gewichteten Signalen

Phase 3: Weltweite Lieferantenberichterstattung

Sobald dies bestätigt ist, reichen wir bei Über 50 Anbieter gleichzeitig:

Zudem formelle Missbrauchsmeldungen an Domain-Registrare und Hosting-Anbieter, versehen mit entsprechenden Belegen.

Phase 4: Öffentliche Transparenz

• Echtzeit-Commits an die Destroylist-Repository
• Live-Überwachungs-Dashboard unter phishdestroy.io/live
• Automatische Benachrichtigungen zu Twitter, Telegramund Mastodon
• Bedingte erneute Erkennung: Folgewarnungen, falls die Bedrohung länger als 24 Stunden aktiv bleibt

Jede Domain erhält eine Risikobewertung von 0 bis 100 auf der Grundlage gewichteter Signale:

Schweregrade:

70–100 KRITISCH40–69 HOCH20–39 Durchschnitt1–19 NIEDRIG

Darüber hinaus bieten unsere internen Domain-Berichte (unter phishdestroy.io/domain) verwenden ein eigenes, erweitertes Bewertungssystem, das VirusTotal-Erkennungen, das Alter der WHOIS-Einträge, SSL-Muster, Inhaltsanalysen, den Grad der Markenimitation sowie historische Missbrauchsraten bei Registraren anhand von mehr als 12 Indikatoren berücksichtigt.

Meistens nur Sperrlisten Liste Domains. Wir bieten umfassende Bedrohungsanalysen:

• Frühzeitige Erkennung — Wir fangen Domains bereits wenige Minuten nach ihrer Registrierung ab, noch bevor sie bei den Opfern landen
• Gründliche Untersuchung — Wir verfolgen Kryptotransaktionen in der Blockchain, kartieren die Infrastruktur, dekompilieren Phishing-Kits und bringen Kampagnen mit den Betreibern in Verbindung
• „Root-Zugriff“ — Wir haben Zugang zu Drainer-Panels, dem Quellcode von Phishing-Kits und den Chat-Protokollen der Betreiber erhalten, was uns einen beispiellosen Einblick in die TTPs der Angreifer verschafft
• Aktive Entfernung — Wir kennzeichnen Domains nicht nur; wir reichen Beweismaterial bei Registraren, Hosting-Anbietern und über 50 Antiviren-Anbietern ein und verfolgen jede Domain, bis sie endgültig stillgelegt ist
• Inhaltsüberprüfung — Unsere inhaltsgeprüften Feeds gehen über DNS hinaus: Wir führen tatsächliche HTTP-Anfragen durch, um zu überprüfen, ob die Phishing-Seite aktiv ist, und erkennen so Cloaking-Versuche
• Rechenschaftspflicht der Registrierstelle — Wir veröffentlichen die Missbrauchsraten und Reaktionszeiten von Registrierstellen und sorgen so dafür, dass fahrlässige Anbieter zur Rechenschaft gezogen werden

Inhaltsüberprüfung bedeutet, dass wir nicht nur prüfen, ob eine Domain aufgelöst wird (DNS), sondern die Seite tatsächlich aufrufen und überprüfen, ob Phishing-Inhalte vorhanden sind.

Das ist wichtig, weil Betrüger nutzen Cloaking: Sie zeigen automatisierten Scannern gefälschte oder leere Seiten an, während sie den menschlichen Opfern die echte Phishing-Seite anzeigen. Eine Domain, die NICHT in unserer Liste der inhaltlich verifizierten Domains aufgeführt ist, nicht Das heißt nicht, dass es sicher ist – es könnte einfach nur getarnt sein.

Unsere inhaltlich geprüften Feeds:

• Hauptinhalt — Kuratierte Domains mit verifizierten aktiven Phishing-Inhalten (alle 12 Stunden aktualisiert)
• Inhalte aus der Community — aggregierte Feeds mit verifizierten Inhalten (Aktualisierung alle 24 Stunden)

Verwenden Sie für maximalen Schutz unser Grundschule – Alle or Allgemeines zur Community Feeds, die alle Domains umfassen, unabhängig vom Status der Inhaltsüberprüfung.

Unsere Falsch-Positiv-Rate liegt unter 0,01 %. Jede automatisierte Erkennung durchläuft mehrere Überprüfungsstufen, bevor ein Bericht erstellt wird. Wir gewährleisten:

• Whitelist — eine manuell zusammengestellte Liste bekannter, vertrauenswürdiger Domains, die niemals als verdächtig markiert werden
• 48-Stunden-Widerspruch — Jeder Fehlalarm wird umgehend überprüft und behoben
• Kontinuierliche Verfeinerung des Klassifikators — wir erfassen jedes Ergebnis eines Einspruchs und aktualisieren die Erkennungslogik
• Kreuzvalidierung mit mehreren Quellen — Domains müssen mehrere Signale auslösen, bevor sie bestätigt werden

Wir verfolgen alle wichtigen Familien von Wallet-Drainern und Arten von Phishing-Kits:

• Missbrauch von Wallet Connect — Gefälschte WalletConnect-Aufforderungen stehlen Genehmigungen
• Inferno-Drainer — einer der produktivsten Multi-Chain-Drainer
• Angel Drainer — Hochentwickelter Entwässerungsbehälter mit NFT-Unterstützung
• Pink Drainer — Kombination aus Social Engineering und Drain
• Phishing im Zusammenhang mit Genehmigungen/Zulassungen — Sicherheitslücken bei der Genehmigung von ERC-20-Token (Permit2)
• Diebstahl der Seed-Phrase — gefälschte Formulare mit der Aufschrift „Wallet verifizieren“ oder „Wallet synchronisieren“
• Betrugsfälle im Zusammenhang mit AML/KYC — gefälschte Seiten zur Überprüfung der Konformität
• Airdrop-Betrug — Seiten mit falschen Token-Behauptungen
• Anlagebetrug — gefälschte Handelsplattformen, Schneeballsysteme
• Solana Drainer — Spezielle Tools zum Abziehen von Geld aus Solana-Wallets

Durchsuchen Sie unsere Datenbank nach Art des Betrugs, Betrugsmethode oder betroffene Marke.

Die PhishDestroy-Bedrohungs-API ist ein kostenlose, offene API Bereitstellung einer Echtzeit-Risikobewertung für Domains in 883.000+ Drohungen. Es ist kein API-Schlüssel erforderlich.

Endpunkte:

Beispiel:

curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz"

Die Antwort umfasst: threat (Boolescher Wert), risk_score (0–100), severity (kritisch/hoch/mittel/niedrig), lists (welche Feeds die Domain enthalten) und last_seen Zeitstempel.

Wir bieten 7 verschiedene Datenfeeds über die Destroylist-Repository:

Empfohlen: Verwendung list.json or active_domains.json für die Produktion. Verwenden Sie blocklist.json für maximale Abdeckung.

Alle Feeds sind verfügbar in JSON und Text Format. Listen mit Root-Domains (ohne Subdomains, Hosting-Anbieter ausgenommen) sind ebenfalls separat erhältlich.

Jeder Feed ist verfügbar in 7 Formate für die sofortige Integration:

Alle Formate sind erhältlich unter: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/

Python:

import requests

r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
    print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})")

JavaScript:

const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score);

Massenprüfung (bis zu 500 Domains):

curl -X POST "https://api.destroy.tools/v1/check/bulk" \
  -H "Content-Type: application/json" \
  -d '{"domains":["site1.com","site2.xyz","site3.top"]}'

Einfache Überprüfung der Sperrliste (Bash):

curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
  | grep -q "suspicious-domain.com" && echo "BLOCKED"

Stammverzeichnisse enthalten ausschließlich Top-Level-Domains – keine Subdomains – und Hosting-Anbieter (Vercel, Pages.dev, Netlify usw.) sind ausgeschlossen. Dadurch eignen sie sich ideal für:

• Firewall-Regeln — ganze Domains sperren, nicht nur bestimmte Subdomains
• DNS-Blockierung — sicher für DNS-Resolver, ohne dass die Gefahr besteht, legitime Hosting-Plattformen zu blockieren
• Registrar-Analyse — bereinigte Daten für die Berechnung der Missbrauchsquote

Drei Varianten erhältlich:

• Alle Wurzeln — alle bestätigten Root-Domains
• Nur live — DNS-verifizierte aktive Roots
• Nur Dienstleistungen — Subdomains auf separaten Hosting-Plattformen (Vercel, Pages.dev, Netlify usw.)

Jedes Domain-Bericht ist ein umfassendes Informationsdossier, das Folgendes enthält:

• Risikobewertung — Zusammengesetzte Bedrohungsbewertung von 0 bis 100 mit Einstufung nach Schweregrad
• Ergebnisse von VirusTotal — Erkennungen von 95 Antiviren-Engines, aufgeschlüsselt nach Anbietern
• Screenshot — Zum Zeitpunkt des Scans aufgenommene Momentaufnahme (über 75.000 lokal gespeicherte Screenshots)
• WHOIS-Daten — Registrar, Erstellungsdatum, Registrantendaten, Nameserver
• DNS-Einträge — A, MX, NS, TXT mit IP-Geolokalisierung und Länderflaggen
• SSL-Zertifikat — Aussteller, Gültigkeitsdauer, Subject Alternative Names (SANs)
• Status der Sperrliste — auf über 11 wichtigen Sicherheits-Blocklisten gelistet
• Betrugsart — Wallet-Leerung, Diebstahl der Seed-Phrase, Airdrop-Betrug, Anlagebetrug usw.
• Markenorientiert — welche legitime Marke nachgeahmt wird (über 350 erfasste Marken)
• Verwandte Domains — andere Domains, die sich Infrastruktur, Favicon oder Phishing-Kit teilen
• Cloudflare Radar — Status der Domain-Kategorisierung
• URLQuery scan — zusätzliche Sicherheitsanalyse

Mögliche Gründe:

• Ihre Domain war bereits kompromittiert und ohne Ihr Wissen für Phishing missbraucht
• Ihre Domain nutzt dieselbe Infrastruktur (IP-Adresse, Nameserver) wie bekannte Phishing-Domains
• Ein automatisierter Klassifikator hat ein falsch-positives Ergebnis gemeldet – dies kommt in weniger als 0,01 % der Fälle vor
• Jemand hat Ihre Domain über die Community-Kanäle gemeldet

Wichtig: PhishDestroy sperrt Domains nicht direkt. Wir melden sie an Antiviren-Anbieter und Registrare, die dann selbst über eine Sperrung entscheiden. Falls Ihre Domain fälschlicherweise als verdächtig markiert wurde, Einspruch einlegen — Wir antworten innerhalb von 48 Stunden und nehmen freigegebene Domains in unsere permanente Whitelist auf.

Zwei Möglichkeiten, Widerspruch einzulegen:

1. Widerspruchsformular (am schnellsten) – Reichen Sie Ihre Domain mit einem Nachweis der Rechtmäßigkeit ein
2. GitHub-Issue — ein Ticket mit Belegen erstellen

Ablauf:

• Wir prüfen innerhalb von 48 Stunden (meist noch am selben Tag)
• Wenn die Überprüfung erfolgreich ist, wird die Domain zu unserer permanenten Liste hinzugefügt Whitelist
• Die Whitelist ist öffentlich: allowlist.json
• Änderungen werden sofort in unsere API und Datenbank übernommen

Der gesamte Vorgang ist völlig kostenlos. Wir erheben keinerlei Gebühren für Einsprüche oder Löschungen – das war schon immer so und wird auch immer so bleiben.

Nichts. Null. Kostenlos. Immer.

Jeder Dritte, der behauptet, er könne Ihre Domain gegen Bezahlung aus PhishDestroy entfernen, betreibt einen Betrug. Wir bieten kein kostenpflichtiges Programm zur Entfernung aus Suchmaschinen an und werden dies auch niemals tun. Bitte melden Sie uns solche Dienste.

PhishDestroy ist nur eine von vielen Quellen. Selbst nachdem wir Ihre Domain bereinigt haben, kann es vorkommen, dass andere Systeme sie weiterhin als verdächtig einstufen:

• Google Safe Browsing — einreichen unter safebrowsing.google.com
• Antiviren-Anbieter — Jeder Anbieter unterhält eigene Sperrlisten; wenden Sie sich an den jeweiligen Meldeweg des Anbieters
• Browser-Warnungen — kann alte Daten für 24 bis 48 Stunden zwischenspeichern

Überprüfen Sie Ihre Domain unter VirusTotal um herauszufinden, welche Anbieter genau das Problem melden, und dann jeden einzelnen zu kontaktieren.

Wenn wir Missbrauchsmeldungen einreichen, halten wir uns an die ICANN-Standards:

• Formelle Meldungen von Missbrauch an Registrare über die WHOIS-Meldestellen für Missbrauch
• Vollständige Beweismittelpakete — Scanergebnisse, Screenshots, PDF-Berichte mit Metadaten
• Die ICANN schreibt vor Registrare sollen Missbrauchsbeschwerden innerhalb von 24 Stunden prüfen
• Bedingte erneute Erkennung — Wenn eine Domain nach 24 Stunden weiterhin aktiv ist, leiten wir weitere Maßnahmen ein und versenden Folgebenachrichtigungen

Wenn eine Domain 10 bis 30 oder mehr Missbrauchsmeldungen erhält und ein Registrar diese monatelang ignoriert, machen wir dies öffentlich bekannt. Der Registrar verhält sich dann nicht mehr passiv – er stellt faktisch die Infrastruktur für illegale Aktivitäten bereit. Unser öffentliche Datenbank schafft Verantwortlichkeit.

Die Zeit drängt. Handeln Sie sofort:

1. Widerrufe die Token-Genehmigungen JETZT — weiter zu revoke.cash Rufen Sie unverzüglich alle ausstehenden Wallet-Genehmigungen ab. Dadurch wird der weitere Abfluss gestoppt.
2. Kontaktieren Sie SEAL 911 — Notfallhilfe bei Krypto-Sicherheitsvorfällen durch Sicherheitsexperten. Besuchen Sie phishdestroy.io/critical-action
3. Restbetrag überweisen — Übertragen Sie alle Vermögenswerte aus der kompromittierten Wallet in eine neue, saubere Wallet
4. Bei der Polizei Anzeige erstatten — Erstatten Sie bei Ihrer örtlichen Polizei Anzeige wegen Cyberkriminalität. Lassen Sie sich eine Fallnummer geben.
5. Öffentlich melden — Datei zu Kettenbrief-Missbrauch um andere zu warnen und eine schriftliche Dokumentation zu erstellen
6. Bewahren Sie ALLE Beweismittel auf — Wallet-Adressen, Transaktions-IDs, Screenshots, Chat-Protokolle, E-Mails, die Phishing-URL

Wenden Sie sich NICHT an „Wiederherstellungsdienste“, die Sie im Internet finden. Über 95 % davon sind Betrugsmaschen, die es auf Opfer abgesehen haben.

Manchmal, aber nur, wenn du schnell reagierst:

• Noch nicht ausgeführte Token-Genehmigungen: Wenn Sie lediglich eine böswillige Genehmigung unterzeichnet haben, widerrufen Sie diese unter revoke.cash verhindert sofort weitere Verluste
• CEX-Auszahlungen: Wenn der Angreifer Geld an Binance, Coinbase usw. überweist, können die Strafverfolgungsbehörden die Konten sperren – dafür benötigen sie jedoch Ihre Anzeige
• Brückenpausen: Einige Cross-Chain-Brücken haben Transaktionen ausgesetzt, als Betrugsfälle gemeldet wurden

Realitätscheck: Die meisten Krypto-Diebstähle auf der Blockchain sind irreversibel. Vorbeugung ist die beste Verteidigung – nutze Hardware-Wallets, überprüfe URLs und gib niemals deine Seed-Phrasen weiter.

Warnsignale:

• URL-Abweichung — „metamask-login.com“ statt „metamask.io“
• Dringlichkeitsformulierung — „Handeln Sie jetzt oder verlieren Sie den Zugriff“, „Ihr Wallet wird gesperrt“
• Anfragen zu Seed-Phrasen — Kein seriöser Dienst wird Sie NIEMALS nach Ihrer Seed-Phrase fragen
• Unerwartete Wallet-Popups — WalletConnect- oder MetaMask-Aufforderungen, die Sie nicht selbst ausgelöst haben
• Zu schön, um wahr zu sein — kostenlose Airdrops, garantierte Renditen, „Hol dir deine Belohnung“
• Anzeigen in sozialen Medien — Bei Phishing-Angriffen wird in großem Umfang auf bezahlte Anzeigen auf Twitter, Google und Telegram zurückgegriffen
• Betrugsversuche per Direktnachricht oder Antwort — Der „Kundensupport“ meldet sich zuerst bei Ihnen

Schutz: Überprüfen Sie Domains immer unter phishdestroy.io/domain oder nutzen Sie unseren Telegram-Bot Bevor Sie Ihre Wallet verbinden, lesen Sie bitte unsere vollständige Anleitung: Grundlagen der Kryptosicherheit

So gut wie nie. Über 95 % der „Wiederherstellungsdienste“ sind sekundäre Betrugsmaschen die sich an Menschen richten, die bereits Geld verloren haben.

Warnsignale:

• Sie garantieren eine Wiederherstellung (was unmöglich zu garantieren ist)
• Sie verlangen eine Vorauszahlung
• Sie sind über Kommentare in den sozialen Medien auf dich aufmerksam geworden, in denen es darum ging, dass du betrogen worden bist
• Sie behaupten, „ethische Hacker“ zu sein, die „Transaktionen rückgängig machen“ können
• Sie fragen nach deiner Seed-Phrase oder dem Zugriff auf deine Wallet

Seriöse Hilfe (alles kostenlos): SEAL 911, die örtlichen Strafverfolgungsbehörden, das Support-Team Ihrer Börse, Kettenbrief-Missbrauch für die öffentliche Berichterstattung.

Gehe zu Pi-hole-Verwaltung → Einstellungen → Sperrlisten → Füge diese URL ein:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt

Speichere und aktualisiere „gravity“. Die Liste wird automatisch gemäß deinem Pi-hole-Zeitplan aktualisiert.

uBlock Origin: Einstellungen → Filterlisten → Importieren → Einfügen:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt

AdGuard Home: Filter → DNS-Sperrlisten → Sperrliste hinzufügen → Füge dieselbe URL ein.

Für den Unbound-DNS-Resolver (pfSense/OPNsense):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf

Für BIND oder Knot DNS (RPZ-Format):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone

Für Dnsmasq:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf

Ja! Und so geht's:

• Phishing-Domains melden — Telegram-Bot or [email protected]
• Integrieren Sie unsere Sperrlisten — hinzufügen Zerstörungsliste an Ihre DNS-, Firewall- oder Sicherheitstools
• Nutzen Sie unsere API — Erstellen Sie Tools, Bots oder Dashboards mithilfe der Bedrohungs-API
• Pull-Requests einreichen — Verbesserungen am Erkennungsalgorithmus, Tipps zur Integration, aktuelle Informationen
• Sensibilisieren — Teile unsere Forschungsergebnisse in den sozialen Medien

Wir nehmen keine Spenden entgegen – Sie können uns am besten unterstützen, indem Sie unsere Daten sinnvoll nutzen.

Unsere Daten (MIT-Lizenz) werden verwendet für:

• Netzwerksicherheit — Firewall-Regeln, DNS-Sperrung, E-Mail-Filterung
• Automatisierung — SIEM/SOC-Integration, automatisierte Reaktion auf Sicherheitsvorfälle
• Bedrohungsforschung — Analyse von Phishing-Kampagnen, Trends bei der Markenimitation
• ML/KI-Schulung — Trainingsdatensätze für Modelle zur Erkennung von Phishing
• Trendanalyse — Missbrauchsraten bei Registrierungsstellen, Risikomuster bei TLDs, Entwicklung von Drainer-Angriffen
• Rechtliche Beweismittel — Zeitgestempelte Domain-Berichte für Strafverfolgungsbehörden und Versicherungsfälle

Historisches Gewölbe: Über 500.000 Domains, archiviert über einen Zeitraum von mehr als fünf Jahren. Kontakt [email protected] für den Zugriff.