IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hongkong
9 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
5,000+
Einzigartige Tickets wurden ignoriert
24,7 MB
Domänen-Datensatz veröffentlicht
0
Gültige Domains gefunden
100%
Domains, die jetzt markiert sind
Wir haben beschlossen, das zu überprüfen
Nachdem unsere erste Untersuchung aufgedeckt hatte, dass NiceNIC als von der ICANN akkreditierter Registrar die globale Cyberkriminalität begünstigt, blieb eine Frage offen: Ist wirklich ALLES schlecht? Könnte es unter dem Berg aus Phishing, Krypto-Betrug und Schlimmerem auch seriöse Unternehmen geben?
Wir haben beschlossen, dem auf den Grund zu gehen. Wir haben das gesamte Domain-Portfolio von NiceNIC unter die Lupe genommen – jede Registrierung, jede IP-Adresse und jeden Inhalt, auf den wir Zugriff hatten. Das Ergebnis ist ein 24,7 MB großer Datensatz, der auf GitHub veröffentlicht wurde und von jedem unabhängig überprüft werden kann.
Das Fazit war einstimmig und eindeutig.
Das Ergebnis
Wir haben nach JEDEM legitimen Anwendungsfall gesucht. Ein einziges seriöses Unternehmen. Ein persönlicher Blog. Eine Portfolio-Website. Wir haben keine gefunden.
Diese Untersuchung baut auf unseren ursprünglichen Erkenntnissen auf. Lesen Sie den vollständigen Kontext:
Im Zusammenhang mit bereits untersuchten Vorgängen (OFEDREX, LuxardGambling)
Phishing (Allgemeines)
Hoch
Erfassung von Zugangsdaten, Vortäuschung einer Markenidentität
Verbreitung von Malware
Mäßig
Drive-by-Downloads, gefälschte Software
Nicht offengelegte strafrechtliche Inhalte
Gegenwart
Inhalte, die in jeder Rechtsordnung gegen das Strafrecht verstoßen – bewusst nicht näher beschrieben
Inhaltswarnung
Einige Inhalte, die auf NiceNIC-Domains gehostet werden, sind so extrem, dass es schon an sich unverantwortlich wäre, sie im Detail zu beschreiben. Es gibt Kategorien, die weltweit gegen Strafgesetze verstoßen. Wir haben alles dokumentiert. Einzelheiten werden wir jedoch nicht veröffentlichen.
Die einzige „Grenzfall“-Kategorie war das Glücksspiel – doch selbst diese Kategorie hielt einer genaueren Prüfung nicht stand. Die Glücksspiel-Domains ließen sich direkt auf gefälschte Casino-Betriebe zurückverfolgen, die wir bereits untersucht hatten: OFEDREX mit seinen 383 bestätigten Opfern, LuxardGambling mit ihren Deepfake-Werbespots mit Prominenten. Das sind keine seriösen Glücksspielseiten. Es handelt sich um dieselben Betrugsseiten, die nur ein anderes Erscheinungsbild haben.
Die Verbindung zum Hacker-Forum
Die Verbindung von NiceNIC zu Cyberkriminellen geht weit über passive Fahrlässigkeit hinaus. Der Registrar beteiligt sich aktiv an diesem Ökosystem:
„NiceNIC ist auf BlackHatWorld aktiv vertreten, einem Forum, das für SEO-Spam, Phishing-Toolkits und Betrugsdienste berüchtigt ist.“
„In Werbe-E-Mails von NiceNIC wurde damit geworben, dass es ‚weniger Missbrauchsmeldungen‘ gebe – ein Marketingtext, der speziell darauf ausgerichtet ist, kriminelle Kunden anzulocken.“
„Wenn ein Missbrauch gemeldet wird, leitet NiceNIC die persönlichen Kontaktdaten des Meldenden – einschließlich E-Mail-Adressen – direkt an den Domaininhaber weiter. Das ist kein Versehen. Es handelt sich um eine Funktion, die darauf abzielt, Hinweisgeber einzuschüchtern.“
Wichtige Ereignisse
Infografik: 5.000 Missbrauchsmeldungen an NiceNIC gesendet, 0 Maßnahmen ergriffen – ein Berg ignorierter Meldungen im Papierkorb
Vorfall auf BreachForums
NiceNIC hat eine Domain wieder freigeschaltet NACH einem Antrag des FBI auf Abschaltung, und soll daraufhin den eigenen Account des FBI gesperrt haben, um weitere Korrespondenz zu verhindern.
Telegram @NiceNIC_NET
Dokumentierte Gespräche über Deaktivierung von WHOIS und die Bereitstellung von absolut zuverlässigen Dienstleistungen für mutmaßliche Straftäter.
GDPR / Datenschutzverstöße
Die Weitergabe von Daten zu Hinweisgebern an Angreifer – so wird das Verfahren zur Meldung von Missbrauch zu einer Waffe gegen Whistleblower.
5.000 Strafzettel ignoriert
Die Zahl ist keine Schätzung. Sie enthält keine Doppelzählungen. Über 5.000 einzelne Missbrauchsmeldungen wurden gegen NiceNIC-Domains eingereicht – jeweils mit neuen Beweisen und jeweils für eine andere bösartige Domain. In dieser Zahl sind wiederholte Eskalationen, Folgeeinreichungen und Berichte mit Querverweisen nicht berücksichtigt.
Das Antwortmuster war immer dasselbe:
„Unzureichende Beweise“ – die Standard-Autoresponse von NiceNIC auf forensische PDF-Dateien, die VirusTotal-Berichte mit mehr als 15 Erkennungen verschiedener Anbieter, ganzseitige Screenshots aktiver Phishing-Portale, DNS-Zuordnungen und technische Metadaten enthalten.
Mechanismen des Missbrauchs
48-stündige Aussetzungsfrist: Gemäß den internen Richtlinien von NiceNIC bleiben gemeldete Domains 48 Stunden lang aktiv, was Betrügern reichlich Zeit lässt, ihre Opfer auszunehmen
Manipulation von WHOIS/RDAP: auf Wunsch der Kunden absichtlich außer Betrieb gesetzt oder deaktiviert, was gegen die Transparenzanforderungen der ICANN-RAA verstößt
Automatisch geschlossene Beschwerden: An abuse@nicenic.net gesendete Tickets werden automatisch an die Domaininhaber weitergeleitet und geschlossen.
Die geschäftliche Entscheidung
5.000 Strafzettel sind kein Verstoß gegen die Vorschriften. Es handelt sich um eine unternehmerische Entscheidung. Jedes ignorierte Ticket ist umsatzgesichert.
Unser Fazit
Aufgrund der vorliegenden Beweise – der vollständigen Domain-Überprüfung, der über 5.000 ignorierten Tickets, der Präsenz in Hackerforen, des Vorfalls mit dem FBI, der Einschüchterung des Whistleblowers und der bestätigten Nutzungsrate von null Prozent für legitime Zwecke – hat PhishDestroy eine endgültige Entscheidung getroffen:
Offizielle Bezeichnung
Jede über NiceNIC (IANA 3765) registrierte Domain wird nun im Bedrohungserkennungssystem von PhishDestroy als potenziell unsicher gekennzeichnet. Dies gilt für unsere API, Sperrlisten, Browser-Warnungen und alle Partnerintegrationen.
Dies ist keine pauschale Bestrafung. Es handelt sich um eine statistische Schlussfolgerung. Wenn 100 % der überprüften Inhalte bösartig sind und der Registrar dies aktiv ermöglicht, ist der Registrar selbst die kriminelle Infrastruktur.
Abschließende Erklärung
Das ist keine Fahrlässigkeit. Das ist keine Inkompetenz. Das ist ein Geschäftsmodell, das auf der Widerstandsfähigkeit gegenüber Missbrauch basiert. Die Eigentümer der NiceNIC INTERNATIONAL GROUP CO., LIMITED sollten strafrechtlich zur Verantwortung gezogen werden — nicht, weil sie untätig geblieben sind, sondern weil sie sich bewusst dagegen entschieden haben. Wir erwarten, dass sie zur Rechenschaft gezogen werden.
Das Geschäftsmodell ist klar: Kriminelle für Domains zur Kasse bitten, alle Missbrauchsmeldungen ignorieren, Daten von Hinweisgebern an Angreifer weitergeben, in Hackerforen werben. Das ist keine Grauzone. Das ist eine organisierte Infrastruktur für das organisierte Verbrechen. Ein Rechtspräzedenzfall in dieser Sache würde eine klare Botschaft an jeden „bulletproof“-Registrar senden, der unter dem Dach der ICANN operiert.
Mach mit: Finde eine seriöse Domain
Wir machen die Herausforderung öffentlich. Der vollständige Datensatz wurde veröffentlicht. Jede von uns geprüfte NiceNIC-Domain steht zum Download und zur unabhängigen Überprüfung zur Verfügung.
Die Regeln sind einfach: Finden Sie eine einzige legitime Domain, die über NiceNIC registriert ist. Ein echtes Unternehmen. Eine private Website. Alles, was kein Phishing, kein Betrug oder Schlimmeres ist.
Wenn du einen findest, sag uns Bescheid. Wir haben noch keinen gefunden.
NiceNIC-Domain-Raster – visueller Nachweis der Phishing-Konzentration
Das Geschäftsmodell von NiceNIC funktioniert nur dank des Schweigens. Jede Meldung, jede Sperrung, jede öffentliche Aufdeckung erhöht die Kosten der Mitschuld. Die Daten sind öffentlich zugänglich. Die Beweislage ist erdrückend. Handeln Sie entsprechend.
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →