Fazit von NiceNIC: Alle Domains geprüft, keine legitimen Verwendungszwecke gefunden
IANA 3765 · NICENIC INTERNATIONAL GROUP CO., LIMITED · Hongkong
9 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
über 5.000
Einzigartige Tickets wurden ignoriert
24,7 Megabyte
Domänen-Datensatz veröffentlicht
0
Gültige Domains gefunden
100 %
Domains, die jetzt markiert sind
Wir haben beschlossen, das zu überprüfen
Nachdem unsere erste Untersuchung aufgedeckt hatte, dass NiceNIC als von der ICANN akkreditierter Registrar globale Cyberkriminalität begünstigt, blieb eine Frage offen: Ist wirklich ALLES schlecht? Könnten sich unter dem Berg aus Phishing, Krypto-Betrug und Schlimmerem auch seriöse Unternehmen verbergen?
Wir wollten das herausfinden. Wir haben das gesamte Domain-Portfolio von NiceNIC unter die Lupe genommen – jede Registrierung, jede IP-Adresse, jeden Inhalt, auf den wir Zugriff hatten. Das Ergebnis ist ein 24,7 MB großer Datensatz, der auf GitHub veröffentlicht wurde und von jedem unabhängig überprüft werden kann.
Das Fazit war einstimmig und eindeutig.
Das Ergebnis
Wir haben nach JEDEM legitimen Anwendungsfall gesucht. Ein einziges seriöses Unternehmen. Ein persönlicher Blog. Eine Portfolio-Website. Wir haben keine gefunden.
Diese Untersuchung baut auf unseren ursprünglichen Erkenntnissen auf. Lesen Sie den vollständigen Kontext:
Im Zusammenhang mit bereits untersuchten Vorgängen (OFEDREX, LuxardGambling)
Phishing (Allgemeines)
Hoch
Das Ausspähen von Zugangsdaten, das Vortäuschen einer Markenidentität
Verbreitung von Malware
Mäßig
Drive-by-Downloads, gefälschte Software
Nicht offengelegte strafrechtliche Inhalte
Gegenwart
Inhalte, die in jeder Rechtsordnung gegen das Strafrecht verstoßen – bewusst nicht näher beschrieben
Inhaltswarnung
Einige Inhalte, die auf NiceNIC-Domains gehostet werden, sind so extrem, dass es schon an sich unverantwortlich wäre, sie im Detail zu beschreiben. Es gibt Kategorien, die weltweit gegen Strafgesetze verstoßen. Wir haben alles dokumentiert. Einzelheiten werden wir jedoch nicht veröffentlichen.
Die einzige „Grenzfall“-Kategorie war das Glücksspiel – doch selbst diese Kategorie hielt einer genauen Prüfung nicht stand. Die Glücksspiel-Domains ließen sich direkt auf gefälschte Casino-Betriebe zurückführen, die wir bereits untersucht hatten: OFEDREX mit seinen 383 bestätigten Opfern, LuxardGambling mit ihren Deepfake-Werbespots mit Prominenten. Das sind keine seriösen Glücksspielseiten. Es handelt sich um dieselben Betrugsseiten, die nur ein anderes Gewand tragen.
Die Verbindung zum Hacker-Forum
Die Verbindung von NiceNIC zu Cyberkriminellen geht weit über passive Nachlässigkeit hinaus. Der Registrar beteiligt sich aktiv an diesem Ökosystem:
„NiceNIC ist auf BlackHatWorld aktiv vertreten, einem Forum, das für SEO-Spam, Phishing-Toolkits und betrügerische Dienste bekannt ist.“
„In Werbe-E-Mails von NiceNIC wird damit geworben, dass es ‚weniger Missbrauchsmeldungen‘ gebe – ein Marketingtext, der speziell darauf ausgerichtet ist, kriminelle Kunden anzulocken.“
„Wenn ein Missbrauch gemeldet wird, leitet NiceNIC die persönlichen Kontaktdaten des Meldenden – einschließlich E-Mail-Adressen – direkt an den Domaininhaber weiter. Das ist kein Versehen. Es handelt sich um eine Funktion, die darauf abzielt, Hinweisgeber einzuschüchtern.“
Wichtige Ereignisse
Infografik: 5.000 Missbrauchsmeldungen an NiceNIC, 0 ergriffene Maßnahmen – ein Berg ignorierter Meldungen im Papierkorb
Vorfall auf BreachForums
NiceNIC hat eine Domain wieder freigeschaltet NACH einem Antrag des FBI auf Festnahme, und soll daraufhin den eigenen Account des FBI gesperrt haben, um weitere Korrespondenz zu verhindern.
Telegram @NiceNIC_NET
Dokumentierte Gespräche über Deaktivierung von WHOIS und die Bereitstellung von wasserdichten Dienstleistungen für mutmaßliche Straftäter.
DSGVO / Datenschutzverletzungen
Die Weitergabe von Daten von Hinweisgebern an Angreifer – so wird das Verfahren zur Meldung von Missbrauch zu einer Waffe gegen Whistleblower.
5.000 Strafzettel ignoriert
Die Zahl ist keine Schätzung. Sie enthält keine doppelten Einträge. Über 5.000 einzelne Missbrauchsmeldungen Es wurden Beschwerden gegen NiceNIC-Domains eingereicht – jede mit neuen Beweisen, jede für eine andere bösartige Domain. In dieser Zahl sind wiederholte Eskalationen, Folgeanträge und Berichte mit Querverweisen nicht enthalten.
Das Antwortmuster war immer dasselbe:
„Unzureichende Beweise“ – die Standard-Autoresponse von NiceNIC auf forensische PDF-Dateien, die VirusTotal-Berichte mit mehr als 15 Erkennungen verschiedener Anbieter, ganzseitige Screenshots aktiver Phishing-Portale, DNS-Zuordnungen und technische Metadaten enthalten.
Mechanismen des Missbrauchs
48-stündige Aussetzung: Gemäß den internen Richtlinien von NiceNIC bleiben gemeldete Domains 48 Stunden lang aktiv, was Betrügern reichlich Zeit lässt, ihre Opfer auszunehmen
Bearbeitung von WHOIS/RDAP: auf Wunsch der Kunden absichtlich deaktiviert oder außer Kraft gesetzt, was gegen die Transparenzanforderungen der ICANN-RAA verstößt
Automatisch geschlossene Beschwerden: An abuse@nicenic.net gesendete Tickets werden automatisch an die Domaininhaber weitergeleitet und geschlossen
Die geschäftliche Entscheidung
5.000 Strafzettel sind kein Verstoß gegen die Vorschriften. Es handelt sich um eine geschäftliche Entscheidung. Jedes ignorierte Ticket ist umsatzgeschützt.
Unser Fazit
Aufgrund der vorliegenden Beweise – der umfassenden Domain-Überprüfung, der über 5.000 ignorierten Tickets, der Präsenz in Hackerforen, des Vorfalls mit dem FBI, der Einschüchterung des Whistleblowers und der bestätigten Tatsache, dass die Domain zu null Prozent für legitime Zwecke genutzt wird – hat PhishDestroy eine endgültige Entscheidung getroffen:
Offizielle Bezeichnung
Jede über NiceNIC (IANA 3765) registrierte Domain wird nun im Bedrohungserkennungssystem von PhishDestroy als potenziell unsicher gekennzeichnet. Dies gilt für unsere API, Sperrlisten, Browser-Warnungen und alle Partnerintegrationen.
Dies ist keine pauschale Bestrafung. Es handelt sich um eine statistische Schlussfolgerung. Wenn 100 % der geprüften Inhalte bösartig sind und der Registrar dies aktiv ermöglicht, ist der Registrar selbst die kriminelle Infrastruktur.
Abschließende Erklärung
Das ist keine Nachlässigkeit. Das ist keine Inkompetenz. Das ist ein Geschäftsmodell, das auf der Widerstandsfähigkeit gegenüber Missbrauch basiert. Die Eigentümer der NICENIC INTERNATIONAL GROUP CO., LIMITED sollten strafrechtlich zur Verantwortung gezogen werden — nicht, weil sie untätig geblieben sind, sondern weil sie sich bewusst dagegen entschieden haben. Wir erwarten, dass sie zur Rechenschaft gezogen werden.
Das Geschäftsmodell ist klar: Kriminelle für Domains zur Kasse bitten, alle Missbrauchsmeldungen ignorieren, Daten von Hinweisgebern an Angreifer weitergeben, in Hackerforen werben. Das ist keine Grauzone. Das ist eine organisierte Infrastruktur für das organisierte Verbrechen. Ein Rechtspräzedenzfall in dieser Sache würde eine klare Botschaft an jeden „bulletproof“-Registrar senden, der unter dem Dach der ICANN operiert.
Spiel mit: Finde eine seriöse Domain
Wir machen die Herausforderung öffentlich. Der vollständige Datensatz ist veröffentlicht. Jede von uns geprüfte NiceNIC-Domain steht zum Download und zur unabhängigen Überprüfung bereit.
Die Regeln sind einfach: Finde eine einzige seriöse Domain, die über NiceNIC registriert ist. Ein echtes Unternehmen. Eine private Website. Alles, was kein Phishing, kein Betrug oder Schlimmeres ist.
Wenn du einen findest, sag uns Bescheid. Wir haben noch keinen gefunden.
NiceNIC-Domain-Raster – visueller Nachweis der Phishing-Konzentration
Das Geschäftsmodell von NiceNIC funktioniert nur, weil niemand etwas sagt. Jeder Hinweis, jede Sperrung, jede öffentliche Aufdeckung erhöht die Kosten der Mittäterschaft. Die Daten sind öffentlich zugänglich. Die Beweislage ist erdrückend. Handeln Sie!
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Inhalte kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →
