Zum Hauptinhalt springen
Zurück zu den Nachrichten
Weiterführende Untersuchung

Fazit von NiceNIC: Alle Domains wurden geprüft, es wurden keine legitimen Verwendungszwecke gefunden

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hongkong

Fazit zu NiceNIC
5,000+
Einzigartige Tickets wurden ignoriert
24,7 MB
Domänen-Datensatz veröffentlicht
0
Gültige Domains gefunden
100%
Domains, die jetzt markiert sind

Wir haben beschlossen, das zu überprüfen

Nachdem unsere erste Untersuchung aufgedeckt hatte, dass NiceNIC als von der ICANN akkreditierter Registrar die globale Cyberkriminalität begünstigt, blieb eine Frage offen: Ist wirklich ALLES schlecht? Könnte es unter dem Berg aus Phishing, Krypto-Betrug und Schlimmerem auch seriöse Unternehmen geben?

Wir haben beschlossen, dem auf den Grund zu gehen. Wir haben das gesamte Domain-Portfolio von NiceNIC unter die Lupe genommen – jede Registrierung, jede IP-Adresse und jeden Inhalt, auf den wir Zugriff hatten. Das Ergebnis ist ein 24,7 MB großer Datensatz, der auf GitHub veröffentlicht wurde und von jedem unabhängig überprüft werden kann.

Das Fazit war einstimmig und eindeutig.

Das Ergebnis

Wir haben nach JEDEM legitimen Anwendungsfall gesucht. Ein einziges seriöses Unternehmen. Ein persönlicher Blog. Eine Portfolio-Website. Wir haben keine gefunden.

Diese Untersuchung baut auf unseren ursprünglichen Erkenntnissen auf. Lesen Sie den vollständigen Kontext:

Was wir herausgefunden haben

Die über NiceNIC registrierten Domains lassen sich eindeutig bestimmten Kategorien von Missbrauch zuordnen:

KategoriePrävalenzAnmerkungen
Krypto-Phishing und „Drainer“DominantWallet-Leerräuber, gefälschte Börsen, Airdrop-Betrug
Gefälschte Glücksspiele und CasinosHoch Im Zusammenhang mit bereits untersuchten Vorgängen (OFEDREX, LuxardGambling)
Phishing (Allgemeines)HochErfassung von Zugangsdaten, Vortäuschung einer Markenidentität
Verbreitung von MalwareMäßigDrive-by-Downloads, gefälschte Software
Nicht offengelegte strafrechtliche InhalteGegenwart Inhalte, die in jeder Rechtsordnung gegen das Strafrecht verstoßen – bewusst nicht näher beschrieben

Inhaltswarnung

Einige Inhalte, die auf NiceNIC-Domains gehostet werden, sind so extrem, dass es schon an sich unverantwortlich wäre, sie im Detail zu beschreiben. Es gibt Kategorien, die weltweit gegen Strafgesetze verstoßen. Wir haben alles dokumentiert. Einzelheiten werden wir jedoch nicht veröffentlichen.

Die einzige „Grenzfall“-Kategorie war das Glücksspiel – doch selbst diese Kategorie hielt einer genaueren Prüfung nicht stand. Die Glücksspiel-Domains ließen sich direkt auf gefälschte Casino-Betriebe zurückverfolgen, die wir bereits untersucht hatten: OFEDREX mit seinen 383 bestätigten Opfern, LuxardGambling mit ihren Deepfake-Werbespots mit Prominenten. Das sind keine seriösen Glücksspielseiten. Es handelt sich um dieselben Betrugsseiten, die nur ein anderes Erscheinungsbild haben.

Die Verbindung zum Hacker-Forum

Die Verbindung von NiceNIC zu Cyberkriminellen geht weit über passive Fahrlässigkeit hinaus. Der Registrar beteiligt sich aktiv an diesem Ökosystem:

„NiceNIC ist auf BlackHatWorld aktiv vertreten, einem Forum, das für SEO-Spam, Phishing-Toolkits und Betrugsdienste berüchtigt ist.“
„In Werbe-E-Mails von NiceNIC wurde damit geworben, dass es ‚weniger Missbrauchsmeldungen‘ gebe – ein Marketingtext, der speziell darauf ausgerichtet ist, kriminelle Kunden anzulocken.“
„Wenn ein Missbrauch gemeldet wird, leitet NiceNIC die persönlichen Kontaktdaten des Meldenden – einschließlich E-Mail-Adressen – direkt an den Domaininhaber weiter. Das ist kein Versehen. Es handelt sich um eine Funktion, die darauf abzielt, Hinweisgeber einzuschüchtern.“

Wichtige Ereignisse

Infografik: 5.000 Missbrauchsmeldungen an NiceNIC gesendet, 0 Maßnahmen ergriffen – ein Berg ignorierter Meldungen im Papierkorb
Infografik: 5.000 Missbrauchsmeldungen an NiceNIC gesendet, 0 Maßnahmen ergriffen – ein Berg ignorierter Meldungen im Papierkorb

Vorfall auf BreachForums

NiceNIC hat eine Domain wieder freigeschaltet NACH einem Antrag des FBI auf Abschaltung, und soll daraufhin den eigenen Account des FBI gesperrt haben, um weitere Korrespondenz zu verhindern.

Telegram @NiceNIC_NET

Dokumentierte Gespräche über Deaktivierung von WHOIS und die Bereitstellung von absolut zuverlässigen Dienstleistungen für mutmaßliche Straftäter.

GDPR / Datenschutzverstöße

Die Weitergabe von Daten zu Hinweisgebern an Angreifer – so wird das Verfahren zur Meldung von Missbrauch zu einer Waffe gegen Whistleblower.

5.000 Strafzettel ignoriert

Die Zahl ist keine Schätzung. Sie enthält keine Doppelzählungen. Über 5.000 einzelne Missbrauchsmeldungen wurden gegen NiceNIC-Domains eingereicht – jeweils mit neuen Beweisen und jeweils für eine andere bösartige Domain. In dieser Zahl sind wiederholte Eskalationen, Folgeeinreichungen und Berichte mit Querverweisen nicht berücksichtigt.

Das Antwortmuster war immer dasselbe:

„Unzureichende Beweise“ – die Standard-Autoresponse von NiceNIC auf forensische PDF-Dateien, die VirusTotal-Berichte mit mehr als 15 Erkennungen verschiedener Anbieter, ganzseitige Screenshots aktiver Phishing-Portale, DNS-Zuordnungen und technische Metadaten enthalten.

Mechanismen des Missbrauchs

  • 48-stündige Aussetzungsfrist: Gemäß den internen Richtlinien von NiceNIC bleiben gemeldete Domains 48 Stunden lang aktiv, was Betrügern reichlich Zeit lässt, ihre Opfer auszunehmen
  • Manipulation von WHOIS/RDAP: auf Wunsch der Kunden absichtlich außer Betrieb gesetzt oder deaktiviert, was gegen die Transparenzanforderungen der ICANN-RAA verstößt
  • Automatisch geschlossene Beschwerden: An abuse@nicenic.net gesendete Tickets werden automatisch an die Domaininhaber weitergeleitet und geschlossen.

Die geschäftliche Entscheidung

5.000 Strafzettel sind kein Verstoß gegen die Vorschriften. Es handelt sich um eine unternehmerische Entscheidung. Jedes ignorierte Ticket ist umsatzgesichert.

Unser Fazit

Aufgrund der vorliegenden Beweise – der vollständigen Domain-Überprüfung, der über 5.000 ignorierten Tickets, der Präsenz in Hackerforen, des Vorfalls mit dem FBI, der Einschüchterung des Whistleblowers und der bestätigten Nutzungsrate von null Prozent für legitime Zwecke – hat PhishDestroy eine endgültige Entscheidung getroffen:

Offizielle Bezeichnung

Jede über NiceNIC (IANA 3765) registrierte Domain wird nun im Bedrohungserkennungssystem von PhishDestroy als potenziell unsicher gekennzeichnet. Dies gilt für unsere API, Sperrlisten, Browser-Warnungen und alle Partnerintegrationen.

Dies ist keine pauschale Bestrafung. Es handelt sich um eine statistische Schlussfolgerung. Wenn 100 % der überprüften Inhalte bösartig sind und der Registrar dies aktiv ermöglicht, ist der Registrar selbst die kriminelle Infrastruktur.

Abschließende Erklärung

Das ist keine Fahrlässigkeit. Das ist keine Inkompetenz. Das ist ein Geschäftsmodell, das auf der Widerstandsfähigkeit gegenüber Missbrauch basiert. Die Eigentümer der NiceNIC INTERNATIONAL GROUP CO., LIMITED sollten strafrechtlich zur Verantwortung gezogen werden — nicht, weil sie untätig geblieben sind, sondern weil sie sich bewusst dagegen entschieden haben. Wir erwarten, dass sie zur Rechenschaft gezogen werden.

Das Geschäftsmodell ist klar: Kriminelle für Domains zur Kasse bitten, alle Missbrauchsmeldungen ignorieren, Daten von Hinweisgebern an Angreifer weitergeben, in Hackerforen werben. Das ist keine Grauzone. Das ist eine organisierte Infrastruktur für das organisierte Verbrechen. Ein Rechtspräzedenzfall in dieser Sache würde eine klare Botschaft an jeden „bulletproof“-Registrar senden, der unter dem Dach der ICANN operiert.

Mach mit: Finde eine seriöse Domain

Wir machen die Herausforderung öffentlich. Der vollständige Datensatz wurde veröffentlicht. Jede von uns geprüfte NiceNIC-Domain steht zum Download und zur unabhängigen Überprüfung zur Verfügung.

Die Regeln sind einfach: Finden Sie eine einzige legitime Domain, die über NiceNIC registriert ist. Ein echtes Unternehmen. Eine private Website. Alles, was kein Phishing, kein Betrug oder Schlimmeres ist.

Wenn du einen findest, sag uns Bescheid. Wir haben noch keinen gefunden.

Melden. Blockieren. Aufdecken.

NiceNIC-Domain-Raster – visueller Nachweis der Phishing-Konzentration
NiceNIC-Domain-Raster – visueller Nachweis der Phishing-Konzentration

Das Geschäftsmodell von NiceNIC funktioniert nur dank des Schweigens. Jede Meldung, jede Sperrung, jede öffentliche Aufdeckung erhöht die Kosten der Mitschuld. Die Daten sind öffentlich zugänglich. Die Beweislage ist erdrückend. Handeln Sie entsprechend.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, unabhängiges Projekt. Unsere Recherchen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen den Lesern, alle Inhalte kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →