PhishDestroy Live
Zurück zu den Nachrichten
Methodik

Seed-Flooding: Warum PhishDestroy offen vorgeht
„Angriffe“ auf Phishing-Seiten

Wir machen keinen Hehl daraus. Wenn PhishDestroy eine aktive Phishing-Seite entdeckt, die Seed-Phrasen für Krypto-Wallets sammelt, überschütten wir sie mit Seed-Phrasen im gültigen Format. Hier erfahren Sie genau, was wir tun, warum wir es tun und warum wir uns dafür nicht schämen.

31. März 2026 PhishDestroy-Forschung 12 Minuten Lesezeit
Seed-Flooding – das digitale Schlachtfeld gegen Phishing
Maßnahmen gegen Phishing: Wenn eine Meldung allein nicht schnell genug ist, greifen wir direkt ein
14,663CF-Mitarbeiter
2/10 sRatenbegrenzung
5+Exfil-Kanäle
$0Kosten des Angreifers
<4 Std.E-MailJS ausschöpfen

Das Problem: Eine Phishing-Seite ist gerade online

Stellen Sie sich vor, Sie entdecken eine Phishing-Seite für Krypto-Wallets, die über bezahlte Google-Anzeigen geschaltet wird. Sie sieht seriös aus. Sie verzeichnet Besucherzahlen. Alle paar Minuten landen echte Nutzer auf dieser Seite, geben ihre Seed-Phrasen ein und verlieren alles.

Sie melden den Vorfall bei Google. Sie melden den Vorfall bei der Registrierungsstelle. Sie reichen beim Hosting-Anbieter eine Missbrauchsmeldung ein. Und dann wartet man.

In der Zwischenzeit macht der Betrüger sein 47. Opfer. Dann das 48. Und dann das 49.

Die bürokratische Kluft

Der Standardprozess zur Meldung von Missbrauch dauert 5 bis 10 Werktage. Aktive Phishing-Seiten verursachen jedoch innerhalb weniger Stunden irreversiblen finanziellen Schaden. Diese Lücke ist kein Fehler im System – es handelt sich um eine strukturelle Schwachstelle, die Betrüger gezielt ausnutzen.

Bürokratische Meldewege vs. aktives Phishing zur Gewinnung von Opfern
Links: Der langwierige Prozess der Missbrauchsmeldung. Rechts: Der Betrüger, der schon Geld einkassiert, während Sie warten.

Was ist „Seed Flooding“?

„Seed Flooding“ ist eine Technik zur Abwehr von Phishing-Angriffen, bei der gültiges Format, aber leer/wertlos Die Seed-Phrasen von Kryptowährungs-Wallets werden mit einer kontrollierten Rate automatisch in ein Phishing-Formular eingegeben.

Die Datenbank verfälschen
Echte Seed-Phrasen lassen sich nicht mehr von Fälschungen unterscheiden. Jeder Eintrag muss manuell überprüft werden, wodurch sich das Signal-Rausch-Verhältnis verschlechtert.
Grenzen der kostenlosen Nutzungsstufe für „Exhaust“
EmailJS, Formspree, Web3Forms – alle haben strenge monatliche Kontingente. Wir haben diese Grenzen innerhalb weniger Stunden erreicht und damit die Benachrichtigungskette des Angreifers unterbrochen.
Die Erfassungspipeline unterbrechen
Wenn die Exfiltrationskanäle nicht mehr funktionieren, gelangen die Daten der tatsächlichen Opfer nirgendwohin – selbst wenn sie ihre Seed-Phrase eingeben.
Forschungsinformationen generieren
Durch Flooding werden Details zur Infrastruktur, Fehlermeldungen und Schwellenwerte für die Ratenbegrenzung sichtbar, die wir nutzen, um eine bessere Erkennung zu entwickeln.
Phishing-Formular wird mit gefälschten Seed-Phrasen überflutet
Ein Phishing-Formular, das mit einer Flut gefälschter Seed-Phrase-Eingaben überschwemmt wird – die Datenerfassung des Angreifers verschlechtert sich in Echtzeit

Warum das funktioniert: Die Funktionsweise eines billigen Phishing-Kits

Bei der überwiegenden Mehrheit der aktiven Krypto-Phishing-Websites handelt es sich um Copy-Paste-Kits, die auf Drittanbieter-Dienste mit kostenloser Nutzungsstufe. Das ist ihre größte Schwachstelle. Eine ausführlichere Analyse finden Sie unter unsere umfassende Untersuchung.

Aufbau eines Phishing-Kits – Abhängigkeiten von kostenlosen Diensten
Jeder Exfiltrationskanal ist ein kostenloser Dienst mit strengen Übermittlungsbeschränkungen – der niedrige Preis des Kits ist sein entscheidender Nachteil
Datentabelle: Modul
ModulLimit des kostenlosen KontosAuswirkungen von Überschwemmungen
EmailJS~200 Einsendungen pro MonatIst nach einigen Stunden erschöpft, stoppt den E-Mail-Versand
Formspree50 Einreichungen pro MonatWurde fast sofort deaktiviert
Web3Forms250 Einreichungen pro MonatSchnell neutralisiert
Telegram-Bot-APIRatenbegrenzt pro SekundeIn Timeout-Schleifen überflutet
Firebase-Free-TierLese-/SchreibkontingenteDatenbankkosten steigen sprunghaft an oder es kommt zu einem Ausschluss
Beobachtetes Ergebnis

Wir haben direkt beobachtet, wie Phishing-Infrastrukturen inaktiv wurden, nachdem die „Seed Flooding“-Attacke ihre Benachrichtigungs-Pipeline überlastet hatte. Der Betrüger weiß nicht, warum das System nicht mehr funktioniert. Er erhält einfach keine Daten mehr.

Unser technischer Ansatz: Cloudflare Workers statt Botnets

Das Edge-Netzwerk von Cloudflare wird zur Bekämpfung von Phishing eingesetzt
14.663 Cloudflare Workers, die auf der Edge-Netzwerkebene betrieben werden – ohne Einbindung von Infrastruktur von Drittanbietern

Wir verwenden Cloudflare Workers. Die Anfragen stammen aus dem eigenen Edge-Netzwerk von Cloudflare. Es werden keine privaten IP-Adressen missbraucht. Es gibt keine Botnetze. Es werden keine Server von Drittanbietern belastet. Betroffen ist lediglich das Datenerfassungssystem des Betrügers.

Der Hochwasserstrom

Standort erkanntAktiver Datenverkehr bestätigt
Anatomische AnalyseExfil-Kanäle zugeordnet
Einsatz von MitarbeiternCF-Edge-Netzwerk
2 Samen / 10 sGeregelte Drehzahl
Kontingent ausgeschöpftAngreifer blind
Bericht eingereichtParallelspur

Ratenbegrenzung: Eine strenge 2 submissions per 10 seconds. Kein DDoS. Eine langsame, gezielte und planmäßige Kontamination in einem Ausmaß, bei dem selbst bescheidene Raten pro Website bei Dutzenden gleichzeitiger Ziele eine nennenswerte Wirkung entfalten.

Was wir nicht tun

Wir versuchen nicht, Server lahmzulegen. Wir machen den Betrügern den Arbeitstag zur Hölle und ihre Datenbank wertlos – ohne jegliche Kollateralschäden für legitime Infrastruktur.

Praxisbeispiele: Kontrollierte Kontamination in der Praxis

Die folgenden Vorgänge sind wörtlich aus unseren Produktionsprotokollen entnommen. Domains und Anbieter-Kennungen wurden nur dort unkenntlich gemacht, wo eine Veröffentlichung der Umgehung Vorschub leisten würde; die HTTP-Protokollaufzeichnungen sind unverändert. Beide Ziele waren zum Zeitpunkt des Eingriffs aktiv, wiesen bestätigten eingehenden Datenverkehr aus bezahlter Werbung auf und waren unabhängig voneinander als Phishing von ≥ 2 externe Anbieter auf VirusTotal bevor wir irgendwelche Maßnahmen ergreifen.

Einsatzdoktrin

Jeder „Seed-Flooding“-Einsatz erfolgt im Rahmen derselben fünf Grundsätze. Es gibt keine Ausnahmen; ein Einsatz, der nicht alle fünf Grundsätze erfüllt, wird nicht durchgeführt.

GRUNDSATZ 01
Nur öffentliche Endpunkte
Die Exfiltrations-URL und ihre Kennungen lauten veröffentlicht über die Phishing-Seite mittels clientseitigem JavaScript. Wir erfassen niemals Anmeldedaten, führen keine Brute-Force-Angriffe durch und eskalieren keine Berechtigungen.
GRUNDSATZ 02
Durchsatz unterhalb der Obergrenze
Die Anfragerate wird streng auf einen Wert begrenzt, der unterhalb des vom Anbieter selbst in den Nutzungsbedingungen festgelegten Limits liegt. Unser Profil unterscheidet sich nicht von gewöhnlichem UGC-Datenverkehr.
GRUNDSATZ 03
Beweismaßstab
Target verlangt ≥ 2 Treffer von unabhängigen Anbietern auf VirusTotal plus Manuelle Bestätigung des Ablaufs der Erfassung von Anmeldedaten.
GRUNDSATZ 04
Paralleler legaler Vertriebsweg
Es werden formelle Missbrauchsmeldungen an den Hosting-Anbieter, die Registrierungsstelle und den Formularanbieter eingereicht vorher sobald es zu Überschwemmungen kommt – mit Fallnummern und vollständigen Beweismitteln.
GRUNDSATZ 05
Vollständiger Prüfpfad
Der gesamte Datenverkehr stammt von Cloudflare Workers unter einem signierten PhishDestroy-Origin. Jede Übermittlung wird mit Zeitstempel, Ziel und Betreiber-ID protokolliert.

Fall 1 – Formspark Exfil Endpoint, monatliches Kontingent ausgeschöpft

checkblochn.pages.dev Neutralisiert

Bedrohungsmuster: Wallet-Recovery-Köder („Dapp Node Sync“), der 12-Wort-BIP-39-Seed-Phrasen an einen vom Angreifer kontrollierten Formspark-Endpunkt im kostenlosen Tarif weiterleitet. Zu Beginn der Interaktion wurde bezahlter Anzeigen-Traffic von zwei Werbeplattformen bestätigt.

Angriffsfläche
checkblochn.pages.dev (Cloudflare Pages)
Exfil-Kanal
submit-form.com — Formspark-Formular-Endpunkt
Formular-ID
/32BrdUqfX
Feld „Nutzlast“
12-Wort-BIP-39-Seed über message
Obergrenze für die kostenlose Nutzungsstufe des Anbieters
50 Einreichungen • 1 Monat (fortlaufend)
Kosten für die Zurücksetzung durch Betrüger
Neues Formspark-Konto + Bearbeitung per Client-JS + erneute Bereitstellung

Operativer Zeitplan (UTC, anonymisiert bis zum Einsatzzeitpunkt T-0)

T + 00:00
Ingest – Domain, die vom PhishDestroy-Crawler anhand eines Beispiels für eine bezahlte Anzeige ermittelt wurde. automatisiert
T + 00:12
Anatomie bestätigt – Zielform submit-form.com/32BrdUqfX Aus Seite JS extrahiert; Form der Nutzlast rekonstruiert. Analyse
T + 00:28
VirusTotal: 3 / 95 Anbieter stufen dies als Phishing ein. Schwellenwert erreicht.
T + 00:47
Missbrauchsmeldungen eingereicht – Cloudflare Pages Trust & Safety, Formspark-Missbrauch, Porkbun (Registrar). Fall-IDs vergeben. rechtmäßiger Weg
T + 01:02
Einsatz von Hochwasserhelfern — Satz 2 req / 10 s, einzelner Cloudflare Worker, identifizierte UA-Zeichenkette, signierter Ursprung.
T + 01:02
Erste Hochwasser-Meldungen gehen ein 200 OK mit formspark-quota: 64. Ausgangswert erfasst.
T + 06:08
formspark-quota überschreitet den Wert Null → Der Endpunkt stellt die Weiterleitung stillschweigend ein. Ablassgitter
T + 06:12
Letzte erfasste Antwort: formspark-quota: −18. Mitarbeiter im Hochwassereinsatz entlassen.
T + 19:30 Uhr
Cloudflare Pages deaktiviert die Bereitstellung als Reaktion auf eine Missbrauchsmeldung. abgebaut

Einreichung über die Leitung (der Seed ist ein aussagekräftiger Köder – 12 zufällige BIP-39-Wörter, die in keinem Zusammenhang mit einer echten Wallet stehen)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+Vortrag+Segel+Koralle+Schwören+Faser+Bonus+Verschwinden+Schicht+Beobachten+Verlassen+Waisenkind+Höhe&source=Unbekannte+Quelle&from_name=Dapp+Node+Sync

Antwort – T+01:02 (Basiswert, verbleibende Quote)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Phrase: Vortrag, Segel, Koralle, schwören, Faser, Bonus, verschwinden, Schicht, beobachten, sich verlassen, Waisenkind, Höhe" }

Antwort — T+06:12 (Kontingent ausgeschöpft, Endpunkt sendet weiterhin 200, leitet jedoch nicht weiter)

HTTP/1.1 200 OK formspark-quota: -18 formspark-status: ok
Quote vor der Überschwemmung
64
Quote nach der Überschwemmung
−18
82
Scheineinreichungen
~5 Std. 06 Min.
Dauer der Überschwemmung
0,27 Anfragen/Sek.
Durchschnittssatz
~11,5 KB
Gesamtnutzlast ausgehender Daten
100%
Im Rahmen der Nutzungsbedingungen des Anbieters
0
Betroffene berechtigte Anfragen

Spürbare Auswirkungen. Von T+06:08 bis zur endgültigen Abschaltung um T+19:30 — a Zeitfenster von 13 Stunden und 22 Minuten — jedes echte Opfer, das checkblochn.pages.dev und den Wiederherstellungsvorgang abgeschlossen hatten, übermittelten sie ihre Seed-Phrase an einen Endpunkt, der 200 OK leitete die Nutzdaten jedoch nicht mehr an den Posteingang des Betreibers weiter. Die Phishing-Seite erschien im Browser des Opfers erfolgreich zu sein (kein Fehler, kein Warnsignal), was wünschenswert ist: Eine reflexartige Reaktion wie „Es hat nicht funktioniert“ führt oft dazu, dass Nutzer dieselben Anmeldedaten auf der nächsten gefälschten Website, die sie finden, erneut eingeben. Hier ist die Interaktion mit dem Blindanschluss beendet.

Was diese Maßnahme tatsächlich gebracht hat

Ein 13-stündiges Schutzfenster für jeden nachfolgenden Besucher einer Website, für die weiterhin aktiv bezahlte Werbung geschaltet wurde. Das Fenster schloss sich, als Cloudflare Pages auf unseren parallel eingereichten Missbrauchsbericht reagierte – genau wie vorgesehen. Die Flutwelle ersetzte nicht die rechtmäßige Sperrung; sie überbrückte lediglich die Zeitspanne bis Der rechtmäßige Takedown kam an.

Fall 2 – EmailJS Relay, vom Betreiber veröffentlichte Identifikatoren

allsyncapp.pages.dev Aktiver Betrieb

Bedrohungsmuster: Eine „Sync“-Falle für Wallet-Apps, die den vom Opfer eingegebenen Seed-Code per E-Mail an die Mailbox des Betreibers weiterleitet über EmailJS — ein seriöser SaaS-Anbieter für Transaktions-E-Mails. Die Phishing-Seite enthält die service_id, template_id und user_id in clientseitigem JavaScript, da der Browser des Opfers ohne diese Kennungen den POST-Aufruf, der die E-Mail auslöst, nicht abschließen kann. Diese Identifikatoren sind daher Teil der öffentlichen Angriffsfläche, die der Betreiber freiwillig offengelegt hat.

Angriffsfläche
allsyncapp.pages.dev (Cloudflare Pages)
Exfil-Kanal
api.emailjs.com — Relay für Transaktions-E-Mails
Endpunkt
POST /api/v1.0/email/send-form
Vom Betreiber veröffentlichte IDs
service_id · template_id · user_id (aus dem JS-Code der Seite extrahiert)
Obergrenze für die kostenlose Nutzungsstufe des Anbieters
200 E-Mails • laufender Monat
Feste Ratenbegrenzungen (Nutzungsbedingungen)
1 Anfrage/Sek. · 50/IP/Std.

Erfasste Übermittlung – Nachempfundene Form der Nutzlast aus dem POST-Request der Phishing-Seite selbst

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=Kürbis Folie Dorf Münze Stadt Rock gemein Stunde Programm Bühne Armut befürworten lib_version=3.12.1 service_id=service_t0cgr9v template_id=template_k16demo user_id=furwEG-MZShqSPIGS

Extraktion von Identifikatoren (einzeiliger regulärer Ausdruck im Quellcode der Phishing-Seite)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id: „service_t0cgr9v“ template_id: „template_k16demo“ user_id: „furwEG-MZShqSPIGS“

Zentraler Lehrpunkt. Dieser Fall ist gerade deshalb aufschlussreich, weil Wir haben keinen Endpunkt entdeckt.. Der Betreiber veröffentlicht die drei Kennungen, die erforderlich sind, damit EmailJS den Seed an das Postfach des Opfers sendet. Jeder Browser, der die Phishing-Seite anzeigt, verfügt über diese Kennungen. Unser Worker macht genau das, was der Browser des Opfers tut – er sendet ein Formular mit genau dem Aufbau und den Kennungen ab, die die Seite selbst vorschreibt. Der Unterschied liegt in der Nutzlast: zufällige BIP-39-Wörter anstelle der tatsächlichen Wallet-Zugangsdaten.

200
Monatliche Obergrenze (Lockvögel)
1 / s
ToS-Rate – wir arbeiten mit 0,1/s
~120 KB
Maximale monatliche Nutzlast
0
Belastung durch die EmailJS-Infrastruktur (in Grenzen)
402 / 429
Reaktion des Anbieters bei Erreichen der Obergrenze
Konto gekündigt
Typischer Ausgang einer Missbrauchsanzeige

Verlaufsmuster. Sobald das monatliche Limit erreicht ist, gibt EmailJS Folgendes zurück: 402 Payment Required oder 429 Too Many Requests und die Vorlage wird nicht versendet. Die Mailbox des Betrügers bleibt still. Parallel dazu geht bei EmailJS Trust & Safety eine formelle Beschwerde ein, die die Kennungen des Dienstes, der Vorlage und des Nutzers sowie einen Link zu unserem veröffentlichten Beweismaterial enthält – was nach bisherigen Erfahrungen dazu führt, dass das EmailJS-Konto des Betreibers beendet, ohne Ratenbegrenzung. Der Betreiber muss ein neues EmailJS-Konto einrichten, die Identifikatoren neu generieren, die bereitgestellte Phishing-Seite bearbeiten und jeden bestehenden Verbreitungslink ungültig machen – ein mehrstündiger Arbeitsablauf bei jeder Rotation.

Vergleich von Angriffsprofilen: Was „Seed Flooding“ nicht ist

Immer wieder wird uns vorgeworfen, wir würden „Angriffe“ auf Phishing-Seiten durchführen. Diese Darstellung bricht jedoch in sich zusammen, sobald man das tatsächliche Verkehrsprofil dem Profil der Aktivitäten gegenüberstellt, mit denen es verwechselt wird.

Vergleich zwischen „Seed Flooding“ und Denial-of-Service-Angriffen, Spam sowie verdeckten Ermittlungen der Strafverfolgungsbehörden.
DimensionSaatgutflutung (unsere Methode)DDoS / L7-FloodMissbrauch durch Spam-EinreichungenLE-Verdeckungsaktion
ZweckOpferschutz – die „Exfil“-Quote des Betrügers vor dem nächsten Opfer erfüllenDenial-of-Service-Angriff auf die InfrastrukturWirtschaftlicher Gewinn / Verbreitung von BotschaftenBeweissicherung, kontrollierte Täuschung
Durchsatz0,1 – 0,3 Anfragen/Sek. — unten Nutzungsbedingungen des Anbieters103 – 108 Anfragen pro Sekunde — auf Auslastung ausgerichtetBurst / automatisierte GroßmengenverarbeitungEine einzelne Interaktion in der Regel
ZielEin Angreifer, der Daten von einem einzelnen Endpunkt abgezogen hat, hat Folgendes veröffentlicht:Webserver-/Netzwerkebene einer betroffenen OrganisationKontaktformulare seriöser WebsitesVerdächtige Infrastruktur oder Person
Auswirkungen auf die InfrastrukturKeine – Die Zähler des Anbieters verhalten sich im Rahmen des in den Nutzungsbedingungen festgelegten RahmensDienstunterbrechung, Überlastung auf der Upstream-SeiteÜberfüllter Posteingang, CAPTCHA-Drift, ModerationsaufwandHängt vom Betriebsmodus ab
Betroffene rechtmäßige NutzerNull – Phishing-Formulare haben keine legitimen NutzerAlleMitarbeiter/Moderatoren, die für das Formular verantwortlich sindIntegrierte Vermeidung
Ursprüngliche Identität„PhishDestroy Cloudflare Workers“ – überprüfbarBotnetze, gefälschte Absender, ReflexionEinmal-ProxysVerschlusssache „Infrastruktur“
AutorisierungsmodellEndpunkt ist eingeladen: Das Formular fordert diese Eingabe ausdrücklich an; die Bezeichner werden auf der Seite öffentlich angezeigtKeine – das Anfragevolumen selbst stellt den Schaden darUmgeht den vorgesehenen Verwendungszweck, ignoriert Signale zur MissbrauchsverhinderungGesetzliche Befugnis
Parallele rechtliche SchritteMeldungen über Missbrauch eingegangen vorher Flood-Start mit Fall-IDsk. A.k. A.In den Betriebsablauf eingebunden
Diese Unterscheidung ist nicht rein rhetorischer Natur. Sie ist messbar.

Eine „Seed-Flood“-Anfrage ist ein einzelner HTTPS-POST-Request von etwa 140 Byte, der von einem Cloudflare-Worker stammt, der unseren signierten Ursprung trägt, und dessen Rate nur einen Bruchteil dessen beträgt, was der Anbieter selbst als akzeptabel angibt. Der Request zielt auf einen Endpunkt ab, dessen Identifikatoren der Betreiber bewusst in eine öffentliche Webseite eingebettet hat. Das ist die das gesamte beobachtbare Artefakt. Jedes strukturelle Element, das eine Anfrage zu einem „Angriff“ macht – unbefugter Zugriff, die Absicht, Ressourcen zu erschöpfen, volumetrische Überlastung, betroffene Dritte, verschleierte Herkunft –, fehlt. Die folgende rechtliche Analyse ist keine kreative Argumentation; sie ist die natürlich Auslegung des Gesetzes, sobald der Sachverhalt klar dargelegt ist.

Eine Phishing-Falle, die mit Steinen aufgefüllt wird
Der Betrüger hat eine Falle gestellt. Wir füllen sie mit Steinen.

Das Übermitteln von Daten an ein öffentlich zugängliches Webformular – selbst wenn es sich um gefälschte Daten handelt – ist in den meisten Fällen an sich nicht illegal. Wir greifen weder auf private Systeme zu, noch nutzen wir unbefugt Sicherheitslücken aus, noch fangen wir Kommunikation ab. Der Betrüger hat eine Falle gestellt. Wir füllen sie mit Steinen.

Rechtlicher Hinweis

PhishDestroy bietet keine Rechtsberatung an. Dies ist eine echte Grauzone, die je nach Rechtsordnung unterschiedlich gehandhabt wird. Wir sind uns dieser Komplexität voll und ganz bewusst.

Ein Betrüger, der eine Phishing-Seite betreibt, hat kein berechtigtes Interesse dass sie ausschließlich echte Seed-Phrasen erhalten. Sie haben keinen Anspruch auf die Integrität ihrer Infrastruktur zur Erfassung krimineller Daten.
Unser System ist zielgerichtet, ratenbegrenzt und an manuelle Identifizierungsprozesse gebunden. Wir identifizieren, analysieren, bestätigen und handeln dann entsprechend.
Wir haben Fälle dokumentiert, in denen es zu einer Überflutung des Saatguts kam verhinderte direkt, dass die Opfer Geld verloren — denn als ein echter Nutzer seine Seed-Phrase übermittelte, war das Erfassungssystem des Betrügers bereits deaktiviert.

Was passiert mit der Datenbank des Betrügers?

Es wird unbrauchbar — Tausende von Einträgen müssen manuell überprüft werden, das Signal-Rausch-Verhältnis bricht ein. Oder es geht kaputt — Firebase Spark und gemeinsam genutzte MongoDB-Instanzen unterliegen festen Obergrenzen. Das Erreichen dieser Obergrenzen hat Konsequenzen.

Beide Ergebnisse sind gut

Ob die Datenbank zu einer nutzlos oder bricht völlig zusammen — Die Seed-Phrasen echter Opfer gelangen niemals in einer verwertbaren Form in die Hände des Angreifers. Jede unverarbeitete Seed-Phrase entspricht einer Wallet, die nicht leergeräumt werden kann.

Wann aktivieren wir die Saatgutflutung?

Datentabelle: Kriterium
KriteriumÜberprüfenWarum das wichtig ist
Aktiver Datenverkehr bestätigtErforderlichWerbeplattformen oder Traffic-Tools bestätigen, dass echte Nutzer auf die Website gelangen
Analyse der Phishing-StrukturErforderlichExfil-Module der kostenlosen Stufe, die vor dem Flood identifiziert wurden
Meldungen über Missbrauch eingegangenErforderlichWir verfolgen stets gleichzeitig den rechtmäßigen Weg
Keine Abschaltung im Rahmen der SLATypischer AuslöserKeine Antwort vom Registrar/Hosting-Anbieter innerhalb einer angemessenen Frist
Website mit hohem Anzeigenvolumen / bezahlten AnzeigenSofortiger AuslöserBezahlte Werbung bedeutet, dass wir handeln, ohne auf bürokratische Abläufe zu warten

Das große Ganze

Das Krypto-Ökosystem verliert Milliarden Dollar pro Jahr gegen Phishing. Die Abwehrmaßnahmen waren bisher eher reaktiv. PhishDestroy wurde ins Leben gerufen, um proaktive Einmischung in diesen Kreislauf.

Transparenz ist der Kern unseres Handelns

Wir arbeiten nicht im Verborgenen. Wir veröffentlichen unsere Methodik. Wir erläutern unsere Techniken. Wir dokumentieren die von uns analysierten Phishing-Kits. Die Sicherheits-Community verdient es, Methoden zur Phishing-Bekämpfung selbst zu bewerten, anstatt nur einen Black-Box-Dienst in Anspruch zu nehmen.

PhishDestroy – Aufspüren und Ausschalten von Phishing-Infrastrukturen
Die Betrüger sind gut organisiert. Ihre Werkzeuge sind standardisiert. Das bedeutet, dass auch Gegenmaßnahmen standardisiert werden können.

Was Sie tun können

Wenn Sie der Meinung sind, dass es unethisch ist, Kriminellen leere Geldbörsen zuzuspielen – das ist Ihre Haltung, und Sie dürfen sie gerne vertreten. Wir haben unseren Standpunkt klar gemacht.